09 enero 2013

Análisis: PCI DSS Risk Assessment Guidelines

Este artículo se publicó originalmente en n+1 tiende a infinito, el blog de n+1 Intelligence & Research.

El pasado mes de noviembre, el PCI Council publicó el suplemento informativo titulado "PCI DSS Risk Assessment Guidelines" (pdf) orientado a ampliar detalles para cumplir con el requerimiento 12.1.2 que exige que las políticas de seguridad "incluyan un proceso anual que identifique amenazas y vulnerabilidades y concluya con un análisis de riesgos formal".

La estrategia propuesta por el Council es incorporar este análisis de riesgos al programa de gestión de riesgos corporativo e incluir en el mismo los procesos externalizados o gestionados por terceros.

Pero lo más relevante desde nuestro de vista es que la guía responde a la pregunta: Si el estándar PCI-DSS ya establece los requisitos mínimos de protección para los datos de titulares de tarjeta, ¿para qué es necesario llevar a cabo un análisis de riesgos? Pues bien, la respuesta es clara:
  • Los resultados del análisis de riesgos no pueden ser usados como un medio de evitar el cumplimiento de los requisitos incluidos en PCI-DSS.
  • PCI-DSS incluye el conjunto mínimo de requisitos para proteger los datos de titulares de tarjeta.
  • Pero, estos requisitos pueden ser complementados por controles adicionales para mitigar riesgos que hayan sido detectados por dicho análisis de riesgos.
Al margen de esto, pocas novedades dignas de destacar para cualquiera que haya realizado antes un análisis de riesgos:
  • Fases típicas: Identificación de activos críticos y de las amenazas sobre dichos activos, identificación de vulnerabilidades y desarrollo de una estrategia de riesgos y un plan de mitigación del riesgo.
  • Elementos habituales: Preparación de un equipo para el análisis, elaboración de una metodología adaptada a la cultura de la organización, identificación del riesgo (establecer el contexto, identificación de activos, de amenazas y de vulnerabilidades), caracterización del riesgo cuantitativa o cualitativa y plan de tratamiento del riesgo.
  • Quizás la parte más interesante sea el enfoque para la gestión de riesgos de procesos subcontratados por terceros donde caben varias opciones:
    1. Evaluación del cumplimiento con PCI-DSS realizada por un QSA y el correspondiente ROC o Cuestionario de Auto-Evaluación.
    2. Realización de un análisis de riesgos del tercero con recursos propios o de manera compartida para saber si se están tratando los riesgos a satisfacción de la organización.
En definitiva un documento que, en realidad, aporta muy poca información adicional a lo ya establecido en el propio requerimiento del estándar PCI-DSS.

... ¿todavía no me sigues en twitter.com/antonio_ramosga?