Directrices de evaluación de riesgos
El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) requiere que las empresas realicen una evaluación de riesgos periódica para analizar, identificar y documentar cualquier riesgo potencial para los datos del titular de la tarjeta de acuerdo con el Requisito 12.1.2 de PCI-DSS.
La evaluación de riesgos es parte de una estrategia de gestión de riesgos más amplia que emplea Due, y está destinada a gestionar las amenazas y vulnerabilidades del sistema de pagos. Este protocolo adicional de encriptación y certificación está implementado para mantenerse actualizado sobre el panorama empresarial en constante cambio que incluye amenazas, tendencias y nuevas tecnologías, que están ocurriendo a un ritmo más rápido en la industria de pagos. Las estrategias de evaluación de riesgos proporcionan una forma de asignar recursos. Esto se hace para implementar los controles que mantendrán la seguridad de los datos del titular de la tarjeta.
En 2012, las directrices de evaluación de riesgos se actualizaron para proporcionar a las empresas una comprensión más clara de cómo proceder con sus propias evaluaciones periódicas de riesgos. Existe una variedad de marcos de riesgo que se pueden usar para realizar una evaluación de riesgos de PCI-DSS, incluidos NIST SP 800-20, OCTAVE e ISO 27005. También se pueden usar otros, dependiendo de cuáles sean las necesidades confiables para el tamaño de la empresa. , industria y modelo de negocio.
Requisitos mínimos para la evaluación de riesgos.
Dentro de los parámetros de lo que se requiere, los conceptos básicos deben incluir lo que se describe en el Requisito 12.1.2 de PCI-DSS:
- Una evaluación de riesgo anual que incluye análisis cuantitativo y cualitativo de los procedimientos y protocolos de protección de datos.
- Metodología definida y proceso documentado.
- Incluye personas, procesos y tecnología que afectan la seguridad del entorno de datos de los titulares de tarjetas.
- Inventario de activos. Esto incluye la inclusión de todos los canales de pago y cualquier activo directo o indirecto que afecte el procesamiento, la transmisión, el almacenamiento y la protección de los datos del titular de la tarjeta y la seguridad de su entorno.
- Identificación y puntuación de amenazas y vulnerabilidades. Esto incluye evaluaciones internas, como personal, subcontratación y terceros, así como vulnerabilidades organizativas y técnicas.
- Un plan de mitigación de riesgos priorizado que responde a los hallazgos de la evaluación de riesgos anual.
Elementos clave de una evaluación de riesgos.
El equipo de evaluación de riesgos representa a todos los departamentos y funciones, pero está dirigido por un miembro del equipo que conoce los requisitos de PCI-DSS y comprende cómo implementar un proceso de evaluación de riesgos.
Due ha seleccionado una metodología de evaluación de riesgos que se adapta a los estándares comunes de la industria, pero que se adapta a la cultura y el clima empresarial de la empresa. Los componentes incluyen identificación de riesgos, elaboración de perfiles de riesgos y tratamiento / aceptación de riesgos.
Identificación de riesgo.
La identificación de riesgos incluye el establecimiento de un contexto en el que deben entenderse los parámetros internos y externos para definir el alcance de la evaluación de riesgos. También se deben identificar los activos que incluyen cualquier cosa de valor para una organización relacionada con el procesamiento, almacenamiento, transmisión y protección de los datos del titular de la tarjeta.
Esto incluye todos los canales de pago e implica organizar los activos en varias categorías relevantes. En el proceso de identificación de riesgos se incluye la identificación de amenazas y vulnerabilidades, incluida la observación de las personas, los sistemas utilizados y las condiciones en las que se podrían crear daños, como piratas informáticos externos, ciberdelincuentes, personas internas malintencionadas, errores humanos, robos o daños físicos. .
Las vulnerabilidades también incluyen cualquier debilidad en el sistema que pueda ser explotada y que esté relacionada con sistemas, software e incluso políticas y procedimientos inexistentes o ineficaces. Toda la identificación de riesgos también enumera los resultados para el negocio en caso de que alguno de estos riesgos sea vulnerable de todos modos.
Elaboración de perfiles de riesgo.
La elaboración de perfiles de riesgo presenta todos los riesgos posibles para un activo, incluidas las características de la amenaza, la vulnerabilidad o el riesgo. Los controles existentes son aquellos que ya están en su lugar para proteger contra amenazas y vulnerabilidades previamente identificadas.
La evaluación de riesgos proporciona una forma de determinar la importancia de cada riesgo y cómo se pueden utilizar los recursos para mitigar el riesgo.
Una evaluación de riesgo cuantitativa ofrece valores numéricos a los elementos de la evaluación de riesgo, generalmente en términos monetarios, mientras que una evaluación de riesgo cualitativa utiliza una declaración objetiva basada en datos numéricos recopilados previamente.
Tratamiento de riesgos.
Una vez que se han identificado y medido los riesgos y las vulnerabilidades, la siguiente parte del proceso es el tratamiento del riesgo. Esto incluye la reducción de riesgos, la transferencia o distribución de riesgos, la evitación de riesgos y la aceptación de riesgos. La reducción de riesgos significa contramedidas, como controles técnicos o operativos o cambios en el entorno físico.
El riesgo compartido es compartir el riesgo con un tercero, como un proveedor de servicios o equipos o un equipo subcontratado. La transferencia está trasladando el riesgo de una parte a otra. Evitar riesgos implica retirarse de la actividad en la que está involucrado el riesgo. La aceptación del riesgo significa que la organización acepta un cierto riesgo porque cae dentro de un área determinada de tolerancia al riesgo.
Informe de resultados.
La última parte de la evaluación de riesgos es informar los resultados de la evaluación. Cada área debe explicarse en el informe. Esto incluye el alcance de la evaluación de riesgos, el inventario de activos, la evaluación de riesgos, el tratamiento de riesgos, el historial de versiones y un resumen ejecutivo. Esto ayuda a la organización a comprender los cambios del año anterior y a crear un plan de acción para abordar los nuevos riesgos que se identificaron durante el período de evaluación.
Factores críticos del éxito
Los factores críticos de éxito para la evaluación de riesgos incluyen la identificación de los activos recopilados de todas las partes interesadas, el mantenimiento de un enfoque proactivo en lugar de reactivo, la capacidad de mantener el proceso de evaluación de riesgos lo más simple posible utilizando una metodología estándar de la industria publicada y la capacitación para ayudar a todos los miembros. la organización comprende mejor las amenazas y vulnerabilidades que podrían tener un impacto negativo en nuestra empresa o en la seguridad de los datos de los titulares de tarjetas o en la organización.