PAM para cumplir con la normativa PCI-DSS

Más de un cuarto de todos los ciberataques que se producen tienen como objetivo los sistemas financieros, convirtiendo a este sector en el más afectado por los delitos cibernéticos. En este 2019, desde Capital One o Desjardins hasta First American Financial, Westpac e incluso la Agencia Tributaria Nacional de Bulgaria han sido víctimas de ataques exitosos, y no parece que estos ciberdelitos vayan a disminuir.

Los sistemas financieros son uno de los blancos preferidos de los hackers debido a que conllevan muchos beneficios y entrañan pocos riesgos. Parte de los beneficios de estos ciberataques es la información vinculada a cuentas y los números de tarjetas de crédito, que pueden ser revendidos en el mercado negro o usados directamente. ¿Y los riesgos? Póngase a pensar por un momento en cuántos ciberataques han tenido éxito en los últimos seis meses y cuántas detenciones de cibercriminales se han producido en el mismo periodo de tiempo. Ahí tiene la respuesta.

Pero claro está, cuantos más beneficios obtengan los hackers más daños sufrirán las víctimas. Para una empresa promedio, el coste asociado a un ciberataque exitoso es de 13 millones de dólares, una cifra demoledora. No obstante, más devastadoras son las consecuencias para las víctimas individuales que ven sus cuentas vaciadas, el dinero de sus tarjetas de crédito gastado y su solvencia bancaria arruinada.

Sin duda, las empresas son las responsables de garantizar que su infraestructura es segura, pero esta tarea puede suponer todo un reto dado la cantidad de sistemas (cajeros automáticos, bases de datos, mainframes, etc.) que tienen que interactuar en tiempo real y el número de administradores y personal TI que debe disponer de acceso privilegiado para asegurar la ejecución correcta de estos sistemas. Además, las organizaciones de todos los sectores tienen que cumplir con unas normas que buscan aplicar un nivel mínimo de seguridad para los datos financieros de los individuos. Por un lado, la normativa PCI-DSS ayuda a garantizar la seguridad de los sistemas y, por otro, la Gestión del Acceso Privilegiado (PAM) ayuda a cumplir con muchas de las normas del PCI-DSS.

Cómo la Gestión del Acceso Privilegiado cumple con la PCI-DSS

  • Norma: No utilizar valores predeterminados proporcionados por el proveedor para las contraseñas de sistema y otros parámetros de seguridad.
    Las soluciones PAM fuertes poseen controles de gestión de contraseñas integrados, lo que permite la creación de reglas y su aplicación (p. ej., las contraseñas por defecto se deben cambiar), así como la rotación forzosa de claves y contraseñas. Es necesario que una solución fuerte aplique estos controles no solo para los usuarios humanos, sino para claves y contraseñas entre aplicaciones.
  • Norma: Restringir el acceso a los datos del titular de la tarjeta, por necesidad de conocimiento del negocio.
    En pocas palabras, los datos del titular de una tarjeta constituyen información privilegiada a la que tan solo debería poder acceder aquellos usuarios con privilegios apropiados. Por su puesto, garantizar que tan solo los usuarios adecuados acceden a los recursos sensibles es parte de la esencia de PAM. Las soluciones fuertes de PAM no solo cumplen con esta norma del PCI-DSS, sino que además se aseguran de que a los usuarios se les otorga los privilegios adecuados y que las circunstancias de su intento de acceso son conformes a unas reglas definidas.
  • Norma: Realizar el seguimiento y supervisar todo el acceso a los recursos de red y a los datos del titular de la tarjeta.
    Una de las funciones de PAM es conocer no solo quién sino el qué y el cuándo, ayudando a cumplir con la normativa PCI-DSS al monitorear y grabar toda la actividad de sesiones. Es más, las mejores soluciones PAM van más allá de las normas incluidas en la PCI-DSS al tener la capacidad de terminar automáticamente las sesiones que intenten un acceso no autorizado o acciones que puedan poner en riesgo los datos de los titulares de las tarjetas y otros recursos privilegiados.
  • Norma: Facilitar el acceso remoto seguro.
    De nuevo, una solución PAM completa cumple con este requisito gracias a su capacidad para controlar el acceso privilegiado por usuario y circunstancia o de definir no sólo a qué recursos críticos puede acceder un usuario, sino también las ubicaciones remotas (o direcciones IP) desde las que se permite dicho acceso privilegiado.

Está claro que la normativa PCI-DSS completa es larga y trata muchos más aspectos sobre la seguridad de las tarjetas de pago de las que PAM puede abordar. Sin embargo, las soluciones sólidas de PAM contribuyen en gran medida a hacer frente a muchos de los requisitos clave de la norma PCI-DSS, no sólo para ayudar a su cumplimiento, sino también para que los equipos de ciberseguridad logren realmente el objetivo de la norma: una ciberseguridad más sólida que protege mejor los datos sensibles de los titulares de las tarjetas de pago.