Informe de Verizon sobre Cumplimiento PCI de 2014

Transcripción

1 Resumen ejecutivo Informe de Verizon sobre Cumplimiento PCI de 2014 Algunos datos destacados de nuestro estudio sobre la situación actual del cumplimiento de la seguridad PCI. En 2013, el 64,4% de las organizaciones no limitaban a un solo usuario cada cuenta con acceso a datos de tarjetas de pago con el fin de reducir la rastreabilidad y el riesgo. (Requisito 8)

2 RESUMEN EJECUTIVO INFORME DE VERIZON SOBRE CUMPLIMIENTO PCI DE 2014 NO SEA UNA ESTADÍSTICA MÁS Llevamos poco más de un mes de 2014 y ya han saltado a los titulares algunas brechas en los datos bastante llamativas. Las pérdidas globales debidas al fraude con tarjetas de pago no dejan de aumentar; The Nilson Report calcula que en 2012 estas pérdidas superaron los millones de dólares 1. No solo los titulares de las tarjetas se ven afectados por el fraude. Cuando una empresa sufre una brecha y pierde datos de tarjetas de pago, lo más probable es que tenga que afrontar gastos de remediación y notificación, multas financieras de los bancos emisores y la pérdida de confianza de sus clientes, con la consiguiente repercusión en las ventas. Pérdidas globales por fraude de tarjetas de pago (mil millones $) $12 $10 $8 $6 $4 $2 $ Datos de The Nilson Report, agosto 2013 Los delincuentes emplean técnicas cada vez más sofisticadas para sortear las defensas empresariales. Cuando lo consiguen, no hay más que ver las noticias para darse cuenta de que los daños a la reputación pueden ser irreparables. Por eso es tan importante el cumplimiento de la seguridad en la industria de las tarjetas de pago (PCI). En el peor de los casos, las consecuencias pueden llegar hasta el punto de que no se le permita seguir aceptando pagos con tarjetas. Los controles de seguridad que forman parte de un programa de cumplimiento de la seguridad PCI sirven para proteger los datos de las tarjetas y su bien ganada reputación. EL CUMPLIMIENTO PCI DEBE SER IMPORTANTE PARA USTED Y PARA TODOS LOS EJECUTIVOS DE SU EMPRESA. El Informe sobre cumplimiento PCI de 2014 ofrece una perspectiva única sobre el cumplimiento de la norma de seguridad de los datos PCI (PCI DSS) porque parte de datos exclusivos. Somos uno de los proveedores de seguridad más respetados del mundo y nuestro equipo de asesores de seguridad cualificados (QSA) es uno de los más numerosos de su clase. 2 VERIZON ENTERPRISE SOLUTIONS

3 PCI DSS TIENE SENTIDO A NIVEL CORPORATIVO A no ser que su especialidad sea la seguridad, lo más seguro es que piense que usted no tiene por qué preocuparse del cumplimiento de la norma PCI, porque su equipo de seguridad ya se encarga de ello. Lo cierto es que el cumplimiento de la seguridad PCI es responsabilidad suya y de todas las personas de su organización, desde el cajero hasta el director general, y desde el departamento de TI hasta el de marketing. Las normas de la seguridad PCI ayudan a proteger los datos de las tarjetas de pago que se almacenan, transmiten y procesan en toda la organización, miles de veces al día en el caso de grandes y medianas empresas. Pero sea cual sea el tamaño de su empresa, los países en los que opere o el sector al que pertenezca, estos datos resultan muy atractivos a los atacantes porque es muy fácil convertirlos en dinero que es lo que realmente les interesa. Es bastante probable que su empresa tenga programas de cumplimiento poco eficientes que minan su presupuesto e incluso llegan a interrumpir las operaciones, debido a que exigen cambios sustanciales en la tecnología y en los procesos. Pero no hay que olvidar que estos programas solo pueden proteger a la organización cuando están bien hechos. Además de ser expertos en seguridad PCI, nuestros consultores y asesores conocen en profundidad una gran variedad de industrias, gracias a años de experiencia trabajando en los sectores de la venta minorista, la hostelería, los servicios financieros, la sanidad y otros. Esto significa que somos capaces de entender los retos a los que se enfrenta su empresa, situar los requisitos PCI dentro del contexto de las regulaciones y normas de su sector y ofrecerle recomendaciones, no solo sobre cambios de TI, sino también sobre la transformación de los procesos y otros aspectos de su negocio. El cumplimiento de la seguridad PCI promueve las buenas prácticas empresariales. Esto a su vez puede servir para mejorar los procesos en TI y en el resto de la organización. Por lo tanto es importante preguntarse si la organización en su conjunto está preparada para colaborar en el cumplimiento PCI y cuál es la mejor forma de implementarlo. El Informe de Verizon sobre cumplimiento PCI de 2014 le ayudará a contestar a estas preguntas. Desde 2009, nuestros asesores de seguridad cualificados (QSA) han llevado a cabo más de evaluaciones a más de 500 empresas en más de 50 países. Esta experiencia nos concede un conocimiento único sobre la protección de los datos de las tarjetas de pago. INFORME SOBRE CUMPLIMIENTO PCI DE ,9% DE LAS ORGANIZACIONES NO PASÓ LA EVALUACIÓN INICIAL DE PCI DE

4 BASTA UN SOLO PUNTO DÉBIL Para derribar las defensas de una empresa, los delincuentes solo necesitan encontrar una rendija. El problema para las organizaciones es que no es fácil identificar y solventar todos los puntos débiles. La PCI DSS establece unas normas de seguridad mínimas que deben cumplir todas las empresas que procesan pagos. Algunas organizaciones transmiten, procesan y almacenan datos de tarjetas de pago en cientos de sistemas PCs, dispositivos móviles, servidores web, bases de datos y dispositivos de punto de venta a través de redes privadas y públicas, en transacciones en las que intervienen los clientes y cientos o miles de empleados. A esto se añade que deben cumplirse cientos de controles y que puede resultar complicado cumplir algunos de los requisitos. Por eso resulta tan alarmante que algunas organizaciones no afronten el cumplimiento con el rigor necesario. Algunas siguen abordando el cumplimiento como un esfuerzo anual del que se encargan los equipos de seguridad, mientras el resto de la empresa lo soporta de la mejor forma posible. Pero si no se dedica la atención necesaria a esta tarea, un solo punto de acceso wi-fi sin control, una cuenta de administrador desprotegida o una unidad de disco duro sin cifrar pueden desbaratar todos los esfuerzos de cumplimiento. LA SITUACIÓN DEL CUMPLIMIENTO Nuestros estudios indican que entre 2011 y 2013 existía una variación importante en el cumplimiento de los 289 controles de la PCI DSS 2.0, que oscilaba entre un máximo del 98% y un mínimo del 39,6%. 100% Cumplimiento medio 80% 60% 40% 20% Cumplimiento medio de todos los requisitos entre 2011 y 2013 = 71,5% 0% Controles por orden de porcentaje de cumplimiento Además, aunque los datos apuntan a que más organizaciones que en años anteriores alcanzan un alto nivel de cumplimiento con la seguridad PCI, todavía queda mucho por hacer. En 2013, solo el 11,1% de las organizaciones cumplían con la totalidad de los requisitos en la fecha de su evaluación anual inicial, en comparación con el 7,5% de % DE LAS BRECHAS TARDARON MESES O INCLUSO AÑOS EN DESCUBRIRSE INFORME SOBRE INVESTIGACIONES DE BRECHAS EN LOS DATOS DE 2013 DE Más del 70% de las empresas que analizamos en 2013 cumplían entre el 81 y el 99% de los controles, en contraste con el 25% de Cuáles son las causas de esta subida? Pensamos que se debe principalmente a tres factores: Una mayor concienciación en lo concerniente a la seguridad: Han surtido efecto los esfuerzos de la entidad reguladora de PCI, las marcas de tarjetas y los proveedores de seguridad. Más líderes de TI y empresariales entienden la importancia que tiene proteger los datos y saben lo que tienen que hacer para conseguirlo. Una mayor apreciación del valor del cumplimiento: Ahora se entienden mejor las consecuencias de una brecha en los datos y el valor de implementar controles de seguridad eficaces, debido en parte a la cobertura mediática del tema. La mayor madurez de la norma: Cada versión de la DSS ha ido eliminando ambigüedades y clarificando la interpretación y la intención de los controles de seguridad. VERIZON 4 VERIZON ENTERPRISE SOLUTIONS

5 AYUDA EL CUMPLIMIENTO? Cuando se compara el cumplimiento de la PCI-DSS de las empresas de este informe con los datos de nuestro Informe sobre Investigaciones de Brechas en los Datos de 2013, se observa que muchas de las empresas que sufren una brecha en los datos demuestran una menor eficacia en los siguientes aspectos: Acceso a los datos de las tarjetas de pago limitado estrictamente a las personas que lo necesitan: Esta es una de las reglas de oro de la seguridad, de la que trata el requisito 7 de la DSS. Este requisito es el penúltimo del índice, lo cual apunta a que cuando hay demasiadas personas con acceso a los datos confidenciales aumentan las probabilidades de que se produzca una brecha. Gestión de registros: Los registros de los dispositivos, de los que trata el requisito 10 de la DSS, pueden no parecer muy interesantes, pero son imprescindibles para detectar los primeros signos de un ataque y reducir la pérdida de datos si se produce una brecha. Este requisito es el último del índice, lo que indica que los fallos en la gestión de estos registros son un factor importante en la pérdida de datos de tarjetas de pago. ESTÁ PROTEGIDA SU EMPRESA? Víctimas de brechas en los datos: Cumplimiento relativo 1. Cortafuegos La mayoría de las organizaciones -2,3 que habían sufrido una brecha 2. Contraseñas no limitaban el acceso a los -1,6 predeterminadas datos de las tarjetas de pago solo -2,5 3. Cifrado a las personas que lo necesitan. 4. Comunicaciones -0,8 seguras Las políticas de -3,2 5. Antivirus gestión de registros de las -2,8 6. Parches empresas -3,5 7. Acceso restringido investigadas después de una -2,1 8. Identificaciones brecha eran únicas menos eficaces. 0,0 9. Acceso físico -4,0 10. Gestión de registros -2,5 11. Pruebas continuas -3,1 12. Personas < Peor Índice de cumplimiento PCI relativo de Verizon Mejor > En las cifras anteriores se observan variaciones importantes en los niveles de cumplimiento: POR SECTOR Entre 2011 y 2013, el doble de comercios (69,7%) que de empresas de hostelería (35%) cumplían con el 80% por lo menos de los controles de DSS 2.0. POR REGIÓN En Europa, solo el 31,3% de las organizaciones cumplían con un mínimo del 80% de los controles, por detrás de las regiones de Norteamérica con el 56,2% y Asia Pacífico con el 75%. POR REQUISITO La mayoría de las organizaciones del estudio (58,4%) limitaban el acceso a los datos de las tarjetas a las personas cuyas tareas necesitan ese acceso (requisito 7). No obstante, menos de un cuarto (23,8%) sometían a prueba con regularidad los sistemas y los procesos de seguridad como lo exige el requisito 11. En qué estado se encuentra su empresa? El Informe sobre cumplimiento PCI de 2014 le ayudará a descubrirlo. INFORME SOBRE CUMPLIMIENTO PCI DE 2014 Más de la mitad de las organizaciones que cumplían el 95% o más de los controles de la DSS 2.0 no evaluaban la eficacia de las pruebas de los sistemas y procesos de seguridad. 5

6 HAGA QUE EL CUMPLIMIENTO FUNCIONE A SU FAVOR Si piensa que el cumplimiento con la seguridad PCI es solo un gasto necesario más, está dejando pasar una oportunidad. Es importante que considere el programa de cumplimiento como una inversión que es necesario aprovechar. Cuando se hace correctamente, el cumplimiento puede servir para mejorar los procesos, identificar oportunidades de consolidación de la infraestructura y generar rentabilidad. Los beneficios son variados: MAYOR EFICIENCIA EMPRESARIAL Las iniciativas de cumplimiento de la seguridad PCI presentan una valiosa oportunidad de estudiar y reevaluar las operaciones en su totalidad. Muchas organizaciones han descubierto que el esfuerzo de cumplimiento tiene un efecto inmediato y positivo, al optimizar los procesos, mejorar la comunicación interna y permitir que la directiva controle mejor la seguridad y los gastos vinculados. SISTEMAS DE TI MÁS EFICIENTES Las labores de cumplimiento de la seguridad PCI suelen exigir cambios tanto en TI como en la organización en general. Los programas de cumplimiento representan una oportunidad para adoptar un enfoque estratégico hacia las inversiones y los sistemas acumulados a lo largo de años o incluso décadas, lo que puede redundar en importantes beneficios. Por ejemplo, estos programas pueden servir como justificante para la consolidación y la reforma de la infraestructura, lo que lleva a la mejora de la seguridad, la continuidad empresarial, la capacidad de gestión y el rendimiento de los sistemas. REDUCCIÓN DEL RIESGO Con frecuencia, el programa de cumplimiento de la seguridad PCI representa la primera atención seria que la organización presta a la seguridad de la información. Los controles básicos que facilita pueden aplicarse a otros tipos de datos y sistemas ajenos al entorno de los datos de tarjetas de pago, lo que sirve para reforzar la seguridad general y reducir la exposición al riesgo. MAYOR INNOVACIÓN El cumplimiento no consiste solamente en tapar agujeros, sino que también puede servir para fomentar la innovación. Además, puede facilitar la adopción de nuevas tecnologías, métodos de trabajo y modelos de negocio. Por ejemplo, algunos comercios han instalado sistemas de punto de venta nuevos para cumplir los requisitos PCI y con ello han conseguido incrementar el rendimiento y las oportunidades publicitarias. Los controles que se implementan como parte del cumplimiento de la seguridad PCI también ayudan a sentar las bases del uso de nuevas tecnologías, como pueden ser la informática en la nube y la tecnología móvil. MAYOR CONFIANZA POR PARTE DE LOS CLIENTES El cliente del futuro será aún más exigente que el de hoy. Los grandes datos y la analítica avanzada le ofrecen información sin precedentes sobre la conducta de sus clientes, pero para ello estos tienen que confiarle antes sus datos. La aplicación de las normas de seguridad PCI en todas las operaciones que afectan a los clientes contribuye a la protección de su privacidad. EL CUMPLIMIENTO NO DEBE SER SOLO UNA TAREA ANUAL, SINO PARTE INTEGRANTE DE LAS OPERACIONES DIARIAS. Le interesa el tema? Descargue el informe completo y consulte otros recursos del Informe de cumplimiento PCI de 2104 de Verizon en nuestro sitio web: verizonenterprise.com/es/pcireport/2014 Verizon 2014 PCI Compliance Report An inside look at the business need for protecting payment card information. 6 VERIZON ENTERPRISE SOLUTIONS In 2013, 64.4% of organizations failed to restrict each account with access to cardholder data to just one user limiting traceability and increasing risk. (Requirement 8) Research Report

7 1 NO 2 EL 3 CONSIDERE 4 CONSIDERE 5 CONCÉNTRESE NUESTRAS RECOMENDACIONES SUBESTIME EL ESFUERZO NECESARIO El cumplimiento PCI exige tiempo, dinero y el respaldo del ejecutivo. No solo debe ser responsabilidad del equipo de TI, sino también del resto de los empleados, desde desarrolladores de aplicaciones, administradores de sistemas y ejecutivos, hasta el personal de las tiendas y los centros de atención. CUMPLIMIENTO DEBE SER SOSTENIBLE Para mantener el cumplimiento, es necesario completar miles de tareas a lo largo del año. Para que el cumplimiento sea sostenible tiene que convertirse en parte integrante de las operaciones diarias de la empresa. EL CUMPLIMIENTO DENTRO DE UN CONTEXTO MÁS AMPLIO Lo mejor que puede hacer una organización para simplificar el cumplimiento PCI y conseguir una seguridad auténtica es englobar el programa de cumplimiento dentro de una estrategia más amplia de gobierno, riesgo y cumplimiento. EL CUMPLIMIENTO COMO UNA OPORTUNIDAD Cuando se hace correctamente, el cumplimiento con la seguridad PCI puede servir para mejorar los procesos, identificar oportunidades de consolidación de infraestructura y generar rentabilidad. Considérelo una oportunidad en lugar de una carga. EN EL ALCANCE Existen multitud de malentendidos en lo que se refiere a la mejor forma de reducir la cantidad de sistemas afectados por el cumplimiento, pero lo cierto es que existen prácticas óptimas claras. La primera de ellas es guardar menos datos en menos sistemas. Esto no solo facilita el cumplimiento, sino que además ahorra dinero en almacenamiento y copias de seguridad. INFORME SOBRE CUMPLIMIENTO PCI DE

8 1. verizonenterprise.com/es 2014 Verizon. Todos los derechos reservados. El nombre y logotipo de Verizon, además de todos los demás nombres, logotipos y lemas que identifican los productos y servicios de Verizon, son marcas comerciales o registradas de Verizon Trademark Services LLC o sus filiales en Estados Unidos y otros países. Todas las demás marcas comerciales o de servicio son propiedad de sus dueños respectivos. GL00648 ES 03/14