👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
PCI DSS v3.2.1: 12.2
PCI DSS v4.0: 5.3.2.1, 7.2.5.1, 8.6.3, 11.6.1, 12.3.1, 12.3.2
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a analizar y evaluar los riesgos asociados a los activos que almacenan, transmiten o procesan datos de tarjeta, y que son alcanzados por tu certificación PCI DSS, con el objetivo de conocer a qué se enfrenta tu empresa y con ello, tomar las mejores decisiones para disminuir el impacto y la probabilidad de dichos riesgos.
💡 El análisis, evaluación y tratamiento de riesgos son ejercicios que deben realizarse de manera periódica, y cuando ocurran eventos o cambios significativos dentro de la empresa, por lo que es de suma importancia comprender en su totalidad cómo se deben realizar.
¿Qué tengo que hacer? 🚀
Para realizar esta actividad, es importante ya contar con una Metodología de Gestión de Riesgos, establecida y documentada.
Si utilizas la metodología propuesta en nuestro template, recuerda que debes leerla y comprenderla muy bien para que puedas realizar esta actividad fácil y rápidamente 🌟.
Recomendamos seguir los pasos que explicamos a continuación:
¡Comienza pensando en tus activos! Conociendo el activo, o por lo menos el tipo de activo, como por ejemplo software, hardware, recursos humanos, etcétera, puedes identificar más fácilmente los riesgos a los que están expuestos.
Recomendamos ya tener tu inventario de activos documentado antes de comenzar con una matriz de riesgos, porque de esa forma ya sabes, o por lo menos tienes más claridad de cuáles son los activos críticos para tu programa de seguridad, y por ende, aquellos que requieren ser protegidos.
Luego, describe uno a uno los riesgos que existan dentro del contexto actual de la organización. ¡Utiliza nuestro listado de riesgos! Puedes tomar ejemplos directamente de ahí, o usarlos como orientación para describir o complementar con tus propios riesgos 🤓.
Por ejemplo, un riesgo relacionado al software puede ser un abuso en los accesos y permisos otorgados a un usuario. Otro ejemplo, ahora relacionado al hardware, puede ser la pérdida o robo de dispositivos móviles.
Te recomendamos indicar cuáles de tus activos están asociados a los riesgos que identifiques. Por ejemplo, para un riesgo de “accesos no autorizados”, considerando activos de tipo software, te recomendamos asociar todas las aplicaciones que utilices dentro de tu alcance del SGSI.
Recuerda que un activo puede tener más de un riesgo asociado, por lo que te recomendamos generar todos los riesgos únicos posibles que te permitan abarcar y proteger todos tus activos correctamente.
Asigna a un dueño responsable del riesgo y que pueda darle seguimiento a su estatus; evaluación, decisión de tratamiento, implementación de controles de mitigación, etcétera.
Recuerda que puedes cargar la información de todos tus colaboradores dentro de nuestro módulo de Personal para que esta asignación de responsables sea mucho más rápida ✨.
Posteriormente, debes evaluar el riesgo, lo cual consiste en indicar un nivel de impacto y uno de probabilidad.
Para la metodología que proponemos dentro de nuestro módulo de Riesgos, se realiza una multiplicación del valor del nivel de impacto por el valor del nivel de probabilidad (impacto x probabilidad). Para ello puedes considerar lo siguiente:
PROBABILIDAD 📈 |
Descripción | Nivel | Valor |
Es casi imposible que el riesgo ocurra. | Muy bajo | 1 |
Es poco posible que el riesgo ocurra. | Bajo | 2 |
Es igual de posible que el riesgo ocurra a que no ocurra. | Medio | 3 |
Es posible que el riesgo ocurra. | Alto | 4 |
Es muy posible que el riesgo ocurra. | Muy alto | 5 |
IMPACTO 🔥 |
Descripción | Nivel | Valor |
Las consecuencias de la ocurrencia del riesgo son insignificantes. | Muy bajo | 1 |
Las consecuencias de la ocurrencia del riesgo son mínimas. | Bajo | 2 |
Las consecuencias de la ocurrencia del riesgo son tolerables. | Medio | 3 |
Las consecuencias de la ocurrencia del riesgo son graves. | Alto | 4 |
Las consecuencias de la ocurrencia del riesgo son desastrosas. | Muy alto | 5 |
5. Una vez que el riesgo esté evaluado, debes definir el tratamiento que le darás. Las decisiones de tratamiento que puedes elegir para disminuir el impacto y/o probabilidad del riesgo son las siguientes:
Decisión | Descripción |
Mitigar | Corresponde a la implementación de controles y medidas que te permitirán reforzar la seguridad, y disminuir la probabilidad y/o el impacto de ese riesgo. |
Aceptar | Corresponde a no realizar ninguna acción sobre el riesgo. Esta decisión debe tomarse posterior a un análisis de costo - beneficio donde se confirme que es más caro / difícil implementar medidas de seguridad, que asumir el costo de que el riesgo ocurra. |
Eliminar | Corresponde a eliminar la causa raíz del riesgo, como por ejemplo el sistema, proceso o activo asociado que lo origina. |
Transferir (Compartir) | Corresponde a transferir el riesgo a un tercero, como por ejemplo al proveedor, compartiendo así la responsabilidad de su mitigación y monitoreo. |
6. Después de definir tu plan de tratamiento, debes evaluar el riesgo residual, que no es más que el nivel de probabilidad e impacto disminuido que queda después de haber implementado los controles y medidas de tratamiento.
💡 Recuerda que, a menos que decidas eliminar el riesgo, éste nunca desaparece, sólo puede disminuir, y por ello se debe realizar un seguimiento periódico para conocer su nivel.
Puedes implementar todos estos pasos desde nuestro módulo de Riesgos de una forma muy sencilla, para que puedas aprovechar al máximo las automatizaciones que tenemos para ti, haciendo que la evaluación y el monitoreo de tus riesgos sea súper eficiente.
Cómo implementar estos pasos y la forma de analizar, evaluar y documentar tus riesgos debe estar alineada a lo que estableciste en tu Metodología de Gestión de Riesgos. El template que te proponemos para la metodología ya se encuentra alineado al uso de nuestra plataforma 😎.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Para este caso puedes subir una captura de pantalla de la vista principal del módulo.
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Utiliza nuestro módulo de Riesgos y comienza a usarlo una vez que cuentes con la metodología de gestión de riesgos documentada y tu inventario de activos terminado 🚀.
Asigna a responsables de riesgo lo suficientemente capacitados que puedan llevar un seguimiento adecuado.
Sé lo más objetivo posible durante la evaluación del riesgo inherente y residual; no todo debe ser crítico para tu empresa, pero tampoco le restes importancia a cosas que sí o sí deben ser analizadas y protegidas correctamente.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.