Blog de Internet Security Auditors

Blog de Internet Security Auditors: ISO 27001 y PCI DSS, Un Análisis Comparativo

Escrito por Internet Security Auditors | Jun 6, 2017 4:00:00 AM
En abril del 2016 fue emitida la nueva versión de la norma PCI DSS, esta nueva versión (3.2) hace una actualización en algunos controles técnicos y endurece otros, sin embargo, no cambia su enfoque.

La norma PCI DSS v.3.2 y sus diferentes actualizaciones se ha venido orientando el cumplimiento de la misma en un esquema de los negocios como siempre (Business as Usual – BAU), sin embargo este enfoque aunque la acerca un poco más a la norma ISO 27001:2013 en términos de que las tareas deben ejecutarse de manera continua como parte de los procedimientos, la sigue manteniendo separada en su filosofía.

Partamos de la filosofía de los sistemas de gestión planteados por las normas ISO: “mejoramiento continuo”, es decir, se presume un sistema que tiene fallas pero que busca mejorarse continuamente y usa los mecanismos como manejo de incidencias y auditorías para el apoyo en la generación de los cambios. Este sistema parte de los requerimientos de la organización y del apetito de riesgo de la misma, el análisis de riesgos provee los insumos para la definición de los controles que debe implementar la organización.

La norma PCI DSS parte del principio de que los controles definidos cumplen con los requerimientos de seguridad y deben estar funcionando correctamente. Los mecanismos como manejo de incidencias y auditorías son sistemas de monitoreo para asegurar que los controles están operando correctamente, y buscan realinear cualquier desviación con la definición original y no mejorar, o en el mejor de los casos se busca detectar actividad sospechosa no limitada por los controles implementados. El único control que permitiría un espacio para mejorar el sistema es la evaluación de riesgos (Req. 12.2), pero es un control sin dientes, porque lo único que se exige es que se haga una evaluación que identifique las amenazas y vulnerabilidades asociadas en búsqueda de riesgos no mitigados por la norma, sin embargo, aunque el control pide identificar nuevos controles, el mecanismo de verificación no pide que se valide la implementación de dichos controles.

El espíritu con el que se implementan estos dos sistemas que buscan un fin común, asegurar los activos de información, difiere también en el principio que determina su vida dentro de la organización, la norma ISO 27001 requiere de un compromiso de la dirección sin que sea un requerimiento legal o contractual (en la mayoría de los casos), mientras que la norma PCI DSS es mandatoria, ya sea porque para operar, las franquicias de las marcas de pago o el adquiriente lo exigen o porque un cliente lo exige, es importante tener en cuenta que para mantener adecuadamente la implementación de la norma requiere un soporte financiero y esto hace que se involucre la dirección. De hecho, para llegar a la implementación de una norma ISO 27001 se hace de una manera más voluntaria (algunos mercados están exigiendo estar certificado para permitir el acceso a ellos), mientras que la implementación de los controles de la norma PCI DSS son obligados de manera contractual para poder manejar datos de tarjeta habiente. Se puede decir que la diferencia de principios genera una diferencia significativa en la asignación de recursos y en el camino que se sigue para implementar su cumplimiento.

De acuerdo a este espíritu en un sistema que se requiere un compromiso se deberían obtener mejores resultados, mientras que en un sistema de obligatorio cumplimiento se hará lo mínimo necesario para pasar la evaluación. Sin embargo, esta presunción dista mucho de la realidad, ya que en la mayoría de las implementaciones de cualquiera de las dos normas se encuentra que se hace lo mínimo necesario para poder demostrar un estado de cumplimiento, generando en ocasiones controles débilmente implementados.

El alcance de las dos normas tiene dos ramas que también difieren en lo que se busca obtener, en la primera rama vemos que mientras la norma PCI DSS busca proteger la confidencialidad, la norma ISO 27001 tiene un alcance mayor cubriendo no solo la confidencialidad sino la integridad y la disponibilidad. Esta gran diferencia nos muestra que sólo proteger los datos de la organización con los controles que brinda la norma PCI DSS deja dos vectores importantes huérfanos comprometiendo la imagen y la continuidad del negocio.

En la otra rama del alcance de la norma están los activos de información a proteger, mientras que PCI DSS busca proteger los datos de tarjeta-habiente, la norma ISO 27001 busca proteger todos los activos de información de la organización de acuerdo a los niveles que la misma organización defina.

Esta diferencia lo que nos muestra es que PCI DSS tiene pre-definido un conjunto de activos como confidenciales mientras que bajo el criterio de la norma ISO 27001 esta definición puede ser un poco ajustable dependiendo de los requerimientos legales a los que esté sujeta la empresa, las necesidades de proteger sus activos de información y su apetito de riesgo. Sin embargo, al estudiar diferentes implementaciones de la norma ISO 27001, es fácil encontrar la falta de rigurosidad a la hora de clasificar la información y por ende los controles terminan siendo laxos o insuficientes.

Adicionalmente algunas organizaciones certifican tareas que tienen en plan de trabajo, contrario a la exigencia de los controles de la norma PCI DSS que se posicionan de un modo absoluto y estricto, la definición de cumplimiento de estos no da lugar a términos medios y no se pueden validar planes de trabajo, los controles deben estar operando desde el principio para considerar que la organización se encuentra en estado de cumplimiento con la norma PCI DSS.

Otro punto de vista sobre la expectativa de cómo implementar cada una de las normas se obtiene al analizar los requerimientos para poder auditar o verificar el cumplimiento de cada una de las normas, mientras que en términos generales de un auditor líder de ISO 27001 se espera que sea un profesional con deseable experiencia en auditoría interna o en auditoría de calidad (ISO 9001) o en general cualquier auditoría que se rija por los métodos definidos en la ISO 19001, un auditor de PCI DSS debe demostrar experiencia de 5 años en el campo de la seguridad informática y alguna certificación de industria en este campo, lo que hace que una persona certificada para hacer evaluaciones PCI (QSA) lo pueda hacer con conocimientos reales y prácticos sobre la materia y no solamente los conocimientos sobre una norma donde en algunas ocasiones sus argumentos serán sobre la interpretación de una palabra y no sobre el riesgo al que se puede exponer una plataforma por una inadecuada implementación de un control.

En otras palabras, la definición de la norma PCI DSS puede considerarse como el ejercicio que hizo el PCI SSC al definir los controles para un sistema de gestión sobre una empresa genérica con unas premisas definidas, con un alcance limitado, y esto lo podemos ver cuando hacemos un mapeo de las dos normas, al realizar esta tarea encontramos que prácticamente todos los controles de la noma PCI DSS tienen una equivalencia en el Anexo A de la norma ISO 27001, sólo que en la primera los controles son bastante específicos.

Conclusión
En ambientes donde es un requerimiento implementar la norma PCI DSS se deben aprovechar los beneficios que brinda el tener un sistema de gestión de seguridad de la información, al proveer mecanismos de mejora continua y respaldo corporativo sumados con el detalle de los controles que da la norma PCI DSS que han sido probados en diferentes ambientes y son reconocidos por dar resultados adecuados.

En muchos casos la implementación de la norma PCI DSS da una relevancia a controles que eventualmente durante la implementación del sistema de gestión se pudieron haber pasado por alto o no se les dio la suficiente importancia.

Referencias
(1) ISO/IEC 27001:2013 Information technology – Security techniques – Information security management systems – Requirements – 2013-10-01
(2) Payment Card Industry (PCI) Data Security Standard (DSS) – Requirements and Security Assessment Procedures – Version 3.2 – 2016-04
Autor: Javier Roberto Amaya Madrid, ISO 27001 LA, PCI QSA, PCI PCIP
Consultor en Seguridad