Mancanza di una strategia a lungo termine per la sicurezza dei pagamenti e difficoltà di esecuzione sono i motivi principali per cui le organizzazioni globali continuano a mettere a rischio i dati delle carte di credito dei propri clienti. Lo rivela il Payment Security Report 2020 (PSR 2020) di Verizon Business che sottolinea come, nonostante molte aziende tentino di mantenere al proprio interno figure come CISO o responsabili della sicurezza qualificati, la mancanza di una strategia di lungo termine in ambito security stia danneggiando gravemente la conformità al Payment Card Industry Data Security Standard (PCI DSS).
Come già evidenziato dal recente Data Breach Investigations Report 2020 (2020 DBIR) di Verizon Business, per i criminali informatici, i dati sui pagamenti rimangono uno degli obiettivi più ambiti e redditizi, con 9 violazioni su 10 che hanno finalità economiche. Nel solo settore della vendita al dettaglio, il 99% degli incidenti di sicurezza analizzati dal DBIR 2020 mirava all’acquisizione di dati di pagamento per uso fraudolento.
Il PSR 2020 ha rilevato che in media solo il 27,9% delle organizzazioni globali ha mantenuto la piena conformità al PCI DSS, lo standard sviluppato per aiutare le aziende che offrono servizi di pagamento con carta a proteggere i propri sistemi da violazioni e furti dei dati dei clienti. Ancor più preoccupante è il fatto che questo sia il terzo anno consecutivo in cui si è verificata una diminuzione della compliance. Dal 2016, anno in cui è stato registrato il dato più alto relativamente al rispetto dei criteri di sicurezza (così come ha attestato il PSR 2017), il calo è infatti pari al 27,5 punti percentuali.
“Purtroppo vediamo che in molte realtà mancano le risorse e l’impegno da parte dei dirigenti aziendali per supportare iniziative di conformità e data security a lungo termine. Questo è inaccettabile, ha affermato Sampath Sowmyanarayan, Presidente, Global Enterprise, Verizon Business. La recente pandemia di Coronavirus ha allontanato i consumatori dall’uso del contante spingendoli verso metodi di pagamento contactless con carte e dispositivi mobile. Ciò ha generato un maggior volume di dati di pagamento elettronici e i consumatori confidano nelle aziende per salvaguardare le proprie informazioni. La payment security deve essere vista come una costante priorità aziendale da parte tutte le organizzazioni che gestiscono i dati di pagamento, in quanto hanno una responsabilità fondamentale nei confronti dei loro clienti, fornitori e dei consumatori”.
Ulteriori risultati all’interno del PSR 2020 puntano i riflettori sui test di sicurezza in cui solo poco più della metà delle organizzazioni (51,9%) testa con successo i propri sistemi e processi di security, nonché l’accesso non monitorato al sistema, e sul fatto che soltanto i due terzi delle organizzazioni traccia e monitora l’accesso ai sistemi critici aziendali in modo adeguato. Inoltre, solo 7 istituzioni finanziarie su 10 (70,6%) mantengono controlli di sicurezza perimetrali essenziali.
“Questo rapporto è un gradito campanello d’allarme per le organizzazioni su quanto sia necessaria una forte leadership per affrontare gli errori di gestione in materia di sicurezza dei pagamenti. Il rapporto di Verizon Business si adatta perfettamente al punto di vista di Omdia, secondo cui l’allineamento fra strategia security e strategia organizzativa è essenziale affinché le organizzazioni mantengano la conformità con il PCI DSS 3.2.1 per fornire un livello di sicurezza dei pagamenti appropriato. È chiaro che una strategia di data security e compliance di lungo termine coinvolge una serie di figure aziendali, tra cui il Chief Information Security Officer, il Chief Risk Officer e il Chief Compliance Officer, analisi con cui Omdia è d’accordo”, commenta Maxine Holt, senior research director a Omdia (prima conosciuta come Ovum).
La mancanza di conformità colpisce anche le PMI
Le piccole e medie imprese (PMI) hanno difficoltà particolari relativamente alla protezione dei dati di pagamento. Sebbene rispetto alle aziende più grandi quelle più piccole abbiano generalmente meno dati di carte di pagamento da elaborare e archiviare, hanno anche risorse e budget inferiori per la sicurezza, il che influisce sulle strategie attuabili per mantenere la conformità con il PCI DSS. Spesso le misure necessarie per proteggere i dati sensibili delle carte di pagamento sono percepite dalle organizzazioni più piccole come troppo dispendiose in termini di tempo e costose, ma poiché la probabilità di una violazione dei dati per le PMI rimane elevata, è imperativo anche per queste organizzazioni mantenere la conformità al PCI DSS.
Le sfide per i CISO
Il rapporto esplora anche le sfide che i CISO devono affrontare nella progettazione, implementazione e nel mantenimento di una strategia di sicurezza efficace e sostenibile e il modo in cui queste possono contribuire in ultima analisi alla compliance e alla gestione della sicurezza dei dati. I problemi riscontrati non sono di natura tecnologica, quanto piuttosto il risultato di debolezze organizzative che potrebbero essere risolte da capacità di management più avanzate, che includano anche la creazione di processi formalizzati volti a costruire un modello di business per la sicurezza e definire una solida strategia di security con modelli operativi e framework.
