ISO 27001 y PCI DSS, Un Análisis Comparativo

En abril del 2016 fue emitida la nueva versión de la norma PCI DSS, esta nueva versión (3.2) hace una actualización en algunos controles técnicos y endurece otros, sin embargo, no cambia su enfoque.

La norma PCI DSS v.3.2 y sus diferentes actualizaciones se ha venido orientando el cumplimiento de la misma en un esquema de los negocios como siempre (Business as Usual – BAU), sin embargo este enfoque aunque la acerca un poco más a la norma ISO 27001:2013 en términos de que las tareas deben ejecutarse de manera continua como parte de los procedimientos, la sigue manteniendo separada en su filosofía.

Partamos de la filosofía de los sistemas de gestión planteados por las normas ISO: “mejoramiento continuo”, es decir, se presume un sistema que tiene fallas pero que busca mejorarse continuamente y usa los mecanismos como manejo de incidencias y auditorías para el apoyo en la generación de los cambios. Este sistema parte de los requerimientos de la organización y del apetito de riesgo de la misma, el análisis de riesgos provee los insumos para la definición de los controles que debe implementar la organización.

La norma PCI DSS parte del principio de que los controles definidos cumplen con los requerimientos de seguridad y deben estar funcionando correctamente. Los mecanismos como manejo de incidencias y auditorías son sistemas de monitoreo para asegurar que los controles están operando correctamente, y buscan realinear cualquier desviación con la definición original y no mejorar, o en el mejor de los casos se busca detectar actividad sospechosa no limitada por los controles implementados. El único control que permitiría un espacio para mejorar el sistema es la evaluación de riesgos (Req. 12.2), pero es un control sin dientes, porque lo único que se exige es que se haga una evaluación que identifique las amenazas y vulnerabilidades asociadas en búsqueda de riesgos no mitigados por la norma, sin embargo, aunque el control pide identificar nuevos controles, el mecanismo de verificación no pide que se valide la implementación de dichos controles.

El espíritu con el que se implementan estos dos sistemas que buscan un fin común, asegurar los activos de información, difiere también en el principio que determina su vida dentro de la organización, la norma ISO 27001 requiere de un compromiso de la dirección sin que sea un requerimiento legal o contractual (en la mayoría de los casos), mientras que la norma PCI DSS es mandatoria, ya sea porque para operar, las franquicias de las marcas de pago o el adquiriente lo exigen o porque un cliente lo exige, es importante tener en cuenta que para mantener adecuadamente la implementación de la norma requiere un soporte financiero y esto hace que se involucre la dirección. De hecho, para llegar a la implementación de una norma ISO 27001 se hace de una manera más voluntaria (algunos mercados están exigiendo estar certificado para permitir el acceso a ellos), mientras que la implementación de los controles de la norma PCI DSS son obligados de manera contractual para poder manejar datos de tarjeta habiente. Se puede decir que la diferencia de principios genera una diferencia significativa en la asignación de recursos y en el camino que se sigue para implementar su cumplimiento.

De acuerdo a este espíritu en un sistema que se requiere un compromiso se deberían obtener mejores resultados, mientras que en un sistema de obligatorio cumplimiento se hará lo mínimo necesario para pasar la evaluación. Sin embargo, esta presunción dista mucho de la realidad, ya que en la mayoría de las implementaciones de cualquiera de las dos normas se encuentra que se hace lo mínimo necesario para poder demostrar un estado de cumplimiento, generando en ocasiones controles débilmente implementados.

El alcance de las dos normas tiene dos ramas que también difieren en lo que se busca obtener, en la primera rama vemos que mientras la norma PCI DSS busca proteger la confidencialidad, la norma ISO 27001 tiene un alcance mayor cubriendo no solo la confidencialidad sino la integridad y la disponibilidad. Esta gran diferencia nos muestra que sólo proteger los datos de la organización con los controles que brinda la norma PCI DSS deja dos vectores importantes huérfanos comprometiendo la imagen y la continuidad del negocio.

En la otra rama del alcance de la norma están los activos de información a proteger, mientras que PCI DSS busca proteger los datos de tarjeta-habiente, la norma ISO 27001 busca proteger todos los activos de información de la organización de acuerdo a los niveles que la misma organización defina.

Esta diferencia lo que nos muestra es que PCI DSS tiene pre-definido un conjunto de activos como confidenciales mientras que bajo el criterio de la norma ISO 27001 esta definición puede ser un poco ajustable dependiendo de los requerimientos legales a los que esté sujeta la empresa, las necesidades de proteger sus activos de información y su apetito de riesgo. Sin embargo, al estudiar diferentes implementaciones de la norma ISO 27001, es fácil encontrar la falta de rigurosidad a la hora de clasificar la información y por ende los controles terminan siendo laxos o insuficientes.

Adicionalmente algunas organizaciones certifican tareas que tienen en plan de trabajo, contrario a la exigencia de los controles de la norma PCI DSS que se posicionan de un modo absoluto y estricto, la definición de cumplimiento de estos no da lugar a términos medios y no se pueden validar planes de trabajo, los controles deben estar operando desde el principio para considerar que la organización se encuentra en estado de cumplimiento con la norma PCI DSS.

Otro punto de vista sobre la expectativa de cómo implementar cada una de las normas se obtiene al analizar los requerimientos para poder auditar o verificar el cumplimiento de cada una de las normas, mientras que en términos generales de un auditor líder de ISO 27001 se espera que sea un profesional con deseable experiencia en auditoría interna o en auditoría de calidad (ISO 9001) o en general cualquier auditoría que se rija por los métodos definidos en la ISO 19001, un auditor de PCI DSS debe demostrar experiencia de 5 años en el campo de la seguridad informática y alguna certificación de industria en este campo, lo que hace que una persona certificada para hacer evaluaciones PCI (QSA) lo pueda hacer con conocimientos reales y prácticos sobre la materia y no solamente los conocimientos sobre una norma donde en algunas ocasiones sus argumentos serán sobre la interpretación de una palabra y no sobre el riesgo al que se puede exponer una plataforma por una inadecuada implementación de un control.

En otras palabras, la definición de la norma PCI DSS puede considerarse como el ejercicio que hizo el PCI SSC al definir los controles para un sistema de gestión sobre una empresa genérica con unas premisas definidas, con un alcance limitado, y esto lo podemos ver cuando hacemos un mapeo de las dos normas, al realizar esta tarea encontramos que prácticamente todos los controles de la noma PCI DSS tienen una equivalencia en el Anexo A de la norma ISO 27001, sólo que en la primera los controles son bastante específicos.

Conclusión
En ambientes donde es un requerimiento implementar la norma PCI DSS se deben aprovechar los beneficios que brinda el tener un sistema de gestión de seguridad de la información, al proveer mecanismos de mejora continua y respaldo corporativo sumados con el detalle de los controles que da la norma PCI DSS que han sido probados en diferentes ambientes y son reconocidos por dar resultados adecuados.

En muchos casos la implementación de la norma PCI DSS da una relevancia a controles que eventualmente durante la implementación del sistema de gestión se pudieron haber pasado por alto o no se les dio la suficiente importancia.

Referencias
(1) ISO/IEC 27001:2013 Information technology – Security techniques – Information security management systems – Requirements – 2013-10-01
(2) Payment Card Industry (PCI) Data Security Standard (DSS) – Requirements and Security Assessment Procedures – Version 3.2 – 2016-04

Autor: Javier Roberto Amaya Madrid, ISO 27001 LA, PCI QSA, PCI PCIP
Consultor en Seguridad

Nuevo plazo para registrar las bases de datos personales en Colombia

Hace unos días (el 4 de mayo) que participé en una de las formaciones que dicta la Superintendencia de Industria y Comercio en relación con el Registro Nacional de Bases de Datos Personales, durante la sesión de preguntas y respuestas los instructores invitaron a uno de los profesionales del equipo legal que apoya los procesos relacionados con este tema internamente para apoyar la tarea y ser formales en las respuestas entregadas, en alguna de las preguntas de los participantes, el abogado fue enfático en afirmar que el Gobierno Nacional no daría más plazos para el registro.


Sin embargo, al navegar en la página web de la Superintendencia de Industria y Comercio (http://www.sic.gov.co/) encontramos un banner que ocupa el 70% de la página principal donde presenta el borrador del decreto con el que se dará un nuevo aplazamiento para el cumplimiento de la obligación de declarar las bases de datos personales.

Al revisar el proyecto podemos encontrar que se mantiene la consideración inicial del primer aplazamiento (decreto 1759 de 2016), pero se incluye un nuevo elemento a considerar para tomar esta determinación y es el hecho de que menos del 25% del total de los sujetos obligados a hacer el registro lo han hecho.

Si analizamos las consideraciones para este aplazamiento deberíamos llegar a algunas conclusiones alarmantes: la primera sería que la tarea de divulgación y socialización, no se ha realizado de acuerdo al mandato de la ley y, esta es una obligación del Estado a través de las entidades que lo representan, esto representa una acción que debería ser verificada por las entidades de control.

El segundo tema a considerar es: si los obligados a reportar mantienen la indisciplina, el Gobierno seguirá dando plazos de manera indefinida, deslegitimando el proceso y pisoteando un trabajo que le ha costado mucho esfuerzo al mismo Gobierno para lograr la protección de la información de sus ciudadanos.

Y finalmente, tantos aplazamientos pueden significar una falta de visión, un análisis pobre de las causas de los incumplimientos y una planeación inadecuada, ya que una simple ampliación de plazos no va a asegurar que al final del ciclo se logre el objetivo si no se plantean u ofrecen mecanismos que garanticen el cumplimiento de la norma.

El decreto entonces, se queda corto porque no le da a la Superintendencia herramientas adicionales para mejorar la “divulgación y socialización” y si a la fecha menos del 25% de los responsables han hecho la tarea, ¿qué hace pensar que en 6 meses lo hará el 75% faltante si la ampliación anterior fue similar y no se logró el propósito?

No sería mejor ofrecer un plazo mayor brindando recursos adicionales para que la Superintendencia pueda ofrecer herramientas, plantillas, guías y ejemplos específicos a aquellas empresas que por su tamaño no tienen la capacidad para hacer un análisis juicioso sobre el estado de la protección de datos al interior de las empresas.

Si no se plantean mecanismos de apoyo es mejor no seguir dando plazos y dedicar los recursos a verificar el cumplimiento de una ley que ya va a cumplir 5 años, que ahora se amplían quedando con los siguientes plazos :
  • Los Responsables del Tratamiento, personas jurídicas de naturaleza privada y sociedades de economía mixta inscritas en las cámaras de comercio del país, deberán realizar la referida inscripción a más tardar el 31 de enero de 2018, de acuerdo con las instrucciones que para el efecto imparta la SIC.
  • Los Responsables del Tratamiento, personas naturales, entidades de naturaleza pública distintas de las sociedades de economía mixta y personas jurídicas de naturaleza privada que no están inscritas en las cámaras de comercio, deberán inscribir sus bases de datos en el Registro Nacional de Bases de Datos a más tardar el 31 de enero de 2019, conforme con las instrucciones impartidas para tales efectos por la SIC.
Las bases de datos que se creen con posterioridad al vencimiento de los plazos referidos en los literales a) y b), deberán inscribirse dentro de los 2 meses siguientes, contados a partir de su creación.


Autor: Javier Roberto Amaya Madrid, ISO 27001 LA, PCI QSA, PCI PCIP
Consultor en Seguridad