Jesús Vázquez, MSc CS, MBA, PMP & MSc IT PM
Vicepresidente 1º del PMI Madrid Spain Chapter
Las organizaciones almacenan, en sus bases de datos, información crítica para el negocio, y en muchos casos han de cumplir con las cada vez más numerosas normativas de seguridad.
De entre las normativas de seguridad existentes hay tres con una alta probabilidad de aplicación en nuestro entorno, y que son:
- Las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standard – PCI DSS)
- Ley federal de Estados Unidos Sarbanes–Oxley (SOX), también conocida como el Acta de Reforma de la Contabilidad Pública de Empresas y de Protección al Inversionista
- Ley Orgánica de Protección de Datos (LOPD)
Con el objetivo de mejorar el nivel de seguridad de los pagos realizados mediante tarjetas, es necesario cumplir con el estándar PCI DSS, evitando así las posibles sanciones que su incumplimiento puede conllevar, por parte de las principales marcas de tarjetas de pago.
Con el objetivo de mejorar los controles financieros y garantizar la transparencia en la gestión financiera, incrementando la credibilidad de la organización en materia de seguridad de contabilidad y auditoría, y que la información sea realmente confiable, evitando el fraude, fuga de inversores, etc., las compañías quieren adecuarse también a los procedimientos establecidos por la ley SOX. Con el cumplimiento de esta ley se posibilita además que las empresas y sus posibles filiales puedan cotizar en la bolsa de valores de Nueva York (NYSE).
Por imperativo legal, si se trata de una compañía con sede en España, también está obligada a implantar los controles y procedimientos exigidos por la LOPD.
Un cortafuegos (“firewall”) de base de datos es un dispositivo capaz de supervisar el comportamiento de usuarios y aplicaciones que acceden a la base de datos en tiempo real, y de prevenir ataques y accesos no autorizados a la información sensible. El firewall ha de poder alertar, bloquear y registrar los intentos de acceso basado en las políticas de seguridad definidas. La implementación de estas políticas no ha de requerir cambios en las aplicaciones, ni en las infraestructuras de bases de datos y sistemas operativos existentes y ha de poder garantizar el cumplimiento de los mencionados estándares y legislaciones.
Para la correcta implantación del proyecto de seguridad es necesario definir un proyecto patrón que optimice el coste de implementación, los tiempos y el alcance. PMI (Project Management Institute), con su PMBOK (“Project Management Book of Knowledge”) y demás estándares, reconocidos como estándares de facto en la dirección de proyectos ofrecen un marco de referencia adecuado para esta tarea.
El entorno de trabajo a estudiar es el de cualquier compañía que quiera adecuar sus sistemas de información, desde la perspectiva del acceso a los datos, a los estándares de seguridad y legislaciones referenciados.
La elección de PMI como marco de referencia para la implantación de un proyecto tipo está justificada, por tratarse de un estándar aceptado y reconocido a nivel global.
En la actualidad se está realizando un trabajo de investigación, cuyos resultados se presentarán una vez concluido, y que consiste en la obtención de un marco de referencia, basado en prácticas PMI, para proyectos de seguridad cuyo objetivo es el cumplimiento de las normativas PCI DSS, SOX y LOPD, utilizando cortafuegos de bases de datos. Con este marco se pretende mejorar la implantación de este tipo de proyectos, facilitando así a las empresas la tarea de adecuación de los sistemas de información a los mencionados estándares y legislaciones.
El alcance de este trabajo de investigación no consiste en abordar todos los detalles de la implantación, que entre otros factores vendrían condicionados por la elección de la tecnología a utilizar. En el mercado existen diversos cortafuegos de base de datos, y cada uno de ellos tiene unas particularidades específicas que no son abordadas en esta investigación.
Para la consecución de los resultados perseguidos será necesario realizar una revisión sistemática de algunos de los trabajos relacionados con el tema a tratar, las normas PCI-DSS, SOX y LOPD, los firewalls de base de datos, y otros trabajos que nos ayuden a determinar los requisitos a establecer.
Se determinará también la aproximación PMI más adecuada para un proyecto de este tipo. Se presentarán las tareas de gestión del proyecto a realizar, agrupadas por los grupos de procesos del mismo. Para cada tarea se presentarán las entradas, técnicas y herramientas utilizadas, y las salidas o entregables obtenidos. Se aportarán herramientas y plantillas que faciliten la realización de estas tareas en un proyecto.
Se elaborará y realizará una encuesta, siguiendo aproximaciones contrastadas, que permita:
- Presentar el estado de la cuestión, y justificar en base al mismo su revisión, así como la utilidad y trascendencia del problema y la importancia de su resolución.
- Demostrar la existencia, importancia y resolución del problema y los beneficios que esta solución aporta. Analizar del grado de implantación en las organizaciones de las normativas de seguridad en estudio, y realizar una estimación del esfuerzo necesario para la implantación de las mismas.
- Valorar los cambios que el trabajo realizado puede conllevar.
Se presentarán las conclusiones y posibles trabajos futuros a realizar con el objetivo de ampliar el alcance de los resultados obtenidos.
Este artículo es por tanto un adelanto que a título informativo se presenta a todas aquellas personas y empresas a las que pueda interesar el tema en estudio.