项针对500位安全专家的调查发现,遵守支付卡行业数据安全标准(PCI DSS)是件繁重的事,但是超过半数的人承认这种付出是必要的,同时表示他们公司内部的安全性能得到了改善。
这项调查是由思科系统公司赞助的,旨在通过评估来确定与服从相关标准带来的挑战。此外,思科公司进一步询问了他们对于规则遵从所需的开支的主动性,发现一些组织打算在安全技术上进行投资,包括网络服务,从而对虚拟系统中的信用卡数据进行保护。
思科安全解决方案总监Fred Kost说,PCI是一个尖端商业问题,也是安全和网络工程的一项预算驱动。该项调查发现,2011年的安全性支出略有增加。受访者中,60%表示他们五年期间为了遵从PCI标准的支出在10万美元到100万多美元间。
“大多数组织的确相信如果追求PCI会使他们更加安全,而且感觉它对保护数据很有必要。”Kost说,“相比那些已经强加在他们身上的东西,这会给他们带来一种真正获利的感觉。”
调查受访者表示,他们最关心的是教育雇主能够正确的处理持卡者的数据,43%提出对终端使用者的教育是他们组织中的一个难题。
安全专家过去一直在争论安全意识训练的实用性,但是随着时间按推移,几乎所有人都同意短期安全意识训练课程是减少数据丢失的有效途径。SafeLight Security Advisors是普罗维登斯的一家基于R.I.的安全培训公司,它的创始人兼CEO Robert Cheyne说,成功的安全教育必须由权威人士领导,他强调课程应该简短,并且重点突出。
此外,思科公司发现还有其他一些方面增加了规则遵从的负担。32%的受访者提到更新旧系统,另外在这12项PCI要求中,37%提到跟踪和监控所有访问网络资源和持卡人数据的端口,32%提到开发和维护安全系统和应用程序,还有30%提到了保护已经存储的持卡人的数据,他们认为这些造成了达到和坚持标准的最大难题。
“我本以为是这12项要求中的某项构成了最大的挑战,但实际上用户的教育才是最大的难题。”思科的Kost说,“这或许是有效性的验证,标准的发展表现在一种平衡态势中,即在达到规则遵从过程中没有特定的痛点。”
接受思科调查的安全专家中,85%的人表示他们将通过PCI评估,78%表示他们通过了他们以前的初步评估。但是,调查也发现许多组织正在采用比安全标准委员会指定的PCI更加先进的技术。
虚拟化
超过半数(57%)的受访者对自身目前的虚拟化安全态势表示满意,但一些受访者(36%)承认需要增加虚拟安全设备来满足最近PCI DSS的变动,另外30%表示需要加强他们的虚拟化软件,并计划用PCI委员会提供的指导来实施。
“我认为这些组织至少在考虑虚拟化安全,以及他们需要做些什么。”Kost说,“这是一个新兴的领域,有时候我们发现虚拟化安全中最让人担心的是人们不知道的那些东西。”
思科公司还发现,60%受访者在使用无线IPS设备来检测恶意无线接入,此外,60%被调查者表示他们在使用点对点加密,以保护持卡者的数据。