Seguridad en tus sistemas y un uso productivo de antivirus
Seguimos en el camino para que te conviertas en un experto de PCI DSS. En esta tercera parte de la saga, nos enfocaremos en “Mantener un programa de administración de vulnerabilidad.”
Sí eres nuevo por aquí te recomendamos leer los siguientes artículos para comenzar:
- ¿Qué es PCI DSS y quiénes deben cumplirla?
- PCI DSS: ¿Qué es SAQ, ROC y AOC?
- PCI DSS: Los 12 requisitos [Parte 1]
- PCI DSS: Los 12 requisitos [Parte 2]
- PCI DSS: Los 12 requisitos [Parte 3]
- PCI DSS: Los 12 requisitos [Parte 4]
- PCI DSS: Los 12 requisitos [Parte 5]
- PCI DSS: Los 12 requisitos [Parte 6]
Requisito 5
El quinto requisito de este estándar de seguridad habla, nada más y nada menos, que de mantener tus sistemas y activos seguros. Su objetivo principal es “proteger todos los sistemas contra malware y actualizar los programas o software antivirus regularmente.”
De seguro ya conoces algo sobre los antivirus. Pues ha llegado la hora de poner todo ese conocimiento en práctica.
| Sub requisito | Lo que quiere decir |
| 5.1) Implemente un software antivirus en todos los sistemas que, generalmente, se ven afectados por software malicioso (en especial, computadoras personales y servidores). | Ponle antivirus a todos los sistemas y equipos de tu empresa. Sin excepciones. |
| 5.2) Asegúrese de que los mecanismos de antivirus cumplan con lo siguiente: Estén actualizados. Ejecuten análisis periódicos. Generen registros de auditoría que se guarden de conformidad con el Requisito 10.7 de las PCI DSS. | Mantén los antivirus actualizados, para que hagan revisiones periódicas y registren toda la información que generan. Cuando abordemos el requisito 10, hablaremos un poco más de esto |
| 5.3) Asegúrese de que los mecanismos de antivirus funcionen activamente y que los usuarios no puedan deshabilitarlos ni alterarlos, salvo que estén específicamente autorizados por la gerencia en casos particulares y durante un período limitado. | Protégete contra malware y otros softwares maliciosos limitando la gestión y configuración del antivirus a personal clave y autorizado por la gerencia. |
| 5.4) Asegúrese de que las políticas de seguridad y los procedimientos operativos que protegen los sistemas estén documentados, implementados y que sean de conocimiento para todas las partes afectadas. | Todo tu personal tiene que saber cuáles son las políticas y procedimientos operativos que debe implementar. Si todos están al tanto, tu empresa está segura. |
Requisito 6
En línea con lo que hablamos en el requisito 5, ahora vamos a hablar de cómo desarrollar y mantener sistemas y aplicaciones seguras.
Prácticamente de lo que se trata este requisito es de documentar procesos y de manejar una buena gestión de tus sistemas. Sabemos, que mencionamos mucho la importancia de documentar, pero es necesario hacerlo.
Por otra parte, ¡no te olvides de capacitar a tu personal! Todos somos vulnerables y por lo tanto, debemos protegernos a nivel personal, no solo empresarial.
| Sub requisitos | Lo que quiere decir |
| 6.1) Establezca un proceso para identificar las vulnerabilidades de seguridad por medio de fuentes externas conocidas para obtener información sobre las vulnerabilidades de seguridad, y asigne una clasificación de riesgo (por ejemplo, “alto”, “medio” o “bajo”) a las vulnerabilidades de seguridad recientemente descubiertas. | Identifica, evalúa y clasifica el riesgo de tus vulnerabilidades. Una manera de hacer esto es realizando una prueba de ethical hacking. |
| 6.2) Asegúrese de que todos los software y componentes del sistema tengan instalados parches de seguridad proporcionados por los proveedores que ofrecen protección contra vulnerabilidades conocidas. Instale los parches importantes de seguridad dentro de un plazo de un mes de su lanzamiento. | Recuerda que cada vez que encuentres una vulnerabilidad en tu sistema hay que repararlo y actualizarlo. |
| 6.3) Desarrolle aplicaciones de software internas y externas (incluso acceso administrativo a aplicaciones basado en web) de manera segura y de la siguiente manera: De acuerdo con las PCI DSS (por ejemplo, autenticación y registros seguros). Basadas en las normas o en las mejores prácticas de la industria. Incorporación de seguridad de la información durante todo el ciclo de vida del desarrollo del software. | Asegúrate de diseñar software contemplando las mejores prácticas de seguridad durante todo el ciclo del desarrollo: diseño, ejecución, pruebas y liberación. |
| 6.4) Siga los procesos y procedimientos de control de todos los cambios en los componentes del sistema. | Documenta cualquier cambio que se haga dentro del sistema. No olvides notar cuales se implementaron correctamente y cuáles no. |
| 6.5) Aborde las vulnerabilidades de codificación comunes en los procesos de desarrollo de software de la siguiente manera:– Capacite a los desarrolladores, por lo menos anualmente, en las técnicas actualizadas de codificación segura, incluida la forma de evitar las vulnerabilidades de codificación comunes.– Desarrolle aplicaciones basadas en directrices de codificación seguras. | Capacita a tu equipo de desarrolladores en temas de codificación segura. Si estás preparado podrás prevenir incidentes. |
| 6.6) En el caso de aplicaciones web públicas, trate las nuevas amenazas y vulnerabilidades continuamente y asegúrese de que estas aplicaciones se protejan contra ataques conocidos con alguno de los siguientes métodos: Controlar las aplicaciones web públicas mediante herramientas o métodos de evaluación de seguridad de vulnerabilidad de aplicación automáticas o manuales, por lo menos, anualmente y después de cada cambio. | Instala firewalls para tus aplicaciones web, ya que estas plataformas son el blanco más común para los ciberdelincuentes. |
| 6.7) Asegúrese de que las políticas de seguridad y los procedimientos operativos para desarrollar y mantener seguros los sistemas y las aplicaciones estén documentados, implementados y que sean de conocimiento para todas las partes afectadas. | Todo el personal tiene que conocer y respetar las políticas de seguridad documentadas. También, es importante que sigan los procedimientos operativos para asegurar la integridad de la organización. |
Conclusión
En pocas palabras estos dos requisitos te piden contar con protección contra malware y cualquier otro tipo de software malicioso. Un buen antivirus y una buena gestión del mismo te mantendrán a salvo.
De igual manera, no olvides que crear, administrar y documentar tus procesos de seguridad es de suma importancia. Mantén a todos los miembros de tu organización al tanto de los protocolos, capacítalos y documenta cada proceso.
Ya vamos a la mitad de este recorrido. Pronto podrás decir que eres un sensei de PCI DSS, así que, ¡sigue al pendiente de nuestro blog! Estamos aquí para ayudarte ?.
Si tienes alguna duda, en el apartado de contacto puedes escribirnos para contarnos tu caso y tener una asesoría todavía más completa del tema.
