Los riesgos de seguridad están en constante cambio, con nuevas amenazas que surgen aparentemente todos los días. La única forma de abordar los riesgos es identificar primero que están ahí.

Una evaluación de riesgos PCI te ayuda a hacer precisamente eso mediante el uso de una metodología para ayudar a identificar posibles riesgos que podrían afectar tu entorno de datos de tarjetahabientes.

Las evaluaciones de riesgos son una forma de detectar proactivamente debilidades en la seguridad y analizar tu postura de seguridad para mitigar amenazas actuales y futuras.

A continuación, describimos cómo completar tu propia evaluación de riesgos PCI en cinco sencillos pasos.

¿Es necesario una evaluación de riesgos para el cumplimiento de PCI?

Sí, las evaluaciones de riesgos son necesarias para el cumplimiento de PCI. Los detalles sobre las evaluaciones de riesgos se incluyen en el Requisito 12.2.

Según el requisito PCI, las empresas deben establecer un proceso para identificar activos, amenazas y vulnerabilidades y llevar a cabo una evaluación de riesgos formal. PCI DSS requiere que las empresas realicen evaluaciones de riesgos al menos una vez al año.

Existen varios enfoques de evaluación de riesgos que puedes utilizar, pero el estándar PCI DSS menciona específicamente las siguientes metodologías:

• OCTAVE
• ISO 27005
• Instituto Nacional de Estándares y Tecnología (NIST) Publicación Especial 800-30

¿Por qué son importantes las evaluaciones de riesgos?

Dado que el objetivo de PCI DSS es proteger los datos de los tarjetahabientes, es importante identificar, mitigar o eliminar completamente tus mayores vulnerabilidades antes de que se conviertan en problemas más grandes o sean explotadas.

Al monitorear continuamente los riesgos de seguridad de la información, tu empresa puede tener una imagen más clara de su postura de seguridad. Este proceso es una excelente manera de realizar la gestión de riesgos durante todo el año, identificando y abordando continuamente las amenazas que podrían tener un gran impacto en la seguridad de tu empresa.

Los riesgos de seguridad son dinámicos; es posible que un riesgo que se clasificó como de bajo impacto el año pasado ahora sea un riesgo de mayor rango debido a los cambios en el entorno. Sin un monitoreo continuo, es difícil detectar estas fluctuaciones de riesgo hasta que estés en medio de un incidente de riesgo.

Otros beneficios de la evaluación de riesgos PCI incluyen la capacidad de:

• Entender tu perfil de riesgo
• Priorizar los esfuerzos de gestión de riesgos y el gasto en seguridad
• Crear un inventario de tus activos de TI y datos
• Implementar controles de seguridad con mayor eficacia

Cómo realizar una evaluación de riesgos PCI en 5 pasos

El estándar PCI DSS no establece paso a paso un proceso específico para cómo realizar una evaluación de riesgos. Sin embargo, los siguientes pasos te ayudarán a identificar amenazas y vulnerabilidades que podrían afectar el entorno de datos de los titulares de tarjetas, que es el objetivo principal de una evaluación de riesgos PCI.

1. Delimita tu evaluación

Antes de comenzar a identificar riesgos, debes delinear las áreas de tu negocio que necesitas asegurar y determinar qué activos componen tu entorno de datos de titulares de tarjetas. Esto se conoce como alcance PCI.

Para hacer esto, considera todas las personas, procesos y tecnología que almacenan, procesan y transmiten datos de titulares de tarjetas o que pueden impactar la seguridad de los datos de los titulares de tarjetas. Preguntas a hacer durante el proceso de delimitación incluyen:

• ¿Cómo se ingieren los datos de los titulares de tarjetas?
• ¿Cómo se procesan y transmiten los datos de los titulares de tarjetas a lo largo del entorno de datos de titulares de tarjetas?
• ¿Quién tiene acceso al entorno de datos de titulares de tarjetas o puede ver los datos de los titulares de tarjetas?
• ¿Hay sistemas o personas que puedan impactar potencialmente el entorno de datos de titulares de tarjetas?

Mapear el flujo de datos de tarjetas puede ayudarte a comprender mejor cómo se ingieren y transmiten los datos de los titulares de tarjetas a través de tu entorno de datos desde el principio hasta el final. Esto te proporcionará una imagen clara de tu entorno de datos de titulares de tarjetas y los sistemas conectados a él.

2. Identifica los riesgos

A continuación, deberás identificar las personas, procesos y tecnologías que forman parte de tu entorno de datos de titulares de tarjetas o que pueden impactar el entorno.

Durante esta fase, identificarás amenazas y vulnerabilidades que podrían potencialmente impactar tus sistemas, lo que en última instancia ayudará a dar forma a tu perfil de riesgo.

• Vulnerabilidades son fallos en el estado de tu entorno que podrían ser explotados.
• Amenazas son la potencialidad de que alguien o algo se aproveche de una vulnerabilidad.
• Riesgos son una medida de la probabilidad de que una amenaza dada se aproveche de una vulnerabilidad dada y el impacto que tendrá en el entorno de datos de titulares de tarjetas.

Por ejemplo, consideremos un sistema de software que no se ha actualizado con una nueva versión destinada a parchear una vulnerabilidad de seguridad. Esa vulnerabilidad es el software desactualizado, la amenaza es que un hacker podría infiltrarse en el sistema, y el riesgo es no asegurar que el software esté actualizado.

Considera estas categorías de amenazas y vulnerabilidades:

• Digital: No actualizar el software con parches de seguridad
• Física: Eliminación inadecuada de datos
• Interna: Empleados
• Externa: Hackers
• Ambiental: Desastre natural

3. Analiza los riesgos

Una vez que se hayan identificado los riesgos, deberás evaluar la probabilidad de que el riesgo ocurra y el impacto potencial que tendría ese riesgo en tu organización.

• Probabilidad del riesgo: Considera cuán probable es que una amenaza se aproveche de un riesgo dado. Por ejemplo, si experimentaste una violación de datos el año pasado, la probabilidad de que vuelva a ocurrir sería alta a menos que hayas corregido la vulnerabilidad que causó la violación.
• Potencial del riesgo: Considera el daño que un riesgo podría causar a tu organización. Por ejemplo, las configuraciones incorrectas de los cortafuegos tendrían una alta probabilidad de que el tráfico innecesario entre o salga del entorno de datos de los titulares de tarjetas.

Basado en la probabilidad y el impacto potencial, asigne a cada vulnerabilidad y amenaza asociada un nivel de riesgo. Las categorías comunes de nivel de riesgo incluyen alto, medio y bajo riesgo. Su equipo debe priorizar la gestión de los riesgos más altos antes de abordar los riesgos medios y bajos.

4. Crear una estrategia de gestión de riesgos

Una vez categorizados los riesgos, puede comenzar a planificar su proceso de gestión de riesgos. Aunque algunos riesgos no pueden eliminarse por completo, el proceso de gestión de riesgos ayuda a reducirlos a un nivel más aceptable. El nivel de riesgo restante se conoce como riesgo residual.

Al elaborar su estrategia de gestión de riesgos, considere cómo se evaluarán, priorizarán e implementarán los controles de seguridad. Es útil nombrar un equipo para que sea responsable de este proceso y documente regularmente los hallazgos.

Cuando sepa cómo se rastreará el proceso de mitigación de riesgos, podrá aplicar controles de seguridad para abordar las áreas de mayor riesgo. Después de implementar las medidas de seguridad, verifique su efectividad y continúe monitoreando los riesgos emergentes.

Aunque las evaluaciones de riesgos deben realizarse anualmente para cumplir con PCI, existen algunas estrategias adicionales para ayudarlo a monitorear los riesgos entre evaluaciones:

• Pruebas de penetración: Requeridas por PCI DSS, las pruebas de penetración son una prueba práctica de la seguridad de su sistema.
• Análisis de brechas: Esta evaluación mide sus prácticas comerciales actuales para encontrar posibles deficiencias que podrían hacer que no cumpla con los requisitos.
• Escaneos de vulnerabilidades internos y externos: También requeridos por PCI DSS, los escaneos de vulnerabilidades prueban la existencia de debilidades en su infraestructura y aplicaciones.

5. Documentar correctamente su evaluación de riesgos

Después de completar su evaluación de riesgos, compile sus hallazgos en un informe formal. Este informe incluirá detalles sobre cada vulnerabilidad identificada y cómo ha tratado o aceptado los riesgos descubiertos.

Las secciones de un informe de evaluación de riesgos incluyen:

• Historial de versiones: La fecha de finalización de la evaluación y el autor del documento
• Resumen ejecutivo: Un resumen de la postura de seguridad de su organización antes y después de la evaluación
• Alcance de la evaluación de riesgos: Describa su empresa y una visión general del entorno de datos del titular de la tarjeta
• Enfoque de la evaluación de riesgos: Su proceso para llevar a cabo la evaluación de riesgos y el método utilizado para categorizar y priorizar los riesgos
• Inventario de activos: Una lista de los activos dentro del alcance incluidos en su evaluación
• Amenazas: Una lista de las amenazas que podrían afectar sus activos
• Vulnerabilidades: Una lista de las vulnerabilidades que podrían ser aprovechadas por las amenazas para afectar los datos del titular de la tarjeta
• Resultados de la evaluación de riesgos: Una lista de los riesgos categorizados y las acciones tomadas para abordar y mitigar los riesgos

Plantilla de informe de evaluación de riesgos PCI

PCI DSS requiere que las empresas documenten su proceso de evaluación de riesgos y los hallazgos. Descargue nuestra plantilla a continuación para ayudarlo a dar formato a los resultados de su evaluación de riesgos.

Cómo Secureframe puede ayudarlo a prepararse para una evaluación de riesgos PCI

Las evaluaciones de riesgos son una parte importante del cumplimiento de PCI. Una evaluación completa lo ayuda a identificar todos los riesgos potenciales y a emplear medidas de seguridad proactivamente.

Nuestro equipo de expertos en PCI puede ayudar a identificar con precisión todos sus activos y posibles vulnerabilidades para obtener una imagen completa de su postura de seguridad — asegurando que nada pase por alto.

Para obtener más información sobre cómo Secureframe puede ayudarlo a lograr el cumplimiento de PCI, solicite una demostración con nuestro equipo hoy mismo.