A medida que se filtran detalles sobre el hackeo a Home Depot (y muchas, muchas más violaciones de datos) no se puede dejar de preguntar: ¿Cómo sucedió esto, especialmente cuando se suponÃa que la empresa debÃa adherirse a las normas de seguridad especÃficas o de lo contrario perderÃa su capacidad de procesar transacciones de tarjetas de crédito?
De acuerdo con The New York Times, el defectuoso sistema de seguridad de Home Depot permitió que la información de sus clientes fuera robada por meses, de forma desapercibida. Estos defectos incluyen el uso de software antivirus desactualizado de Symantec desde el año 2007, no monitorear la red de forma continua con el fin de detectar un comportamiento sospechoso, y la realización de análisis de vulnerabilidad de forma irregular y en solo un pequeño número de tiendas.
Esto no debió ocurrir. Home Depot, como cualquier comercio que acepte tarjetas de crédito, debÃa cumplir con los estándares de seguridad establecidos por el Concejo de Normas de la Industria de Tarjetas de Pago. Formado en el 2006, este grupo de emisores de tarjetas de crédito establece las normas mÃnimas para las empresas que aceptan tarjetas de crédito.
“El panorama de las amenazas está en constante evolución, y PCI SSC espera que las normas de seguridad hagan lo mismo”, señaló Stephen W. Orfei, GM de PCI SSC, en un comunicado. “Los recientes ataques son preocupantes, pero estamos seguros de que, en colaboración con nuestra comunidad de expertos, estamos manteniendo nuestros estándares y la orientación enfocada fuertemente en la obtención de datos de tarjetas de pago en todo el mundo”.
PCI establece una “lÃnea de base” para las normas de seguridad
En teorÃa, el PCI es bueno para los minoristas. La seguridad es cara, pero el PCI establece un estándar mÃnimo que todos deben cumplir, desalentando la competencia de tomar atajos para maximizar las ganancias.
“Los estándares PCI proporcionan una fuerte protección de lÃnea de base y deben ser parte de cualquier enfoque basado en el riesgo y en capas para la seguridad”, señaló Orfei, añadiendo que la versión 3.0 del Estándar de Seguridad de Datos PCI aborda “cómo hacer que la seguridad del negocio sea usual, qué tener en cuenta al trabajar con terceros, y cómo utilizar capas de defensa para protegerse contra el malware”.
Dicho esto, los estándares PCI no son perfectos contra la prevención del fraude. Mike Lloyd, director de tecnologÃa de RedSeal Networks, una empresa de soluciones de administración de riesgo de seguridad, los equipara con las señales en los baños que le dicen a los empleados que deben lavarse las manos antes de volver al trabajo.
“No todo tiene que ser asÃ, esos signos no son una higiene perfecta, pero establecen una barra básica, y si todo el mundo las sigue, estaremos mejor”, anotó. De la misma manera, las normas de PCI establecen una barra mÃnima: “Necesitan que sus competidores lleguen al mismo nivel de base”.
Si sus competidores siguen esos mÃnimos pasos, no hay más que hacer. Basado en información que Vinny Troia ha visto sobre el hackeo a Home Depot, no cree que el minorista debió pasar su evaluación, ya que la empresa supuestamente no estaba revisando sus registros diariamente.
“Cada vez que los datos eran recopilados y enviados a otro lugar, habrÃa sido captado en los registros de seguridad”, indicó Troia, CEO de Night Lion Security, una consultorÃa de seguridad de la información. “Si tiene el equivalente a un caño que gotea, y lo ve todos los dÃas, va a notarlo. Tal vez lo mira una vez a la semana. Si las cosas no se ponen muy mal, tal vez una vez al mes. Pero Home Depot no lo vio durante cinco meses”.
Los objetivos de PCI del cliente y del auditor raramente coinciden
Los requisitos de presentación de informes de PCI cambian dependiendo del tamaño de su negocio. Las empresas más pequeñas las hacen por sà mismas. Las grandes empresas como Home Depot deben utilizar una tercera entidad que se denomina asesor de seguridad cualificado (QSA, por sus siglas en inglés) para llevar a cabo lo que es esencialmente una auditorÃa de seguridad para asegurarse de que cumplen con las medidas.
Los objetivos del PCI, los minoristas y QSA no suelen alinearse, señala Lloyd.
* PCI está destinado a proteger a los emisores de tarjetas y a asegurarse de que los consumidores se sientan lo suficientemente seguros para utilizar tarjetas de crédito y débito, por lo tanto, aseguran que los emisores de tarjetas obtengan un beneficio. Es por eso que establecen estas normas.
* Los minoristas quieren tener tanto beneficio como sea posible al mantener los costos lo más bajo posible. La seguridad es cara, sobre todo para las grandes cadenas de distribución, y es un lugar tentador para empezar a cortar esquinas.
* QSA, un grupo que incluye a grandes nombres como PricewaterhouseCoopers y AT&T Solutions Consulting, también busca obtener un beneficio. Lo hacen mediante la realización de tantas auditorÃas de seguridad como sea posible -y los minoristas pagan por aquellas auditorÃas.
Fijación de PCI: ¿Penalidades, automatización, menos relaciones cómodas?
Lloyd apuntó a la relación entre un minorista y QSA como un potencial punto débil en el sistema. “No todos los QSA son los mismos”, señaló. “Ellos tienen que competir entre sà también”.
No es raro para los minoristas busquen QSA, añadió. Exigir a los minoristas que contraten un QSA diferente, al menos una vez cada dos años, impedirÃa que la relación se vuelva demasiado acogedora.
Orfei señaló que PCI no controla ni hace cumplir la relación QSA/comerciante, que considera similar a cualquier otro tipo de relación cliente/auditor. “Al igual que otros auditores, QSA tiene la responsabilidad de proporcionar una evaluación independiente de terceros”, indicó.
Lloyd también recomendó la automatización. “Todos estamos comprometidos en esta industria y tratando de averiguar cuánto de esto podemos automatizar, porque ahà es donde está la ganancia”, mencionó. “Tome las normas PCI y conviértelas en algo que una máquina pueda hacer y trate de agarrar la mayor cantidad de automatización que pueda”.
La automatización bajarÃa el costo del cumplimiento de las normas PCI. Eso, a su vez, aumentarÃa las probabilidades de que las empresas sigan esas normas sin tomar atajos. La automatización de los trabajos de QSA también significa que hay menos margen para el error humano.
Otra táctica: penalizar a las empresas que no cumplan. “En el caso de todas estas infracciones, no se ha hecho una sola vez. Las transacciones nunca se suspenden”, anotó Troia. “Mi opinión personal es que esa es la única forma en que alguien realmente recibirá el mensaje”.
Orfei señaló que PCI no juega un papel en la gestión del cumplimiento de sus propias normas. “PCI SSC se centra en el liderazgo del pensamiento de seguridad de pago incluyendo el desarrollo de normas técnicas. Los incentivos o la aplicación para cumplir con las normas PCI es función de las marcas de tarjetas bancarias y sus socios”.
– Jen A. Miller, CIO EE.UU.
