Un tema que se requiere revisar y que probablemente es uno de los que con regularidad se olvida para la implementación de PCI DSS es la Concientización de la Organización.
Se debe entender que el PCI, pide que se realice concientización, que se implemente un plan y se lo ejecute.
Para esto lo que se necesita es establecer un plan anualizado, que contemple la educación de los usuarios del sistema en un cronograma fijo, y que la ejecución de este plan produzca entregables que se puedan presentar al momento en que el auditor QSA solicite esta información.
De esto se debe recordar que este plan se debe establecer de forma que durante el año se afecte a cada individuo en la organización.
Para que esta información llegue a todos, se deben considerar estrategias como:
- e-learning
- posters
- correos a la organización
- posters, etc.
No se deben olvidar temas como:
- Comunicación de políticas de seguridad a la organización
- Comportamiento correcto
- Problemas de seguridad que se enfrentan día a día
- Riesgos que uno puede afrontar
- Como proteger a la compañía
- Seguridad de información general, etc.
Por último no olvidar que en el plan se deben considerar temas especializados para los usuarios de mayor riesgo:
- Desarrolladores
- Operadores de Centros de Computo
- Áreas de tecnología
- Áreas de facturación
- Gerencias, etc.
Se debe entender la importancia de este tipo de planes y no solo tomarlos como un requerimiento adicional para PCI DSS, si no porque estos fortalecen importantemente la seguridad de la organización, combaten de forma apropiada los riesgos de la Ingeniería Social y reducen significativamente los riesgos de compromiso de la red en la organización.
Recursos:
- SANS: http://www.securingthehuman.org/
- Security awarness Posters: http://bit.ly/h5PvOG
- SecurityCartoon.com:http://www.securitycartoon.com/