improvement600

El círculo de Deming  (conocido también como “ciclo de Deming”, “ciclo de Shewhart”, “círculo PDCA (Plan-Do-Check-Act)”, círculo PHVA (Planificar-Hacer-Verificar-Actuar)” o “espiral de mejora contínua”) es una estrategia general empleada ampliamente en Sistemas de Gestión de Calidad (SGC) tales como ISO-9000 (calidad), ISO-14000 (medio ambiente), OHSAS 18000 (salud y seguridad ocupacional) e ISO-22000 (gestión de inocuidad de alimentos). Está basado en 4 pasos básicos: Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar) que fueron ideados por Walter A. Shewhart y complementados más tarde por William Edwards Deming, quienes lo emplearon en el desarrollo del concepto de “calidad total” y cuyo éxito inicial se observó durante la reconstrucción del sector industrial de Japón posterior a la Segunda Guerra Mundial.

A pesar de ser un concepto originalmente orientado a la optimización de procesos industriales, su clave está en la sencillez para la obtención de resultados de calidad mediante una aplicación de pasos iterativos que pueden ser aplicados a cualquier entorno, indiferente de su contexto, siempre y cuando exista un proceso repetitivo previo a la consecución de un objetivo específico.  El área de seguridad de la información no se ha mantenido al margen de este concepto, encontrándose presente en los estándares ISO/IEC 27001:2005 (usado para el establecimiento de un Sistema de Gestión de la Seguridad de la Información (SGSI)) , BS 25999 e ISO 22301:2012, entre otros.

En este  artículo se describirá de forma general un modelo de implantación y adopción del círculo de Deming (PDCA) en el proceso de mejora contínua para un entorno PCI DSS en el cual se requiere de una planificación y preparación previa, la ejecución de las acciones identificadas (implementación de controles y requerimientos del estándar), la validación de la efectividad y eficacia de dichos resultados (realización de una auditoría o de un ejercicio de autoevaluación) y un aprendizaje contínuo dentro de un ciclo anual (coincidiendo con los periodos definidos por el PCI SSC para la realización de auditorías y/o reporte de cumplimiento).  La idea detrás del uso de esta metodología es la de definir una estrategia que permita mantener y optimizar en cada iteración los niveles de seguridad de la información requeridos por el estándar a lo largo del tiempo.

En las siguientes descripciones se presentarán dos escenarios:

  • Iteración inicial (I0): En la cual la organización se empieza a preparar por primera vez para asumir una implementación de controles con miras a una auditoría o reporte de cumplimiento.
  • Iteraciones subsiguientes (In): En estas iteraciones, se supondrá que se ha completado un ciclo completo previo y todas las acciones a realizar estarán orientadas al mantenimiento y optimización de los controles implementados e ingreso de nuevos controles a los que haya lugar.

PDCA_PCIDSS

(P) Plan - Planificar

Durante esta fase se definen los objetivos estratégicos y tácticos del proceso (que para el caso de PCI DSS son la protección de los datos de tarjetas de pago y el subsecuente cumplimiento del estándar), las labores administrativas y operativas necesarias para lograr dicho objetivo y la identificación, dimensionamiento y preparación de todos los elementos logísticos relacionados.

  • I0:  En esta  fase inicial se debe proceder con la identificación del CardHolder Data Environment (CDE),  los flujos de datos existentes, los activos asociados a dichos flujos (personal, dispositivos de hardware, software, medios de almacenamiento, proveedores, instalaciones, etc. que pueden ser inventariados usando una CardHolder Data Matrix), los controles de PCI DSS que aplican o no al entorno empleando un análisis diferencial y el dimensionamiento de costes, personal y tiempo que permitirán determinar la complejidad del proyecto.  Así mismo, se deben determinar las acciones a seguir en caso de excepciones o problemas durante las fases siguientes.
  • In: En esta fase se cuenta con experiencia y resultados de la fase de planificación anterior. La principal entrada es la retroalimentación proveniente de la detección de cualquier error o mejora de la fase Actuar (A) de la iteración previa y su salida debe contemplar el dimensionamiento de las actividades de optimización y mantenimiento de los niveles de seguridad alcanzados. Así mismo – si es necesario – se deben replantear los objetivos estratégicos en el caso que exista una justificación administrativa u operativa que lo demande (por ejemplo: pasar de un SAQ a una auditoría onsite debido al aumento de transacciones anuales, el cierre o ingreso de nuevos flujos de tarjetas causados por cambios en la dinámica del negocio, el uso de nuevas tecnologías, cambios de versión en el estándar PCI DSS, etc.)

El acompañamiento y soporte de un profesional QSA en esta fase es recomendable, ya que permitirá garantizar que los objetivos estratégicos definidos y las acciones tácticas asociadas se encuentran alineadas con los criterios definidos por el PCI SSC, lo cual minimizará la aparición de tareas no previstas durante el trascurso del ciclo en el tiempo, desfocalizando los esfuerzos definidos previamente.

(D) Do - Hacer

En esta segunda fase se procede con la implementación de todas las tareas establecidas en la fase de Planificar (P). Por lo general suele ser la fase más larga en términos de tiempo y complejidad.

  • I0: En la primera ejecución de esta fase se debe iniciar con la implementación de todos los controles que aplican al entorno sobre los activos que lo conforman. Esto implica bastantes cambios dentro de la cultura de la organización dependiendo de la madurez en seguridad informática implícita en sus procesos y pudiendo impactar en la operación diaria, factor que debe ser tenido en cuenta. La interacción con proveedores es vital, así como con las áreas internas relacionadas. La existencia de un profesional encargado del proyecto con soporte de la Dirección es muy importante para la coordinación de tareas entre los diferentes implicados.
  • In: En siguientes ejecuciones de esta fase se deben implementar todos los puntos de mejora y mantenimiento que hayan sido analizados.

Una recomendación importante en esta fase es el uso de entornos informáticos de prueba. Debido a que en muchas organizaciones los entornos de pago con tarjeta suelen ser críticos,  la realización de pruebas previas a la puesta en producción facilita la identificación de potenciales problemas y su corrección inmediata sin afectar la operación normal del negocio.

Por otro lado, el uso de una correcta gestión de cambios (Change Management) permitirá la trazabilidad de cada acción realizada en el entorno y proveerá evidencia que puede ser analizada por el auditor durante el proceso de auditoría.

(C) Check - Verificar

En esta tercera fase se comprueba que todas las tareas realizadas en la fase Hacer (H) se han realizado de forma correcta siguiendo la planificación y objetivos definidos e identificando cualquier desviación.  En el caso de PCI DSS esta fase estaría contemplada por las siguientes tareas:

Dependiendo del tipo de control de PCI DSS,  esta fase corresponde a un punto exacto de ejecución en el tiempo (ejecución diaria, semanal, mensual, trimestral, semestral y/o anual). Cada ejecución de estas tareas debe generar un tipo de evidencia específico, ya sea en formato de reporte, acta, informe, etc. que será requerido por el auditor en la auditoría final.

  • I0 / In:  Tal como se indicó anteriormente, esta fase permite la identificación temprana de desviaciones y la definición de estrategias para minimizar su impacto en los objetivos trazados. Todas las acciones de verificación están descritas dentro del mismo documento del estándar, con lo cual esto no debería suponer sorpresas en el momento de su ejecución.

Cuando se trata de un entorno complejo o crítico, es muy recomendable realizar una fase intermedia de “Pre-Check“. Esto es particularmente útil cuando se tiene que ejecutar una auditoría anual contratada a un tercero (en este caso a una empresa QSA) y se desea tener una garantía que todo está preparado e implementado correctamente ANTES de la ejecución de dicha auditoría (que por lo general conlleva unos costes asociados adicionales y supone un riesgo a la organización en caso de que los resultados sean negativos). Esta fase de Pre-Check la puede ejecutar personal interno de la organización con conocimiento de la normativa y que preferiblemente haya estado al margen de la fase de implementación con el fin de manejar un nivel de independencia tolerable. Los resultados de esta fase intermedia entrarían en una fase preliminar de “Pre-Act” para corregir cualquier desviación encontrada dentro de los plazos previos a la auditoría final.

Igualmente, como resultado de la realización de actividades de verificación y monitorización se obtienen una serie de variables que pueden ser esquematizadas en un “cuadro de mando integral” que le permitirá al encargado del proyecto y a la Dirección conocer el estado de cumplimiento global de la organización en un punto dado, facilitando la toma de decisiones en caso de resultados negativos.

(A) Act - Actuar

Esta es la última fase de una ejecución completa de una iteración. Es la entrada de la fase de Planificar (P) de la siguiente iteración y es pieza clave en el proceso de mejora contínua. Si esta fase no se ejecutara, simplemente no se podría tener garantía que el sistema implementado y auditado continuará ofreciendo los mismos niveles de seguridad  en el futuro.

  • I0 / In: Dependiendo de los resultados de la auditoría y de la ejecución de las tareas recurrentes, en esta fase se debe proceder con la corrección de cualquier problema encontrado y cualquier acción de mejora con miras a optimizar el sistema.

En PCI DSS, cuando se ha finalizado una auditoría o se ha rellenado un SAQ, se supone que todos los controles han sido correctamente implementados (se trata de una auditoría binaria cuyos resultados son SI y NO). Si la auditoría o SAQ ha arrojado un resultado de no cumplimiento, es necesario re-planificar el proyecto e inventariar las causas que hicieron que no se cumpliera con el objetivo para definir estrategias futuras de control en caso que se presenten nuevamente.

Finalmente, es clave el aprendizaje de los errores. Este aprendizaje es la clave de mejora del ciclo, ya que permite transferir el conocimiento y experiencia adquirida a la nueva iteración a realizar. Para ello, el uso de una herramienta de gestión del conocimiento (o “Knowledgebase”) es un punto importante, ya que facilita el registro y consulta de problemas que han acontecido previamente, así como sus soluciones, optimizando los tiempos de respuesta y la toma de decisiones.

Como complemento al PDCA, el uso de una metodología de gestión de proyectos facilitará la integración entre la estrategia y la operativa durante todo el proceso. Así mismo, un punto interesante al asumir este tipo de proyectos es el uso de un equipo de trabajo ad-doc, conformado por personal multidisciplinar de las diferentes áreas involucradas y liderado por una persona con amplio conocimiento del estándar y con soporte de la Dirección. Nunca se debe asumir un proyecto de PCI DSS como un proyecto de tecnología. Por el contrario: es un proyecto global y estratégico de la organización que debe ser desarrollado de forma trasversal a todas las áreas.

Conclusión: Durante el proceso de implementación del estándar PCI DSS las mejoras en términos de gestión operativa y de seguridad de la información en la organización se pueden percibir de forma inmediata. Esta es una conclusión muy interesante, dado que PCI DSS no introduce ninguna nueva tecnología ni acciones que no sean conocidas previamente. Lo único que hace es esquematizar una serie de buenas prácticas en términos físicos, logicos y administrativos y focalizarlos en el control del riesgo asociado a los datos de tarjetas de pago.  Obviamente esto no garantiza una seguridad perfecta (de hecho, ningún estándar o tecnología lo hace) pero si permite gestionar el riesgo residual con base en unos niveles tolerables para la organización y para sus asociados (en este caso, toda la cadena relacionada con transacciones de pago). Empleando la metodología PDCA (PHVA) se pueden integrar de forma estratégica estos controles dentro de la cultura de la empresa y la operación diaria, mejorando a través del tiempo.