Opinie: PCI-DSS in breder perspectief

Don Smith van Dell SecureWorks legt uit hoe het inbedden van PCI-DSS-compliance in een breder verantwoordelijkheidskader een holistische aanpak van informatiebeveiliging mogelijk maakt.

Binnen het bedrijfsleven is het erbarmelijk gesteld met de informatiebeveiliging. Het aantal gegevenslekken groeit met de dag. Hoewel standaarden als Sarbanes Oxley, Basel II en PCI-DSS al jarenlang in omloop zijn, moeten er steeds hogere boetes van toezichthouders aan te pas komen om bedrijven te overtuigen van het belang van een holistische aanpak op het gebied van informatiebeveiliging.

PCI-DSS vormt een cruciaal onderdeel van de informatiebeveiliging. Deze standaard werd door creditcardbedrijven in het leven geroepen om de kans op diefstal van creditcardgegevens te minimaliseren. De standaard schrijft het gebruik voor van een breed scala aan controlemechanismen, beveiligingsprocessen en -faciliteiten. Hierdoor ontstaat een holistische aanpak op het gebied van informatiebeveiliging. Zo moeten ondernemingen een veilig netwerk bouwen en beheren, creditcardgegevens beveiligen, identiteits- en toegangsbeheer toepassen en kwetsbaarheden identificeren en elimineren.

Veel bedrijven verkeren in de veronderstelling dat naleving van de richtlijnen gedurende het jaar automatisch inhoudt dat het volgende jaar alles automatisch op orde is. Het werken met slechts één leverancier, één product, het uitbesteden van de verwerking van creditcardtransacties en het niet opslaan van creditcardgegevens resulteert al evenmin in compliance. Succesvolle compliance-programma's benaderen PCI daarentegen als een holistische cyclus die voortdurend moet worden bewaakt en beheerd.

Verbeterpunten
Als eerste stap in deze cyclus moet de huidige situatie in kaart worden gebracht. De bestaande maatregelen op het gebied van identiteit- en beveiligingsbeheer moeten worden afgezet tegen de PCI-specificaties. Daarnaast moeten er verbeterpunten worden geïdentificeerd. Op basis van de bevindingen moet een actieplan worden opgesteld dat voor een voortdurende verbetering van de bedrijfssystemen zorgt en naleving van de PCI-richtlijnen afdwingt. 

Vervolgens moeten er voortdurende risicoanalyses worden uitgevoerd. Hoewel de PCI-standaard antivirusmaatregelen voorschrijft, zijn er ook maatregelen nodig om indringers te weren, gegevensverlies te voorkomen en ongewenst gedrag te detecteren. Dit is mogelijk door het analyseren van patronen in logbestanden, sensorgedrag, mislukte toegangspogingen en aanvallen. Op deze manier kan de beveiliging voortdurend worden verbeterd.

Technische evaluaties van externe aanvallen zijn echter niet voldoende. Insiders vormen namelijk de grootste bedreiging voor bedrijfssystemen. Een effectief risicoplan voorkomt misbruik door insiders door toegangscontrole, een scheiding van bevoegdheden, audits en controle op de naleving.

Ondernemingen moeten audits laten uitvoeren om te controleren of hun systemen aan de eisen van de PCI-standaard te voldoen. Zo moeten handelaars die creditcardtransacties verwerken, elk kwartaal een kwetsbaarheidsscan laten uitvoeren door een geaccrediteerd beveiligingsbedrijf. De resultaten moeten worden gerapporteerd aan de betrokken creditcardmaatschappijen om aan te tonen dat de omgeving van de handelaar veilig is. Hoewel daarmee nog geen problemen zijn opgelost, garandeert dit wel dat de nodigde maatregelen zijn getroffen en er verbeteringspunten in kaart zijn gebracht.

Compliance vereist bovendien dat de informatiebeveiliging deel uitmaakt van de bedrijfscultuur. Bedrijven moeten simpele procedures opstellen en erop toezien dat deze worden nageleefd. Werknemers moeten voortdurend worden getraind en geïnformeerd, zodat ze precies weten wat ze wel en niet moeten doen.

Een gelaagde aanpak
Compliance vereist een gelaagde aanpak op het gebied van informatiebeveiliging. Er zijn firewalls nodig op de applicatielaag, alle databases moeten worden beveiligd en er moet gebruik worden gemaakt van toegangsbeheer, gegevensencryptie en netwerksegmentatie. ICT-managers moeten creditcardgegevens in real time bewaken om verdachte patronen te kunnen ontwaren. Vervolgens moeten ze effectieve maatregelen treffen om vergelijkbare incidenten te voorkomen. Het bijhouden van een beveiligingshistorie is van cruciaal belang om de effectiviteit van beveiligingsmechanismen te analyseren en aan te tonen dat de onderneming aan alle eisen van de wet- en regelgeving voldoet.

Een populaire maatregel om creditcardgegevens te beveiligen is om ze te versleutelen. Hierbij wordt alle vertrouwelijke informatie vervangen door willekeurige cijfers en symbolen waar cybercriminelen niets mee kunnen. Op deze manier hoeven er zo min mogelijk gegevens te worden bewaakt en beveiligd.

Omdat insiders vaak de grootste bedreiging vormen, moet de toegang tot creditcardgegevens strikt worden beperkt tot werknemers die deze gegevens voor hun werk nodig hebben. Elke gebruiker moet een unieke ID krijgen. Alle toegang tot netwerkbronnen en creditcardgegevens moet worden bewaakt. Er moeten beleidsregels voor identiteits- en toegangsbeheer worden toegepast, zoals het beheer van rollen, machtigingen, het toewijzen en intrekken van gebruikersrechten, single sign-on, het resetten van wachtwoorden op basis van selfservice en speciale workflows. Het is van cruciaal belang om te weten wie er wat heeft gedaan, wanneer dit gebeurde en wie daarvoor toestemming heeft verleend.

De meerwaarde van compliance
Al deze maatregelen dragen ertoe bij dat ondernemingen een beter overzicht op, en meer inzicht in hun bedrijfsnetwerk krijgen. Organisaties die een gedeeltelijk of vertekend beeld van hun netwerk en bedrijfssystemen hebben, zijn vatbaar voor aanvallen. Een holistische beveiligingsaanpak levert bovendien zakelijke voordelen op. Door de naleving van de PCI-standaard in een breder verantwoordelijkheidskader te plaatsen, kunnen ondernemingen klantgegevens op proactieve wijze beschermen, meer rendement uit hun investeringen putten en profiteren van de nieuwe kansen die de wet- en regelgeving hen te bieden heeft.