Recientemente PCI DSS (Del inglés, Payment Card Industry Data Security Standard), la organización dedicada a certificar la seguridad de la información en empresas que comercializan y realizan transacciones con tarjetas de crédito, ha liberado su informe “2011 PCI Compliance Report”, que incluye información estadística y analítica sobre las empresas que han intentado (y eventualmente logrado) certificar en la norma PCI. Tal como reporta Anton Chuvakin en el blog oficial, 8 de cada 10 empresas que certificaron el último año, no han logrado certificar en el 2011. Este dato, además de alarmante, refleja algo que siempre menciono en contextos de concientización en empresas: la seguridad es un proceso.
Cuando escribí los 10 mandamientos de la seguridad corporativa, ponía en el número nueve:
No terminarás un proyecto en seguridad: se que parece extraña, pero no lo es, porque… ¡tampoco empezarás un proyecto! La seguridad debe ser concebida como un proceso continuo, no termina. Es cierto que pequeñas implementaciones de los controles pueden necesitar de proyectos, pero la protección general de la información no puede ser pensada como un proyecto, sino como una etapa de mejora continúa, como una necesidad permanente del negocio.
Las estadísticas recientemente publicada por PCI DSS hablan justamente de ello: muchas empresas consideraron que sus buenos resultados el último año eran un sinónimo de "seguridad", y es por ello que evidentemente han descuidado la protección de su información en los últimos 12 meses. Sólo un 21% de las empresas han logrado superar en dos años consecutivos los requerimientos impuestos por la organización.
La seguridad no es un proyecto, es un proceso; y las certificaciones no pueden distraernos en el camino hacia trabajar por una protección continua de la información corporativa. Cualquier prueba o evaluación realizada, no solo hace un año, sino hace unos meses; puede hoy ser insuficiente si no se acompañó el proceso posterior a la evaluación con más medidas de seguridad, y la actualización necesaria según los cambios de la empresa y del propio entorno (y por ende las amenazas).
Para ser más claros: las medidas de seguridad que hoy están implementando en su empresa, pueden dejar de ser eficientes en un año, en diez años, o mañana; pero sin lugar a dudas en algún momento dejarán de serlo, o necesitarán una revisión u otra capa de seguridad. No podemos pensar la seguridad como un cúmulo de tecnologías o medidas aplicadas en un tiempo determinado, sino que es necesaria la revisión y toma de decisiones constante en esta materia.
Esto, por supuesto, hace el trabajo del Oficial de Seguridad de la Información y todas las personas involucradas más complejo, y lamento informarles que así es, y justamente por ello es recomendable someter a la empresa periódicamente al análisis del estado de la seguridad, ya sea desde el punto de vista tecnológico como así también de otros aspectos de gestión de la seguridad y procesos.
Para más información les recomiendo leer el informe completo. Para más protección, ¡manos a la obra!
Sebastián Bortnik
Coordinador de Awareness & Research
