Llegamos a ustedes gracias a:



Reportajes y análisis

Se cuestionan los estándares de seguridad de las tarjetas de crédito

[23/09/2009] La mayoría de los profesionales de la seguridad que deben cumplir con los estándares de la industria para proteger los datos de las tarjetas de crédito consideran que estos estándares no tienen impacto en la verdadera seguridad, de acuerdo a un nuevo estudio del Instituto Ponemon.

Y afirman que el principal beneficio de cumplir con los estándares no es una mejor seguridad, sino mejores relaciones con los socios de negocios que consideran que el cumplimiento con la payment card industry (PCI) es un signo fácil de leer de que estas empresas están prestando atención a la protección de los datos personales de la gente que usa tarjetas de crédito, señala el estudio.
PCI no necesariamente significa una mejor seguridad dentro de los corazones y mentes de los encuestados, señala Larry Ponemon quien condujo la PCI DSS Compliance Survey para Imperva, empresa que realiza productos de seguridad para bases de datos y aplicaciones web.
En total, el 57% de los encuestados sienten que los estándares PCI no tienen impacto en un conjunto de 25 objetivos de seguridad por los que preguntaron, señala la encuesta. Esos objetivos son una lista creada por el Instituto Ponemon como una forma de realizar comparaciones de alto nivel de la seguridad de los datos entre diferentes organizaciones.
El beneficio de cumplir con la PCI citada con mayor frecuencia por los profesionales de la seguridad TI encuestados, fue que mejora las relaciones con los socios de negocios, no de que hagan que los datos estén más seguros. Esta respuesta fue seguida muy de cerca para ayudar a obtener más financiamiento TI para seguridad. Y en tercer lugar se señaló que el cumplimiento con la PCI mejoraba la posición general de seguridad del negocio.
El cumplimiento con la PCI puede usarse como una herramienta para obtener financiamiento para seguridad TI de los responsables corporativos de los presupuestos, indica la encuesta. Afirmar que el dinero ayudará a cumplir con la PCI es un mejor argumento, que decir que ayudará a hacer que los datos se encuentren más seguros, señala Ponemon. Si estás peleando para mejorar la seguridad, es difícil llegar a los niveles superiores para ver el valor, señala. Se tiene más posibilidades de que se pague por la PCI porque ayuda a trabajar con los socios de negocios, que porque lo que se tiene que hacer.
En promedio los 560 profesionales encuestados gastaron el 35% de sus presupuestos de seguridad TI en el cumplimiento de los estándares PCI. Mucho de este dinero hubiera sido gastado en las mismas medidas de todas maneras, incluso si el cumplimiento con la PCI no fuera un problema, señala Ponemon. Las medidas de protección dictadas por la PCI son acatadas simplemente porque son prácticas de seguridad sensatas.
Cuando se les pidió que evaluaran el valor que reciben por los gastos en PCI, el 43% dijo que obtienen lo que han pagado, y el 23% señala que obtienen más valor que aquel por el que han pagado. El resto, 34%, afirma que obtienen menos.
Al implementar los estándares, los encuestados escogen qué proteger. La mayoría de los encuestados (55%) señala que dirigen sus esfuerzos en PCI hacia la protección solo de los datos de los tarjetahabientes, solo un 12% se encarga de la seguridad de todos los datos. Solo un 22% señala que todas sus aplicaciones y bases de datos se encuentran protegidas de acuerdo a los estándares PCI; 25% señala que la protección de sus aplicaciones no los cumple.
La herramienta más popular para proteger los datos de las tarjetas de crédito es el firewall, seguida por los productos antivirus/antimalware y el encriptamiento de los datos. Encontraron que estas cuatro tecnologías son las más costo-efectivas. El cumplimiento con la PCI generalmente recae en el CISO o CIO en el lado tecnológico, pero los departamentos legales de las empresas son también socios iguales en general, señala el estudio, indicando las complejas implicancias del cumplimiento.
Otros resultados de la encuesta:
* La gran mayoría de los encuestados (79%) señala haber sufrido por lo menos una violación de los datos que dio como resultado la pérdida o robo de la información de las tarjetas de crédito.
* Los puntos finales y los dispositivos inalámbricos son considerados como los dos eslabones más débiles en el cumplimiento de la seguridad PCI, seguidos de los documentos impresos y las aplicaciones, señala la encuesta.
* Las tres principales razones para implementar estándares de seguridad son lograr una posición de seguridad efectiva (48%), obtener la aprobación de la gerencia (47%) y priorizar los requerimientos de seguridad (46%).
Tim Greene, Network World (US)