Versión 4.0 de PCI DSS. Analizando los requisitos 5 y 6

Nos encontramos en el post número 3 de una serie en la que estamos analizando más en profundidad cada uno de los cambios producidos en los requisitos de la versión 4.0 del estándar PCI DSS. En este post, nos centraremos en analizar los requisitos 5 y 6.

Dando una visión general, los requisitos 5 y 6 pertenecen al conjunto "Mantain a Vulnerability Management Program" y se centran en elaborar y mantener un sistema de protección ante posibles vulnerabilidades y malware. Más concretamente, en proteger todos los sistemas, redes y softwares y mantenerlos libres de cualquier amenaza de forma proactiva. 

En la versión 4.0 de PCI DSS, adquieren los siguientes nombres:

• Requirement 5: Protect All Systems and Networks from Malicious Software
• Requirement 6: Develop and Maintain Secure Systems and Software

A continuación, nos centramos en profundidad en cada uno de los requisitos.

Versión 4.0 de PCI DSS. Analizando los requisitos 3 y 4

En este nuevo artículo analizaremos los cambios de la nueva versión del estándar relativos a la protección de los datos de tarjeta, incluyendo la seguridad en el almacenamiento de los datos de cuenta dentro del entorno PCI DSS (requisito 3) y del envío de los datos de tarjeta de forma segura a través de redes abiertas y públicas utilizando cifrado robusto (requisito 4), ambos correspondientes al segundo objetivo de control definido en el estándar: "Protect Account Data".

CISO: La Llave Maestra para la Ciberseguridad Empresarial

En el pasado artículo "Desentrañando las principales novedades de la Directiva NIS2" se introdujo la importancia del CISO en el ámbito empresarial, posición que, día tras día, va ganando una crucial representación debido al aumento de concienciación respecto a su necesidad, independientemente de que estemos hablando de empresas pequeñas, medianas o grandes. Por ello, el presente artículo está dedicado a su figura, al CISO, la llave maestra para la ciberseguridad empresarial contemporánea.

Tal y como expone El Libro Blanco del CISO (2019), aunque algunas organizaciones pueden haber tardado en reconocer esta necesidad, otras han tenido esta figura durante más de 25 años. El/la CISO es esencial para dirigir la estrategia de ciberseguridad de la organización, alinear los objetivos de seguridad con los objetivos empresariales y liderar varios comités de gestión relacionados con la ciberseguridad, como el Comité de Seguridad de la Información y el Comité de Ciberseguridad.

Asegurando la Resiliencia Industrial: Implementación de normas de seguridad en el mundo OT

Actualmente, casi todos los servicios existentes en el mundo actual son soportados por las tecnologías de la información y las comunicaciones (TIC). Se prevé que en el futuro esta dependencia siga aumentando, ya que la digitalización de los procesos industriales comporta una serie de mejoras importantes ayudando así al progreso de la humanidad.

Sin embargo, estas tecnologías vienen asociadas a una serie de amenazas, rompiendo con la falsa sensación de seguridad existente en el entorno industrial de los últimos tiempos.

Explorando la Ciberseguridad Nacional en España en el mundo OT

En un mundo caracterizado por la interconexión digital y una creciente dependencia de la tecnología, la ciberseguridad ha emergido como una preocupación esencial para naciones de todo planeta. En este contexto, España ha forjado un camino sólido hacia la protección de sus infraestructuras críticas y la salvaguardia de su entorno digital e industrial a través de una serie de estrategias y marcos regulatorios integrales. Este artículo se adentra en la compleja red que compone la ciberseguridad nacional en España, explorando cuatro pilares fundamentales: la Estrategia de Ciberseguridad Nacional, la Ley de Protección de Infraestructuras Críticas, el Esquema Nacional de Seguridad y la Directiva NIS (Seguridad de las Redes y la Información).

Versión 4.0 de PCI DSS. Analizando los requisitos 1 y 2

En marzo de 2.022 salía a la luz la nueva versión del estándar PCI DSS, la versión 4.0 que sustituirá definitivamente a la 3.2.1 el 31 de marzo de 2.024.

 La versión 4.0 de PCI DSS mantiene la estructura de los 12 requisitos pero trae consigo numerosos cambios que iremos analizando en este y otros artículos del blog. Las principales novedades (enfoque al riesgo, personalización de los subrequisitos, etc.) fueron analizadas en otro artículo del blog (Novedades de PCI DSS en la Versión 4.0), por lo que en esta serie de 6 artículos nos centraremos en los cambios introducidos por cada uno de los requisitos, haciendo énfasis en los principales cambios de contenido en los subrequisitos y obviando los cambios en la numeración o en la fusión/separación de requisitos.

Acciones Estratégicas para Tiempos Desafiantes: Explorando el Esquema Nacional de Seguridad

El origen del Esquema Nacional de Seguridad

Actualmente, el progreso tecnológico está llevando a la evolución de las amenazas, así como, la creación de nuevos vectores de ataque afectando así a la Ciberseguridad de las organizaciones. Asimismo, a medida que aumenta la tecnología en la sociedad, el desafío para la gestión de su seguridad es cada vez mayor. Para adaptarse a esta nueva realidad es necesario el desarrollo de nuevos mecanismos de respuesta alineándolos con las regulaciones europeas y nacionales que sean de aplicación.

Las características del mundo actual, cada vez más hiperconectado, hacen que implementar la ciberseguridad hoy en día sea una prioridad estratégica. Sin embargo, la magnitud de los riesgos que afectan a la seguridad cibernética es tan grande que las empresas del sector público o privado no pueden abordar por si solas.

Crónica del evento: ISACA DAY Bogotá Chapter 2023

El pasado 12 de Julio se llevó a cabo el ISACA DAY, un evento organizado por el capítulo de ISACA Bogotá, en el cual se presentaron varias charlas con conferencistas internacionales, empresas de la industria y varios patrocinadores, el cual tuvo como tema principal "Conociendo el riesgo cibernético". El congreso de los especialistas en gestión de gobierno, auditoría, control, aseguramiento, seguridad y riesgos al nivel de las tecnologías de información.