Llegamos a ustedes gracias a:



Reportajes y análisis

Cuatro formas de obtener lo máximo de su asesor calificado de seguridad PCI

[10/09/2009] En una entrevista con CSOonline el mes pasado, Robert Carr, CEO de Heartland Payment Systems Inc., se fue contra los asesores de seguridad calificados (QSA, por sus siglas en inglés) que auditaron su compañía para que obtuviera la conformidad de seguridad PCI, alegando que no vieron agujeros claves en su red que finalmente permitieron una brecha de seguridad de datos masivos. Los lectores golpearon de vuelta, criticando a Carr por no reconocer sus problemas descontrolados en su operación de seguridad TI.

En respuesta a la respuesta, CSOonline encuestó a expertos de seguridad que habían realizado y recibido evaluaciones, en un esfuerzo por crear una corta lista que permita que la relación entre las compañías y los QSA sea la mejor inicio posible. Aquí hay cuatro sugerencias clave:
1. Escoja sabiamente al proveedor
Un problema común es que el QSA es elegido demasiado precipitadamente, porque la compañía quiere tener el proceso terminado lo más rápido posible. El resultado es que la compañía contrata a un asesor que no está tan bien versado en los problemas únicos de su ambiente.
Mark Allison, vicepresidente de Seguridad de la Información en Global Cash Access, basado en Las Vegas, señaló que las compañías deben conducir un examen minucioso de todos los proveedores de QSA, para asegurarse de que quien sea escogido sea un especialista en los problemas más comunes en su industria en particular.
Asegúrese de que el proveedor tiene SME que satisfaga sus necesidades y no se alarme si algunos de ellos subcontratan a otras entidades calificadas para desarrollar una respuesta exhaustiva, indicó. Como usted, los profesionales mejoran sus fortalezas y refuerzan sus limitaciones contratando experiencia profesional. Haga su tarea y evalúe las credenciales de todos los proveedores y participantes, y entienda cómo, mezclando sus esfuerzos en un plan completo, puede llevar a una ejecución exitosa.
2. Establezca el campo de trabajo
Allison señaló que algo que es cierto es que, sin planeamiento, es seguro que se tendrá un mal comienzo en la valoración de seguridad de una compañía. Por lo tanto, él recomienda empezar con una evaluación interna. De esa forma, la compañía tiene una idea bastante buena de dónde están los puntos débiles antes de que llegue el QSA. En el primer día, los administradores de seguridad deben informar al QSA sobre todo lo que saben hasta ese punto. De esta forma, el QSA puede agudizar su enfoque en las áreas de problemas particulares, e idear una lista de acciones más productiva.
Obtenga el último cuestionario de autoevaluación del sitio web de PCI DSS, señaló Allison. Y recuerde que cualquier cosa menos que completa franqueza, bloqueará la habilidad de su asesor de completar su trabajo de manera eficiente y efectiva.
3. Dele al QSA acceso a los jugadores clave
Otra cosa que puede inhabilitar el proceso de evaluación es que la compañía trate de limitar la exposición de QSA a la menor cantidad de gente posible. Esto podría deberse a que la administración no quiere al QSA reciba una pobre orientación de los empleados, que no necesariamente tienen un entendimiento total de las cosas. Pero siempre es mejor darle al QSA acceso a todos los jugadores claves, indicó Daniel Wallace, un consultor basado en Detroit y administrador de proyecto de seguridad de la información. Wallace recientemente escribió un post detallado sobre el tema en el blog de Recursos de Seguridad de la Información.
Los QSA generalmente conducen múltiples entrevistas con administradores claves para asegurarse absolutamente de que todo aspecto de la operación ha sido estudiado a la máxima extensión posible. Antes de que el QSA llegue, la compañía debería hacer una lista de personas que pueden hacer las entrevistas iniciales. Programar entrevistas para el QSA desde el inicio acelerará el proceso hacia adelante a largo plazo. Una cosa que puede retardar el proceso es cuando los jugadores clave rompen u olvidan su convocatoria de entrevista, señaló Wallace.
4. No trate al QSA como a un enemigo
Otro problema común -especialmente desde la perspectiva de los QSA a quienes nos acercamos para este artículo- es que los asesores son generalmente tratados como una serpiente de cascabel que se acerca por la compañía a la que van a revisar. Esto también es una receta para el fracaso y debe ser evitado a cualquier costo. No hay lugar para egos, señaló Allison. El asesor encontrará debilidades. Supérelo y aprenda de ello.
Ed Moyle, socio fundador de Security Curve y ex vicepresidente de seguridad de la información en Merrill Lynch, ha experimentado los buenos y malos aspectos de un proceso de evaluación desde ambos lados, y concuerda con estas observaciones. Él reconoce que las evaluaciones no son siempre tan meticulosas como deberían ser, y la culpa usualmente le pertenece tanto a la compañía como al QSA.
Él advirtió que la presión es alta para los QSA así como para la compañía, y la presión puede llevar a errores. El cliente está pagándole y quiere que le otorguen la certificación, señaló. Usted también tiene grandes ambientes complicados con muchas partes moviéndose, y hay mucha oportunidad para omitir cosas.
Dicho esto, Moyle declaró que cuanta más información y acceso tenga el QSA, es mejor la posibilidad de una auditoría minuciosa y exitosa que pueda prevenir una fuga de datos en el futuro.
El ambiente de la compañía puede ser tremendamente complejo, con cientos de ubicación a través del país o el mundo, y cada uno de esos lugares puede tener debilidades, indicó. Si tiene múltiples líneas de negocios y no le dice al QSA sobre todas ellas, el QSA no va a saber qué debe mirar en esas áreas, y algo va a ser omitido. Esa no es culpa del QSA.
Bill Brenner, CSO (US)