Gabriel Leperlier, Senior Manager Security Assurance EMEA di Verizon Business Group racconta in dettaglio il recente Payment Security Report 2020.
L’approfondita analisi di Verizon traccia uno scenario variegato e in forte cambiamento. Quanto sono sicuri i pagamenti digitali? Cosa fanno le organizzazione per proteggere i dati del cliente?
In un momento di forte crescita dei sistemi di eCommerce, si tratta di interrogativi di grande attualità e che, a vario titolo, coinvolgono tutti.
Verizon PSR 2020 compie 10 anni. L’articolato documento espone le ragioni alla base della inefficace e inconsistente protezione dei dati nei meccanismi di gestione delle carte di pagamento.
La mancanza di strategie di sicurezza a lungo termine da parte dei leader aziendali indebolisce la compliance sulla sicurezza dei pagamenti, che è in calo per il terzo anno consecutivo!
Come evidenzia Leperlier, hanno vanificato anni perseguendo strategie inconsistenti e non adeguate al contenimento del rischio. Manca una visione d’insieme e una capacità di mantenere operative figure di responsabilità che possano agire in modo concreto. CISO e security officer, non sono integrati coerentemente con la struttura, o mancano del tutto, un particolare che sta danneggiando gravemente la conformità al Payment Card Industry Data Security Standard (PCI DSS).
Verizon Payment Security Report 2020
Questa situazione è drammaticamente complessa e non favorisce lo sviluppo organico di società, aziende né garantisce tranquillità degli investimenti per i cittadini. Essa si scontra con la netta recrudescenza dei fenomeni di cybercirme e l’intensa attività criminale. Proprio il mondo finance e quello dei pagamenti sono nel mirino degli attaccanti: 9 violazioni su 10 che hanno finalità economiche. Nel solo settore della vendita al dettaglio, il 99% degli incidenti di sicurezza analizzati dal DBIR 2020 mirava all’acquisizione di dati di pagamento per uso fraudolento.
È dunque fondamentale innalzare il grado di sicurezza in un momento in cui circa 13,7 milioni gli italiani gestiscono il proprio denaro tramite smartphone (dati Nielsen eFinance a giugno 2019). Parliamo di un dato che rispetto allo stesso periodo dello scorso anno è cresciuto del 31%. Gli utenti che hanno utilizzato almeno una applicazione di servizi fintech sono 10,2 milioni, 4,3 milioni dei quali ha utilizzato lo smartphone per pagare al bar, ristoranti, negozi.
A effettuare smart payment sono principalmente uomini (56%) tra i 18 e i 34 anni (59%). La sempre maggiore attenzione degli italiani alla componente tecnologica di servizi finanziari è testimoniata dal fatto che il 35% di essi si dice molto o abbastanza propenso ad avviare un rapporto con una banca che abbia come punto di riferimento esclusivamente mobile.
Sicurezza in calo!
Come evidenziato nel Verizon Payment Security Report 2020 solamente il 27,9% delle organizzazioni globali ha mantenuto la piena conformità al PCI DSS. Dal 2016, anno in cui è stato registrato il dato più alto relativamente al rispetto dei criteri di sicurezza il calo è pari al 27,5%.
Ma la scarsa performance nelle valutazioni di conformità non è da considerarsi come una naturale evoluzione. È piuttosto il risultato di una sequenza di attività ed eventi basati su una pianificazione strategica carente o assente.
È l’intero sistema che denuncia una profonda necessità di revisione delle strategie di sicurezza e conformità, dei modelli di business e dei modelli operativi.
Ciò che è determinato come risultato finale dall’intera catena di gestione dipende strettamente dalle informazioni precedentemente inserite. In pratica: la sicurezza dei dati è un processo che richiede attenzione a lungo termine e consolidate attività a cadenza definita.
Verizon Payment Security Report 2020
L’immediato futuro non si prospetta particolarmente brillante.
Stando al PSR 2020, solo il 51% delle organizzazioni che mette realmente alla prova i propri sistemi ottiene esiti positivi. Ma c’è di più, sussistono procedure per l’accesso non monitorato al sistema, e solamente due terzi delle organizzazioni traccia le attività ai sistemi critici aziendali in modo adeguato. Il 70,6% delle istituzioni finanziarie mantiene controlli di sicurezza perimetrali essenziali.
In questo scenario, le PMI risultano doppiamente colpite. La mancanza di conformità e un basso tasso di sicurezza non facilitano le attività di business, rendono più pericolose le procedure quotidiane e rallentano la trasformazione digitale.
Tutto questo, nonostante, rispetto alle aziende più grandi, abbiano meno dati di carte di pagamento da elaborare e archiviare. Ciò però non deve trarre in inganno; anche se sussistono volumi inferiori da tracciare, persistono importanti problemi di sicurezza. Tra questi, le scarse risorse e budget limitati per ottemperare alle esigenze di security.
Tutto ciò influisce sulle strategie attuabili per mantenere la conformità con il PCI DSS. Spesso le misure necessarie per proteggere i dati sensibili delle carte di pagamento sono percepite dalle organizzazioni più piccole come troppo dispendiose in termini di tempo e costose. Non è così, soprattutto considerando che le probabilità di una violazione dei dati sono elevate. È perciò determinante anche per le PMI il mantenimento della conformità al PCI DSS.
Secondo Verizon, diverse trappole si celano nel percorso di innovazione sin qui descritto, eventualità che minano ogni possibile attività:
- Leadership inadeguata
- Non riuscire a garantire il supporto strategico
- Ridotta disponibilità di risorse
- Mancanza di un solido design strategico
- Insufficiente capacità di esecuzione della strategia
- Scarsa capacità e maturità del processo e assenza di un miglioramento continuo
- Vincoli di comunicazione e culturali
Stanti queste, le difficoltà per i CISO non sono poche. I problemi, spesso, non sono di natura tecnologica ma sono il risultato di debolezze organizzative intrinseche. Esse potrebbero essere risolte da capacità di management più avanzate, processi formalizzati e modelli di business incentrati sulla sicurezza.
Per definire una solida strategia di security, dotata di modelli operativi e un framework veramente funzionale, occorrerà tempo.