Hace algunos días el PCI SSC publicó en su blog corporativo un artículo bastante interesante relacionado con la rotación periódica del asesor o de la empresa QSA (Qualified Security Assessor) encargada de realizar las evaluaciones anuales en aquellas entidades sujetas a una auditoría anual de PCI DSS. Esta es una práctica que muy pocas empresas realizan actualmente – ya que no es un requisito específico del programa de cumplimiento de PCI DSS – pero que debería ser contemplado como una mejor práctica dentro de los lineamientos de contratación debido a las ventajas que añade a las tareas de cumplimiento.

Básicamente, el objetivo es que la empresa que requiere una evaluación de cualquier estándar del PCI SSC (PCI DSS, PA DSS, P2PE, etc.) opte por implementar una política interna que le permita cambiar al asesor QSA que ha realizado auditorías previas o cambiar a la empresa que ofrece este servicio de acuerdo con unos parámetros temporales aceptables. Por ejemplo:

  • Cambios de asesor líder: Un mismo asesor QSA no puede liderar más de X auditorías seguidas en la misma empresa. Esto implica que finalizar este periodo un nuevo asesor QSA de la misma empresa deberá ingresar en el proyecto para liderar las actividades de auditoría.
  • Cambios de empresa QSA (QSAC): Una misma empresa QSA no puede estar contratada por más de X años seguidos para realizar acciones de auditoría.

En cualquiera de los dos casos se podría evaluar si se permite o no que el asesor líder o la empresa QSA anterior puedan participar en otras actividades relacionadas con la implementación y el mantenimiento de la certificación (como formación, ejecución de pruebas de seguridad, etc.).

El mismo criterio también puede aplicar en la empresa que ofrece servicios de QSA de forma proactiva, ofreciendole a sus clientes un programa de características similares.

A continuación se enumerarán las ventajas de este procedimiento como elemento crítico para que una organización lo incorpore dentro de su programa de cumplimiento normativo. Es importante añadir que la aplicabilidad de esta práctica se puede extrapolar a cualquier proveedor de servicios y no solamente a los asesores o empresas QSA.

Ventajas de la rotación del asesor o empresa QSA

  • Identificación de potenciales áreas débiles: Todos los asesores y las empresas QSA deben cumplir con una serie de requerimientos bastante estrictos para poder ejecutar las evaluaciones de cualquiera de los estándares del PCI SSC. No obstante, cada profesional es distinto y puede tener un área de experiencia principal que le permita ahondar en un área más que en otra: gestión de bases de datos, desarrollo de software, operación de sistemas operativos, etc. Con el ingreso de un nuevo profesional al equipo con un área diferente de experiencia, la evaluación de cumplimiento se puede optimizar.
  • Evitar caer en valoraciones preconcebidas: Después de varios ejercicios de auditoría, un asesor QSA podría “predecir” el resultado del cumplimiento de un requerimiento en particular dado su conocimiento del entorno de una empresa y minimizar la exigencia en la evaluación. O, por el contrario, un cliente también podría “predecir” las áreas en las que el QSA hará mayor énfasis en las revisiones, ya que conoce su comportamiento por auditorías anteriores, preparando más unos controles que otros. Para gestionar este inconveniente y garantizar la cobertura global del entorno, la rotación del asesor o de la empresa QSA dará un vuelco al proceso de auditoría con criterios diferentes y no preconcebidos.
  • Distintos puntos de vista con un mismo objetivo: Los controles de cumplimiento de un estándar están definidos explícitamente y su objetivo es que no se presten a interpretaciones subjetivas. Sin embargo, la metodología de evaluación de cada requerimiento varía en función de cada asesor o empresa QSA: la forma de hacer las entrevistas, de obtener la evidencia, de realizar las tareas de observación, de generar los muestreos, etc. Con la combinación de diferentes metodologías con un mismo objetivo (evaluación del cunplimiento) se pueden sacar a relucir puntos débiles de la organización que se pueden potenciar para mejorar los niveles de seguridad globales.
  • Nuevo conocimiento y opciones de mejora: Al margen de las tareas de auditoría, cada profesional QSA lleva su experiencia a las empresas que audita y puede recomendar mejoras o alternativas para la optimización de los controles de cumplimiento. Con el cambio periódico de asesor o de empresa QSA, las aportaciones en términos de experiencia profesional y consejos serán mayores y potencialmente cubrirán otras áreas.

¿Tu empresa implementa esta práctica o es algo nuevo que se debe evaluar? Déjanos tus comentarios aquí o en el foro.