Movilidad

Verizon: los riesgos de ciberseguridad aumentan a medida que cae el cumplimiento normativo de las tarjetas de crédito

El informe anual de Verizon analiza cómo el pleno cumplimiento de las normas de pago con tarjeta de crédito puede impulsar el negocio, ahorrar tiempo y dinero y mantener una red segura.

En el pasado, casi todas las empresas aceptaban cheques y estaban felices de aceptar pagos en efectivo. Las tiendas comenzaron a colocar calcomanías promocionales en sus puertas, llamando a los clientes y prometiéndoles que aceptarían tarjetas de crédito.

Informes de seguridad de lectura obligada

Ahora, algunas tiendas no aceptan efectivo, solo tarjetas de crédito y débito. Cada vez más lugares aceptan Apple Pay o Samsung Pay como pago móvil. Algunos proveedores incluso aceptan pagos de PayPal y solo necesitan revisar los correos electrónicos en sus teléfonos inteligentes para asegurarse de que el pago del cliente se haya completado. Aún así, las tarjetas de crédito son la forma más popular en que las personas realizan compras, y todas las organizaciones que las aceptan deben cumplir con los estándares de la industria de tarjetas de pago (PCI) y asegurar a sus clientes que mantendrán segura su información privada.

Desde 2003, las organizaciones deben cumplir con las regulaciones de la industria de tarjetas de pago y ser evaluadas según el Estándar de seguridad de datos de tarjetas de pago. Pero muchas organizaciones están experimentando una conspiración de verificación anual, por lo que deben llevar sus procesos y capacidades de cumplimiento y protección de datos a un nivel más sustancial. La falta de una estrategia sólida para medir la eficacia y la sostenibilidad de la protección de datos crea pérdidas financieras innecesarias para las empresas en su búsqueda de protección de datos y no permite que las organizaciones mantengan mejor el cumplimiento. Este enfoque puede conducir a una falsa sensación de seguridad. Muchas organizaciones parecen estar atrapadas en un modo de bucle reactivo, enfocándose solo en cumplir con los requisitos de cumplimiento básicos en lugar de mirar hacia adelante de una manera más proactiva.

mirar: Los datos de mi tarjeta de crédito robada se usaron a 4.500 millas de distancia. Estoy tratando de averiguar cómo sucedió (artículo de portada PDF) (República tecnológica)

Durante los últimos nueve años, Verizon ha publicado el Informe de seguridad de pago (PSR), que brinda información sobre el panorama regulatorio de la industria de tarjetas de pago y el valor y el rendimiento del Estándar de seguridad de datos de la industria de tarjetas de pago (Estándar de seguridad de datos PCI).

LEER  T-UI Launcher trae una interfaz de línea de comandos a Android

La edición de 2023 del PSR acaba de publicarse y se centra en la visibilidad, el control y la madurez, incluido el análisis para realinear los programas de cumplimiento para mejorar los objetivos y diseñar caminos sostenibles para aumentar la madurez de la protección de datos. También se basa en factores establecidos de PSR anteriores.

objetivo principal

Verizon escuchó una solicitud de CISO (director de seguridad de la información) para obtener orientación sobre objetivos clave:

1. Eficacia del control sostenible

2. Desempeño y resultados predecibles del proyecto

El informe también incluye nuevas herramientas, como el marco de evaluación del desempeño del programa de cumplimiento (DCCEF) 9-5-4 de Verizon, para llevar la gestión del cumplimiento a un nivel más alto de garantía y previsibilidad.

Destacados para 2023

El PSR de 2023 cubre: El estado global actual de cumplimiento y cómo las organizaciones mantienen (y no mantienen) el cumplimiento de PCI DSS:

  1. Consideraciones importantes sobre el diseño del programa de cumplimiento
  2. Perspectivas sobre la correlación de violaciones de datos y la preparación para incidentes
  3. Tendencias de seguridad de pagos móviles
  4. Calendario de referencia de cumplimiento de PCI DSS
  5. Guía de preparación de eventos

Establecido en 1999, PCI DSS se refiere al Esquema de protección de datos del titular de la tarjeta. Visa lanzó su programa en 2004 y asumió claramente que las organizaciones lograrían un cumplimiento efectivo y sostenible en cinco años. En 2010, Verizon comenzó a publicar informes que rastrean el porcentaje de organizaciones que siguen cumpliendo midiendo el cumplimiento de PCI DSS durante un período de evaluación provisional, como indicación del cumplimiento total. La tasa de cumplimiento total varió del 22 % en 2009 a un mínimo de 7,5 % en 2011 y un máximo de 55,4 % en 2016.

El cumplimiento activo es bajo

El informe de este año muestra que poco más de un tercio (36,7 %) de las organizaciones mantuvieron activamente un plan PCI DSS en 2023. Esta tendencia bajista (desde los máximos mencionados en 2016) es motivo de gran preocupación.

Muchas empresas crean programas que se ven bien en el papel, pero no resisten el escrutinio de una evaluación de seguridad profesional. Programas que fallan debido a resultados inadecuados o demasiado complejos debido a la falta de competencia en el diseño, implementación, monitoreo y evaluación de un Programa de Cumplimiento de Protección de Datos (DPCP).

El informe también arroja luz sobre las estrategias de protección de datos en las que las empresas deben evaluar los riesgos y planificar con anticipación en varios pasos, cada uno de los cuales se ejecuta estratégicamente. Los CISO necesitan pautas de navegación claras y comprensibles que los ayuden a brindar resultados medibles y predecibles.

Las organizaciones deben ser capaces de responder con eficacia a los cambios en el entorno de control. Esto es difícil de hacer cuando está limitado por un enfoque basado en tareas para la planificación del cumplimiento.

El desafío global de la seguridad de los pagos no carece inherentemente de sostenibilidad o eficacia del control. Estos son solo síntomas de problemas generalizados causados ​​por una estrategia deficiente que se derivan de la falta de capacidad de las organizaciones para diseñar, implementar, monitorear y evaluar programas de cumplimiento de protección de datos sostenibles.

Objetivos de control

Tres objetivos básicos de control del control interno (ORC):

  1. Objetivos de negocios Eficacia y eficiencia de las operaciones de protección de datos y cumplimiento
  2. objetivos de informes Fiabilidad, puntualidad y transparencia de la protección de datos y los informes de cumplimiento
  3. objetivos de cumplimiento Cumplimiento de la normativa, no solo en el papel, sino en base a evidencia que brinde una seguridad razonable de que los objetivos se lograrán y mantendrán en el marco de un sistema eficaz de controles internos.

Todo el objetivo se basa en el deseo de la empresa de crear comodidad para los clientes, alentándolos a regresar, mientras se mantiene una seguridad estricta e impenetrable.

La cuestión clave

Luego, el informe describe las preguntas clave que se deben hacer y responder para lograr los objetivos más críticos:

  • ¿Qué datos tiene, dónde están y cómo fluyen? ¿Estás seguro de saber dónde están todos los datos y quién es responsable de ellos? ¿Cómo haces un seguimiento de los datos que tienes? ¿Sabe exactamente dónde están todos los datos que necesita proteger? ¿Cuánto control tiene sobre el flujo de datos confidenciales a través de su entorno? ¿Lleva un registro de todas sus ubicaciones? ¿tiempo real?
  • ¿Estás lo suficientemente seguro? ¿Qué confianza tiene en la protección de datos? ¿Cómo sabe que los datos de su tarjeta de pago están seguros? ¿En base a qué evidencia? ¿Qué métricas sigue para responder a esta pregunta? ¿El cumplimiento significa que sus datos están realmente seguros?
  • ¿Qué tan seguro está de que el control correcto está funcionando y en la posición correcta? ¿Cómo identifica su proceso de diseño de control los controles requeridos? ¿Qué evidencia tiene de que sus controles son efectivos? ¿Mide la efectividad del control para todos los controles?
  • ¿Qué tan predecible es su rendimiento de DPCP? ¿Qué tan seguro está de que puede predecir el resultado de sus objetivos clave de DPCP y de que puede hacerlo en cualquier momento?
  • ¿Cómo garantiza la calidad y la durabilidad de los procesos críticos de cumplimiento y protección de datos? ¿Sabes en qué consisten estos procesos? ¿Qué tan repetibles y consistentes son sus procesos clave? ¿Puede predecir el éxito o el fracaso hasta cierto punto por adelantado?
  • ¿Qué tan rápido puede detectar y responder a las desviaciones de las políticas, estándares y procedimientos? ¿Cómo coinciden con la realidad sus expectativas para la detección de incidentes y la respuesta a incidentes? ¿Cuáles son sus expectativas para las respuestas de acción correctiva?
  • ¿Cuenta con controles para medir la efectividad de su estrategia de implementación y madurez de DPCP? ¿Qué tan bien encaja con los marcos de la industria y cumple con sus objetivos de control? ¿Su estrategia cubre todas las bases o existen brechas persistentes en su estrategia de DPCP? ¿Cómo sabe que está priorizando las actividades correctas de DPCP en el momento adecuado?
  • ¿Estás priorizando los objetivos correctos? Con recursos limitados, ¿cómo sabe que su equipo está dedicando su tiempo a las tareas correctas?
  • ¿Qué tan bien está manejando las cinco restricciones a la capacidad organizacional (capacidad, capacidad, competencia, compromiso y comunicación)? ¿Conoce la capacidad de su organización para gestionar estas cinco limitaciones? ¿Cuánto sabes sobre los 9 factores que controlan la eficacia y la sostenibilidad de la conservación? ¿Para qué nivel de madurez objetivo está trabajando a largo plazo?
  • ¿Sabe qué tan lejos ha llegado en términos de efectividad y sustentabilidad del control, y dónde se ubicará su organización dentro de un año?

Abordar estos problemas puede parecer desalentador, pero una vez que las empresas analizan y abordan cada uno de estos problemas, están un paso más cerca del cumplimiento total.

Verizon los riesgos de ciberseguridad aumentan a medida que cae
alexialex, Getty Images/iStockphoto

LEER  La nueva empresa de seguridad de Alphabet utiliza big data y aprendizaje automático para proteger las empresas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba