Segurança da Informação blog

OS 12 requerimentos do PCI DSS 1.2

Claudio Oliveira — Thu, 23 Jul 2009 18:40:01 GMT

O Payment Card Industry - Security Standards Council (PCI SSC) apresentou em 01 de Outubro de 2008, a nova versão dos padrões de segurança para a segurança para transações com cartões de crédito.

Esta nova versão é o resultado de dois anos de desenvolvimento e contribuições de diversas empresas do mercado financeiro mundial. Está incluso nesta nova versão, o detalhamento sobre os doze requisitos de segurança para a proteção e segurança das informações do portados do cartão.

Com o grande crescimento das transações de dinheiro de plástico no mundo e no Brasil (entre 2003 a 2008 foi 129% de crescimento de acordo com o BC somente para transações de cartão de crédito), a preocupação em salvaguardar as informações confidenciais dos clientes, bem como, as transações correntes, é cada vez maior, dessa forma a devida adoção desses padrões alem de auxiliar em elevar os níveis de seguranças dessas transações ajuda a garantir a confidencialidade e integridade das informações dos clientes.

Da mesma forma as fraudes quase nunca divulgadas pelas empresas financeiras devem estar crescendo em proporções parecidas. A falta de divulgação pelas empresas financeiras só reforça que a devida adoção dos requerimentos do PCI DSS protege esses ativos.

Para facilitar o entendimento sobre esses requerimentos estarei apresentado cada um deles com explicações básicas:

Construir e manter uma rede segura

Acreditem por tão simples e obvio que essa recomendação pareça mais de 99% dos crimes cibernéticos, ocorrem usando redes desprotegidas, mal configuradas e sem controle sobre as alterações e mudanças (gestão de mudanças).

Requisito 1 - “Instalar e manter uma configuração de firewalls para proteger os dados do portador do cartão”.

Neste requisito deve ser implementado um firewall com configurações de segurança que protejam as redes, implementar DMZ (Zonas Desmilitarizadas), não permitir comunicação entre as redes de Internet e redes protegidas (redes onde contém informações sobre os cartões), implementar NAT para prover acesso aos serviços da rede interna e DMZ e por ultimo manter um firewall pessoal instalado e configurado estações de trabalho que acessam os ambientes de Internet e redes protegidas.

Requisito 2 - “Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança”.

Para este requisito a maior recomendação é alterar as configurações e senhas padrões em softwares e hardwares fornecidos para atender o ambiente tecnológico compreendido. Desabilitar serviços e protocolos desnecessários para o ambiente, bem como, remover e desabilitar usuários padrões e desnecessários.

Proteger os dados do portador do cartão

Proteger as informações é o maior foco de todas as demandas do PCI DSS, desta forma todos os mecanismos estão voltados para garantir a confidencialidade e integridade dessas informações.

Requisito 3 - “Proteger os dados armazenados do portador do cartão”.

Algumas atividades devem ser feitas neste controle, entre elas definir políticas de retenção das informações dos cartões, não armazenar os dados do portador do cartão de forma indiscriminada e desnecessária, para o devido armazenamento utilizar criptografia adequada para o Banco de Dados, não compartilhar as informações do portador do cartão em mídias magnéticas ou de forma indiscriminada, nunca armazene o número do cartão juntamente com o código de segurança, é necessário mascarar os dados do portador do cartão armazenados, entre outros.

Requisito 4 - “Criptografar as transmissões dos dados do portador do cartão em redes abertas e públicas.”

Para as transmissões das informações devem utilizar criptografia forte, para transmissões em redes sem fio (Wireless) deve utilizar as melhores práticas de mercado ex: usar IEEE 802.11i, proibido o uso de chaves Wep, utilizar criptografia forte, etc. Por ultimo nunca envie informações por e-mail, instant messaging, chat sem a devido criptografia e proteção.

Manter um programa de gerenciamento de vulnerabilidades

O famoso Change Management é altamente aplicável, pois o controle dos patch’s de seguranças para os ambientes serão imprescindíveis neste momento.

Requisito 5 - “Utilizar e atualizar regularmente softwares antivírus”.

Este requisito é muito simples, é obrigatório o uso de mecanismo de antivírus ativo e capaz de gerar log’s para os eventos e futuras analises e com engine e assinatura mais recente.

Requisito 6 - “Desenvolver e manter sistemas e aplicativos seguros”.

Para todos os sistemas e aplicativos que foram utilizados diretamente para suportar e auxiliar no funcionamento das transações de cartão de créditos, os mesmos devem ter controle de versão, gestão de atualização (Patch’s de Segurança), prazo máximo de 30 dias para a ultima atualização de segurança implementada, ter um processo de descoberta de vulnerabilidade, desenvolver os sistemas e aplicativos de acordo com as melhores práticas de mercado ao que tange segurança, validação de entradas e mascaras de dados, utilizar criptografia se necessário, guardar em local protegido e seguro o código fonte das aplicações e sistemas, entre outras implementações.

Implementar medidas de controle de acesso rigorosas

É necessário ter uma política de controle de acesso, para garantir que todos os requisitos de segurança relacionados aos acessos dos usuários nos sistemas sejam aplicados, bem como a manutenção desse acesso se faz necessário.

Requisito 7 – “Restringir o acesso aos dados do portador do cartão de acordo com a necessidade de divulgação dos negócios”.

Os acessos aos dados do cartão, deve ser segmentado com perfis de acesso de acordo com a necessidade dos negócios, os acessos devem ser individualizados não permitindo usuários genéricos ou anônimos, políticas de senhas deve ser implementada e mecanismos de segurança para gestão dos acessos devem ser aplicados.

Requisito 8 – “Atribuir um ID exclusivo para cada pessoa que tenha acesso a um computador”.

Cada usuário deve ter seu user-ID exclusivo, com no mínimo dois fator de autenticação (ex: Token, smartcard, biometria ou certificado digital).

Requisito 9 – “Restringir o acesso físico aos dados do portador do cartão”.

Utilize mecanismos de segurança (fechaduras eletrônicas abertas por biometria, smartcard, etc.) para restringir acesso físico aos dados do portador do cartão bem como a monitoração por câmeras CFTV, ter normas e procedimentos para permitir os acessos físicos aos ambientes protegidos, gravar as informações e em local seguro e controlável entre outros controles.

Monitorar e testar as redes regularmente

Um programa de monitoração e testes das redes devem ser implementados e executados regulamentes para garantir a segurança do ambiente tecnológico.

Requisito 10 – “Acompanhar e monitorar todos os acessos com relação aos recursos de rede e dados do portador do cartão”.

Mecanismos de auditoria devem ser implementados para monitorar todos os acessos, deve sincronizar o timezone de todos os sistemas e aplicativos do ambiente tecnológico, utilizar IDS (Intrusion Detection System) é altamente recomendável, reter no mínimo por 3 meses os logs para futuras auditorias se faz necessário, bem como outros controles.

Requisito 11 – “Testar regularmente os sistemas e processos de segurança”.

Executar regularmente Scanners de Vulnerabilidade de Redes internos e externos ou após alguma mudança no ambiente se faz necessário. Para redes wireless deve ser analisadas regularmente e verificadas as conexões presentes e o trafego passado. Testes de Invasão internos e externos devem ser executados uma vez ao ano. IDS (Intrusion Detection System) deve ser utilizado no ambiente tecnológico e monitorado o trafego entre as redes.

Manter uma política de segurança das informações

Criar e manter uma política atuante se faz necessário para atender todos os controles apresentados anteriormente, assim garantindo que todos os processos com normas claras e objetivas atendam as demandas de segurança de proteção dos dados do portador do cartão.

Requisito 12 – “Manter uma política que aborda a segurança das informações.”

Deve existir uma política estabilizada, publicada, disseminada, atualizada que atenda todos os requerimentos do PCI DSS. A sua atualização deve ser feita anualmente pelo comitê gestor da empresa e a atualização deve atender todas as atualizações de software e hardware do ambiente tecnológico e físico.

Fica claro que todas as explicações apresentadas aqui é uma pequena parte do que realmente são os doze requerimentos do PCI DSS, desta forma o objetivo é alinhar o conhecimento de todos os profissionais que de alguma forma necessita seguir esse conjunto de regras.

A aplicabilidade desses requisitos pode e deve ser utilizados não somente para atender a proteção das informações do portador do cartão, mas sim elevar o nível de segurança de todas as redes, sistemas e programas das empresas e negócios.

Miopia dos Gestores de Segurança.

Claudio Oliveira — Thu, 16 Jul 2009 13:36:29 GMT

Após anos de experiência na área de Tecnologia e Segurança da Informação, vejo cada vez mais o que podemos chamar de falsa sensação de segurança, isto é os gestores de segurança desconhecem seus problemas e riscos ao negocio.

O desconhecido coloca os gestores em uma zona de conforto onde eles acreditam que os controles e tecnologias aplicadas, estão a contento para suportar e assegurar os negócios das empresas.

Sempre que é executado um levantamento de Gaps de segurança ou uma avaliação de segurança, podemos encontrar diversos riscos desconhecidos pelo gestor, isto ocorre pelo fato que muitos destes riscos nunca foram enumerados ou tratados pelas políticas e normas de seguranças das empresas ou até mesmo essas empresas não têm políticas ou diretrizes para tratá-las.

Ao final dessas atividades grande relatórios são gerados e entregues aos gestores, com diversos riscos que na sua maioria nem sempre são compreendidos por eles, problemas que antes nunca fora observado ou detalhes importantes que ficaram em uma área nebulosa das empresas, aparecem com uma intensidade grandiosa gerando muita preocupação e desconfiança.

Lembro-me que uma vez em uma reunião de apresentação do relatório após um Assessment (Avaliação de Segurança) , o gestor me questionava se todos os riscos apresentados no relatório eram “realmente tangíveis”, o que me deixou extremamente preocupado, pois este gestor estava mais preocupado em diminuir em números os riscos apresentados (pois o relatório seria replicado para sua matriz), do que realmente entender qual era o grau de severidade e gravidade dos mesmos.

Comecei a compreender esse comportamento de uma forma mais racional, pois estava tirando esse gestor de sua zona de conforto, colocando ele em uma posição extremamente delicada, exigindo um planejamento estratégico emergencial de curto, médio e longo prazo.

Para este caso acompanhei todo o processo de levantamento e implantação das correções, pude verificar que o foco do gestor nem sempre era da solução imediata do problema e sim criar um ambiente onde seria possível responder para sua matriz que o problema foi mitigado, não o suficiente para proteger o negócio da empresa e sim gerar um relatório com um Ok para os controles.

Ficou claro que muitas das correções de médio e longo prazo, demandava investimentos, muitos desses não provisionados para o período fiscal e a outra parte a serem aprovados, pelo executivo patrocinador ou comitê gestor de finanças da empresa. Porém parte desses investimentos nunca seria aprovada. Foi recomendado ao gestor de Segurança partilhar a gestão do risco com os mesmos executivos que aprovam o orçamento, pois garantir a segurança dos negócios é responsabilidade de todos os gestores das empresas e não somente o Gestor de Segurança da Informação.

Casos como este é cada vez mais comum no mundo corporativo, os gestores necessitam avaliar com mais freqüência e reconhecer os riscos e ameaças sobre seus negócios. Determinar o tratamento preventivo e corretivo, com forças tarefas mais focadas, elevará a eficácia, eficiência e diminuirá os custos envolvidos para manter os níveis de segurança em patamares aceitáveis.

Criptografia é Necessário?

Claudio Oliveira — Tue, 14 Jul 2009 19:48:21 GMT

Devo usar ou não criptografia? Realmente é necessário? Meus investimentos serão protegidos com a criptografia? Meus negócios estão protegidos com criptografia?

Questionamentos iguais a este, entre outros diariamente são feitos pelos os gestores de TI.

Na verdade atualmente estou ouvindo com freqüência que a criptografia irá resolver todos os problemas de segurança das organizações modernas, facilitando a troca de informações de forma segura e o seu devido armazenamento.

Analisando mais a fundo essas questões, consegui verificar que a aplicação da criptografia está ocorrendo de forma indiscriminada sem a devida análise dos riscos e benefícios que ela traz.

Há pouco tempo atrás, entrei em um site do Governo Federal onde precisava de informações financeiras do Governo de caráter público, onde por minha surpresa encontrei um certificado digital criptografando a pagina com SSL, porém vencido. Sua função básica de proteger as informações estava ocorrendo, apesar de vencido, porém as informações no site em questão eram informações publicas, isto é, qual era a necessidade de proteger o trafego dessas informações uma vez que elas eram públicas?

Outro caso que verifiquei foi em um site de FTP de uma grande empresa, recebi o endereço, usuário e senha para este acesso, porém as informações eram classificadas como criticas e de grande importância para empresa em questão, parte da senha era nome da empresa e o trafego das informações não utilizava nenhum tipo de criptografia.

Exatamente sobre essa utilização ou falta dela que estou falando, muitas vezes avaliar e classificar as informações é o primeiro passo e o mais importante para pensarmos em criptografia, antes mesmo do que a própria tecnologia adotada para proteger os dados.

Definir a tecnologia o tamanho da chave e juntamente com o algoritmo a ser utilizado é o segundo passo deste processo, na imagem abaixo apresento algumas tecnologias, com suas chaves, tipo de algoritmo utilizado e informações adicionais:

Como podemos observar na imagem amostra, temos várias chaves e algoritmos distintos a seu uso e aplicação. O tamanho da chave é extremamente importante para definir o desempenho da aplicação, pois não adiantar selecionar chaves gigantescas que possam inviabilizar a funcionalidade da aplicação ou sistema.

Definir o tipo da chave simétrica ou assimétrica ajuda a direcionar o seu correto uso e por sua vez maior nível de segurança para as aplicações ou dados a serem protegidos. Por exemplo, as chaves assimétricas são utilizadas em par, mais comuns em criptografia de mensagem e arquivos trafegados em redes públicas.

O grande ponto sobre este assunto é antes de decidir o que irei utilizar, o quanto irei gastar e qual a velocidade eu preciso para que minha aplicação ou sistema funcionem, um estudo preliminar será necessário para balizar todos esses itens com inteligência e racionalidade, a fim de obter um equilíbrio entre a segurança, desempenho e investimento.

Recomendamos sempre utilizar a criptografia quando as informações trafegadas ou armazenadas forem classificadas adequadamente e exigirem algum nível de proteção, isto é, caso ocorra um vazamento dessas informações uma perda financeira poderá ocorrer, se isso for verdade a criptografia deve ser utilizada com certeza.

PCI DSS Check-list versus metodologia.

Claudio Oliveira — Wed, 08 Jul 2009 13:29:23 GMT

Quando surgem novas exigências legais que as empresas devem atender (SOX, PCI, Basiléia, etc...), começa uma nova fase nessas empresas.

Uma fase de profundas mudanças que mexem diretamente no dia a dia de toda empresa e muito mais na rotina de todos os colaboradores, parceiros e fornecedores envolvidos direta ou indiretamente com essas demandas.

Essas mudanças estão sempre acompanhadas de novos processos a serem seguidos e de grandes mudanças de comportamento, dessa forma, surgem os primeiros paradigmas corporativos. Vamos criar procedimentos e processos a serem seguidos, ou melhor, trabalhar na cultura coorporativa, isto é, enraizar as mudanças de forma cultural e racional a fim que todos sigam estes processos e procedimentos de forma mais natural e racional.

Conseguimos verificar nas empresas que todas essas mudanças vêm sempre acompanhadas de uma grande imposição para ser seguidas, ou melhor, a técnica do medo. Se tivermos algum issue ou não conformidade e empresa será punida com perda financeira ou problemas com a imagem coorporativa.

Grandes check-lists são criados para cada área e são cobrados a ferro e fogo pelas áreas de Auditoria ou Segurança de Informação, gerando assim demandas sazonais onde os check-lists são usados somente próximos das datas de auditoria e evidencias são geradas somente para atender exigências da auditoria, a fim de conseguir atender as demandas legais.

Empresas de consultoria na sua maioria vendem seus projetos baseados em horas/homens, isto é, quanto custa disponibilizar meus consultores em X horas para o projeto Y, e dessa forma constroem o seu valor versus o que será entregue para o cliente no final desse tipo de projeto. Dessa forma é criado o que chamo de “menor esforço pelo menor custo possível”. Dessa forma, distorções relacionadas à qualidade e controles são enormes.

Para o PCI Security Standards Council os 12 requerimentos básicos de segurança devem ser seguidos, assim algumas empresas rapidamente criam grandes check-lists e começam aplicá-los sem avaliar alguns pontos muitos importantes como: Cultura Organizacional, infra-estrutura Tecnológica existente, mercado de atuação da empresa, conhecimento técnico dos colaboradores, fornecedores e parceiros da empresa.

Sem essa avaliação prévia desses itens, seguir o check-list será um caminho muito mais árduo e gerador de conflitos altamente destrutivos, com controles temporários (controles que serão seguidos somente nos períodos de auditoria) e falhas de processos, pois são processos e controles totalmente impositivos sem uma razão racional para serem aplicados.

A empresa Tevora South America, por exemplo, utiliza uma metodologia que antes de implementar ou adequar qualquer novo controle em uma empresa, um estudo complementar deve ser elaborado para verificar possíveis distorções processuais ou de infra-estrutura, isto é, verificar possíveis falhas e gaps que possam ocorrer na implementação desses controles ou processos.

Essa abordagem minimiza futuros problemas com auditorias, pois implementar mudanças exige muito mais que simplesmente só comunicar aos envolvidos. Buscamos envolver toda a empresa, parceiros e fornecedores nesse processo de mudança e adequação, de forma que todos auxiliem na obtenção e sucesso da certificação exigida. O check list deve ser uma ferramenta para auxiliar na implementação dessa metodologia e não o produto final de PCI.

Obter um melhor entendimento do ambiente de negócios e tecnológico da empresa ajuda o consultor trazer um valor agregado aos negócios, melhorando a alocação dos recursos.

Uma correta abordagem nos processos de mudanças trará mais eficiência aos resultados, e serão mais aceitos por todos envolvidos nessa cadeia. A certificação vira uma conseqüência como resultado final e não a obsessão irracional que geram grande desgaste e insatisfação.

O avanço da Fraude no Brasil e no mundo

Daniel De Carvalho — Tue, 07 Jul 2009 21:18:03 GMT

A fraude não é um problema novo, desde a criação da economia, se conhece o termo “golpista”, que nada mais é do que pessoas que se aproveitavam da ingenuidade e falhas de outros e em uma manobra desleal, utilizando-se de meios ilícitos, deferem um golpe, cujo objetivo é enganar e ludibriar o próximo. Analisando a nossa própria história, vemos indícios de técnicas de fraudes datados de 429 A.C. Xenofonte, um estrategista grego, usava em suas táticas de guerra: a fraude, e com ela, se aproveitava da ingenuidade de seus inimigos. Em 1920 vemos surgir indícios de umas das maiores fraudes ocorridas no mundo, e que se estende até os dias atuais, que é o famoso Esquema Ponzi (conhecido também como o esquema da Pirâmide), em que temos no caso Madoff nosso mais recente caso. O ser humano não aprende com os erros, pois se assim o fizesse, a Humanidade seria poupada de várias guerras, como as ocorridas ao longo de sua História. Com o avanço da tecnologia, também avançaram os meios e métodos usados pelos fraudadores de disseminar os seus atos ao redor do mundo. Os golpes tomaram proporções globais, e são muito mais convincentes e elaborados do que os praticados outrora, apesar de manter o mesmo fim, lesar e enganar pessoas. O motivo pela qual a fraude é tão eficaz reside em uma característica intrínseca, presente na maioria dos indivíduos: a ganância. A ganância é um dos maiores alavancadores da fraude. A necessidade que o homem tem de sempre querer mais, acaba tornando-o vulnerável a este tipo de golpe. A ganância se alia a outro fator chave, a ignorância (“não no sentido do estado social no qual a instrução, a cultura é extremamente precária, mas no sentido da ingenuidade excessiva; inocência, estado daquele que ignora algo”). Nas maiorias dos casos, é difícil estereotipar um fraudador. Estudos recentes mostram que 60% das fraudes são executadas por funcionários internos. Entretanto a fraude não é nenhum bicho de sete cabeças, como muitos podem achar. Na verdade a fraude nasce da falta de controles de segurança nos processos de negócio das empresas. É importante notar que a fraude não se limita ao setor financeiro, na verdade ela está presente em quase todos os segmentos da indústria bem como no nosso cotidiano. Infelizmente não existe maneira de erradicar a fraude totalmente, visto que ela tem que ser vista como um risco operacional, aquele que sempre existiu, continua existindo, e sempre existirá. A maneira mais eficaz para se lidar com a fraude é a prevenção. A fraude deve ser vista como qualquer outro risco, podendo ser: Mitigado (a fim de reduzir a fraude a um nível tolerável), Transferido (via seguro ou outros acordos terceiros) ou também Aceitado (quando o valor da ação preventiva anti-fraude excede o valor do ativo). No decorrer desses anos, onde trabalho como analista de segurança e fraude, creio que o melhor meio para combatê-la é através de uma análise da segurança das operações, bem como uma análise baseada em risco dos processos de negócio existentes em transações comerciais. Ao contrário do que muitos dizem que a segurança não é um software ou appliance, segurança é, de fato, um processo, e um processo diário. Tomemos um exemplo:, férias obrigatórias:. Por mais incrível que possa parecer, as férias obrigatórias funcionam como um controle, um processo que ajuda a identificar e prevenir atos fraudulentos dentro de um setor. Como? Um funcionário irá “assumir” as operações do indivíduo que saiu de férias, correto? Logo este outro funcionário poderá detectar artimanhas para ludibriar;, fraudar, ou até mesmo embustes nos processos operacionais comandados pelo funcionário ausente. Entretanto para que isso ocorra, são necessários processos sólidos de relatos Anti- Fraude bem como campanhas de conscientização Anti-Fraude. Assim como nossos documentos são os elementos que usamos para nossa identificação. Eles também são alvos de constantes atividades fraudulentas. O processo de validação de autenticidade de documentos é primordial no combate a fraude. No Brasil, o RG (Registro geral do individuo – identidade) e o CPF (Cadastro de pessoa física) são os documentos mais fraudados no mercado, seguido do passaporte. Tanto o RG quanto o CPF possuem controles de segurança muitas vezes ignorados e esquecidos. Por exemplo: Todos os documentos possuem o nome do diretor responsável pela expedição da cédula, e a data de sua expedição. Quando estas informações são cruzadas, as inconsistências podem ajudar a alertar que o documento pode ser fraudulento. Todas estas informações são publicadas pelo governo, e estão disponíveis a qualquer indivíduo. As técnicas e normas Anti-Fraude muitas vezes compartilham controles com outras normas e padrões da indústria, tais como: PCI (medidas de Proteção de Dados de Cartões de Créditos), AML (Medidas Anti-Lavagem de dinheiro) entre várias outras normas e boas práticas da segurança da informação. Isto sugere que, alcançar este nível de conformidade não esteja tão distante quanto se imagina. A globalização da economia, a velocidade da disseminação da informação e o crescente avanço tecnológico fazem da fraude um risco eminente para qualquer empresa. Nesta hora resta apenas uma pergunta: A sua empresa está Segura?