La mancanza di una strategia di sicurezza a lungo termine da parte delle imprese indebolisce la compliance nei pagamenti digitali, costantemente in calo. E’ questo lo scenario che emerge dal Payment Security Report (PSR) lo studio di Verizon Business che ogni anno analizza il valore delle prestazioni e la relativa adeguatezza agli standard di sicurezza nei pagamenti con carte di credito, sulla base di dati globali raccolti dal PCI DSS (Payment Card Industry Data Security Standard).
Gabriel Leperlier, senior manager Security Assurance Emea di Verizon Business, illustra i risultati dell’edizione 2020 dello studio e i trend in atto a livello europeo, con un focus sul mercato italiano.
Emerge come dato più indicativo che solo il 27,9% delle organizzazioni globali mantiene la piena conformità agli standard a supporto dei clienti nella protezione dei sistemi da violazioni e furti dei dati. “In molte realtà mancano le risorse e l’impegno da parte dei dirigenti aziendali per supportare iniziative di conformità e data security a lungo termine”, commenta Leperlier.
Sicurezza e impatto della pandemia
L’emergenza Covid-19 ha senza dubbio un impatto sul livello di sicurezza dei pagamenti. “Abbiamo visto che molte aziende erano impreparate ad affrontare attività da remoto, specie in Italia – prosegue il manager -, e l’urgenza di mettere in atto repentine strategie di passaggio al cloud ha accelerato la migrazione e la creazione di servizi in modo veloce, mettendo però ancora più a repentaglio la sicurezza. Il lockdown ha poi spesso allontanato i consumatori dall’uso del contante, spingendoli verso metodi di pagamento contactless con carte e dispositivi mobile, anche in relazione alla crescita dell’e-commerce. Ciò ha generato un maggior volume di dati di pagamento elettronici elevando il rischio di frodi e furti di informazioni”.
Queste criticità coinvolgono tutte le aziende, incluse le piccole e medie imprese che sebbene gestiscano generalmente meno dati di carte di pagamento, hanno risorse e budget inferiori per le strategie di conformità, percepite spesso come troppo dispendiose, anche in termini di tempo; la probabilità di una violazione dei dati per le Pmi è pertanto elevata.
Scenario delle minacce
Per i criminali informatici – sempre secondo un recente studio di Verizon Business sui data breach -, i dati sui pagamenti rimangono uno degli obiettivi più ambiti e redditizi, con 9 violazioni su 10 con finalità economiche. Nel solo settore della vendita al dettaglio, il 99% degli incidenti di sicurezza mira all’acquisizione di dati di pagamento per uso fraudolento. A fronte di questi dati allarmanti, sono il 51,9% le organizzazioni che testano i propri sistemi e processi di security; soltanto i due terzi traccia e monitora l’accesso ai sistemi critici aziendali in modo adeguato e solo 7 istituzioni finanziarie su 10 mantengono controlli di sicurezza perimetrali essenziali.
Sicurezza, le 7 trappole nella gestione
I dati – sottolinea Leperlier – evidenziano la necessità per le organizzazioni di una forte leadership per affrontare gli errori di gestione in materia di sicurezza dei pagamenti e di una strategia di data security e compliance di lungo termine che coinvolga una serie di figure aziendali oltre ai Ciso o responsabili della sicurezza qualificati. “I problemi riscontrati spesso non sono di natura tecnologica, ma piuttosto il risultato di debolezze organizzative che potrebbero essere risolte da capacità di management più avanzate, che includano anche la creazione di processi formalizzati che costruiscano un modello di business per la sicurezza”, suggerisce.
A supporto di questa teoria, Leperlier ritaglia uno spazio per indicare quali sono i principali limiti che ostacolano una corretta strategia di compliance, le cosiddette 7 trappole.
Eccone una sintesi. Una leadership inadeguata, con linee di reporting errate, mancanza di autorità per l’esecuzione, mancanza di struttura di guida e responsabilità, mancanza di focalizzazione, errate priorità e obiettivi, processi troppo tecnici o tattici, mancanza di continuità, dovuta spesso ad incarichi per i Ciso troppo brevi.
Non riuscire a garantire il supporto strategico: i Ciso devono migliorare nella definizione del modello di business per spiegare al cda come la sicurezza e la conformità dei dati genino valore per l’organizzazione. Mancanza di capacità delle risorse: le competenze di sicurezza informatica sono molto richieste e l’offerta molto scarsa in tutto il mondo, soprattutto per mancanza di fondi, spesi piuttosto per aggiornare tecnologie obsolete. Mancanza di un solido design strategico: uno dei primi errori di progettazione delle strategie di sicurezza è l’incapacità di designare responsabilità, autorità e capacità da eseguire in tutta l’organizzazione. Mancanza di allineamento e calibrazione della strategia, di un modello operativo di sicurezza definito, gestione e supervisione inadeguate, mancato monitoraggio dell’esecuzione della strategia. Scarsa capacità e maturità del processo, con mancanza di miglioramento continuo. Vincoli di comunicazione e cultura: la strategia in ultima analisi riguarda le conversazioni, che precedono pensieri, decisioni e azioni. Le strategie di sicurezza e conformità dei dati falliscono quando la comunicazione tra le parti interessate non viene rafforzata. La comunicazione è ciò che alla fine determina la selezione degli obiettivi, la determinazione delle priorità e l’allocazione delle risorse. Spesso i Ciso e i loro team hanno difficoltà a dialogare con il team esecutivo, ostacolati da relazioni limitate a livello esecutivo.
© RIPRODUZIONE RISERVATA