Durante la implementación de tu programa de seguridad vas definiendo qué quieres lograr y cómo lo vas a lograr. Esto en formato de políticas, procedimientos, planes y metodologías, en los cuales documentas y formalizas todos los requisitos y actividades que te ayudarán a cumplir tus objetivos.

Pero, como el título de este artículo lo dice, la comunicación es una de las tareas más importantes para conseguir que la implementación de tu programa de seguridad sea un éxito.

Toda esa documentación generada y el conocimiento obtenido debe ser transferido a toda la organización y a las partes interesadas pertinentes, de manera que cada uno de ellos comprenda su impacto en la seguridad de la información, sus responsabilidades, los riesgos que existen y las mejores prácticas que deben aprender y aplicar en su día a día.

Seguramente te surgirán preguntas como ¿a quién debo comunicar? ¿cómo debo hacerlo? ¿cuál es el canal más apropiado? ¿cómo genero la evidencia de que lo comunique?

¡Que no panda el cúnico! Aquí te damos las respuestas a todas estas preguntas 🚀.

Para responder la primera pregunta, a continuación te compartimos el listado de actividades con las recomendaciones de quién debería ser comunicada una vez que son aprobadas, tomando como referencia el plan de acción proporcionado por Hackmetrix para implementar PCI DSS.

Recuerda que esto es solo una guía y tú puedes decidir si es necesario comunicarlo a más personas (o inclusive a menos), esto con respecto a lo que consideres pertinente y sin olvidar la clasificación de la información contenida en dichos documentos. Recuerda que un programa de seguridad para PCI DSS es complejo, y es mejor sólo comunicar lo apropiado a cada una de las partes interesadas.

1. Definición de alcance y descripción de los procesos de negocio con tarjeta de pago

2. Diagrama de flujo de datos del titular de la tarjeta

3. Diagrama de red

4. Inventario de activos

5. Lineamientos y procedimiento de configuración de firewall

6. Evidencia de Aplicación de Controles de Cambios

7. Evidencia de firewall personal

8. Formato de Control de Cambios

9. Descriptivo de roles y responsabilidades

10. Política de Configuración de Equipos de Red

11. Procedimiento de Gestión de Cambios

12. Evidencia de revisión de reglas de firewall

13. Procedimiento de Configuración de Redes Inalámbricas

14. Evidencia de Cambio de Valores Predeterminados

15. Evidencia de habilitación de solo los servicios necesarios

16. Documentación de Hardening

17. Política de Configuración de Sistemas

18. Evidencia de almacenamiento de datos del titular de la tarjeta

19. Acta de Custodios

20. Política de Tratamiento de la Información

21. Gestión de Claves Criptográficas

22. Evidencia del uso de protocolos seguros en la transmisión de información

23. Procedimiento de Transmisión de Datos de Tarjeta

24. Evidencia de configuración del antivirus

25. Política de Antivirus

26. Procedimiento de Antivirus

27. Capacitación de Desarrollo Seguro

28. Evidencia de revisiones de código de aplicaciones en desarrollo a producción

29. Evidencia de actualización de parches de seguridad

30. Evidencia de desarrollo seguro

31. Metodología de Ciclo de Vida de Desarrollo

32. Política de Desarrollo Seguro

33. Política de Tecnología y Operaciones de TI

34. Procedimiento de Aplicación de Parches de Seguridad

35. Formulario de solicitud de accesos

36. Matriz de Accesos

37. Política de Accesos y Contraseñas

38. Procedimiento de Gestión de Accesos

39. Evidencia de implementación del MFA

40. Evidencia de seguridad en BD

41. Capacitación de TPV/ATM/PinPad

42. Evidencia de accesos físicos

43. Política de Seguridad Física y Ambiental

44. Procedimiento de Seguridad Física

45. Evidencia de pistas de auditoría (logs)

46. Política de Gestión de Logs

47. Procedimiento de Gestión de Logs

48. Evidencia de escaneos de vulnerabilidades

49. Ethical Hacking

50. Remediaciones Ethical Hacking + Escaneo de Vulnerabilidades

51. Procedimiento de Gestión de Vulnerabilidades

52. Taller de Concientización de Seguridad

53. Formato de informe de incidencias

54. Procedimiento Gestión de Incidentes de Seguridad

55. Plan de Comunicación de la Seguridad de la Información

56. Matriz de Registro de Incidencias

57. Metodología de Gestión de Riesgos

58. Matriz de Riesgos

59. Metodología de Indicadores de Seguridad

60. Política de Relación con Proveedores

61. Política de Seguridad de la Información

62. Procedimiento de Seguimiento PCI

63. Procedimiento de Preselección y Selección de Personal

64. Programa de Capacitación de SI

Te lo mostramos también con la siguiente tabla, donde podrás identificar fácilmente las personas o áreas a las que deberás comunicar cada actividad:

Para responder esta pregunta debemos considerar los siguientes aspectos:

Es decir que debes asignar a un responsable capacitado y con suficiente alcance dentro de la organización, dependiendo el área a la que va dirigida la comunicación o en dado caso que vaya a toda la empresa, para que te asegures que el mensaje enviado sea comprensible para todos y que las acciones a realizar, si es que las hay, realmente sean aplicadas correctamente.

Por ejemplo, si vas a comunicar la Política de Seguridad de la Información, la cual impacta a toda la empresa debes asignar a alguien que tenga la presencia o impacto suficiente, por decirlo de alguna manera, para llegar a todos los colaboradores y que le presten la debida atención.

Así como también, dicho responsable debe enviar el mensaje lo suficientemente claro para que todos lo comprendan. Y si se espera que se realice una acción, por ejemplo leer el documento enviado, que esto se indique dentro del mensaje.

Comprendiendo esto, podemos responder la siguiente pregunta.

No existe un canal de comunicación específico u obligatorio por el cual debas realizar estas comunicaciones. El canal más apropiado será el que consideres formal y eficiente para que el mensaje llegue a todos tus colaboradores, el ejemplo más claro es por medio de un correo electrónico, pero también puedes utilizar otras herramientas como lo son Slack o Teams.

Una práctica súper buena y eficiente es organizar talleres o reuniones especiales para los involucrados en donde se les explique el contenido del documento o la información importante. Con esto puedes realizar encuestas e incluso cuestionarios breves al finalizar para validar que todos hayan comprendido.

Explicar el proceso del auditor cuando realiza entrevistas también puede ser de gran ayuda para visualizar el impacto que puede tener el no contar con el conocimiento necesario y las posibles consecuencias; una puede ser directamente no pasar la certificación.

Siempre y cuando se entienda que la comunicación es formal y de suma importancia para el cumplimiento de tu programa de seguridad, puedes elegir el medio o canal de comunicación que mejor se acomode a tus necesidades.

Esta es una de las preguntas más frecuentes entre los clientes y aquí te lo vamos a explicar, ¡es súper sencillo!

La evidencia de comunicación que te permitirá validar tu cumplimiento consiste de lo siguiente:

Por ejemplo, en la siguiente imagen podemos ver el mensaje de comunicación sobre una nueva Política de Seguridad de la Información y las reacciones de los colaboradores:

Hackmetrix reminder:

Recuerda que la actividad 55. Plan de Comunicación de Seguridad de la Información de nuestro plan de acción para implementar PCI DSS te permite llevar un seguimiento apropiado a tus actividades de comunicación.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.