0
0
As organizações globais continuam a colocar os dados dos titulares de cartão de seus clientes em risco devido à falta de estratégia e execução de segurança de pagamento de longo prazo, de acordo com o Verizon Business 2020 Payment Security Report (2020 PSR). Com muitas empresas lutando para reter CISOs qualificados ou gerentes de segurança, a falta de pensamento de segurança de longo prazo está afetando severamente a conformidade sustentada dentro do Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS).
Os dados de pagamento continuam sendo um dos alvos mais procurados e lucrativos pelos cibercriminosos, com 9 em cada 10 violações de dados sendo financeiramente motivadas, como destacado pelo recente Relatório de Investigações de Violação de Dados da Verizon Business 2020 (DBIR) 2020. Somente no setor varejista, 99% dos incidentes de segurança analisados pelo DBIR 2020 foram focados na aquisição de dados de pagamento para uso criminoso.
O PSR 2020 constatou que, em média, 27,9% das organizações globais mantiveram total conformidade com o DSS PCI, que foi desenvolvido para ajudar as empresas que oferecem facilidades de pagamento de cartão a proteger seus sistemas de pagamento contra violações e roubo de dados de titulares de cartão. Mais preocupante, este é o terceiro ano consecutivo em que ocorreu uma queda de 27,5 pontos percentuais desde o pico de conformidade em 2016 (como visto na RSE de 2017).
Resultados adicionais dentro do PSR 2020 destacam os testes de segurança, onde apenas pouco mais da metade das organizações (51,9%) Teste com sucesso sistemas e processos de segurança, bem como acesso não monitorado ao sistema e onde aproximadamente dois terços de todas as empresas rastreiam e monitoram adequadamente o acesso a sistemas críticos de negócios. Além disso, apenas 7 em cada 10 instituições financeiras (70,6%) manter controles essenciais de segurança do perímetro.
“Este relatório é um alerta bem-vindo às organizações de que uma forte liderança é necessária para lidar com falhas na gestão adequada da segurança de pagamentos. O relatório Verizon Business alinha-se bem com a visão da Omdia de que o alinhamento da estratégia de segurança com a estratégia organizacional é essencial para que as organizações mantenham a conformidade, neste caso com o PCI DSS 3.2.1 para fornecer níveis adequados de segurança de pagamento. Isso deixa claro que a segurança e a conformidade de dados de longo prazo combinam as responsabilidades de uma série de funções, incluindo o Diretor de Segurança da Informação, o Diretor de Risco e o Diretor de Conformidade, com o qual Omdia concorda”, comenta Maxine Holt, diretora sênior de pesquisa da Omdia (anteriormente conhecida como Ovum).
Falta de conformidade impacta todas as empresas, independentemente do tamanho
As pequenas e médias empresas (SMB) foram sinalizadas como tendo suas próprias lutas únicas para garantir dados de pagamento. Embora as empresas menores geralmente tenham menos dados de cartão para processar e armazenar do que as grandes empresas, elas têm menos recursos e orçamentos menores para segurança, impactando os recursos disponíveis para manter a conformidade com o PCI DSS. Muitas vezes, as medidas necessárias para proteger dados confidenciais de cartão de pagamento são percebidas como muito demoradas e caras por essas organizações menores, mas como a probabilidade de uma violação de dados para SMBs permanece alta, é imperativo que a conformidade com o PCI DSS seja mantida.
O desafio CISO em andamento
O relatório também explora os desafios que os CISOs enfrentam na concepção, implementação e manutenção de uma estratégia de segurança eficaz e sustentável, e como estes podem, em última análise, contribuir para a quebra da conformidade e do gerenciamento da segurança de dados. Esses problemas não foram encontrados de natureza tecnológica, mas como resultado de fragilidades organizacionais que poderiam ser resolvidas por habilidades de gestão mais maduras, incluindo a criação de processos formalizados; construindo um modelo de negócio para a segurança, bem como definindo uma estratégia de segurança sólida com modelos e frameworks operacionais.
FONTE: SECURITY MAGAZINE