David E. Acosta

Protección de datos de tarjetas de pago en transacciones presenciales: cómo usar PCI PIN y PCI P2PE para establecer un ecosistema de pagos seguro

Revista SIC 138 (Spain) | February 2020

“… Desde los orígenes de las tarjetas de pago (crédito y débito) a mediados del siglo XX, la necesidad de protección contra las diferentes formas de fraude ha sido un elemento clave para garantizar la legitimidad y la confianza necesarias para la aceptación social de este mecanismo de pago. Sin embargo, a pesar de los cambios tecnológicos actuales, el modelo de pago con tarjetas se ha quedado obsoleto en términos de seguridad y expuesto a múltiples riesgos. Es precisamente aquí cuando es necesario estandarizar controles específicos para la protección de estos datos en transacciones presenciales empleando técnicas de seguridad modernas…”

Categorización funcional de los diferentes tipos de controles de seguridad y su aplicabilidad en la estrategia de protección corporativa

Revista SIC 130 (Spain) | June 2018

“… Con el objetivo de establecer una estrategia para la gestión de los potenciales riesgos en términos de confidencialidad, integridad y disponibilidad en un entorno de tecnología de la información (TI) –identificados mediante la ejecución metodológica de un análisis de riesgos– es necesario proceder con el despliegue de una serie de medidas coordinadas a lo largo del tiempo. Dichas medidas se conocen como “controles de seguridad” y están orientadas al mantenimiento del riesgo dentro de unos umbrales aceptables para la organización. En este artículo se describirán las diferentes categorías de controles de seguridad, su aplicabilidad y la asignación de responsabilidades para su gestión…”

ISO/IEC 29100:2011: Una introducción al marco de trabajo de privacidad para la protección de información de identificación personal (PII)

Revista SIC 124 (Spain) | April 2017

“… Con la adopción del Reglamento General de Protección de Datos (Regulación de la Unión Europea 2016/679) y los acontecimientos más recientes vinculados con exfiltración de datos personales (incluyendo la información publicada de forma no autorizada de 49,6 millones de ciudadanos turcos y 93,4 millones de ciudadanos mexicanos, sin contar el robo de información de 37 millones de usuarios del sitio de citas para adultos “Ashley Madison”, por solo nombrar algunos ejemplos) se hace cada vez más necesaria la implementación organizacional de un marco de trabajo para la protección de la información de identificación personal (Personally Identifiable Information – PII) que defina los roles y responsabilidades de todos los actores involucrados dentro del ciclo de vida de este tipo de datos.
En este artículo se analizará el estándar ISO/IEC 29100:2011 y otras propuestas previas similares que pueden servir como referencia para la definición de una estrategia para la protección de la privacidad en la organización…”

ISACA JOnline: Vulnerando la política de seguridad de la información por diversión y dinero

ISACA Journal, Volumen 1, 2017

“… Con base en la información gestionada por la organización, en la política de seguridad se deben definir los requisitos y controles para la protección de los diferentes activos de acuerdo con su criticidad. Y es precisamente en ese punto en el cual la redacción de una política es un factor clave, ya que dependiendo de la forma como se expresen dichos controles puede tener fallos por ser “demasiado laxa” o “demasiado restrictiva”. Dichas vulnerabilidades pueden ser objetivo de burocracia abusiva por parte de personal malicioso a través de una “huelga de celo”, en donde se sigue de forma estricta lo descrito en los procedimientos. Si la política no está actualizada, no está alineada con la realidad operativa de la organización y no permite la gestión de excepciones, el impacto de este tipo de huelgas o acciones de sabotaje puede tener graves efectos en la gestión de la seguridad de la información en la empresa….”

Amazon y PCI DSS: guía práctica para alinear AWS en un entorno de datos de tarjeta de pago

Revista SIC 121 (Spain) | September 2016

“… Cuando por consideraciones técnicas o administrativas se opta por delegar la gestión de ciertos componentes o de la totalidad de la infraestructura informática de la organización a un tercero, es imprescindible garantizar que los niveles de seguridad que dicho tercero aplicará serán iguales o mejores a los que la propia organización mantiene. Adicionalmente, si el entorno delegado debe cumplir con requerimientos legales o estándares de la industria, la responsabilidad de parte y parte debe quedar claramente estipulada en términos contractuales. Este es el caso de los servicios de Amazon en la nube (Amazon AWS) y el cumplimiento de PCI DSS. A pesar que el proveedor (CSP) ofrece una gran cantidad de servicios para configurar la infraestructura de forma segura, es finalmente el cliente el responsable de la seguridad de los datos y de la configuración de los servicios que se ejecutan sobre la capa provista por Amazon. Por otro lado, la complejidad en el despliegue de una solución de estas características implica un alto conocimiento tanto de la plataforma del CSP como de la aplicación de los controles de PCI DSS. Finalmente, en este artículo se ha plasmado el despliegue técnico de controles empleando las funcionalidades provistas por un CSP como Amazon…”

ISACA JOnline: “La ataraxia y la premeditación como elementos de juicio en el proceso de análisis de riesgos”

ISACA Journal Volumen 2, 2016

“… El objetivo detrás de este artículo es el de cambiar el típico cliché post-percance en el cual se asume que “las desgracias son oportunidades” y en vez de ello prepararse de forma metodológica con las herramientas correctas empleando una perspectiva realista y objetiva sin caer en un pesimismo u optimismo injustificado en la gestión de la incertidumbre asociada a los riesgos. Un correcto ejercicio mental en el cual se visualicen los riesgos excluyendo al máximo cualquier emoción proveniente del subjetivismo del individuo que realiza el proceso permitirá ofrecer a la organización un abanico de alternativas para una adecuada elección de estrategias, equilibrando el “efecto placebo” del pensamiento positivista y el “pesimismo excesivo” del estoicismo…”

RAM Scraping: ¿es suficiente con PCI DSS?

Revista SIC 117 (Spain) | November 2015

“… Con la masificación del malware para TPV (POS) y los incidentes de robo de datos de tarjetas de pago en Target y en las cadenas de hoteles Hilton y Trump (por solo citar algunos), uno de los primeros interrogantes que se plantean en una organización es cómo gestionar el impacto de este código malicioso para evitar la fuga masiva de datos. La respuesta más obvia sería la implementación de los controles de PCI DSS (Payment Card Industry Data Security Standard), pero aun así pueden quedar algunos elementos descubiertos, razón por la cual es indispensable complementar dichos controles con tecnologías adicionales. …”

Also published in Internet Security Auditors’ blog

Reseña: ¿El Internet de las Cosas (IoT) es seguro?

Revista Empresario Emprendedor (Colombia), ISSN 2027-0046, Edición 22, 2014, pág. 26 | February 2014

“… El IoT está basado en tecnologías existentes que no están exentas de vulnerabilidades. La integración e interconexión de todos estos elementos conlleva a una sumatoria de riesgos que simplemente cambiarán el escenario de ataque pero los conceptos de amenaza y vulnerabilidad seguirán siendo los mismos, afectando – como siempre – la confidencialidad, la integridad y la disponibilidad …”

ISACA JOnline: “Posición Estratégica Defensiva” en el Campo de Seguridad de la Información

ISACA JOURNAL Volume 6, 2013

“… Mucho tiempo lleva hablándose de la aplicabilidad de los pensamientos militares en el ámbito de la seguridad de la información. Desde las teorías de Sun Tzu, pasando por la doctrina militar de Clausewitz, se han equiparado los conceptos militares de estrategia, operación y táctica con las actividades propias de la protección y gestión de riesgos de la información. Igualmente, estos conceptos han sido aplicados de forma efectiva en áreas tan diversas como la política, el mercadeo, la estrategia empresarial y en cualquier escenario donde se presente la necesidad de obtener ventaja entre actores con intereses enfrentados…”

Version online: http://www.isaca.org/Journal/archives/2013/Volume-6/Pages/JOnline-Defensive-Strategic-Posture-in-the-Field-of-Information-Security-Spanish.aspx

Uso de tácticas de interrogación militar en una entrevista de auditoría interna

Auditoría interna: publicación periódica del Instituto de Auditores Internos de España (Spain), ISSN 1137-3911, Año 28, Nº. 101, 2012, págs. 22-24 | September 2012

Artículo publicado en la revista del Instituto de Auditores Internos que presenta como pueden aplicarse técnicas de interrogación que han sido ampliamente desarrolladas en el ámbito militar enfocadas a la recolección de información útil, fiable y de la forma más rápida posible en entrevistas en una auditoría.

Procedimientos en el lugar de los hechos: el “primero en responder” en la informática forense

Auditoría interna: publicación periódica del Instituto de Auditores Internos de España (Spain), ISSN 1137-3911, Año 27, Nº. 98, 2011, págs. 14-16 | September 2011

Artículo publicado en la revista del Instituto de Auditores Internos que describe, de forma general, la figura del primero en responder (“first responder” en inglés) como elemento clave para desencadenar todo el procedimiento de respuesta a incidentes en una organización y su papel fundamental en la gestión de la cadena de custodia.

¿Por qué más es menos?: la paradoja de la insatisfacción en riesgos

Revista SIC 98 (Spain) | February 2012

“… La teoría de la homeóstasis del riesgo (RHT) nos recuerda la importancia del factor subjetivo del individuo en el proceso de toma de riesgos en sus actividades diarias. La comparación recurrente de los umbrales de actuación frente al riesgo y los beneficios o problemas que esto pueda acarrear, permiten modificar el comportamiento conductual hacia una tendencia arriesgada o precavida. Dependiendo de estos valores, el ingreso de nuevos controles orientados a minimizar el riesgo podrían ser anulados en el tiempo debido a la confianza que dicho control agrega a la ecuación, abriendo la puerta a actitudes arriesgadas que inicialmente no se tomarían…”

Fundamentos de tokenización y aplicación en el cumplimiento de PCI DSS

Revista Red Seguridad (Spain), Nº. 49, 2010, ISSN 1695-3991 – págs. 88-94 | November 2010

“… En este artículo se enfocará el análisis en el concepto de “tokenización” o uso de “tokens”: valores únicos asociados a datos confidenciales que son empleados como reemplazo de estos últimos, con la característica diferencial que el token no permite inferir el dato confidencial con el que se relaciona, minimizando de esta manera el riesgo de almacenamiento inseguro y la necesidad de implementación de controles asociados a datos confidenciales, ya que el token en sí no es catalogado como un dato confidencial…”

Gestión de eventos y monitoreo en el estándar PCI DSS

Revista Sistemas ACIS # 110: Evolución y Monitoreo de la Inseguridad Informática (Colombia) | June 2009

“… PCI DSS fue creado para proteger la confidencialidad, integridad y trazabilidad de los datos relacionados con tarjetas de pago. De allí, la importancia en contar con una buena gestión de eventos y registros que permita prevenir, detectar, contener, corregir y evaluar cualquier amenaza que afecte a dicha información y soporte cualquier proceso investigativo y/o actividad legal posterior a un incidente…”