Mostrando 4 respuestas a los debates
  • Autor
    Entradas
    • #44430
      andresmx89
      Participante

      Buenas Tardes David

      Queremos crear un equipo de respuestas ante incidentes de seguridad informática, pero no sabemos como, somos una empresa pequeña y el grupo de ti también lo es, tenemos el plan de respuestas a incidentes y el comité, pero tenemos la necesidad de estructurar un csirt interno.

      Nos puedes ayudar

      Gracias,

    • #44529
      David Acosta
      Participante

      Hola Andrés:
      Supongo que el equipo de Respuesta a Incidentes que quieres implementar en tu empresa será para atender incidentes relacionados con tarjetas de pago propias de transacciones comerciales asociadas a tu negocio. En este caso, el estándar PCI DSS v3.0 (que puedes encontrar aquí: http://www.pcihispano.com/pci-dss-y-pa-dss-v3-0-disponibles-en-espanol/) en su requerimiento 12.10 define una serie de criterios a tener en cuenta para la definición de dicho plan:
      – Roles, responsabilidades y estrategias de comunicación y contacto en caso de un riesgo que incluya, como mínimo, la notificación de las marcas de pago.
      – Procedimientos específicos de respuesta a incidentes.
      – Procedimientos de recuperación y continuidad comercial.
      – Procesos de copia de seguridad de datos.
      – Análisis de los requisitos legales para el informe de riesgos.
      – Cobertura y respuestas de todos los componentes críticos del sistema.
      – Referencia o inclusión de procedimientos de respuesta ante incidentes de las marcas de pago.
      Igualmente, requiere que se haga de una prueba de dicho plan por lo menos anualmente (req. 12.10.2), que exista personal disponible 7×24 para atender alertas (req. 12.10.3), que el personal tenga formación en gestión de incidentes (req. 12.10.4), que se incluyan las alertas de sistemas de monitorización de seguridad (req. 12.10.5) y un proceso de mejora continua con base en las lecciones aprendidas (req. 12.10.6).
      Como ves, son indicaciones generales que debes desarrollar adaptadas a tu negocio y al potencial riesgo que tengas. Cada incidente es interpretado de diferente forma por cada entidad, por lo que el primer paso es definir precisamente «qué es un incidente» dentro de tu entorno.
      En cuanto a un CSIRT, considero que es si estás en una empresa pequeña la figura de un CSIRT es muy compleja. Sin embargo, en el web site de ENISA puedes encontrar una guía muy completa y en español que te puede dar una idea del concepto, servicios y pasos para crear un centro como estos: https://www.enisa.europa.eu/activities/cert/support/guide/files/csirt-setting-up-guide-in-spanish
      Saludos,
      David

    • #44530
      andresmx89
      Participante

      Muchas Gracias David

    • #44531
      andresmx89
      Participante

      Hola David

      Estuve analizando el tema y por ser una organización pequeña y yo solo en el área de seguridad me queda muy complicado crear un csirt o equipo de respuesta a incidentes de seguridad.

      Actualmente tenemos un procedimiento donde se menciona el ciclo del plan de respuesta a incidentes basado en iso27035 y un comité de seguridad de información, con estos dos cumplimos con PCI-DSS?

      Muchas Gracias,

    • #44532
      David Acosta
      Participante

      Hola Andrés:
      Ten presente que en el ciclo de respuesta a incidentes no solamente actúa el responsable de seguridad sino también administradores, operadores, personal de RRHH, Dirección, etc. por lo que este es un proceso trasversal a la organización y el personal involucrado debería estar concienciado con ello. El equipo, las labores y la responsabilidad no deben recaer solamente sobre ti. Que tu lleves el control, genial pero eso es otra cosa. Para evitar eso se tiene definido el requerimiento 12.5.3:
      «…Establezca, documente y distribuya los procedimientos de escalamiento y respuesta ante incidentes de seguridad para garantizar un manejo oportuno y efectivo de todas las situaciones…»
      Si la documentación de tu procedimiento de respuesta a incidentes cubre todos los puntos que pide el requerimiento 12.10 de PCI DSS v3.0 (citados en el mensaje anterior), tienes definidas las responsabilidades, el personal involucrado se encuentra capacitado y se hacen pruebas de dicho procedimiento y además tienes evidencia de todas estas acciones, perfecto. El hecho que esté alineado con ISO/IEC 27035:2011 te permite tener una base, pero no por ello implica que tienes un cumplimiento completo con PCI DSS. En este caso, entran en juego incidentes específicos relacionados con tarjetas de pago, que en el caso de ISO/IEC 27035:2011 son un incidente más, por lo que debes complementar el procedimiento que tienes y alinearlo con el requerimiento 12.10.
      Quiero hacer énfasis en que no se trata simplemente de la documentación y de cumplir el trámite burocrático de cumplir con el estándar. Se trata de tener un plan para responder ante cualquier situación que se salga de los umbrales gestionados por los controles de la normativa y que sean excepcionales en un tiempo mínimo para que el impacto sea el menor posible. Es como un seguro de vida: lo contratas como si se tratara de un trámite normal pero le ves su valor real cuando sucede un problema excepcional.
      Saludos,
      David

Mostrando 4 respuestas a los debates
  • Debes estar registrado para responder a este debate.