Banca
Seguridad

Por qué falla el cumplimiento del estándar de seguridad de datos de las tarjetas de pago

Durante más de una década, las organizaciones han tenido dificultades para lograr y mantener el cumplimiento de PCI DSS. El problema no es conocimiento o tecnología; es competencia.

seguridad

 

Durante nueve años, Verizon ha publicado su Informe de seguridad de pagos anual sobre el cumplimiento del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS). Durante nueve años, el patrón se ha mantenido igual: muchas empresas no cumplen con el estándar, y muchas empresas que lo cumplen quedan fuera del cumplimiento poco después de su auditoría. Las organizaciones de TI no tienen problemas con el cumplimiento de PCI DSS debido a la falta de conocimiento o tecnología; el problema es la competencia.

"La competencia es el tema principal", dice Ciske van Oosten, autor principal del informe desde 2013 y gerente senior de inteligencia global para la consultoría de seguridad de Verizon Enterprise Solutions,."con 10 años de informes de investigación de violación de datos, comienzas a reconocer patrones".

"No es un problema de conocimiento", agrega van Oosten, "hay una gran cantidad de conocimiento por ahí. La gente está casi inundada con eso. No es realmente una falla tecnológica. Es realmente competencia: ese nivel de confianza, habilidades y experiencia".

El estado del cumplimiento de PCI DSS
En el informe de 2017, publicado a principios de este año, Verizon descubrió que el cumplimiento general ha aumentado entre las empresas globales: el 55,4% de las organizaciones que Verizon evaluó aprobó su evaluación provisional en 2016, frente al 48,4% de 2015. Pero eso significa casi la mitad de los minoristas, restaurantes , los hoteles y otras empresas que aceptan pagos con tarjeta no cumplen el cumplimiento de año en año.

"Existe un vínculo claro entre el cumplimiento de PCI DSS y la capacidad de una organización para defenderse contra ataques cibernéticos", dice Rodolphe Simonetti, director general global de consultoría de seguridad en Verizon, "aunque es bueno ver un aumento en el cumplimiento PCI, el hecho es que más del 40 por ciento de las organizaciones globales que evaluamos, grandes y pequeñas, aún no cumplen con el cumplimiento de PCI DSS. De las que pasan la validación, casi la mitad no cumplen con un año, y muchos mucho antes ".

El cumplimiento de PCI DSS varía de una industria a otra. El informe encontró que la industria de servicios de TI mantiene el más alto cumplimiento total de todos los grupos clave de la industria estudiados, con el 61.3% alcanzando el cumplimiento total durante la validación interina en 2016. La industria de servicios financieros (que incluye compañías de seguros) estuvo alguna vez en la parte inferior, pero en 2016 se llevó el segundo lugar con el 59.1% de las organizaciones logrando el cumplimiento total durante la validación provisional. El minorista llegó al 50% y la hospitalidad al 42.9%.

Los diversos sectores comerciales lucharon con diferentes controles:

Venta al por menor: pruebas de seguridad, transmisiones de datos encriptados y autenticación
Hospitalidad y viajes: endurecimiento de la seguridad, protección de datos en tránsito y seguridad física
Servicios financieros: procedimientos de seguridad, configuraciones seguras, protección de datos en tránsito, gestión de vulnerabilidades y gestión general de riesgos van Oosten apunta a una organización de servicios financieros que falló. Estaba buscando una exención de los requisitos de Wi-Fi de PCI DSS, solo para descubrir que ya tenía una red inalámbrica operando en su edificio. ¿Por qué? Un administrador de TI se había cansado de tener que ir entre la sala de servidores del sótano y el departamento de TI en el tercer piso cada vez que se necesitaban cambios, y así instaló un enrutador para acceder a los servidores desde su escritorio.

Buenas prácticas de cumplimiento, seguridad sólida
Van Oosten señala que de las casi 300 infracciones de datos de tarjetas de pago que Verizon ha investigado entre 2010 y 2016, ninguna de ellas cumplía totalmente con los requisitos en el momento de la violación. Algunas de esas organizaciones lograron el cumplimiento en un punto, pero no lo mantuvieron, a menudo porque consideran el cumplimiento como un objetivo a alcanzar en lugar de un proceso.

No es que el cumplimiento de PCI DSS lo haga seguro, explica van Oosten. El cumplimiento solo significa que no hubo evidencia de incumplimiento durante la primera o segunda semana del período de evaluación. Sin embargo, van Oosten dice que a las organizaciones que hacen que el control de la sostenibilidad y la resiliencia forme parte de su programa de seguridad más grande les va mejor.

Por ejemplo, considere una organización con una red bien segmentada. Mantiene los datos del titular de la tarjeta separados de otros tipos de datos, y solo se puede acceder a los datos del titular de la tarjeta según su "necesidad de saber". Esa es una práctica de seguridad sólida y básica. Pero digamos que el entorno cambia: la compañía agrega una nueva sucursal, instala un nuevo enrutador Wi-fi o reemplaza a un socio comercial. Una organización que trata el cumplimiento como un objetivo a alcanzar esperará hasta que un asesor externo señale el problema antes de su próxima auditoría para solucionar el problema. Por otro lado, una organización que trate el cumplimiento de PCI DSS como un proceso retrocederá para garantizar que la segmentación permanezca intacta después de la ecambios en el entorno. "Hay una diferencia entre la efectividad del control y la corrección del control", dice van Oosten. "Es resistencia y robustez básicas. Los cambios son inevitables. Sus controles fallarán. Debe tener esa capacidad de recuperación".

Protección de datos sostenible

Al observar los controles PCI que se esperaría que tuvieran las empresas (pruebas de seguridad, pruebas de penetración, etc. ), el informe encontró que muchos de estos conceptos básicos estaban ausentes. En 2015, las compañías que no pasaron su evaluación provisional tuvieron un promedio de 12.4% de los controles ausentes. Eso aumentó al 13% en 2016. "Ya no se trata de 'si' los datos deben protegerse, sino de 'cómo' lograr una protección de datos sostenible", dice Simonetti, "muchas organizaciones todavía miran los controles PCI DSS de forma aislada y no aprecian que estén interrelacionados: el concepto de control de la gestión del ciclo de vida está muy a menudo ausente. Esto es a menudo el resultado de una escasez de profesionales internos capacitados. sin embargo, en nuestra experiencia, el dominio interno puede mejorarse drásticamente con la orientación del ciclo de vida de expertos externos ".

Van Oosten habla de cinco directrices clave pueden ayudarle a establecer una sólida administración del ciclo de vida del control: consolide para facilitar la administración.

Agregar más controles de seguridad no siempre es la respuesta: el estándar PCI DSS ya contiene numerosos estándares y regulaciones de protección de datos interconectados. Úselo para consolidar controles, haciéndolos más fáciles de administrar.

Invierta en desarrollar experiencia. Invertir en las personas para desarrollar y mantener el conocimiento de cómo mejorar, controlar y medir la efectividad de los controles establecidos.

Aplicar un enfoque equilibrado. Mantenga un entorno de control interno sólido y resistente para evitar que los controles caigan fuera de cumplimiento.

Automatice todo lo posible. Aplique la automatización y el flujo de trabajo de protección de datos y asegúrese de que la automatización se audite con frecuencia. Reduzca su dependencia de los controles que requieren intervención humana.

Diseñe, opere y administre el entorno de control interno. El rendimiento de tus controles está entrelazado. Si hay un problema en la parte superior, tendrá un impacto en el rendimiento de los controles en la parte inferior. Comprender los vínculos para lograr y mantener un programa de protección de datos eficaz y sostenible.



TE PUEDE INTERESAR...

Nuevo número de nuestra revista de canal 
 
DealerWorld Digital

 

Cobertura de nuestros encuentros

 

Documentos ComputerWorld



Forma parte de nuestra comunidad

 

¿Te interesan nuestras conferencias?