En este artículo, quiero describir los pasos básicos para prepararse para una auditoría de seguridad. La mayoría de las veces es una auditoría de cumplimiento de los estándares de seguridad de la serie ISO (27 ***) o PCI DSS, o el cumplimiento de los requisitos de cumplimiento de GDPR.
Mi experiencia en seguridad de la información es de 12 años. Durante este tiempo, he realizado proyectos con decenas de empresas de Estados Unidos, Gran Bretaña, China, Rusia, Ucrania y países europeos. Los clientes fueron tanto grandes centros de procesamiento como bancos, así como empresas de TI de diversas especializaciones. Los resultados de la implementación fueron evaluados por PWC (Hong Kong), VISA (EE. UU.), Deloitte (UKR) y se confirmó con éxito el cumplimiento de los requisitos, que se pueden ver en las cartas de recomendación en el sitio web y las revisiones en el perfil de Linkedin .
Espero que mi experiencia en la realización de auditorías, consultoría y supervisión de proyectos para que las empresas cumplan con el estándar de seguridad PCI DSS , VISA & MASTERCARD me ayude en palabras simples a transmitir información útil a los lectores.
Me gustaría expresar la experiencia y el conocimiento, las observaciones y los comentarios acumulados en este artículo utilizando el ejemplo de preparación para una auditoría de cumplimiento del estándar PCI DSS. Todo lo que se indica en este artículo puede diferir significativamente de las opiniones de otros auditores y consultores, la posición oficial del PCI Security Standards Council y otras fuentes. No estoy sugiriendo que siga estrictamente todo lo que se discutirá. Esta es solo información para que pueda tomar sus propias decisiones. Espero que sea de utilidad para los lectores.
Entonces, ¿dónde comienza la auditoría y cómo funciona?
Todo comienza ni siquiera con la firma de un contrato para una auditoría o una pre-auditoría. Todo comienza con la decisión de la empresa (generalmente un director o gerente) sobre la necesidad de someterse a una auditoría.
: , , ( , ) () - . « » , , , . , . , – , , , . , , – . .
- , . . , , , . , , . ( , ) , ( ) .
, «» , , . , , . ( ), . , , , . , , , , , . , – . , . , . « » , , . , , , . , .
, , , . , . , , .
– , . , , ., .
, ( , PCI DSS -). . , , PCI DSS. , . . – , . .
, , . PCI DSS 3.2.1 PCI DSS 4.0.
, . , - ( , 1-3).
1
2
3
, , , , . .
, :
.
, , .
.
.
.
.
.
, , -, PCI DSS . , . :
.
PCI DSS .
.
.
: , , , .
, , , . : , - , . , , . - .
, , , , , ( ). , , . , , , . , . , , .
.
1. . , , PCI DSS, .
, , . , , . , .
2. , . , , , , , ( , ). , . . . , . .
3. , . , . . . , . , « » .
4. - . PCI DSS . – . , . , .
(ASV) IP¨C28C 4 . – , . .
5. :
, , .
.
.
, , .
6. . , , , . , , , .
, . – - .
7. . , . , , . . .¨C32C
. , . , , . ( ) . , . … .
PMBok, , . , . , .
, . . , . , , SCRUM, . .
, , , , , , . , . , . , . .
, , . , , . , , - . , , . , , – . , - , – .
, , , . , , ( ), . , 10 35% .
, , . , , , , , . , , . . . , – . , , .
. . . , , , , «» . , . , , , . , . , .
En general, puedo decir que preparar a una empresa para una auditoría para el cumplimiento del estándar PCI DSS (así como cualquier otro) requiere una planificación clara, perseverancia y resistencia. Y también la capacidad de equilibrar los requisitos documentados de la norma y su implementación de tal manera que tengan un impacto mínimo en los procesos de trabajo de la empresa, al tiempo que aumentan su seguridad real.
Si tiene alguna pregunta, siempre puede hacerla escribiéndome por correo .