it-swarm-es.com

¿El cumplimiento de PCI realmente reduce el riesgo y mejora la seguridad?

¡También podría traer este tema candente aquí!

Para aquellos que no lo saben: https://www.pcisecuritystandards.org/

24
Tate Hansen

Una buena pregunta, pero quizás debería formularla "¿PCI daña la seguridad".

Para responder a ambas preguntas, diferenciaría de manera muy aproximada entre dos tipos de organizaciones (aunque la mayoría se encuentra entre estos dos extremos):

  • Las organizaciones preocupadas por la seguridad, que realizan rutinariamente análisis basados ​​en riesgos comerciales, tienen un SDL completo implementado, realizan todos los movimientos correctos, etc.
  • Organizaciones inconscientes de la seguridad, que no tienen ningún interés en nada que no estén absolutamente forzadas a hacer, y especialmente si no generan dinero.

Para el segundo grupo, PCI ayuda absolutamente, mucho, de las siguientes maneras:

  • Conciencia (ahora alguien tiene al menos permitido mencionar la seguridad, y con suerte todos están hablando de ello)
  • Presupuesto: dado que, de lo contrario, la administración nunca habría asignado ningún recurso para invertir en ninguna forma de seguridad, ahora al menos se ven obligados a al menos hablar de labios para afuera.
  • Línea de base mínima de actividades de mínimo común denominador. (Con suerte, esto incluye capacitar a los desarrolladores, lo que ayuda más que cualquier regulación ...)

Básicamente, los obliga a reconocer la seguridad, y es de esperar que salga algún beneficio adicional.

Para el primer grupo, hay dos (dos y media) consecuencias principales:

  • Hay situaciones (raras) en las que la organización tiene que elegir entre una solución de seguridad real y el cumplimiento de la LCD de referencia genérica.
  • El presupuesto ahora se asigna de manera forzosa a la línea de base mínima y genérica LCD según lo definido por algún grupo externo que no sabe nada sobre su negocio. (Este presupuesto probablemente sería más útil en diferentes actividades/productos de seguridad/etc. ).
  • La gerencia es más rápida para transferir cualquier inversión en seguridad que no sea exigida directamente por PCI - "si no la necesitan/si es lo suficientemente buena para ellos sin ella, ¿por qué deberíamos molestarnos?" o "Si fuera importante, PCI lo habría requerido".

En este caso, PCI está haciendo más daño que bien, ya que lograr que incorporen seguridad no es un problema para estas organizaciones.

Sin embargo, un beneficio del cumplimiento de PCI que se comparte en todos los ámbitos:

El cumplimiento de PCI reduce el riesgo de sanciones por incumplimiento.

32
AviD

Lo primero que debe tener en cuenta es que PCI DSS NO tiene la intención de proteger su organización. Está destinado a proteger las redes de pago y el ecosistema de pago. Esto puede sonar extraño para muchos, pero pregunte a Visa y Mastercard.

Estoy de acuerdo con los comentarios de AviD. El "cumplimiento de PCI" reduce algunos riesgos específicos y probablemente hace que las organizaciones (que no están haciendo nada) sean más seguras. Pero el cumplimiento de PCI no debería ser el objetivo final de ninguna organización.

Otra cosa que hay que dejar en claro es que existe una GRAN diferencia entre "Cumplimiento de PCI" y realmente ejercer todos los requisitos de PCI DSS de una manera acorde con el riesgo. Muchas organizaciones son " Cumple "(o creen que lo son) hoy debido a una mala interpretación de PCI DSS) o porque no hicieron una evaluación completa de las brechas.

10
ken5m1th

Como experiencia, trabajé para un procesador de tarjetas de crédito, PCI nos ayudó a

1) Llame la atención de los gerentes de alto nivel (la seguridad se volvió importante cuando escucharon que podíamos perder los derechos para trabajar con VISA y Mastercard).

2) La seguridad tuvo la oportunidad de convertirse en parte del ciclo de vida del desarrollo en toda la empresa, y los desarrolladores comenzaron a pensar 2 veces antes para dar una solución como "guarde el número de seguridad en este txt y déjelo ahí, por ahí, en un escritorio utilizado por 30 personas "

3) La seguridad obtuvo el presupuesto para manejar el legado, ponerlo en cumplimiento, repensar las viejas soluciones y encontrar nuevas soluciones para los viejos hacks.

Entonces, en mi opinión, el cumplimiento de PCI no hace que su empresa sea más segura, sí, tiene el enfoque principal de proteger VISA y Mastercard, pero abrirá algunas puertas a la seguridad, le dará más presupuesto y puede ayudarlo. para revisar su legado y ser más diligente con su ciclo de vida de desarrollo de software en general.

9
VP.

PCI DSS ayuda al PCI SSC (PCI Council) a ganar dinero y mucho dinero.

También ayuda a los socios de PCI SSC a ganar dinero, y mucho.

No "ayuda" a la seguridad ni a la comunidad de seguridad de ninguna manera en particular. Puedo citar numerosos ejemplos de cómo daña la postura de seguridad de la información de las organizaciones y obstaculiza su capacidad para realizar una gestión adecuada de la seguridad de la información y la gestión de riesgos. Sin embargo, el mejor ejemplo es que quita dinero de los buenos proyectos y lo entrega en manos del PCI SSC y sus socios (ver arriba), que siempre parecen financiar malos proyectos. Así es también como funciona SANS.

Decir que el cumplimiento de PCI DSS reduce el riesgo y mejora la seguridad) es como decir que Jenny Craig (o Weight Watchers) reduce la grasa y mejora la felicidad.

4
atdre

Yo diría que hay bastantes cosas en el PCI-DSS que tienen sentido para muchas empresas (incluso cuando no procesan tarjetas de crédito), y que sí, cuando se implementa correctamente, esto puede hacer que una organización sea más segura. Más allá de eso, todo depende de la mentalidad (con respecto a PCI-DSS) de la organización que intenta lograr el cumplimiento de PCI-DSS.

3
NSSec