Carlos Adolfo Alejandro es cofundador de TIKVA Soluciones Informáticas (https://www.tikva.com.ar), una compañía argentina de consultoría en Seguridad Informática, auditoría y alineamiento de normativas/estándares internacionales (PCI DSS, ISO 27001, SOX, Habeas Data), automatización de procesos mediante desarrollos a medida y ejecución de Business Intelligence (BI).

Es Ingeniero en Sistemas Informáticos y posee más de 10 años de experiencia en el ámbito de TI, con especialización en Seguridad de la Información. Ha trabajado en empresas de diferente envergadura (nacionales y multinacionales) como PwC, KPMG, VISA Argentina/Prisma Medios de pago, INSSIDE (Empresa QSA), ISSECURITY (empresa de servicios de seguridad de la información), entre otras, en donde ha participado en diferentes proyectos desde la conducción de equipos de trabajo hasta el desarrollo de la implementación de normativas (PCI DSS, ISO 27001, SOX, ISAE 3402), la auditoría de empresas y bancos financieros, la implementación de plataformas de seguridad, la ejecución de análisis de vulnerabilidades y la gestión de cursos/talleres de concientización sobre la importancia de seguridad de la información. Ha obtenido diferentes tipos de certificaciones, como Auditor Líder en ISO 27001 e ITIL V3 Fundaments PwC Audit Methodology.

[PCI Hispano] Llevas muchos años trabajando en el área de seguridad en medios de pago para varias empresas en Argentina (VISA, KPMG, PwC) y ahora has fundado tu propia empresa (TIVKA). Por tu experiencia, ¿por qué consideras que aún las organizaciones no priorizan la inversión en seguridad sino hasta que tienen un incidente o requieren la implementación de controles por requerimientos externos (legales, industriales, etc.)?

[Carlos Alejandro] Con base en mi experiencia, considero esto que sucede básicamente por dos motivos esenciales:

El primero es la dificultad de reconocer el beneficio o utilidad obtenida por la inversión en tecnología o servicios relacionado a seguridad de la información. La mayoría de estas tareas/proyectos están relacionadas a la prevención y/o detección de incidentes. El retorno de inversión en la implementación de plataformas o proyectos que garanticen aumentar el nivel de seguridad es difícil de justificar en términos económicos. En este aspecto, también hay una incapacidad por parte de los especialistas, ya que los mismos son los responsables de bajar a “números” los beneficios de la implementación de buenas prácticas de seguridad. Existe un GAP entre los beneficios de un servicio de seguridad vs. los costos de inversión.

“El retorno de inversión en la implementación de plataformas o proyectos que garanticen aumentar el nivel de seguridad es difícil de justificar en términos económicos”

El segundo aspecto es por el desconocimiento del riesgo existente. En la actualidad, las empresas desconocen su nivel de madurez en el ambiente informático. Sin un análisis de riesgos, ni clasificación de información, no se puede detectar los riesgos inherentes. Por ejemplo, al realizar una tarea de Ethical Hacking o un Penetration Test y mostrar los resultados de las ejecuciones a los directivos, logramos mostrar información crítica o sensible del negocio que se ha podido acceder, a los cuales los mismos se alarman y comienzan a ejecutar acciones preventivas/detectivas.

Independientemente de estos dos aspectos, me gustaría remarcar lo más preocupante a mi entender:  el desconocimiento de la importancia de identificar el incidente. Hoy en día, existen normativas que se basan en la identificación del incidente y del tratamiento de este para la maduración del ambiente de seguridad (por ejemplo, ISO 27001). Lo más alarmante es que existen gran cantidad de empresas que no tienen procedimientos o procesos de identificación de incidentes, por lo que pueden encontrarse bajo ataques (arrojando costos no identificados) sin su conocimiento.

[PCI Hispano] Siguiendo esta misma línea, desde hace muchos años las marcas de tarjetas de pago (VISA, MasterCard, AMEX, Discover y JCB) tienen sus propios programas de cumplimiento para comercios y proveedores de servicio, programas que han convergido en PCI DSS. De hecho, ya han pasado casi 14 años desde la publicación de su primera versión en diciembre de 2004 y los beneficios del cumplimiento de este estándar son tangibles a nivel mundial. ¿Por qué crees que es tan difícil que los comercios y proveedores de servicio implanten estos controles que a la larga minimizarán el riesgo de incidentes con datos de tarjetas?

“El estándar es el mismo para una empresa grande multinacional como para una pequeña. Conjuntamente con el desconocimiento de alternativas, las pequeñas empresas requieren de una inversión que no pueden asumir”

[Carlos Alejandro] En primera instancia, me gustaría hacer hincapié en un aspecto que he mencionado en la respuesta anterior. La tangibilidad de los beneficios debe ser demostrado en “números” (métricas) para los directores de las compañías.

Por otro lado, con base en tu pregunta, a mi entender eso sucede también por dos motivos: Uno, es la falta de concientización por parte de los comercios y/o proveedores de servicios. El otro aspecto es porque el estándar es el mismo para una empresa grande multinacional como para una pequeña. Conjuntamente con el desconocimiento de alternativas, las pequeñas empresas requieren de una inversión que no pueden asumir. También existe incapacidad de los especialistas de otorgar alternativas gratuitas para la disminución del riesgo.

Adicionalmente, como la seguridad de un ambiente requiere de un proceso evolutivo, se necesita la ejecución de procesos periódicos. Dichos procesos deben ser ejecutados por personal de diferentes perfiles, por lo que las empresas deben asumir una inversión en staff. Esta inversión es uno de los impedimentos que tienen los pequeños comercios.

Justamente, en la misión de TIKVA estamos teniendo en cuenta esta situación, por lo que subrayamos la importancia del asesoramiento personalizado. Es nuestro desafío buscar alternativas, entendiendo la necesidad y capacidad de los comercios, con el objetivo de que, independientemente del tamaño de la empresa, pueda llegar a aumentar el nivel de seguridad de sus ambientes, logrando así el cumplimiento del estándar PCI DSS.

[PCI Hispano] PCI DSS, a diferencia de otros estándares y mejores prácticas de la industria en términos de seguridad, es un estándar bastante detallado y técnico. ¿Cuáles son tus consejos para las pequeñas empresas y PYMES que requieren alinearse con el estándar pero que no saben cómo proceder?

[Carlos Alejandro] Considero que es importante comenzar a concientizar acerca de cuáles son los requerimientos para alinearse al estándar.  Los comercios y proveedores de servicios denominados “Nivel 1” (por ejemplo, con respecto a VISA, con más de 6.000.000 de transacciones anuales en el caso de comercios, y con más de 300.000 transacciones anuales en el caso de proveedores de servicio) se encuentran obligados a ser certificados por una empresa QSA. En caso de que sea otro tipo de comercio (de nivel 2, 3 o 4, en función de la cantidad de transacciones con tarjetas anuales), no es necesario que sea realizado por una empresa QSA, por lo que se pueden buscar otro tipo de alternativas que permitan reducir costos innecesarios, como por ejemplo consultores con experiencia y especializados en la norma que no necesariamente pertenezcan a una empresa QSA.

Con respecto a la metodología del proyecto de alineamiento, es importante comenzar con la definición del flujo transaccional. Esto incluye la definición de todos los activos (sistemas, aplicaciones, equipamiento de red, etc.) y procesos y recursos que gestionan o intervienen en el manejo de los datos de tarjeta, con el objetivo de identificar el alcance de la certificación.  Luego, comenzar con la ejecución de un análisis diferencial (“GAP Analysis”), para identificar las brechas que existen entre la situación actual de la compañía contrastada con los requerimientos de la normativa PCI DSS. Una vez finalizado dicho proceso, armar un plan de trabajo con las definiciones claras de las tareas que permitan el alineamiento al estándar, teniendo en cuenta la importancia de la reducción del alcance (por ejemplo, aislando la red transaccional) para disminuir los riesgos y acotar el impacto.

Por último, considero que un punto muy importante para la implementación del estándar es entender que es un gran “cambio cultural” en las empresas. El mismo debe bajar desde sus Directores, quienes en primer lugar deben estar convencidos de estos cambios, por lo que, a su vez, es importante acompañar el proyecto con la concientización del personal, explicando por qué es necesaria la certificación, que ventajas se obtendrá, que cambios deberán realizarse, etc.

“Por último, considero que un punto muy importante para la implementación del estándar es entender que es un gran “cambio cultural” en las empresas.”

[PCI Hispano] El 1 de marzo de 2018 se cumplió la fecha límite de alineación con PCI DSS de las agencias vinculadas con la IATA (Asociación Internacional de Transporte Aéreo). ¿Podrías contarnos cómo se asumió esta tarea en Argentina? ¿Consideras que de alguna forma se optimizó la seguridad en las agencias o simplemente se cumplió para evitar sanciones?

[Carlos Alejandro] Considero que se dieron los 2 casos que mencionas en tu pregunta:

Algunas agencias – y me animo a decir que gran parte de la industria – ha optado por el rellenado del SAQ/AOC sin impulsar medidas de mejora, simplemente para cumplir y evitar sanciones. Esta opción, creo que fue debido, principalmente, a un tema de costos. El no tener un retorno inmediato de la inversión y por las bajas ventas debido a la devaluación de la moneda argentina, afectó para no dar prioridad a la resolución de proyectos de seguridad como PCI DSS. Esto provoco que no se hayan impulsado medidas de mejora, sino solamente un requerimiento normativo.

En resumen, el gran desconocimiento de las Agencias IATA acerca de PCI DSS provocó dos consecuencias indeseadas de la concepción de la normativa:

  1. Por un lado asumieron que existía un costo por una tarea que podría haber sido gratuita (descargándose los SAQ/AOC desde la página oficial de PCI DSS: https://www.pcisecuritystandards.org/document_library?category=saqs#results).
  2. Por otro lado, se han hecho responsables del cumplimiento de PCI DSS completando los SAQ/AOC sin implementar medidas de seguridad. Por tal motivo, en caso de existir un fraude en sus ambientes, asumen totalmente el riesgo y serán los responsables legales ya que han dado conformidad de cumplimiento.

Otra de las opciones adoptadas, en menor medida, ha sido el de entender este requerimiento como una oportunidad de mejora para optimizar sus niveles de seguridad. Hay agencias IATA (grandes y pequeñas), que han analizado en profundidad el estándar y observaron la misma como una oportunidad de mejora, para aumentar la imagen con sus clientes, disminuir los niveles de riegos de eventuales fraude en su ambiente transaccional y aumentar los márgenes de sus ventas.

[PCI Hispano] Hace poco tuvimos la noticia de varios incidentes de seguridad en bancos chilenos, en donde fueron comprometidos datos de tarjetas de pago. ¿Qué se está haciendo en Argentina para prevenir que las entidades bancarias sean blanco de este tipo de ataques? ¿Existe alguna estrategia a nivel gubernamental para soportar estas acciones preventivas?

[Carlos Alejandro] En Argentina, existen normas obligatorias regidas por el BCRA (Banco Central de la República Argentina). Independientemente a que no hacen hincapié directamente en la administración de los datos de tarjeta, son bastante estrictas desde el aspecto de seguridad de la información y son acompañadas por auditorías de periodicidad anual, por lo que los ambientes transaccionales bancarios se encuentran en un nivel de madurez de seguridad relativamente alto. Por ejemplo, existe la normativa que especifica los requerimientos mínimos de seguridad y tecnológicos que deben cumplir los diferentes tipos de canales (ATM, Terminales de Autoservicio, Banca Móvil, Banca telefónica, Banca por internet y POS), la cuál es muy exhaustiva.

En resumen, los requerimientos mínimos necesarios para reducir el riesgo de este tipo de ataque en las entidades bancarias están especificados, aunque cabe señalar que ninguna entidad se encuentra exenta a sufrir este tipo de ataques por la dinámica periódica de las tecnologías.

[PCI Hispano] Finalmente, ¿cuál sería tu consejo para aquellos Responsables de Seguridad que deben justificar la inversión en controles de seguridad y cumplimiento normativo a la Dirección?

[Carlos Alejandro] En primer lugar, dejar en claro a los directivos que la información es el activo más importante que tiene la compañía, por tal motivo, si se vulneran los sistemas y se logra robar información confidencial, las pérdidas a niveles económicos o por sanciones pueden ser mucho más elevadas que la inversión para evitar que suceda. Lo mismo en relación con la operación de tarjetas de pago: si no se tiene un proceso seguro que cumpla con PCI DSS, se puede llegar a perder grandes clientes, lo que implica perdidas en las ventas y a su vez tener sanciones muy altas.

“En primer lugar, dejar en claro a los directivos que la información es el activo más importante que tiene la compañía”

Con respecto a la metodología, en primera instancia recomendaría comenzar con un análisis de riesgo identificando los activos críticos de la compañía, con el objetivo de identificar los impactos y costos asociados a los mismos.  Es esencial definir objetivos a corto y largo plazo, como así también métricas (por ejemplo, se puede utilizar el estándar ISO 27004, en el cual se definen mejores prácticas de medición de seguridad de la información). Este último punto es muy importante, ya que les permitirá a los responsables de Seguridad demostrar los avances y beneficios obtenidos al implementar controles de seguridad.

Por último, demostrar que un estándar como PCI DSS permite la proyección de certificación a otras normas con un esfuerzo mínimo (por ejemplo, ISO 27001), como así también el acompañamiento en la presentación de nuevos servicios/productos gracias a mantener una base de ambiente seguro.