¿El cumplimiento de PCI realmente reduce el riesgo y mejora la seguridad?

Una buena pregunta, pero tal vez debería decirla "¿PCI daña la seguridad".

Para responder a ambas preguntas, me gustaría diferenciar aproximadamente entre dos tipos de organizaciones (aunque la mayoría se encuentra entre estos dos extremos):

• Las organizaciones conscientes de la seguridad, que realizan habitualmente análisis basados en el riesgo empresarial, tienen implementado un SDL completo, realizan todos los movimientos correctos, etc.
• Organizaciones inconscientes de seguridad, que no tienen interés en nada que no estén absolutamente obligadas a hacer, y especialmente no si no gana dinero.

Para el segundo grupo, PCI ayuda absolutamente, mucho, de las siguientes maneras:

• Conciencia (ahora alguien tiene al menos permiso para mencionar la seguridad, y espero que todos estén hablando de ello)
• Presupuesto: dado que, de lo contrario, la gerencia nunca habría asignado ningún recurso para invertir en ninguna forma de seguridad, ahora al menos están obligados a pagar al menos el servicio de pago.
• Línea de base mínima de actividades de mínimo común denominador. (Esperamos que esto incluya la capacitación de los desarrolladores, lo que ayuda más que cualquier regulación ...)

Básicamente, los obliga a reconocer la seguridad, y espero que surja algo bueno adicional.

Para el primer grupo, hay dos (dos y media) consecuencias principales:

• Hay situaciones (raras) en las que la organización tiene que elegir entre una solución de seguridad real y el cumplimiento del LCD genérico de línea de base.
• El presupuesto ahora se asigna de manera forzosa al LCD de línea de base mínimo y genérico según lo define un grupo externo que no sabe nada sobre su negocio. (Este presupuesto probablemente sería más útil en diferentes actividades / productos / etc de seguridad).
• La administración es más rápida para transferir cualquier inversión en seguridad que no esté obligada directamente por el PCI: "si no la necesitan / si es lo suficientemente buena para ellos sin ella, ¿por qué debemos molestarnos?" o "Si fuera importante, PCI lo habría requerido".

En este caso, PCI está haciendo más daño que bien, ya que lograr que ellos incorporen seguridad no es un problema para estas organizaciones.

Sin embargo, un beneficio del cumplimiento de PCI que se comparte en la pizarra:

  

El cumplimiento con PCI reduce el riesgo de las sanciones por incumplimiento.

Lo primero que debe tener en cuenta es que las PCI DSS NO están diseñadas para proteger a su organización. Está destinado a proteger las redes de pago y el ecosistema de pago. Esto puede sonar extraño para muchos, pero solo pregunte a Visa y Mastercard.

Estoy de acuerdo con los comentarios de AviD. El "Cumplimiento de PCI" reduce algunos riesgos específicos y probablemente hace que esas organizaciones (que no están haciendo nada) sean más seguras. Pero el cumplimiento de PCI no debe ser el objetivo final de ninguna organización.

Otra cosa para aclarar es que hay una GRAN diferencia entre "Cumplimiento de PCI" y el hecho de que todos los requisitos de PCI DSS se aplican de una manera que sea acorde con el riesgo. Muchas organizaciones son "compatibles" (o piensan que lo son) hoy en día debido a la mala interpretación de PCI DSS o porque no hicieron una evaluación de la brecha completa.

Como experiencia, trabajé para un procesador de tarjetas de crédito, PCI nos ayudó a

1) Obtenga atención de los gerentes de alto nivel (la seguridad se volvió importante cuando escucharon que podríamos perder los derechos para trabajar con VISA y Mastercard).

2) La seguridad tuvo la oportunidad de formar parte del ciclo de vida del desarrollo en toda la empresa, y los desarrolladores comenzaron a pensar dos veces antes para dar una solución como "guardar el número de seguridad en este txt y dejarlo ahí, por ahí , en un escritorio usado por 30 personas "

3) La seguridad tiene un presupuesto para manejar el legado, ponerlo en conformidad, repensar las soluciones antiguas y encontrar nuevas soluciones para los viejos hackers

En mi opinión, ser compatible con PCI no hace que su empresa sea más segura, sí, tiene el objetivo principal de proteger VISA y Mastercard, pero abre algunas puertas a la seguridad, da más presupuesto y puede ayudar a hacer usted revisa su legado y es más diligente con el ciclo de vida de su desarrollo de software.

PCI DSS ayuda al PCI SSC (Consejo de PCI) a ganar dinero, y mucho.

También ayuda a los socios de PCI SSC a ganar dinero, y mucho.

No "ayuda" a la seguridad, ni a la comunidad de seguridad de ninguna manera en particular. Puedo citar numerosos ejemplos de cómo afecta la postura de seguridad de la información de las organizaciones y dificulta su capacidad para realizar una gestión adecuada de la seguridad de la información y la gestión de riesgos. Sin embargo, el mejor ejemplo es que le quita dinero a los buenos proyectos y lo entrega al PCI SSC y sus socios (ver más arriba), que siempre parecen financiar proyectos malos. Así es como funciona SANS.

Decir que el cumplimiento de PCI DSS reduce el riesgo y mejora la seguridad es como decir que Jenny Craig (o Weight Watchers) reduce la grasa y mejora la felicidad.

Yo diría que hay muchas cosas en el PCI-DSS que tienen sentido para muchas empresas (incluso cuando no están procesando tarjetas de crédito), y sí, cuando se implementa correctamente, esto puede hacer que una organización sea más seguro. Más allá de eso, todo depende de la mentalidad (con respecto a PCI-DSS) de la organización que intenta lograr el cumplimiento de PCI-DSS.