Auditoría vs proceso continuo

By albert
8 Mar 2019

Como empresa QSA estamos acostumbrados a tratar con compañías de todo tipo tanto en su proceso anual de certificación PCI-DSS como en el periodo de mantenimiento posterior. A pesar de que los entornos de la mayoría de nuestros clientes no se parecen en nada los unos con los otros, hemos observado que muchos de ellos centran sus esfuerzos en validar la calidad de los controles que han desplegado en dichos entornos únicamente en el momento de la auditoría y fallan en el principal objetivo del estándar PCI-DSS:

Entender la seguridad como un proceso de mejora continua y no como un proyecto o estado.

El objetivo de este artículo es precisamente proporcionar una guía y buenas prácticas para adoptar la seguridad en los procesos diarios y facilitar el mantenimiento del cumplimiento después de la primera auditoría.

Enfoque a “Compliance”

Las revisiones anuales solo permiten validar el estado de cumplimiento con PCI-DSS en el momento de la revisión por lo que no suelen ser buenos indicadores de como de bien una compañía mantiene las actividades de control y las buenas prácticas entre una auditoría y la siguiente. A esto hay que añadirle que durante el proceso de auditoría solo se validan controles de seguridad en un alcance limitado lo que impide que veamos la foto general.
Todo ello no ayuda a que se entienda que, si bien aplicar todos los controles del estándar en todos los entornos IT no es una buena idea, adoptar las mejores prácticas que hay detrás de la normativa y empatizar con conceptos como riesgo en vez de compliance puede evitar futuras brechas de seguridad.

Adoptar la seguridad en la operativa diaria

Antes de involucrarse en cualquier esfuerzo de cumplimiento, las organizaciones deben entender que la seguridad es un proceso de mejora continua que debe adoptarse en los procesos de negocio de la organización y en la operativa diaria de sus trabajadores. Para conseguirlo recomendamos:

Mantener una perspectiva adecuada:

La función principal de PCI-DSS es proteger a todos en la cadena de pago (comerciantes, proveedores de servicios, adquirentes, emisores, marcas de pago y consumidores) de los daños resultantes del robo o pérdida de datos del titular de la tarjeta:

  • Si no necesitas almacenar datos de tarjeta no lo hagas.

Asignar el ownerships:

PCI-DSS exige llevar a cabo un gran número de controles periódicos que requieren recursos, acciones y personas así que:

  • Como en cualquier otro proyecto, asigna a un responsable encargado de su ejecución.

Empatiza con el concepto de riesgo:

Comúnmente la idea de cumplimiento se equipará al concepto de mayor seguridad, sin embargo, un enfoque más eficaz es construir una cultura de seguridad que proteja los activos de información de la organización y su infraestructura. El concepto de riesgo ayuda a seleccionar los mejores controles a implementar en un entorno específico:

  • Lleva a cabo análisis de riesgos periódicos que te permitan mantener el foco en lo verdaderamente importante.

Define métricas de seguridad:

Las organizaciones deben cuantificar su capacidad para mantener las prácticas de seguridad y el cumplimiento de las normas PCI-DSS mediante el desarrollo de un conjunto de métricas que resuman el rendimiento de sus controles de seguridad ya que estas pueden ser utilizadas por los responsables para probar la efectividad de sus iniciativas de seguridad y asignar los recursos adecuadamente.

  • Define KPI’s que te permitan monitorizar de forma eficiente el estado de los controles de seguridad desplegados.

No dude en contactar con A2Secure para cumplir con la normativa PCI DSS.
____
Autor: Guillem Cuesta

Los comentarios están cerrados.