Solo un’azienda su tre a livello globale rispetta i livelli di compliance secondo lo standard Payment Card Industry Data Security (Pci Dss) e, negli Usa, lo fa addirittura solo un’azienda su cinque.
La sicurezza dei pagamenti digitali con carta crolla nel mondo dal 55% del 2018 al 36,7% del 2019 e peggiora per il secondo anno consecutivo. In pratica si è tornati a percentuali che non si registravano dal 2013. E’ questa una delle più allarmanti evidenze del Payment Security Report 2019, lo studio dedicato alla sicurezza nei sistemi di pagamento digitali, curato da Verizon.
Questa edizione si concentra sulla visibilità delle prestazioni, il controllo e la maturità dei Dpcp. Include i risultati di 302 verifiche sugli standard di sicurezza dei dati Pci, di un ampio numero di aziende, comprese multinazionali e realtà della lista Fortune 500 di oltre 60 Paesi.
Il report si basa su casi reali con un focus specifico sui servizi finanziari (50,7%), servizi IT (17,5%), retail (19,9%) e hospitality (10,6%) e include anche i dati del Verizon Threat Research Advisory Center (Vtrac), che evidenzia come, quando sui programmi di conformità mancano i controlli, la probabilità che il programma stesso non sia sostenibile cresce del 95% e quindi diventi vulnerabile e bersaglio d’elezione per gli attacchi.
L’analisi dei risultati riserva non poche sorprese. Per esempio a livello locale la regione Asia-Pacifico è l’unica a mantenere una buona conformità con la percentuale del 69,6% rispetto all’area Emea con il 48% e all’America, la peggiore fra tutte, con meno del 21%.
Ben diversi gli obiettivi con cui Visa nel 2004 lanciò Pci Dss nel 2004 quando addirittura si pensava che le organizzazioni avrebbero raggiunto un livello di compliance efficace e sostenibile in appena cinque anni. Di suo il Pci Dss invece mantiene la sua validità, come viene dimostrato dalle diverse edizioni del report di Verizon.
Così commenta i numeri Rodolphe Simonetti, global managing director for Security Consulting di Verizon: “Quello che fotografiamo è un trend negativo ma è rilevante anche la crescente differenziazione a livello geografico dopo aver registrato invece tra il 2010 e 2016 un aumento graduale della compliance. Il fatto che le aziende non riescano più a raggiungere e a mantenere la conformità richiesta per il Pci Dss impatta direttamente sulla sicurezza dei dati di pagamento dei loro clienti”.
A breve verrà lanciata una nuova versione del sistema, il Pci Dss, la 4.0, con cui le aziende dovrebbero poter invertire la tendenza ripensando al modo in cui implementano e strutturano i loro programmi di conformità. Prosegue Simonetti: “I Chief information security officer farebbero bene a preoccuparsi della capacità e della maturità dei loro programmi di protezione dei dati in maniera che e riescano ad estrarre risultati misurabili e prevedibili”.
Non mancano infatti gli strumenti. Verizon ha sviluppato una metodologia per aiutare le organizzazioni a gestire i propri programmi di conformità della protezione dei dati (Dpcp). Adesso tutti questi spunti sono stati riuniti a formare il Verizon 9-5-4 Compliance Program Performance Framework.
La metodologia Verizon 9-5-4
Lo scopo, appunto, è quello di migliorare i processi offrendo una mappa che aiuti alla monitorizzazione e a raggiungere risultati coerenti, prevedibili ma soprattutto ripetibili.
Nove sono i fattori di controllo dell’efficacia e della sostenibilità:
- Controllo dell’ambiente
- Progettazione dei controlli
- Rischi associati ai controlli
- Solidità dei controlli
- Resilienza dei controlli
- Gestione del ciclo di vita dei controlli
- Gestione delle performance dei controlli
- Valutazione della maturità e autovalutazione
Se anche solo uno dei nove fattori non soddisfa le aspettative è in discussione il risultato.
Quattro invece sono le linee di garanzia: fattibilità, responsabilità individuale, gestione del rischio e tea di conformità, audit interno-esterno e autorità di regolamentazione.
I 5 vincoli organizzativi
Arriviamo all’analisi dei cinque vincoli organizzativi, nel dettaglio.
Capacità: descrive la quantità di quanto serve per raggiungere e completare il risultato. Potrebbe essere la quantità di spazio, il numero di risorse umane o anche il monte ore lavoro. La sua valutazione serve a capire se una squadra dispone delle risorse per fare qualcosa e se può completarla entro un periodo di tempo specifico.
Capability: descrive la capacità di eseguire una serie specifica di azioni o raggiungere una serie specifica di risultati. Dal punto di vista organizzativo, è la capacità di applicare e dirigere le risorse per eseguire le attività di protezione dei dati e i processi per supportarle, una condizione che consente a un individuo e un’unità organizzativa di apprendere e svolgere attività secondo le proprie capacità.
Competenza: descrive l’insieme delle conoscenze e la capacità di utilizzarle sul campo per essere funzionalmente adeguati anche in relazione alle abilità cognitive da mettere in campo per il raggiungimento del risultato. Più precisamente è il know-how o l’abilità di un individuo o di un’organizzazione.
Impegno: descrive la volontà di un’organizzazione, dal consiglio di amministrazione, attraverso la direzione di ciascun individuo, di supportare un programma o un obiettivo.
La funzione di controllo della conformità dovrebbe godere di un sostegno visibile, autonomia, indipendenza e risorse adeguate, nonché la partecipazione diretta ai comitati direttivi. La mancanza di impegno si manifesta in vari modi: incapacità di comprendere e affrontare la necessità di progettare il controllo o controllare la gestione del ciclo di vita; mancanza di impegno nella gestione delle prestazioni e delle scadenze; sviluppo di ciò che equivale a un programma che si presenta bene sulla carta ma non incorpora processi aziendali efficaci all’interno di un’organizzazione.
Comunicazione: descrive la capacità di ottenere chiarezza e concentrazione su obiettivi, compiti e responsabilità, internamente ed esternamente, per fare le cose nel modo giusto. Concentrarsi su una buona comunicazione è essenziale per semplificare qualsiasi tipo di processo di gestione del programma di protezione dei dati.
Quattro sono i tipi fondamentali di comunicazione aziendale per maturare il proprio Dpcp. Li spieghiamo. Comunicazione interna verso l’alto è tutto ciò che proviene da un subordinato a un manager o un individuo verso l’alto gerarchia organizzativa.
Comunicazione interna verso il basso è qualsiasi tipo di comunicazione che va da un superiore a uno o più subordinati senza spazio per l’interpretazione dei requisiti di conformità. Comunicazione laterale interna sono conversazioni, messaggistica e e-mail tra colleghi in ufficio. Comunicazione esterna è qualsiasi comunicazione che lasci l’ufficio e si occupi di terze parti.
© RIPRODUZIONE RISERVATA
