Hace unas pocas semanas vio la luz la nueva versión del famoso estándar de seguridad de datos de la industria de tarjetas, PCI/DSS 3.2. Una lectura entre líneas de los nuevos requisitos incluidos permite identificar, en mi opinión, algunas de las principales dificultades y situaciones que limitan el éxito y efectividad de los programas de seguridad en las empresas. Sin duda, la motivación que han encontrado los responsables del estándar a la hora de formular esos nuevos objetivos de control, ha debido ser la constatación de una pobre implementación y efectividad en general del estándar entre las organizaciones.
No son pocos los escépticos que cuestionan el éxito de la normativa PCI/DSS a la hora de hacer los datos de tarjetas más seguros, especialmente cuando día a día se reportan serias brechas de seguridad, afectando a millones de registros, en empresas en principio cumplidoras del estándar. No me encuentro entre este grupo de escépticos; personalmente creo que la implementación del marco de control de la PCI, como el de otros estándares al uso de seguridad de la información, llevan a una reducción significativa de los riesgos, pero también es cierto que estos marcos de control imponen una disciplina, costes y unas exigencias de recursos que ponen bajo presión a muchas organizaciones. La dura realidad es que muy pocas organizaciones están dimensionadas o tienen el saber hacer y la madurez suficientes para mantener con éxito unos procesos con unos costes y complejidad tan elevados.
Vamos a revisar brevemente cuáles son estas dificultades implícitas que se pueden entrever en el estándar referido. Estas dificultades son constatables en distintos tipos de empresas y son aplicables a los marcos de control de seguridad de la información en general, no sólo a PCI. Trabajar sobre estos aspectos es esencial para asegurar el éxito de un programa de seguridad.
Dificultades para el mantenimiento continuado de las medidas de seguridad
Esta primera consideración hace referencia a la pro-actividad de las organizaciones para conseguir un mantenimiento sostenible del grado de efectividad de las medidas tras la implantación inicial de un marco de control. Ocurre con mucha frecuencia que las organizaciones invierten mucho tiempo, esfuerzo y recursos en un proyecto de implantación de controles y una vez alcanzada esta meta inicial, los recursos humanos y materiales se dispersan, considerando que “el trabajo está terminado” y el sistema queda desatendido “a la deriva”, como si se asumiese que una vez hecho el esfuerzo, el nivel de control se fuera mantener por sí mismo. El siguiente diagrama (puramente teórico) puede servir para ilustrar esto:
Lo que suele ocurrir, por el contrario, es que el paso del tiempo va haciendo que la efectividad del sistema se va degradando progresivamente. Las razones de esta degradación progresiva vienen derivadas principalmente de cambios en el entorno externo e interno de la organización, los sistemas, las personas y/o los procesos. Esta degradación implica obviamente un aumento de la vulnerabilidad del entorno:
En estas ocasiones, suele ocurrir que un evento como un incidente de seguridad, una inspección de los reguladores o de los auditores desencadena una alerta/urgencia en la organización como consecuencia de la constatación de estas deficiencias. Entonces vuelven a activarse los recursos necesarios y se llevan a cabo nuevas iniciativas correctoras para restaurar los niveles de control exigidos:
Si no se abordan las cuestiones de fondo, entonces este ciclo de corrección-degradación se perpetúa en el tiempo dejando a la organización en una situación cuasi-permanente de vulnerabilidad y de falsa percepción de seguridad. La forma de conseguir un mantenimiento eficaz y sostenido del grado de control implica que las organizaciones establezcan:
- Un análisis de impacto de los controles que esté embebido en el proceso de gestión de cambios de aplicaciones, sistemas, procesos, etc… para identificar los ajustes o cambios de los procesos de control que deban llevarse a cabo de manera concurrente con los cambios de las aplicaciones, sistemas, etc… Obviamente, esto implica un alto nivel de madurez organizativo ya que implica tener inventariados los controles y ser capaz de identificar cómo se van a ver impactados por los cambios planificados.
- En paralelo con los cambios efectuados, es necesario actualizar toda la documentación sobre los procesos de control.
- Monitorización periódica de la efectividad de los procesos de control y gestión de los ajustes y correcciones necesarias cuando se detecten pérdidas de efectividad.
El efecto de estos procesos, se podría traducir de la siguiente manera en nuestro modelo teórico:
En la versión 3.2 de PCI, varios artículos hacen referencia a estas cuestiones: El requisito 6.4.6 hace referencia explícita a la implementación de procesos de control de cambios para el mantenimiento de las medidas de control; el requisito 10.8 referido a proveedores de servicios les requiere que establezcan un procedimiento para la notificación y corrección inmediata las deficiencias de control detectadas; los requisitos 12.11 y 12.11.1, también referidos a los proveedores de servicios, establece la necesidad de efectuar revisiones periódicas del modo en que los empleados siguen las políticas y los procedimientos de seguridad establecidos, siendo obligatorio registrar los resultados de estas revisiones y ser firmadas por parte de los responsables del cumplimiento de PCI.
Falta de asignación formal de la responsabilidad (accountability) y los recursos
El requisito 12.4.1 de PCI/DSS 3.2 establece para las empresas proveedoras de servicios que la alta dirección asigne formalmente responsabilidades para la protección de los datos y el cumplimiento de la normativa. Este es un requisito fundamental sin el cual ningún programa de seguridad podrá ser efectivo en el tiempo. Si las personas no identifican como parte sustancial de su responsabilidad y de los objetivos de su puesto de trabajo el apoyo pro-activo de las medidas de seguridad, éstas estarán condenadas al fracaso.
Para conseguir esto es necesario por parte de la alta dirección un compromiso evidente y continuado en apoyo de los programas de seguridad; transmitiendo el mensaje de que éstos deben ser un apoyo para conseguir los objetivos globales de la organización. Este compromiso sólo es creíble por parte de los empleados si:
- Va acompañado de una asignación expresa de responsabilidad a distintos niveles de la organización (no sólo a las áreas de seguridad y control, si no en los distintos departamentos de la organización).
- Si el cumplimiento de estas responsabilidades se mide periódicamente como parte del proceso de valoración del cumplimiento del desempeño y de los objetivos de cada empleado.
- Se proporcionan los recursos y las herramientas necesarios para que cada empleado pueda llevar a cabo sus responsabilidades.
Epílogo
Obviamente, el cuidado de los aspectos aquí mencionados permite a una organización establecer algunos elementos esenciales, necesarios aunque no suficientes, para garantizar el éxito de cualquier programa de seguridad de la información. Me atrevería a decir, en base a mi experiencia, que una evaluación del modo en que una organización maneja estas cuestiones es un indicador sencillo y bastante fiable de la efectividad de su programa de seguridad: aunque una gestión adecuada de estas cuestiones no garantice un sistema efectivo de gestión de la seguridad, en el caso contrario podemos asumir con poca probabilidad de equivocarnos que la efectividad del sistema es muy cuestionable; aunque esto, claro, es mi opinión personal y puedo estar equivocado… ¿Ustedes que opinan?.
Negocios bajo control 