Es el año 2015. Eres “Airborne88”, un agente del Gobierno perteneciente al proyecto “Virus-T” (Virus Tyrant) que busca la reanimación de células muertas. Se trata de un proyecto secreto desarrollado conjuntamente con la Corporación Umbrella, con sede en Raccoon City en donde se encuentran los laboratorios principales de esta compañía, ocultos bajo el subsuelo. En el desarrollo del Virus-T se han invertido millones de dólares y los principales enemigos de la nación se encuentran en su búsqueda con el fin de copiarlo, ya que sería el arma biológica perfecta.

Como experto en seguridad, el equipo director del proyecto y el Comando de las Fuerzas Militares te han delegado la responsabilidad de implementar una serie de controles con el fin de prevenir que el Virus-T sea robado por agentes enemigos y adicionalmente proteger a los científicos y personal civil que pueda tener contacto con este virus, ya que es altamente infeccioso. Para ello, debes seguir un protocolo de seguridad muy estricto definido por la Corporación Umbrella, quienes auditarán todo el proceso.

Dada la responsabilidad de este trabajo y los riesgos a los que estás expuesto, estableces tu plan de acción:

Paso 1) En primera instancia, tu primera acción estará orientada a minimizar el entorno expuesto al Virus-T. Para ello, haces un inventario de todas las ubicaciones en las cuales se almacena una copia del virus, localizas dichas copias y las centralizas en un único punto de control. Así mismo, aquellas copias que ya no se requieren las envías para que sean incineradas de forma segura y estableces los umbrales máximos en los que el virus será almacenado antes que sea peligroso.  Para prevenir que los científicos que están en el área de pruebas (desarrollo) se infecten con las copias reales, obligas a que usen en sus experimentos unas copias del virus cultivadas expresamente bajo condiciones en las cuales han perdido o atenuado sus propiedades patógenas. Creas un inventario específico de todos los dispositivos, ubicaciones, personal y medios que tienen contacto con el virus y haces un mapa (diagrama) de la ubicación de los mismos. De esta manera, sabes quiénes manipulan el virus y en caso de una infección puedes controlarla de forma controlada haciendo una cuarentena.

umbrella_map

Paso 2) Debido a que la seguridad de todo el laboratorio recae en el superordenador UMF-013 denominado “Reina Roja”, procedes con la implementación de controles de seguridad para evitar que potenciales atacantes puedan acceder a este equipo, retirando usuarios y contraseñas por defecto, configurando de forma segura el sistema y retirando funcionalidades que no se necesitan. Igualmente, aislas la red a la cual está conectada la “Reina Roja” para evitar accesos no autorizados.

Por otro lado, estableces los protocolos de actuación en caso de una infección o de fallas del sistema para prevenir cualquier problema que pueda existir en la manipulación del Virus Tyrant.

red_queen

Paso 3)  Desarrollas una serie de protocolos y actuaciones específicas para que los científicos las lleven a cabo en sus procesos de investigación y no rompan con los niveles de seguridad definidos. Indicas cómo se tiene que tratar el Virus-T cuando se empieza la investigación, cuando se inocula en organismos muertos en pruebas y cuando se obtiene la muestra final.

umbrella_1

Paso 4) Con el fin de mantener un control continuo en todas las actuaciones realizadas en el laboratorio y detectar de forma temprana cualquier filtración del virus o acceso no autorizado a las instalaciones, implementas una serie de controles de monitorización que son revisados diariamente por el personal de seguridad.

umbrella_image

Paso 5) Para evitar que el Virus-T caiga en manos ajenas o sea extraído de los laboratorios sin control, lo cual podría exponer a personal civil a infecciones graves y a problemas legales a la Corporación Umbrella, estableces controles especiales para la protección de las muestras, que serán ocultadas en lugares secretos, bajo cajas fuertes protegidas con claves únicamente conocidas por personal interno y en entornos limitados.

t-virus

Paso 6) Finalmente, elaboras un documento de seguridad de obligatorio cumplimiento por todo el personal y procedes con entrenamientos y formaciones a todo el personal, para garantizar que conocen y siguen los protocolos de seguridad establecidos y los refuerzas con simulacros periódicos. Así mismo, validas que todos los controles estén implementados de forma correcta.

books

Cuando todos los controles de seguridad ya están implementados, informas a la Corporación Umbrella para que realicen una inspección anual de la efectividad y eficiencia de los controles.

Sin embargo, a pesar que todos los controles están desplegados, debes siempre tener presente que pueden existir errores no contemplados y estar listo para actuar en caso de problemas, evitando a toda costa que el virus se salga de control, se extienda y cause una pandemia, afectando vidas civiles y la reputación de la corporación y el Gobierno para los cuales trabajas…

Debido a que conoces los potenciales riesgos a los cuales la organización se puede exponer, justificas ante las directivas en términos de coste/beneficio la necesidad de mantener y optimizar los controles a través del tiempo. Esta tarea no es el fin del proyecto “Virus-T”, ya que muchos otros proyectos nuevos dependen de él.

¡Es hora de vestir tu uniforme militar y cumplir con la misión encomendada!

Y de vuelta a la vida real…

No eres “Airborne88″, pero eres el responsable de seguridad de la información de una corporación que procesa, almacena y/o transmite datos altamente críticos: los datos de tarjeta de pago de sus clientes.  Al igual que con el Virus-T, este dato es buscado y muy apreciado por atacantes debido a su valor dentro del mercado negro de transacciones de pago para efectuar fraudes.

Siguiendo su similitud con el Virus Tyrant, los datos de tarjeta son “contaminantes por contacto”. Si algún elemento tiene contacto con él, podría volverse un punto de ataque y es necesario desplegar controles de seguridad para evitar problemas colaterales. Es por ello que debes implementar el protocolo de seguridad PCI DSS establecido por el PCI Security Council y efectuar auditorías de forma anual para garantizar que todo marcha en orden.

El plan de acción para prevenir fugas no autorizadas de datos de tarjetas es el siguiente:

Paso 1)  Identificas todos los procesos y flujos internos que procesan, almacenan y/o transmiten datos de tarjetas de pago dentro de tu empresa y los activos que se encuentran involucrados, creando diagramas e inventarios. Procedes con la eliminación inmediata de cualquier repositorio que no sea requerido y estableces umbrales de retención a aquellos datos que sí tienen una justificación para ser almacenados.

NetworkDiagram04

Paso 2) Identificados los dispositivos dentro del entorno (de ahora en adelante denominado “Cardholder Data Environment”) despliegas controles para aislar los equipos de otras redes y procedes con la implementación de controles de seguridad incluyendo antivirus, autenticación de dos factores, controles de seguridad física (incluyendo videovigilancia), pruebas de seguridad continuas (escaneos de redes inalámbricas, de vulnerabilidades y pruebas de penetración), entre otros.

showpicsize_w

Paso 3) Para aquellas aplicaciones involucradas con el procesamiento de datos de tarjetas procedes con la implementación de una serie de controles en su desarrollo e instalación, minimizando la potencial superficie de ataque.

code

Paso 4) Procedes con el despliegue de controles de monitorización que te permitan saber quien, qué, cuándo y cómo se accedió a los datos de tarjetas de pago y realizas una revisión diaria de estos registros de eventos.

snip

Paso 5) En el caso que almacenes datos de tarjetas, requieres implementar controles para su protección y para la protección de las claves de encriptación (si se requieren)

encrypted

Paso 6) Redactas la política de seguridad y los procedimientos de seguridad requeridos por el estándar, realizas formaciones internas y pruebas periódicas. Finalizas con la implementación de los demás controles del estándar y monitorizas que todo funcione conforme con lo que se ha definido.

¿Se te hacen familiares estos 6 pasos? ¡Por supuesto! Son los 6 hitos de “The Prioritized Approach to Pursue PCI DSS Compliance” (El enfoque priorizado para cumplir con PCI DSS). Aunque esta vez no tienes que lidiar con un virus altamente infeccioso que reanima organismos muertos, si debes minimizar el riesgo de los datos de tarjetas de pago de tus clientes.

La misión de “Airborne88″ era compleja y de ciencia ficción (por ahora) pero la tuya es real. Tienes el apoyo de los asesores QSA y de PCI Hispano para cumplir con tu misión.

¡Es hora de vestir tu corbata y tu traje y cumplir con la misión encomendada!

¡Éxitos en tu misión!


NOTA: Para la redacción de este artículo se usaron referencias a la película y al videojuego “Resident Evil“, así como imágenes de aquí y aquí.