Seguridad vs. Cumplimiento: La bala de plata no existe

soldier_shadow

En diciembre de 2013 la compañía estadounidense Target Inc. sufrió uno de los mayores ciberataques de la historia, con la pérdida de aproximadamente 40 millones de datos de tarjeta de pago y más de 70 millones de direcciones, números de teléfono y otra información personal. Como resultado de este ataque, su CEO fue despedido, su CIO fue remplazado, la reputación de la empresa llegó a niveles mínimos y se estima que el coste global de las acciones correctivas (incluyendo – entre otros – pago de multas, indemnizaciones, soporte legal e investigaciones forenses) se acerca a los 1.000 millones de dólares [1]. Irónicamente, Target certificó su cumplimiento en el estándar PCI DSS (Payment Card Industry Data Security Standard – estándar para la protección de datos de tarjeta de pago) en septiembre de 2013, dos meses antes de sufrir el ataque. Obviamente, este no es el único ejemplo. Neiman Marcus (una tienda por departamentos) también tuvo un incidente de seguridad con 1.1 millón de datos de tarjeta de pago comprometidos, aun cuando la empresa estaba certificada en PCI DSS [2]. Igual suerte tuvo la cadena de tiendas de artesanías y decoración Michaels en Estados Unidos [3], que después de certificarse en PCI DSS tuvo un incidente vinculado con captura de 3,3 millones de datos de tarjetas de pago en sus dispositivos TPV [4].

La conclusión general de este incidente se puede resumir en “el cumplimiento no exime de los riesgos ni hace invulnerable a la organización”. Para aclarar esta frase, es importante diferenciar los conceptos de “seguridad” y “cumplimiento”:

  • Cumplimiento: Acciones que validan que un comportamiento está alineado con las normas establecidas en un momento específico.
  • Seguridad: Estado de exención de peligros, daños o riesgos [5]

Una comparación de estos dos criterios con un escenario de la vida real podría ser el siguiente: Para conducir un coche se requiere superar una serie de pruebas y obtener un certificado (licencia de conducción). La obtención de dicho certificado implica que el candidato a conductor validó sus aptitudes con base en unas reglas previamente establecidas (“normativas”) y que esa licencia se otorgó con base en los resultados obtenidos en un momento determinado (“auditoría”). No se puede garantizar que el conductor siempre tendrá el mismo nivel de destreza en el futuro o que se podrá comportar de forma correcta en situaciones no examinadas (ya que el examen se realiza con base en un “muestreo”). Todo este proceso vendría a ser “cumplimiento”, por lo general validado mediante una auditoría.

No obstante, el hecho de tener esa licencia no asume per se que el conductor nunca vaya a tener un accidente, que pueda conducir otro tipo de vehículo o que realice una conducción temeraria con riesgos que anteriormente no eran asumidos, para lo cual es necesaria la ejecución de acciones adicionales para lograr un estado que permita que las aptitudes evaluadas y las aptitudes actuales se mantengan en un nivel similar o mejores que en el momento de la revisión.

Continuando con el ejemplo de Target, debido a esta confusión de conceptos la organización recayó en una falsa sensación de seguridad al finalizar la auditoría de cumplimiento de PCI DSS, considerando que con el cumplimiento del estándar era más que suficiente, permitiendo la degradación continua de los controles de seguridad desplegados, creando problemas en la comunicación entre áreas y evitando de una validación preventiva a nivel interno [6]. La Dirección conoció los detalles del incidente cuando ya era demasiado tarde. Se había validado el cumplimiento de PCI DSS (al margen de los errores propios que pudo tener esa auditoría) pero olvidaron que las labores de cumplimiento deben ser mantenidas y optimizadas en el tiempo para gestionar de forma correcta el riesgo (ver figura 1).

degradacion_seguridad

Figura 1. Degradación de los niveles de cumplimiento en ausencia de acciones de seguimiento y mejora

¿Cómo lograr que el cumplimiento soporte de forma efectiva la seguridad? El concepto de GRC (Governance, Risk Management, and Compliance) y su aplicabilidad en la organización

Tal como se describió anteriormente, el concepto de Cumplimiento (“Compliance”) soporta a la organización en el alineamiento y validación de controles desprendidos de obligaciones legales, comerciales, financieras, etc. Sin embargo, para que su efectividad se pueda desplegar de forma transversal a toda la organización y se mantenga en el tiempo, es indispensable su integración con otros dos conceptos clave: Gobernanza (“Governance”) y Gestión de riesgo (“Risk Management”).

La gobernanza establece las directivas estratégicas de la organización (gobierno corporativo) que soportan los objetivos, la misión, la visión y las metas a nivel de negocio. Con su correcta ejecución se garantiza que la empresa se focalizará en sus actividades principales, identificando quién tiene la autoridad para tomar decisiones y cuáles serán sus responsabilidades, así como también cómo se evaluará el rendimiento de dichas acciones.

Por otro lado, la gestión de riesgo identifica, analiza, evalúa y monitoriza los activos, sus amenazas y potencial impacto y frecuencia, a la vez que propone acciones para mitigar, transferir, eliminar o asumir el riesgo.

Mediante la interacción continua de estos tres bloques de acciones no estáticas (conocidas como GRC) se logran los siguientes objetivos:

  • Congruencia de los conceptos de confidencialidad, integridad y disponibilidad con las necesidades del negocio y la estrategia corporativa
  • Identificación y gestión proactiva de activos, amenazas, vulnerabilidades, impacto y frecuencia
  • Priorización en la implementación de controles en función del riesgo detectado y la estrategia de la empresa
  • Identificación e implementación de políticas, leyes y regulaciones aplicables a la organización
  • Reporte de resultados para la Dirección con el fin de soportar la toma de decisiones

Cualquier desviación en estas acciones penalizará la seguridad global de la organización (ver figura 2).

Figura 2. Relación entre los bloques de conceptos de GRC

Figura 2. Relación entre los bloques de conceptos de GRC

Conclusión

Para aquellos que aún consideran que el cumplimiento de un estándar, una ley o una política los hace invulnerables ante los ataques, hay malas noticias: No existe la bala de plata.

El cumplimiento por sí solo no garantiza la seguridad. De hecho, muchas veces los cuerpos normativos con los que se alinea el entorno organizacional suelen tener deficiencias de fondo o simplemente la forma en cómo se implementó o se auditó han fallado, dejando a la Dirección expuesta debido a una sensación de falsa seguridad. Por otro lado, el cumplimiento es una “foto fija” del estado de los controles en un momento dado. Debido a la dinámica de los riesgos, este estado de cumplimiento puede no ser el mismo al día siguiente.

Por ello, es clave tener presente que el cumplimiento define los niveles mínimos de seguridad que deben proveer los controles desplegados. No obstante, mediante una integración metodológica con los conceptos de gobernanza y gestión de riesgos (GRC) se puede establecer una estrategia holística, gestionar el riesgo y cumplir con las directivas aplicándolos a las personas, los procesos y la tecnología, que en términos prácticos resultará en lo que llamamos “seguridad”.

Referencias

[1] Target, PCI Auditor Trustwave Sued By Banks. http://www.darkreading.com/risk/compliance/target-pci-auditor-trustwave-sued-by-banks/d/d-id/1127936

[2] Neiman Marcus says ‘complex’ malware defeated its security. http://www.computerworld.com/article/2486859/cybercrime-hacking/neiman-marcus-says–complex–malware-defeated-its-security.html

[3] Michaels Investigates Possible Data Breach. http://www.infosecurity-magazine.com/news/michaels-investigates-possible-data-breach/

[4] RAM SCRAPING: ¿ES SUFICIENTE CON PCI DSS?. http://blog.isecauditors.com/2016/01/ram-scraping-es-suficiente-con-pci-dss.html

[5] ISACA JOnline: “Posición Estratégica Defensiva” en el Campo de Seguridad de la Información. ISACA JOURNAL Volume 6, 2013. http://www.isaca.org/Journal/archives/2013/Volume-6/Pages/JOnline-Defensive-Strategic-Posture-in-the-Field-of-Information-Security-Spanish.aspx

[6] Ventanas rotas (“Broken Windows”): El experimento social aplicado a la seguridad de la información. http://blog.isecauditors.com/2015/04/ventanas-rotas-experimento-social-aplicado-seguridad-informacion.html

NOTA: Este artículo fue inicialmente publicado en el Blog de Internet Security Auditors

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.