Profissionais de TI duvidam do efeito positivo das normas PCI DSS

Mesmo que as empresas utilizadoras da norma PCI DSS sofram menos fugas de dados, muitos profissionais não acreditam nos seus benefícios segundo um estudo do Ponemon Institute e da Imperva.

Perto de 64% das empresas que adoptaram as normas Data Security Standards (DSS) e Payment Card Industry (PCI) dizem não ter sofrido fugas de dados de cartões de crédito, no segundo estudo realizado pela Imperva e o Ponemon Institute – PCI DSS Compliance Trends Study. O dado relativo aos últimos dois anos, contrasta com a atitude dos profissionais de segurança de  TI: a maioria continua a não acreditar nos benefícios do PCI-DSS para a área de segurança de dados.

Um comunicado da Exclusive Networks afirma que  apenas 38 % das empresas não certificadas com esta norma reportaram uma actividade sem fugas de dados de cartões de crédito no mesmo período, citando o estudo. Quanto a fugas de dados genéricas (incidentes gerais ou que envolvam dados de cartões de crédito), 63% das empresas  em conformidade com a norma não sofreram mais do que uma única falha de dados, comparando com os 22% das organizações sem conformidade com a norma.

Em contraste, perto de 26 % das empresas que não cumprem com a norma sofreram mais de cinco fugas de dados no mesmo período, de acordo com o estudo.

Boa percepção sobre o PCI-DSS é fundamental

De acordo com a Exclusive Networks, o trabalho chega à conclusão de que 88% dos inquiridos não suportam a ideia de que a compatibilidade PCI-DSS tem um efeito positivo no número de fugas de dados registadas. E apenas 39 % mencionaram uma melhoria da segurança de dados como um ponto positivo em termos de regulação.

Na verdade, apenas 33% acredita que as mais valias da compatibilidade com PCI-DSS são cobertas pelo valor que dá à organização.
“Olhando para os dados sobre o decréscimo das fugas de dados e dos números recentes sobre o custo das fugas de dados, parece que muitos profissionais têm uma percepção muito errada do valor da compatibilidade com PCI-DSS”, disse Larry Ponemon, chairman e co-fundador do Ponemon Institute.

Conformidade com a norma tende a aumentar

O instituto também chegou à conclusão de que dois terços dos inquiridos atingiram a conformidade com o PCI-DSS. No estudo 2009 PCI DSS Compliance Trends Study, o número de respondentes com níveis similares de conformidade chegou apenas a metade, e apenas 25% dos respondentes em 2009 não tinham atingido qualquer nível de cumprimento com a norma. Apenas 16% das organizações inquiridas em 2010 não tinha atingido qualquer nível PCI-DSS.

“Nos últimos anos, muitas companhias amadureceram em termos de compreensão da ideia PCI e trabalharam para atingir os prazos de cumprimento”, diz Sónia Casaca, directora-geral da Exclusive Networks Portugal. “Acreditamos que esta é uma das principais razões para o crescimento da conformidade com as normas e também acreditamos ter sido a razão para o declínio no número de fugas de dados de cartões de crédito”, continuou.
“Numa altura em que os governos estão a lutar para implantar regras de protecção de dados complexos, a indústria de cartões de crédito deu um passo ousado para se autorregular, usando linguagem simples, objectivos simples e um enfoque pragmático”, disse Robert Bird, professor da  University of Connecticut School of Business.

No estudo, realizado em 2010, as empresas inquiriram 670 profissionais de empresas multinacionais e dos Estados Unidos dedicadas a segurança em TI, sobre como os esforços para cumprir com o PCI-DSS afectavam a protecção de dados e a segurança das empresas.




Deixe um comentário

O seu email não será publicado