El Informe de seguridad de pago de Verizon es una llamada de atención: …



Demasiadas organizaciones no implementan los controles de seguridad de pagos de referencia, según el Informe de seguridad de pagos de Verizon 2020, y el reciente incidente de ransomware Blackbaud es simplemente la evidencia más reciente.

Esta semana se presenta el lanzamiento del Informe anual de seguridad de pagos de Verizon, que analiza cómo las organizaciones mantienen, y no mantienen, el cumplimiento del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS).

Es motivo de gran preocupación que el informe destaque una disminución marcada y continua en la sostenibilidad del cumplimiento desde 2016. Un titular de noticias de finales de septiembre ilustra cómo un proveedor de tecnología no protegió adecuadamente la información de las cuentas bancarias.

Una y otra vez, los controles de seguridad deficientes han decepcionado a los consumidores. ¿Por qué las organizaciones siguen sin proteger la información de pago?

El incidente de seguridad del ransomware Blackbaud aún no ha terminado

Blackbaud es una empresa global de software program y servicios en la nube fundada hace casi 40 años. Con el lema «impulsar el bien social», tiene su sede en Charleston, Carolina del Sur.

A principios de 2020, se anunció que las instituciones educativas y las organizaciones benéficas se encuentran entre un número desconocido de organizaciones afectadas por un ataque exitoso de ransomware en Blackbaud. Blackbaud pagó a los atacantes, pero no está claro si los ciberdelincuentes cumplieron su parte del trato.

La posible exposición de la información de identificación individual (PII) ya se conocía a partir de los primeros informes del ataque de ransomware. Posteriormente, Blackbaud señaló que antes de bloquear a los ciberdelincuentes de sus sistemas, los atacantes eliminaron una copia de un subconjunto de datos de su entorno autohospedado (nube privada).

Anteriormente, no se pensaba que la información de pago hubiera sido expuesta en el incidente de seguridad.

Sin embargo, a fines de septiembre, Blackbaud presentó una presentación 8-K a la Comisión de Bolsa y Valores de EE. UU. (SEC), indicando que el ataque había sido más invasivo de lo que inicialmente se pensó.

«Después del 16 de julio, una nueva investigación forense descubrió que, para algunos de los clientes notificados, el ciberdelincuente pudo haber accedido a algunos campos no cifrados destinados a información de cuentas bancarias, números de seguridad social, nombres de usuario y / o contraseñas», según la declaración 8-K de la empresa. .

En otras palabras, los datos no se protegieron de acuerdo con los requisitos de PCI DSS. Blackbaud afirma en su sitio world wide web que «reconoce nuestra responsabilidad por el cumplimiento de los requisitos de PCI y la protección de cualquier dato del titular de la tarjeta que nosotros, como proveedor de servicios, poseemos, almacenamos, procesamos o transmitimos en nombre del cliente».

El Informe de seguridad de pago de Verizon identifica muchas deficiencias

El Informe de seguridad de pago de Verizon 2020, publicado el 6 de octubre de 2020, describe los desafíos de cumplimiento y seguridad de los datos que enfrentan las organizaciones encargadas de asegurar los procesos de pago. En certain, el informe se centra en el estado de la sostenibilidad del cumplimiento de PCI DSS versión 3.2.1 hasta la fecha, y también analiza lo que las organizaciones pueden hacer para mejorar la seguridad de los pagos.

El informe de este año señala que la sostenibilidad del cumplimiento continúa cayendo, año tras año, desde 2016. En cuanto a los datos de 2019, solo el 27,9% de las organizaciones lograron el 100% de cumplimiento durante la validación de cumplimiento provisional. En basic, el informe comenta que la falta de pensamiento de seguridad a largo plazo (organizaciones que se centran en aplicar soluciones rápidas en lugar de crear y ejecutar una estrategia más amplia) está afectando gravemente el cumplimiento sostenido de PCI DSS.

La investigación de Omdia resuena mucho con los hallazgos del informe de Verizon. Es una llamada de atención para las organizaciones que se requiere un liderazgo sólido para abordar las fallas, administrar adecuadamente la seguridad de los pagos y cumplir con los controles de seguridad de PCI DSS.

La alineación de la estrategia de seguridad con la estrategia organizacional es esencial para que las organizaciones mantengan el cumplimiento, ya sea con PCI DSS, el Reglamento General de Protección de Datos de la UE (GDPR) o cualquier otro reglamento al que estén sujetas las organizaciones. La seguridad no es cumplimiento, y viceversa, pero la seguridad tiene una gran influencia en el cumplimiento la seguridad debe estar alineada con el cumplimiento de PCI DSS y otros requisitos organizativos clave.

Pero cualquier iniciativa estratégica exitosa requiere una parte interesada que esté a cargo de llevarla a cabo. Desafortunadamente, en la mayoría de las organizaciones rara vez un individuo o rol es responsable del cumplimiento, la seguridad y el riesgo, y esto significa que los planes mejor diseñados pueden fracasar.

Omdia está de acuerdo con el comentario del informe de que la seguridad de los datos a largo plazo y el éxito del cumplimiento requerirán los esfuerzos combinados de múltiples roles, incluido el director de seguridad de la información, el director de riesgos y el director de cumplimiento.

Las organizaciones deben controlar el cumplimiento y mantener la confianza de sus clientes, que se daña con demasiada facilidad por acciones inadecuadas como las de Blackbaud.

Contenido relacionado:

Maxine lidera la investigación de ciberseguridad de Omdia, desarrollando un programa de investigación integral para apoyar a los proveedores, proveedores de servicios y clientes empresariales. Habiendo trabajado con empresas de múltiples industrias en el mundo de la seguridad de la información, Maxine tiene una sólida … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic