stairway

En Agosto de 2014 el PCI SSC publicó un nuevo suplemento informativo dirigido hacia aquellas organizaciones que ya cumplen con PCI DSS o están en la definición de un proyecto a mediano/largo plazo para esquematizar las actividades orientadas al cumplimiento.  Se trata del “Information Supplement – Best Practices for Maintaining PCI DSS Compliance“, en donde se hace un análisis general de las tareas de mantenimiento de PCI DSS con el fin de conservar los niveles de gestión de riesgo dentro de unos umbrales tolerables:

PCI_compliance

Curva de cumplimiento de PCI DSS en el tiempo. Fuente: PCI SSC

Como se ha resaltado a lo largo de los artículos publicados en PCI Hispano: la seguridad es un elemento que se degrada con el tiempo y es por ello que se debe contemplar una estrategia organizativa y soportada por la Dirección para mantener y mejorar continuamente los controles de seguridad en el entorno de cumplimiento. Partiendo de esta premisa, en 2013 se publicó en PCI Hispano el artículo “El círculo de Deming (o círculo PDCA) y la gestión de PCI DSS“, que vinculaba el círculo de Deming (PDCA) con el proceso de mejora continua para un entorno PCI DSS:

PDCA_PCIDSS

Siguiendo la misma línea, en este nuevo suplemento informativo el PCI SSC enumera las siguientes mejores prácticas para mantener el cumplimiento de PCI DSS en una organización a través del tiempo:

1. Mantener la perspectiva adecuada

Uno de los temas clave en el cumplimiento de PCI DSS es tener siempre presente que el objetivo final del estándar es la protección de los datos de tarjetas de pago durante todo su flujo operativo en la cadena de pago, incluyendo los comercios, los proveedores de servicio, los adquirientes, los emisores, las marcas de pago y los usuarios finales.  Se trata de un proceso complejo y cooperativo entre todos los elementos que interactúan y que – obviamente – no finaliza con los reportes de cumplimiento.

Se recomienda así mismo no almacenar datos de tarjeta de pago si no se requieren por una razón justificada de negocio, tema recurrente en los estándares del PCI SSC cuyo incumplimiento ha dado lugar a los mayores fraudes informáticos en estos últimos años.

2. Asignar responsabilidades para la coordinación de actividades de seguridad

El mantenimiento de los controles de PCI DSS es un proyecto en sí. Requiere del trabajo mancomunado de diferentes áreas y personas de la organización, por lo que se hace necesaria su coordinación centralizada y la delegación de responsabilidades que permitan la gestión efectiva de tiempo, recursos y personal. En este sentido, el PCI SSC recomienda que el responsable de cumplimiento de PCI DSS sea un profesional que cuente con experiencia y preferiblemente tenga una certificación profesional que respalde su conocimiento (CISSP de (ISC)2, CISA / CISM / CRISC de ISACA, PCI Professional del PCI SSC o cualquier otra certificación reconocida por la industria).

Esta persona debe liderar la ejecución de las tareas recurrentes, la obtención, validación y almacenamiento de evidencia asociada a la ejecución de estas tareas y la coordinación de actividades en el caso de incidencias.

3. Hacer énfasis en la seguridad y el riesgo, no solamente en cumplimiento

El cumplimiento con PCI DSS no hace a la organización invulnerable. Las amenazas y vulnerabilidades van cambiando día a día y los ataques se vuelven más complejos y más difíciles de identificar, lo que obliga a que la organización optimice y adecúe sus controles de seguridad para responder ante tales riesgos. Para ello, es importante la realización de un análisis de riesgos (req. 12.2) que permita conocer el estado actual de riesgo de la empresa, prever controles frente a potenciales amenazas futuras y tomar decisiones con base en coste/beneficio, priorizando actividades en función del nivel de riesgo gestionado y obteniendo el retorno de la inversión en seguridad (Return On Security Investment – ROSI) esperado. La frecuencia de este análisis puede variar dependiendo de la implementación de cambios significativos en el entorno pero no puede ser menor a una vez anual.

Por otro lado, la integración del cumplimiento de PCI DSS con otros marcos de trabajo reconocidos por la industria (ISO/IEC 27001:2013, COBIT, ITIL, etc.) permitirán el alineamiento de todos los controles con la gestión a alto nivel de la seguridad de la información y los entornos de tecnología establecidos, orientados hacia un mismo objetivo de negocio.

4. Monitorización continua de los controles de seguridad

El estado de los controles debe ser monitorizado de forma continua con el fin de validar sus niveles de implementación, efectividad, eficacia y adecuación para garantizar que cumplen con las premisas establecidas, con los objetivos de seguridad definidos por el estándar y que el personal a cargo sigue los procedimientos documentados.  Estas tareas de monitorización pueden ser manuales o automáticas y en función de la complejidad de la organización se pueden basar en muestreo.

5. Detectar y responder ante fallas en los controles de seguridad

Con la configuración adecuada de los controles de seguridad se espera una operación dentro de unos parámetros establecidos. Sin embargo, si dichos controles tienen un fallo o no son capaces de actuar frente a una potencial amenaza, es necesario definir actividades paralelas para minimizar el impacto de dichos fallos. En ese sentido, el Council aconseja seguir estos pasos:

  • Restaurar los controles a sus niveles operativos normales
  • Identificar las causas del fallo en el control
  • Identificar y gestionar potenciales nuevos fallos o problemas
  • Implementar medidas que soporten la mitigación de fallos
  • Optimizar los procesos de monitorización

6. Desarrollar métricas de desempeño para medir la eficiencia y la eficacia de los controles

Las medición de diferentes variables permiten conocer el estado de un control en un momento dado. Estos valores se conocen como “indicadores” o “métricas”. La definición e implementación de un grupo de métricas asociadas al cumplimiento de PCI DSS puede ser un factor importante para el mantenimiento de los niveles de seguridad establecidos y apoyar en la toma de decisiones.

Las métricas se catalogan en los siguientes tipos:

  • Métricas para la medición de la implementación: Este tipo de métricas permiten la medición del progreso en la implementación de determinado control, casi siempre medida en términos porcentuales. Ejemplo: (Cantidad de servidores configurados de acuerdo con PCI DSS) / (Total de servidores del entorno)
  • Métricas para la medición de la efectividad/eficiencia: Estas métricas se diseñan para valorar si los controles de seguridad están implementadas de forma adecuada, operan bajo los criterios establecidos y cumplen con los objetivos esperados. Ejemplo: Porcentaje de usuarios con acceso a cuentas compartidas
  • Métricas para la medición del impacto: En este último modelo, estas métricas sirven para conocer el nivel de impacto que ha tenido dentro de la organización un programa de seguridad de la información y con ello la obtención del ROSI esperado. Ejemplo: Porcentaje del presupuesto de TI de una organización dedicado a la seguridad de la información

Un punto de inicio para la definición de métricas es la monitorización en la ejecución de tareas recurrentes de PCI DSS.

El estándar ISO/IEC 27004:2009 “Information technology — Security techniques — Information security management — Measurement” está orientado hacia la medición y reporte para la mejora continua de un sistema de gestión de la seguridad de la información y puede ser utilizado como base en la definición de métricas para el mantenimiento de la certificación de PCI DSS.

7. Ajustar el programa para gestionar los cambios

La organización y su entorno informático no son estáticos. Diferentes cambios en amenazas, vulnerabilidades, impactos, salvaguardas, contramedidas y niveles de riesgo suceden día tras día y es necesario gestionarlas de forma continua. Para ello el Council aconseja definir un programa de gestión de cambios que asegure que los controles se encontrarán siempre alineados con la estructura organizacional, los procesos y objetivos claves del negocio, cambios en la tecnología que soporta el entorno de cumplimiento y nuevas amenazas externas.

Así mismo, se listan algunos de los principales marcos de trabajo reconocidos por la industria, que se pueden combinar con PCI DSS dentro de un proceso de mejora continua y alineación con los objetivos de la organización a alto nivel.

Finalmente, el documento provee una matriz de roles y responsabilidades que puede ser empleado por la entidad para la delegación de actividades de cumplimiento, incluyendo los dueños de los datos, responsables de procesos, grupos de desarrollo, administradores de sistemas y bases de datos, personal de gestión de accesos, seguridad de TI, áreas legales y gestión de contratación, recursos humanos, auditoría interna y grupos de gestión de riesgos y cumplimiento.

Como siempre, les invitamos a participar en el foro o dejar un comentario en este artículo si se tiene alguna duda, comentario o sugerencia. No olviden seguirnos en Twitter, LinkedIn, Facebook, Google+ y vía RSS.