Credit card background

Como ya muchos lo sabemos, la confidencialidad, la integridad y la disponibilidad (“Confidentiality, Integrity, Availability”) son los pilares básicos de la seguridad de la información.  Una correcta implementación de estos tres conceptos empleando controles físicos, lógicos y administrativos son los que nos llevan a una gestión satisfactoria del riesgo.

Cuando se realiza una lectura inicial del estándar PCI DSS se puede notar que la disponibilidad – a diferencia de la integridad y la confidencialidad –  contempla una parte mínima de los requisitos. Y esto es obvio, ya que la intención principal de los controles descritos en el estándar están orientados a la prevención del acceso no autorizado a información confidencial (en este caso a datos de tarjetas de pago) y por ende a la minimización del fraude.  Así mismo, encontramos una serie de requerimientos (1.2.2, 10.5.5 y 11.5) que permiten garantizar que los archivos de configuración, archivos críticos y repositorios de registros de eventos no han sido modificados sin autorización.

Pero, ¿y en dónde se abarca la disponibilidad? No se trata de forma explícita, salvo en un par de requerimientos. Partiendo del principio que se debe garantizar que los sistemas que procesan y almacenan la información, los controles usados para protegerla y los canales de comunicación usados para accederla deben funcionar de forma correcta y cuando se requieran, de forma tácita se están asumiendo controles de disponibilidad.

Dentro del estándar en el requerimiento 12.9.1 encontramos el siguiente control:

“Cree el plan de respuesta a incidentes que será implementado en caso de que ocurra una violación de la seguridad del sistema. Asegúrese de que el plan aborde, como mínimo, lo siguiente:

  • Procedimientos de recuperación y continuidad comercial.
  • Procesos de realización de copia de seguridad de datos

…”

En donde de forma específica nos exigen la existencia e implementación de planes de continuidad del negocio y políticas de respaldo y recuperación. Como se puede ver, no se abarcan en detalle temas como Recovery Time Objective (RTO), Recovery Point Objective (RPO), Maximum Tolerable Period of Disruption (MTPD) o cualquier otro elemento relacionado con disponibilidad, sino que se deja a discreción de la propia organización para que defina estos parámetros con base en sus necesidades de negocio.

Para dar otro ejemplo: En el Navigating de PCI DSS v2.0 bajo la explicación del requerimiento 11.5 encontramos el siguiente párrafo:

 “…

Si bien, en la actualidad, muchos dispositivos de IDS/IPS pueden supervisar múltiples puntos dentro del CDE mediante un dispositivo, es importante recordar la mayor exposición que puede ocurrir como resultado de un fallo en ese dispositivo. Por lo tanto, es importante incorporar la debida redundancia en la infraestructura de IDS/IPS.

…”

¿Redundancia? Por supuesto. Tal como lo comentábamos anteriormente, se requiere que los controles de seguridad para la protección de datos de tarjetas estén activos en todo momento y se planifiquen acciones alternativas en caso de indisponibilidad de los mismos.

Conclusión: A pesar que de forma explícita se enuncian pocos controles relacionados con disponibilidad en el estándar PCI DSS,  este es un tema crítico que debe ser gestionado con el fin de garantizar que los controles de seguridad desplegados estarán activos y funcionales en todo momento. Igualmente, se deben definir estrategias y protocolos para la actuación en caso de fallos y asociarlo con el Plan de Respuesta a Incidentes de la organización.