Seguritecnia 391

SEGURITECNIA Noviembre 2012 43 Seguridad en Entidades Financieras guridad. Recuerde que la DSS es la base, no el límite; siempre debería estar pen- sando en incorporarle nuevas capas de seguridad. Este enfoque por capas le permitirá centrarse en la parte de se- guridad de su negocio, desarrollándolo en cada proyecto o actividad empresa- rial que acometa, y le permitirá moverse en un entorno de cumplimiento en el que usted es un objetivo cada vez más difícil para los delincuentes. Solo hace falta coordinar un poco los esfuerzos. Cuanto más difícil se lo ponga a los de- lincuentes, más rápido se irán a buscar a otra parte. Recuerde que la PCI DSS es una base sólida para que usted desarrolle y man- tenga prácticas de seguridad que con- tribuyan a mantener en marcha toda la empresa. Aprenda lo básico siguiendo estos consejos y después incorpore sus capas para tener una empresa más se- gura. Para acceder a las normas de la PCI en español , visi te: ht tps: // es.pcisecuritystandards.org/minisite/en/ index.php S el proceso de la PCI o si solo está empe- zando, una buena referencia para su consulta es el documento sobre el en- foque priorizado de la PCI. Dicho enfo- que ofrece una guía que ayudará a los proveedores a determinar cómo redu- cir el riesgo de los datos del titular de la tarjeta lo antes posible en su proceso de cumplimiento. La herramienta re- coge los requisitos de la norma PCI DSS en seis objetivos para que los provee- dores los tengan en cuenta en su estra- tegia para proteger los datos de tarjetas. Este enfoque basado en el riesgo eli- mina primero las vulnerabilidades más importantes y le permite compartir con sus evaluadores, bancos compradores y marcas de tarjetas cómo va avanzando en el proceso. Integre la seguridad en su ADN. Una vez más, esto hace referencia a otro punto anterior: piense en la segu- ridad en vez de en el cumplimiento. La norma PCI DSS es una base fantástica para establecer un grupo principal de mejores prácticas que pueda servir de base para sus tareas en materia de se- mantener una organización bajo con- trol que cumpla los requisitos de la PCI durante todo el año. Elegir socios de negocios que en- tienden de PCI. De acuerdo con el In- forme 2012 Trustwave seguridad glo- bal, el 76 por ciento de las violaciones de datos son el resultado de las vul- nerabilidades de seguridad introduci- das por un tercero responsable del so- porte de sistemas, desarrollo o mante- nimiento de entornos empresariales. Estas vulnerabilidades vienen a me- nudo mediante la adición o la recon- figuración de un nuevo sistema a tra- vés de un nuevo software o por fallos de integración. Un caso frecuente es no cambiar las contraseñas que por defecto vienen de fábrica en los com- ponentes del sistema añadido, lo que deja su sistema abierto a la vulnerabili- dad y puede que, incluso, no sea cons- ciente de que existe. Una de las cosas que el PCI SSC (Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago) ha hecho para ayudar a resolver este problema es el desarrollo e imple- mentación de los Integradores Califica- dos y Programa de Resellers (QIR). Este nuevo programa de PCI SSC capacita y califica a integradores y distribuidores de aplicaciones de servicios de pago en cuanto a la seguridad de la insta- lación y el mantenimiento de los es- tándares PA-DSS para aplicaciones de pago y PCI DSS sobre seguridad de los datos. Esto, en términos simples, signi- fica capacitar a estas personas y a las organizaciones para llevar a cabo sus actividades de una manera segura (de forma que no tendrá impacto en los programas de seguridad ni en las ca- racterísticas que se han puesto en mar- cha) y sin dejar vulnerabilidades desco- nocidas. Visite el sitio web del PCI SSC para conocer más acerca de este re- curso que le ayudará a seleccionar un proveedor de confianza: https://www. pcisecuritystandards.org/training/qir_ training.php Aplique un enfoque basado en el riesgo. Una vez que se ha hecho con su personal interno, es el momento de or- ganizar su agenda. Si ya ha avanzado en Deberíamos ocuparnos de formar a nuestros empleados y aplicar tecnologías diseñadas para reducir el alcance y el riesgo