Uno de los principales problemas en el área del cumplimiento normativo en ciberseguridad (cybersecurity compliance) es el desconocimiento de los riesgos y de los controles técnicos que se deben implementar por parte de las entidades afectadas. Y este problema se maximiza cuando el objeto del negocio de dichas entidades no está relacionado con ciberseguridad.

El ejemplo más claro es el cumplimiento con PCI DSS: Este estándar se aplica a todas las entidades que participan en el procesamiento de tarjetas de pago, tales como comerciantes, procesadores, adquirentes, emisores y proveedores de servicios. Dentro de la categoría de «comerciantes» se incluyen hoteles, restaurantes, supermercados, bares, etc. que usan datos de tarjetas para su operación normal. Debido a que el personal de dichas entidades por lo general no tiene el nivel de conocimiento técnico que les permita implementar correctamente una solución de cortafuegos (firewall), configurar un antivirus, acceder al entorno remotamente de forma segura o usar técnicas de cifrado como lo exige el estándar, lo que se obtiene es que la entidad afectada implemente estos controles de forma incorrecta (generando una sensación de falsa seguridad) o, incluso, que ni siquiera despliegue un control técnico, asumiendo el potencial riesgo derivado de un incidente de seguridad con datos de tarjetas de pago.

Debido a ello, la formación y la concienciación en ciberseguridad son elementos clave. Si la entidad afectada es plenamente consciente de los riesgos que asume y de los controles que debe implementar para gestionarlos (al margen de su nivel de conocimiento técnico) su nivel de seguridad se optimizará. Para esto, es importante usar terminología sencilla, ejemplos cotidianos, analogías, metáforas, etc. que permitan el aprendizaje de conceptos complejos a personal sin experiencia.

Por ello, el PCI Security Standards Council (PCI SSC), con el apoyo de la Small Merchant Taskforce, viene publicando desde hace varios años diferentes recursos formativos para pequeñas y medianas empresas, entre los cuales se destacan:

Adicional a estos recursos, el PCI SSC ha publicado una serie de artículos en su blog corporativo denominada «Back to Basics«, que describe en términos generales los controles básicos de seguridad que deben ser tenidos en cuenta para la protección de los datos de tarjetas de pago.

Esta serie está compuesta por ocho artículos:

Desde PCI Hispano invitamos a todos nuestros lectores a visitar estos recursos formativos como parte de su formación antes, durante y después de la implementación de controles de protección de datos de tarjetas de pago con base en el estándar PCI DSS. Es importante no olvidar que «El cumplimiento normativo por sí solo no garantiza la seguridad».


David Acosta

Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS, TSP y PIN.
CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.