Son los lineamientos mínimos para el procesamiento de pagos con dinero plástico.Este estándar ha sido implementado por PCI SSC que está compuesto por los 5 miembros más poderosos: American Express, Discover, JCB internacional, MasterCard y por supuesto, VISA. El estándar aplica para los comerciantes, procesadores de la transacción, adquirientes, emisores y proveedores de servicios.Cualquier organización pequeña o grande que almacene, procese o transmita datos de titulares de tarjetas o datos confidenciales debe cumplir con 12 requisitos.
- Instale y mantenga una configuración de firewall para proteger los datos del titular de la tarjeta.
- No utilice los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
- Proteja los datos almacenados del titular de la tarjeta.
- Cifre la transmisión de datos de titulares de tarjetas a través de redes públicas abiertas.
- Use y actualice periódicamente software o programas antivirus.
- Desarrollar y mantener sistemas y aplicaciones seguras.
- Restrinja el acceso a los datos del titular de la tarjeta según la necesidad empresarial de saber.
- Asigne una identificación única a cada persona con acceso a la computadora.
- Restrinja el acceso físico a los datos del titular de la tarjeta.
- agrupar y monitorear todo el acceso a los recursos de la red y los datos del titular de la tarjeta
- Probar regularmente los sistemas y procesos de seguridad.
- Mantener una política que aborde la seguridad de la información para todo el personal.
¿Por qué es necesario tener una consciencia de seguridad?
Para proteger los datos confidenciales, la mayoría de las organizaciones se enfocan primero en la tecnología mediante la implementación de las últimas herramientas antivirus, sistemas de detección de intrusos (IDS), redes privadas virtuales (VPN) y firewalls para protegerse contra amenazas y atacantes. El elemento humano a menudo se ignora. Las personas deben ser conscientes de las amenazas básicas que surgen del seguimiento de personas, el phishing, la ingeniería social, el robo y el malware. La tecnología debe estar respaldada por procesos sólidos (es decir, marcos de gobernanza), políticas y, lo que es más importante, personas con las habilidades y la conciencia adecuadas.
Uno de los requisitos de PCI es la necesidad de una política de seguridad clara y aplicada.
Esto significa que todas las organizaciones que acepten o procesen transacciones de pago (desde comerciantes, bancos, procesadores de pagos, proveedores de servicios y tecnología hasta clientes comerciales y titulares de tarjetas) deben informar a todos las partes interesadas adecuadamente sobre los requisitos PCI y las amenazas relacionadas con la industria de pagos. Estas partes interesadas incluyen gerentes, ejecutivos y miembros del personal que tienen algún rol operativo o técnico en el procesamiento de los datos del titular de la tarjeta, junto con oficiales de cumplimiento, especialistas financieros, gerentes de auditoría, analistas de crédito, administradores de sistemas y desarrolladores.
Todos los empleados deben conocer, como mínimo, los consejos generales de capacitación en seguridad relacionados con el phishing, la seguridad física, la seguridad de los dispositivos móviles y los virus. También deben conocer la definición de datos del titular de la tarjeta y datos confidenciales de autenticación (SAD) y comprender sus responsabilidades. para salvaguardarlos. Dependiendo de cómo se recopile normalmente la información de la tarjeta de crédito (por ejemplo, por teléfono, electrónicamente, en papel), se deben implementar procedimientos de manejo específicos.
De hecho, casi siempre solemos pensar de que estamos expuestos a las amenazas externas y se invierte mucho dinero tratando de superar las vulnerabilidades de la organización. Infortunadamente, casi siempre ignoramos la importancia que tiene el personal interno y la responsabilidad de la seguridad interna. Los incidentes de seguridad se deben dos veces más por negligencia interna que por ataque externo.
Los cinco tipos más comunes de infiltrados maliciosos incluyen:
- Trabajadores descuidados: estos son empleados que ignoran las políticas de seguridad cibernética de la empresa, hacen mal uso de los datos e instalan aplicaciones no autorizadas (apps). Esto suele suceder porque les resulta más fácil trabajar cuando ignoran las normas de seguridad. Los empleados descuidados no tienen intenciones maliciosas, pero sus acciones involuntarias pueden causar brechas de seguridad devastadoras.
- Agentes internos: son empleados contratados por terceros para robar o corromper los datos de una organización.
- Empleados descontentos: estos empleados pueden vengarse de una organización destruyendo o vendiendo sus datos o interrumpiendo la actividad comercial.
- Insiders malintencionados: estos son empleados que deliberadamente hacen un mal uso de la información empresarial confidencial para beneficio personal.
- Usuarios de terceros: estos son proveedores o socios comerciales que comprometen la seguridad cibernética debido a negligencia, uso indebido de datos, intenciones maliciosas o accidentes. En algunos casos, los contratistas externos no conocen las políticas de ciberseguridad de los clientes y las infringen sin saberlo.
El papel crítico de la alta dirección y una cultura organizacional
La investigación ha enfatizado la importancia de la alta dirección para influir en el comportamiento de cumplimiento de la seguridad de los empleados. A través de la prueba de hipótesis, se ha encontrado que la participación de la alta dirección influye fuertemente en la cultura organizacional, lo que, a su vez, afecta las actitudes de los empleados hacia el control conductual percibido sobre el cumplimiento. con políticas de seguridad de la información. Los empleados representan más interrupciones en la seguridad de la información que ataques externos, y son potencialmente más peligrosos para las organizaciones debido a su conocimiento práctico de sus organizaciones. Además, el incumplimiento de las políticas de seguridad por parte de los empleados puede ser desastroso para una organización, lo que a menudo los convierte en el punto más débil de cualquier modelo de seguridad de la información. Establecer un programa de concientización puede ayudar a las organizaciones a evitar estos obstáculos, pero la influencia y la gestión de la cultura organizacional por la gerencia también puede dar forma y guiar el comportamiento de los empleados a través de valores compartidos y compromiso con la organización.
Crear una cultura en torno a la concienciación sobre ciberseguridad en el lugar de trabajo no significa que el riesgo de robo de datos o ciberdelincuencia se pueda erradicar por completo. A medida que crecen nuevas cepas de malware, las empresas deben asegurarse de que están implementando las medidas de seguridad adecuadas, educando a sus empleados y eliminando cualquier debilidad que los haga vulnerables a los ataques, ya que el error humano es un exploit que puede generar multas y daños comerciales graves.
Las características de los empleados (roles y estilos de aprendizaje), el cumplimiento de las políticas vigentes, el estado de la cultura de seguridad y la misión, visión y planificación estratégica de la organización deben ser considerados al establecer un plan de desarrollo de cultura de seguridad. Al desarrollar un plan de concientización sobre seguridad, se debe identificar a un gerente sénior para defender el programa, y los miembros de los equipos de TI, recursos humanos (HR), marketing, legal y seguridad deben participar activamente en el programa. Aquellos que son seleccionados para brindar capacitaciones de seguridad deben enfocarse en las habilidades de pensamiento de orden superior de los empleados, como evaluar, juzgar, crear y formular ideas y trabajar para cumplir con los estilos de aprendizaje de las personas.
Problemas de implementación que enfrenta la administración
Al crear un programa de concientización sobre seguridad, la gerencia enfrenta una serie de problemas desde la fase de planificación hasta la fase de monitoreo y evaluación.
Falta de recursos, tiempo y apoyo: la falta de capacidad para ejecutar el programa debido a los recursos, el tiempo y el apoyo es el mayor problema que enfrenta la administración. Los recursos asignados para un programa de concientización sobre seguridad pueden quedar atrapados con otras responsabilidades operativas y convertirse en no se puede utilizar para ejecutar el programa según lo planeado. Los presupuestos también se priorizan para iniciativas críticas para el negocio, y puede ser difícil lograr que se aprueben para este tipo de programas.
Empleados distribuidos geográficamente: es un desafío lograr que todos los empleados participen en el programa si están distribuidos geográficamente, especialmente en una organización grande. Para que la capacitación sea efectiva, se deben considerar diferentes zonas horarias, métodos de capacitación preferidos y estrategias de refuerzo. El programa debe atender a los empleados fuera del sitio, trabajadores remotos, personal de turnos y empleados cuyas funciones les impiden tener horarios regulares. Además, se deben tener en cuenta las diferencias culturales con personas de diferentes países.
Contenido de la capacitación y mecanismos de entrega: la gerencia debe decidir si la capacitación debe llevarse a cabo internamente o subcontratada y si debe ser instructiva o autodidacta. A menudo, cuando se abordan las necesidades de capacitación de una gran fuerza laboral, es posible que uno o dos métodos de capacitación no sean efectivos. Carteles, salvapantallas y pancartas de advertencia; alertas generadas por computadora; mensajes de correo electrónico de toda la organización; sesiones basadas en la web; sesiones basadas en computadora; sesiones de teleconferencia; sesiones presenciales dirigidas por un instructor; simulaciones; y seminarios son algunas de las técnicas que se pueden utilizar para el programa. Otras cosas a considerar son mantener los temas relevantes, mantener los temas actualizados y determinar la frecuencia de la capacitación.
Modificación del comportamiento: el objetivo final de un programa de concientización sobre seguridad es cambiar las actitudes y el comportamiento de los empleados. Impartir conocimientos no es suficiente. Lograr que los usuarios informen y respondan correctamente a los incidentes de seguridad en lugar de encubrirlos es uno de los mayores desafíos que enfrenta la administración. Por lo tanto, los programas de formación pueden medir la eficacia de la formación cambiando las actitudes de los empleados.
Conclusión
Las personas a menudo se consideran el eslabón más débil en las defensas de ciberseguridad de una organización. Por lo tanto, los atacantes cibernéticos a menudo usan técnicas como el phishing selectivo, la ingeniería social, el ransomware y el malware para atacar a los empleados de una organización, que a menudo son fáciles de explotar. Aunque normalmente se dedica una gran cantidad de esfuerzo a mejorar la infraestructura de seguridad existente, ignorar a los recursos humanos deja una brecha significativa en la estrategia de ciberdefensa de una organización. Por lo tanto, educar a los empleados a través de programas de concientización sobre seguridad cibernética puede reforzar los esfuerzos de seguridad cibernética de una organización. La capacitación en concientización sobre seguridad cibernética no es una actividad única y debe reforzarse repetidamente a través de múltiples métodos.
Varios grupos en una organización, desde el equipo de gestión de riesgos hasta RRHH y proveedores externos, deben participar en la capacitación de concientización sobre seguridad. La capacitación no puede ser una solución única para todos y debe personalizarse de acuerdo con la audiencia. Debe inculcar un sentido de responsabilidad y rendición de cuentas en los empleados para que la organización esté a salvo de ataques que exploten el factor humano. Como parte del cumplimiento de PCI DSS, las organizaciones deben contar con un programa de concientización sobre seguridad para cumplir con las regulaciones de PCI DSS y protegerse contra las amenazas de seguridad. Las organizaciones también deben abordar adecuadamente las cuestiones legales y éticas e incluirlas en la capacitación para ayudar a los empleados a comprender mejor los valores morales relacionados y las implicaciones éticas y legales de no seguir las mejores prácticas y políticas de seguridad. La alta dirección y la cultura de la organización tienen roles críticos para hacer que el programa de concientización sea más efectivo y supere los desafíos en la implementación del programa. Tener un programa de concientización sobre seguridad ya no es opcional para las organizaciones. Su retorno de la inversión es alto y es una parte vital de cualquier plan de seguridad de la información. Los programas de concientización sobre seguridad pueden actuar como cortafuegos humanos si se implementan de manera efectiva.