Muchos me consultan cómo iniciar o gestionar su proyecto de cumplimiento de PCI. Les respondo que no hay una fórmula mágica, ya que esto depende de las características y particularidades de su negocio; lo que sí les puedo asegurar, de acuerdo a mi experiencia, es que deben gestionar el proyecto siguiendo las buenas prácticas de la industria, por ejemplo: el PMBOK y/o SCRUM
Antes que todo, hay que aclarar a que vamos a referirnos cuando decimos proyecto o producto en este artículo. Según el PMBOK, proyecto es esfuerzo temporal que se lleva a cabo para crear un producto, servicio o resultado único mientras que el producto es un artículo producido, cuantificable y que puede ser un elemento terminado o un componente.
A la fecha, muchas empresas tienen requerimientos para certificarse o cumplir con el estándar PCI DSS, pero es importante no perder de vista que primero debemos pensar en la gestión de riesgos y la seguridad de la información, antes que el cumplimiento de cualquier estándar de seguridad.
De acuerdo a la necesidad del negocio, solicitud de un cliente, demanda del mercado o cumplimiento regulatorio; entre otros, debemos definir claramente los objetivos del proyecto, pudiendo ser, lograr la certificación o cumplimiento en un periodo de tiempo definido. Recomiendo que, si el proyecto es de mediano o largo plazo, ya sea por la magnitud del alcance, controles a implementar y/o la madurez de la organización en los niveles de seguridad; entonces debemos pensar en planificar el proyecto por fases. Además, si el proyecto es de largo plazo, es importante fijarse objetivos relacionados al porcentaje de nivel de cumplimiento que quieren lograr por cada año.
Un factor clave de éxito para lograr estos objetivos es seguir metodologías para gestionar el proyecto y el producto. Hasta ahora, nos hemos centrado en el proyecto, pero, se han preguntado ¿A qué nos referimos con producto? Desde mi perspectiva, considero al producto en este contexto como el “PCI DSS compliance”, pudiendo ser el elemento terminado; es decir, cuando se haya logrado tener la certificación de cumplimiento de PCI DSS por parte un asesor de seguridad calificado (QSA) o un componente, esto es, cuando hayamos logrado cumplir el 50% de los requisitos de PCI DSS el primer año del proyecto.
A continuación se presenta de manera ilustrativa algunas de las actividades
o entregables relacionadas al proyecto y producto.
La metodología presentada para cumplimiento de PCI DSS solo debe ser utilizada a modo de guía, ya que como sabemos todas las empresas tienen sus propias características que las hacen únicas; es así que para buscar gestionar proyectos exitosos, se debe buscar adaptar una metodología personalizada.
Como parte de la gestión del proyecto en general, puedes usar las buenas prácticas del PMBOK y para proyectos específicos, como por ejemplo la implementación de un sistema de gestión de eventos de seguridad de la información, puedes usar las buenas prácticas de SCRUM.
Con respecto a la gestión de proyectos en general, que comprende los procesos de inicio, planificación, ejecución, seguimiento y cierre del proyecto; si bien se ha ilustrado de una manera secuencial, esto no necesariamente tiene que ser así.
A continuación describo algunas actividades y entregables generales que se desarrollan como parte de la gestión de proyecto.
En el proceso de inicio: debemos desarrollar el acta de constitución del proyecto en el cual se formaliza el patrocinador del proyecto, director del proyecto, los objetivos medibles, cronograma de alto nivel, riesgos alto nivel, entre otros. Luego se debe considerar una presentación inicial del proyecto a todos los interesados.
En el proceso de Planificación: se debe desarrollar el plan del proyecto, el cual incluye por ejemplo, el plan del cronograma del proyecto, gestión de recursos, gestión de riesgos, entre otros. Un cronograma, por ejemplo puede contemplar las actividades con sus fechas de inicio, fin para capacitar al personal, identificar el entorno de tarjetas, desarrollar los documentos requeridos por la norma, entre otros.
En el proceso de Ejecución: se crea los entregables del producto, como por ejemplo, la elaboración del diagrama de flujo de datos, la ejecución de la capacitación, revisión de cumplimiento de proveedores, en general la implementación de los controles exigidos como parte de los requisitos de PCI DSS. Es muy importante en esta fase establecer acuerdos en actas de reuniones de trabajos.
En el proceso de Seguimiento, se debe contemplar actividades claves para monitorear, analizar y regularizar el avance de lo planificado. Para este tipo de proyectos, considero que se debe hacer por lo menos los seguimientos en dos frentes, el de alto nivel a través de comité de gerencia, comité de riesgo, comité de seguridad o similares y el de nivel operativo, en la cual se debe realizar seguimientos a través de comités técnicos en la que participen, los especialistas de seguridad de tecnología de información y otros involucrados. Es muy importante en este proceso comparar el avance real versus el avance programado, identificar nuevos riesgos del proyecto, controlar los cambios, entre otros.
Finalmente, en el proceso de cierre: Es importante que el proyecto tenga un cierre formal y se recopilen las lecciones aprendidas del proyecto.
Para concluir, les comparto los factores claves de éxitos para el desarrollo del producto “PCI DSS Compliance”:
- Conseguir compromiso de alta dirección
- Establecer una organización de Seguridad
- Identificar claramente el alcance del entorno de datos de tarjetas
- Reducir el alcance del entorno de datos de tarjetas
- Realizar Autoevaluación de cumplimiento
- Concientización del personal clave
- Establecer un marco de gobierno de seguridad
- Trabajo y compromiso del equipo y TIC
- Planificación por Etapas
- Seguimiento de cumplimiento de proveedores
