Con el fin de garantizar niveles óptimos de calidad en las evaluaciones de cumplimiento de los estándares del PCI SSC, es muy recomendable (y algunas veces, obligatorio) implementar una rotación periódica del asesor o de la empresa QSA. Pero, ¿cuáles son sus ventajas e inconvenientes?

Desde hace algún tiempo se viene discutiendo en los diferentes foros del PCI SSC la idea de establecer un requerimiento formal de rotación de asesores o de empresas QSAs después de que hayan realizado una cantidad determinada de evaluaciones o hayan trabajado con el mismo cliente durante un periodo específico. No obstante, esa idea se mantiene actualmente como una práctica recomendada (al menos para el estándar PCI DSS), pero no está de más que las empresas afectadas por el cumplimiento de estos controles lo incorporen dentro de sus propias políticas de cumplimiento, con el fin de evitar la pérdida de calidad en las evaluaciones debido a la sobre-familiarización de los asesores con los entornos a evaluar.

Sugerencia de MasterCard relacionada con la rotación de asesores. Fuente: https://www.mastercard.com/content/dam/public/mastercardcom/globalrisk/pdf/Q2%202023%20PCI%20Quarterly%20Newsletter.pdf

Básicamente, el objetivo es que la entidad que requiere una evaluación de cualquier estándar del PCI SSC (PCI DSS, PCI SSF, P2PE, etc.) opte por implementar una política interna que le permita cambiar al asesor QSA que ha realizado auditorías previas o cambiar a la empresa que ofrece este servicio de acuerdo con unos parámetros temporales aceptables. Por ejemplo:

  • Cambios de asesor líder: Un mismo asesor QSA no puede liderar más de X auditorías seguidas en la misma empresa. Esto implica que finalizar este periodo un nuevo asesor QSA de la misma empresa deberá ingresar en el proyecto para liderar las actividades de auditoría.
  • Cambios de empresa QSA (QSAC): Una misma empresa QSA no puede estar contratada por más de X años seguidos para realizar acciones de auditoría.

En cualquiera de los dos casos listados anteriormente se podría evaluar si se permite o no que el asesor líder o la empresa QSA anterior puedan participar en otras actividades relacionadas con la implementación y el mantenimiento de la certificación (como formación, ejecución de pruebas de seguridad, realización de análisis diferenciales, etc.).

A continuación se enumerarán las ventajas y desventajas de este procedimiento como elemento crítico para que una organización lo incorpore dentro de su programa de cumplimiento normativo. Es importante añadir que la aplicabilidad de esta práctica se puede extrapolar a cualquier proveedor de servicios y no solamente a los asesores o empresas QSA. También es aplicable en empresas que se evaluán usando recursos internos (Internal Security Assessor – ISA), que pueden rotar a sus evauadores internos con evaluadores externos.

Ventajas de la rotación del asesor o empresa QSA

  • Identificación de potenciales áreas débiles: Todos los asesores y las empresas QSA deben cumplir con una serie de requerimientos bastante estrictos para poder ejecutar las evaluaciones de cualquiera de los estándares del PCI SSC. No obstante, cada profesional es distinto y puede tener un área de experiencia principal que le permita ahondar en un área más que en otra: gestión de bases de datos, desarrollo de software, operación de sistemas operativos, etc. Con el ingreso de un nuevo profesional al equipo con un área diferente de experiencia, la evaluación de cumplimiento puede identificar puntos de mejora que no hayan sido detectados anteriormente gracias a un punto de vista «fresco».
  • Evitar caer en valoraciones preconcebidas: Después de varios ejercicios de auditoría, un asesor QSA podría «predecir» el resultado del cumplimiento de un requerimiento en particular dado su conocimiento del entorno de una empresa y minimizar la exigencia en la evaluación. O, por el contrario, un cliente también podría «predecir» las áreas en las que el QSA hará mayor énfasis en las revisiones, ya que conoce su comportamiento por evaluaciones de cumplimiento anteriores, preparando más unos controles que otros. Para gestionar este inconveniente y garantizar la cobertura global del entorno, la rotación del asesor o de la empresa QSA dará un vuelco al proceso de auditoría con criterios diferentes y no preconcebidos.
  • Distintos puntos de vista con un mismo objetivo: Los controles de cumplimiento de un estándar están definidos explícitamente y su objetivo es que no se presten a interpretaciones subjetivas. Sin embargo, la metodología de evaluación de cada requerimiento varía en función de cada asesor o empresa QSA: la forma de hacer las entrevistas, de obtener la evidencia, de realizar las tareas de observación, de generar los muestreos, etc. Con la combinación de diferentes metodologías con un mismo objetivo (evaluación del cunplimiento) se pueden sacar a relucir puntos débiles de la organización que se pueden potenciar para mejorar los niveles de seguridad globales.
  • Nuevo conocimiento y opciones de mejora: Al margen de las tareas de auditoría, cada profesional QSA lleva su experiencia a las empresas que audita y puede recomendar mejoras o alternativas para la optimización de los controles de cumplimiento. Con el cambio periódico de asesor o de empresa QSA, las aportaciones en términos de experiencia profesional y consejos serán mayores y potencialmente cubrirán otras áreas.

Desventajas de la rotación del asesor o empresa QSA

Por el otro lado, no todo puede ser bueno. Si se implementa una rotación de asesor o de empresa QSA, se pueden afrontar los siguientes inconvenientes:

  • Uso de tiempo adicional en entrevistas, reuniones y obtención de evidencia: Debido a la ausencia de experiencia previa, el nuevo asesor o la nueva empresa deberá obtener la información del entorno prácticamente desde cero. Esto implica que el personal de la entidad involucrado en el proceso de evaluación deberá emplear más tiempo y más esfuerzo para informar al asesor acerca del estado de implementación de sus controles.
  • Adaptación a nuevas metodologías, procesos y/o herramientas empleadas por la empresa QSA: Como se comentaba anteriormente, cada empresa QSA usa diferentes estrategias para la obtención de evidencia y para su posterior centralización, catálogo y análisis. Igualmente, se pueden usar diferentes herramientas para la gestión de agendas, comunicación con el cliente, etc. En este caso, la entidad evaluada deberá invertir tiempo adicional para adecuarse al formato de trabajo de la nueva empresa

Programas de cumplimiento con rotación obligatoria de empresas QSA

A pesar de que estándares como PCI DSS o sus programas de validación relacionados no exigen una rotación periódica de asesores o empresas QSA, sí que existen un par de excepciones implementadas por Visa en este sentido:

  • Para las evaluaciones de los estándares PCI 3DS y PCI Card Production, Visa requiere que se realice una rotación obligatoria de la empresa asesora después de dos evaluaciones seguidas.

Posted by David Acosta

Qualified Security Assessor (QSA) para PCI DSS, PCI PIN, PCI 3DS, P2PE y PCI TSP. CISSP, CISA, CISM, CRISC, C|EH, C|HFI.

All Posts Website

Leave a Reply