Seguritecnia 391
42 SEGURITECNIA Noviembre 2012 Seguridad en Entidades Financieras E l delito cibernético es un pro- blema muy real que puede crear enormes costes para las organizaciones y los individuos por igual. Los datos de los titulares de tar- jetas son el objetivo más atractivo para los delincuentes porque son fáciles de convertir en dinero en efectivo. La persistente serie de incidentes de este tipo a nivel global y masivo, que han atormentado a las empresas, de- muestra que las organizaciones involu- cradas en la cadena de pago siguen es- tando en el punto de mira y deben to- mar medidas directas para incorporar de forma sólida la seguridad a sus ta- reas empresariales cotidianas. Aunque muchas organizaciones han intentado luchar contra el fraude y pro- teger la información confidencial me- diante tecnología o procesos, existe un tercer pilar (las personas) que es esen- cial para lograr una verdadera protec- ción de los datos de tarjetas. No pode- mos confiar simplemente en una única tecnología para solucionar los proble- mas de las violaciones de datos en el panorama de amenaza en el que vivi- mos hoy en día. Tenemos que seguir analizando a las personas, los procesos y la tecnología con los que contamos para evitar futuros fraudes de tarjetas. Algunos de los pasos básicos para re- ducir el fraude combinan estos ele- mentos. Deberíamos ocuparnos de formar a nuestros empleados –después de de- sarrollar procedimientos de seguridad y estrategias– y aplicar tecnologías di- señadas para reducir el alcance y el riesgo. Solo así podremos hacer frente al próximo momento crítico de la se- guridad de los pagos, sobre todo en las nuevas áreas de la tecnología de este tipo que se presentan, como la se- guridad en móviles, en la que todo el mundo parece querer tomar parte. Varios consejos Estos son algunos de los consejos que le doy a las organizaciones a la hora de migrar a transacciones de pago más se- guras: Si no lo necesita, no lo almacene. Es- toy de acuerdo en que esto puede pa- recer una simplificación excesiva, pero funciona a niveles muy diferentes, y lo cierto es que ésta es la base de muchas tecnologías conocidas, como el cifrado y la ‘tokenización’. Haga todo lo que pueda para eliminar datos. Forme a sus empleados, diseñe los procesos y des- pués analice las tecnologías adecuadas que puedan ayudarle en esta tarea. En muchos casos podrá sustituir los datos que está almacenando o transmitiendo mediante el cifrado o la ‘tokenización’ de los éstos. Esto ayudará a reducir el al- cance de su evaluación de la PCI ( Pay- ment Card Industry ) y a simplificar sus ta- reas de cumplimiento. Piense en la seguridad, no en el cumplimiento. Eso es básicamente en lo que consiste también el primer con- sejo, pero este va más allá. Un informe de cumplimiento es un documento va- lioso para muchas organizaciones, pero quizás menos valioso que la tranquili- dad que se tiene cuando se está prepa- rado en materia de seguridad. Nombre un experto interno. Una de las formas más sencillas y eficaces de mantener el cumplimiento es me- diante un recurso interno especializado nombrado por usted. De esta manera, se puede contar con una persona o un equipo que no solamente ayude a pre- pararse para una evaluación de cum- plimiento, sino que establezca los pro- tocolos para monitorizar y mantener tanto dicha tarea como también la se- guridad. Nuestro programa de Evalua- dor de Seguridad Interna (ISA) ofrece a los defensores internos la misma forma- ción que el programa de Evaluador de Seguridad Certificado, de forma que sa- ben lo que tienen que buscar y cómo Jeremy King Director europeo del Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) La importancia de proteger sus datos Tenemos que seguir analizando a las personas, los procesos y la tecnología con los que contamos para evitar futuros fraudes de tarjetas
Made with FlippingBook
RkJQdWJsaXNoZXIy MTI4MzQz