Hace unos meses en Claranet afrontamos un proceso de adecuación a las PCI-DSS, las Normas de Seguridad de datos asociadas a la industria de las tarjetas de pago, para uno de nuestros entornos de Data center.
El objetivo alcanzado consistió en disponer de un entorno escalable que fuese capaz de cubrir los requisitos 9 y 12 de dicho estándar, para ayudar a todos aquellos clientes (ya fueran e-commerce o empresas pertenecientes al sector retail), que necesitaran cumplir con las PCI y estuviesen buscando un proveedor de servicios de Colocation capaz de ofrecer una política y unas medidas de seguridad de acceso físico acordes con las exigencias de esta norma.
Lo que no imaginábamos era el potencial que un proyecto de estas características pudiera tener en nuestra organización, a nivel de madurez en seguridad. Es cierto que Claranet partía de estar certificada en la norma ISO 27001 y de haber superado ya varias auditorias de seguridad, y por tanto, habíamos recorrido ya un camino previo, no menos importante, en este sentido. No obstante, la adecuación a PCI ha supuesto un aumento significativo de la concienciación en esta materia para todos los empleados, no sólo en el qué sino sobre todo, en el cómo realizamos nuestro trabajo.
Se podría decir que un proyecto que en principio presentaba un alcance muy acotado, sin embargo ha demostrado tener una gran penetración en todas las áreas de la organización, y ello ha sido así por la exigencia que las PCI ponen en la seguridad de los datos y en cómo está seguridad se establece. La norma es de rigurosa aplicación y no deja espacio a posibles interpretaciones en su adecuación; o el entorno cumple con todas la medidas que cada requisito recoge, o no cumple con ninguno, puesto que no hay margen para las desviaciones.
Para que triunfe la inseguridad, basta con no hacer nada en materia de concienciación: uno de los vectores de ataque más peligrosos para la seguridad de la información en las organizaciones, son las personas."
Llegados a este punto, me viene siempre a la mente la célebre frase de Edmund Burke, para que triunfe el mal, basta con que lo hombres de bien no hagan nada (sic). En el caso que nos ocupa aquí y parafraseando al autor diría que para que triunfe la inseguridad, basta con no hacer nada en materia de concienciación, puesto que hay que tener en cuenta que uno de los vectores de ataque más peligrosos para la seguridad de la información en las organizaciones, son las personas. Es conocido como los test de ingeniería social ponen a prueba las medidas técnicas de seguridad, a nivel lógico y físico, que implantan las compañías para proteger sus activos de información, y como los trabajadores somos los que en última instancia, tenemos la capacidad a través de nuestros actos, de fortalecer o debilitar, su acceso seguro y su integridad:
En este sentido, trabajar en la implantación de las diferentes medidas de seguridad de acceso físico que las PCI establecen, nos ha permitido aumentar la concienciación en todas las áreas de la organización, y no sólo en aquellas dedicadas propiamente a las operaciones técnicas. Para ello hemos hecho hincapié en tres ejes básicos a nivel de prevención de la seguridad: primero en la formación continua de nuestros empleados, segundo y asociado a lo anterior, en la responsabilidad que cada uno de nosotros tenemos como usuarios autorizados sobre la gestión de los sistemas a los que tenemos acceso y por último, en la mejora de procesos basados en la adopción progresiva de buenas prácticas, con el fin de aumentar la seguridad de los datos de nuestros clientes.
Así es como un proceso de certificación exigente, puede convertirse en un vehículo eficaz para la mejora de la seguridad de forma transversal, permitiendo aumentar la madurez de la organización en esta materia, a todos los niveles.
Contenidos relacionados: