Verizon: Når overholdelse af kreditkortregulering falder, stiger cybersikkerhedsrisikoen

Sikkerhedsekspert Frank Abagnale: Slip betalingskortet og frys dit kredit Con man vendte cybersikkerhedsekspert Frank Abagnale taler med TechRepublics Karen Roby om de skridt folk kan tage for at beskytte deres identitet og tilskynde til bedre kreditpraksis.

Tidligere tog næsten alle virksomheder kontrol, og alle accepterede heldigvis kontante betalinger. Butikker begyndte at placere salgsfremmende klistermærker på deres døre, henvendte sig til kunderne med løftet om, at de accepterede kreditkort.

Nogle butikker accepterer ikke kontanter og tager kun kredit- og betalingskort. Flere og flere placeringer accepterer Apple Pay eller Samsung Pay som en mobil betaling. Nogle leverandører accepterer endda PayPal-betalinger og behøver kun at kontrollere e-mail på deres smartphone for at sikre, at en kundes betaling er gennemgået. Stadig er kreditkort stadig den mest populære måde for folk at foretage køb på, og enhver organisation, der accepterer dem, skal indrømme overholdelse af betalingskortsektoren (PCI) og sikre deres kunder, at de vil holde deres private oplysninger sikre.

Siden 2003 har organisationer været forpligtet til at overholde reglerne for betalingskortbrancher og blive vurderet i forhold til datasikkerhedsstandarder for betalingskort. Men mange organisationer gennemgår bearbejdningerne til den årlige validering, så de er nødt til at flytte databeskyttelses- og overholdelsesprocesser og kapaciteter til et mere substantielt niveau. Manglen på en sund strategi til måling af databeskyttelses effektivitet og bæredygtighed skabte et unødvendigt økonomisk tab i virksomhedernes søgen efter databeskyttelse og tillader ikke en organisation at blive bedre til at opretholde overholdelsen. Denne tilgang kan føre til en falsk følelse af sikkerhed. Mange organisationer synes at sidde fast i et reaktivt cyklisk mønster, der kun fokuserer på at opfylde kravene til overholdelse af baseline og ikke se fremad på en mere proaktiv måde.

10 tip til nye cybersecurity-fordele (gratis PDF)

I de sidste ni år har Verizon offentliggjort betalingssikkerhedsrapporten (PSR), der giver et dybtgående perspektiv på det lovgivningsmæssige landskab i betalingskortsektoren, samt om værdien og ydeevnen af ​​betalingskortindustriens datasikkerhedsstandard (PCI DSS).

2019-udgaven af ​​PSR blev netop frigivet og fokuserer på synlighed, kontrol og modenhed og inkluderer en analyse af udformning af et compliance-program for at forbedre mål og designe en bæredygtig vej til bedre databeskyttelsesmodning. Det bygger også på etablerede faktorer fra tidligere PSR.

Vigtigste mål

Verizon lyttede til anmodninger fra CISOs (Chief Information Security Officers) om vejledning om centrale mål:

1. Bæredygtig kontroleffektivitet

2. Forudsigelig programydelse og resultater

Rapporten indeholder også nye værktøjer, såsom Verizon 9-5-4 Compliance Program Performance Evaluation Framework (DCCEF) til at skubbe compliance-styring til højere niveauer af sikkerhed og forudsigelighed.

Hovedpunkter i 2019

PSR for 2019 dækker: den nuværende globale tilstand af overholdelse, og hvordan organisationer opretholder (og ikke opretholder) PCI DSS-overholdelse:

  1. Vigtige overholdelsesprograms designovervejelser
  2. Indsigt i dataovertrædelseskorrelation og beredskab på hændelser
  3. Trends for mobil betalingssikkerhed
  4. En PCI DSS-referencekalender
  5. Vejledning til uheldsberedskab

PCI DSS, der blev oprettet i 1999, henviser til kortindehaverens databeskyttelsesprogrammer. Visa lancerede sit program i 2004 og antog tilsyneladende, at organisationer ville opnå effektiv og bæredygtig overholdelse inden for fem år. I 2010 begyndte Verizon rapporten, der sporer procentdelen af ​​organisationer, der opretholder overholdelse ved at måle PCI DSS-overholdelse under midlertidig vurdering l, som en indikation af fuld overensstemmelse. Fuld overensstemmelse er fra 22% i 2009 til et lavt niveau på 7, 5% i 2011 med et højt på 55, 4% i 2016.

Lavt antal i aktiv overensstemmelse

Rapporten i år afslører, at kun mere end en tredjedel (36, 7%) af organisationerne aktivt vedligeholdt PCI DSS-programmer i 2018. Denne nedadgående tendens (fra 2016's førnævnte høj) har skabt stor bekymring.

Mange virksomheder opretter programmer, der kun ser godt ud på papiret, men som ikke kan modstå gennemgangen af ​​en professionel sikkerhedsvurdering. Programmer, der er mislykkede som utilstrækkelige eller alt for komplekse og stammer fra en mangel på dygtighed til at designe, implementere, overvåge og evaluere et overvågningsprogram (Data Protection compliance) (DPCP).

Rapporten afslører også, at der er en strategi til databeskyttelse, hvor virksomheder skal vurdere risikoen og planlægge flere skridt forude, der hver udføres strategisk. CISO'er har brug for en klar og letforståelig navigationsguide for at hjælpe dem med at levere målbare resultater og forudsigelige resultater.

Organisationer skal være i stand til at reagere effektivt på ændringer i kontrolmiljøet. Det er svært at gøre, når det er begrænset til en opgavebaseret tilgang til compliance-programmer.

Den globale udfordring med betalingssikkerhed er ikke den iboende mangel på bæredygtighed eller kontroleffektivitet. Dette er kun symptomer på et udbredt problem forårsaget af utilstrækkelig strategi, der stammer fra en mangel på færdigheder i organisationer til at designe, implementere, overvåge og evaluere for et bæredygtigt program til databeskyttelse.

Kontrolmål

De tre grundlæggende kontrolmål for intern kontrol (ORC'er):

  1. Driftsmål Effektiviteten og effektiviteten af ​​databeskyttelses- og compliance-operationerne
  2. Rapporteringsmål Pålideligheden, aktualiteten og gennemsigtigheden af ​​databeskyttelse og rapportering af compliance
  3. Overholdelsesmål Overholdelse af forskrifter, ikke kun på papir, men baseret på beviser, der påviseligt giver rimelig sikkerhed for, at mål nås og opretholdes under en ramme med et effektivt system med intern kontrol.

Hele målsætningen er baseret på virksomhedens ønske om at skabe komfort for kunderne, tilskynde dem til at vende tilbage, mens de stadig opretholder en stram, sikkerhed, der ikke kan overtrædes.

Kritiske spørgsmål

Rapporten skitserer derefter kritiske spørgsmål, der skal stilles og besvares for at nå de mest kritiske mål:

  • Hvilke data har du, hvor er de, og hvordan flyder de? Er du sikker på, at du ved, hvor alle dine data er, og hvem der er ansvarlig for det? Hvordan holder du styr på de data, du har? Ved du nøjagtigt, hvor alle data er der skal beskyttes? Hvor meget kontrol har du over følsomme datastrømme gennem dit miljø? Sporer du alle placeringer? I realtid?
  • Er du sikker nok? Hvor sikker er du på beskyttelsen af ​​dine data? Hvordan ved du, at dine betalingskortdata er sikre? Baseret på hvilke beviser? Hvilke beregninger sporer du for at besvare dette spørgsmål? Betyder overholdelse, at dine data virkelig er sikre?
  • Hvor sikker er du på, at de rigtige kontroller er effektive og på de rigtige steder? Hvordan identificerer din kontroldesignproces de kontroller, der er nødvendige? Hvilke beviser har du for effektiviteten af ​​dine kontroller? Måler du kontroleffektivitet for alle kontroller?
  • Hvor forudsigelig er din DPCP-ydelse? Med hvor meget tillid kan du forudsige resultatet af dine centrale DPCP-mål, og kan du gøre det på ethvert tidspunkt?
  • Hvordan sikrer du kvaliteten og holdbarheden af ​​dine vigtige databeskyttelses- og overholdelsesprocesser? Ved du, hvad disse processer består af? Hvor gentagne og konsistente er dine nøgleprocesser? Kan du forudsige succes eller fiasko med en vis sikkerhed forud for tiden?
  • Hvor hurtigt kan du registrere og svare på afvigelser fra politik, standard og procedure? Hvordan opfylder dine forventninger til begivenhedsregistrering og hændelsesreaktion virkeligheden? Hvad med dine forventninger til svar med korrigerende handlinger?
  • Har du kontroller på plads til at måle effektiviteten af ​​din DPCP-implementerings- og modenhedsstrategi? Hvor godt stemmer det overens med industriens rammer, og er det i stand til at opfylde dine kontrolmål? Dækker din strategi alle de væsentlige baser, eller har du løbende huller i din DPCP-strategi? Hvordan ved du, at du prioriterer de rigtige DPCP-aktiviteter på det rigtige tidspunkt?
  • Prioriterede du de korrekte mål? Hvordan ved du, at dit team bruger tid på de rigtige opgaver, når ressourcerne er begrænset?
  • Hvor godt håndterer du de fem begrænsninger for organisatorisk færdighed: kapacitet, kapacitet, kompetence, engagement og kommunikation? Har du synlighed i din organisatoriske evne til at styre hver af de fem begrænsninger? Hvor godt forstår du de 9 faktorer for kontrolbeskyttelses effektivitet og bæredygtighed? Hvilke målmodningsniveauer arbejder du for at nå på lang sigt?
  • Ved du, hvor du er med kontroleffektivitet og bæredygtighed, og hvad din organisations kapacitet vil være om et års tid?

Adressering af disse spørgsmål kan virke afskrækkende, men når et firma nøje har gennemgået og adresseret hvert af disse spørgsmål, vil de vokse tættere på fuldstændig overholdelse.

Cybersecurity Insider Nyhedsbrev

Styrke din organisations IT-sikkerhedsforsvar ved at holde dig ajour med de seneste cybersecurity-nyheder, løsninger og bedste praksis. Leveres tirsdage og torsdage

Tilmeld dig i dag

© Copyright 2021 | mobilegn.com