Segurança de cartões de crédito em risco

O executivo da The 451 Group, Josh Corman, diz mesmo que nem as actualizações previstas para o segundo semestre deste ano não trarão melhorias significativas. E vai ainda mais longe: o chamado padrão de segurança para a indústria dos cartões de pagamento (PCI DSS) está a condicionar os investimentos das empresas em segurança, fazendo-as muitas vezes optar pelas soluções mais adequadas à protecção dos seus activos.

O analista considera que uma das principais falhas do PCI DSS é que não tem em conta o cloud computing, o que faz com que as empresas que estão a adoptar esta nova platafroma, na expectativa de poupar recursos e dinheiro, não possam utilizar o standard de maneira a conseguirem cumprir os requisitos de conformidade. E as alterações que se espera entrem em vigor no próximo Outono não irão, segundo Corman, resolver esta lacuna.

O problema é que, com a actual situação de crise, os CIO e os CISO das empresas são obrigados a limitar os seus orçamentos de segurança e, uma vez que o PCI DSS é obrigatório para todos os que tenham que transaccionar operações com cartões de crédito, os seus requisitos têm que ser cumpridos, muitas vezes à custa de outras medidas de segurança não implementadas, diz o analista do The 451 Group.

Por outro lado, o analista admite que o PCI tem criado orçamentos onde estes não existiam. Uma afirmação comum é dizer que a segurança é à prova de recessões, mas a conformidade com o padrão PCI tem obrigado muitas empresas a fazer investimentos que, de outra forma, teriam sido cortados. “Seria certamente mais correcto afirmar que a obrigação de cumprir com este standard foi o que tornou a segurança à prova de recessão”, sustenta.

Pode ser discutível se o PCI DSS faz, ou não, um bom trabalho na protecção dos dados dos cartões de crédito, mas o que é indiscutível, na óptica de Josh Corman, é que fez um bom trabalho na protecção de todos os activos corporativos, o que, todavia, não corresponde à sua função principal. “O PCI não foi feito para proteger as empresas, mas os dados de clientes pelos quais são responsáveis”, sublinha.

A ideia comungada pela indústria é, no entanto, que o PCI DSS é um standard feito para proteger as redes das empresas. E, uma vez que é obrigatório para muitas delas, acaba por determinar as iniciativas corporativas na área da segurança, nem sempre as melhores opções, diz Corman. Muitos responsáveis de segurança dizem a este analista que os seus investimentos em segurança são condicionados pela necessidade de cumprirem o PCI DSS e passarem as respectivas auditorias. “Temos hoje mais medo dos auditores do que dos ciber-criminosos. Acham que isso está certo?”, perguntou à audiência.

A natureza das ameaças está constantemente em evolução, com os criminosos a tentarem todos os dias entrar nas redes alheias pelos métodos mais sofisticados que encontram. Entretanto, o PCI DSS é apenas actualizado a cada dois anos, o que faz com que fique para trás no combate às mais recentes técnicas no campo do cibercrime, acusa Josh Corman. O analista do The 451 Group afirma que alguns dos princípios que sustentam o standard não resistem a uma análise mais detalhada. Por exemplo, a correcção rápida e regular de falhas de segurança em sistemas operativos e aplicações é um dos argumentos promovidos pelos criadores do PCI. Mas das 90 intrusões que deram origem a roubo de dados em 2009, apenas seis teriam sido evitadas se fossem feitas correcções mais atempadas, de acordo com dados da Verizon Business citados pelo analista.

Da mesma forma, a ideia generalizada de que a maioria das intrusões são causadas por pessoal interno está também sobrevalorizada, porque apenas 20 por cento dos incidentes reportados pela Verizon podem ser ligados a este tipo de causa. E, destes 20 por cento, metade ficou a dever-se a erros de utilizador, não a intenções maliciosas. “Esse é um mito urbano que não corresponde à verdade”, diz Corman.

85% das fugas de dados resultam de malware personalizado

Os sistemas antivírus, obrigatórios pelo PCI, absorvem a maior fatia dos investimentos em segurança, mas 85 por cento das fugas de dados tiveram na sua origem a acção de malware personalizado para o efeito, que o software antivírus não consegue detectar, segundo o analista. A posição do PCI Council é que nenhum roubo de dados conseguiu ser bem sucedido numa rede totalmente cumpridora do standard PCI. “O conselho alega a infalibilidade do standard”, diz.

Fonte: Computer World

Anúncios

Deixe um comentário

Ainda sem comentários.

Comments RSS TrackBack Identifier URI

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s

  • Calendário

    • Maio 2010
      S T Q Q S S D
      « Abr    
       12
      3456789
      10111213141516
      17181920212223
      24252627282930
      31  
  • Pesquisar