Szybki podkład dla profesjonalistów finansowych
Bezpieczeństwo danych jest poważnym problemem w branży usług finansowych, ponieważ wiąże się z ogromnymi potencjalnymi kosztami finansowymi i reputacyjnymi. Wzrasta liczba cyberprzestępstw kierowanych do firm finansowych.
W związku z tym kwestie bezpieczeństwa danych powinny obejmować nie tylko członków personelu informatycznego , ale również personel zarządzający ryzykiem i zgodności , a także członków organizacji kontrolerów i dyrektorów finansowych.
Ponadto specjaliści od zarządzania finansami w innych branżach muszą być zasadniczo zaznajomieni z tematami dotyczącymi bezpieczeństwa danych, biorąc pod uwagę ekspozycje finansowe.
Rosnąca częstotliwość i koszt poważnych naruszeń bezpieczeństwa danych, które mają wpływ na banki, firmy inwestycyjne, elektroniczne procesory płatności, sieci kart kredytowych, sprzedawców detalicznych i inne, sprawia, że jest to obszar, którego znaczenia nie można obecnie niedoceniać.
Problemy z bezpieczeństwem danych:
Bezpieczeństwo danych firm, które akceptują płatności za pomocą kart kredytowych i debetowych, wymaga dużej staranności w zakresie wyboru elektronicznych procesorów płatności. Istnieją setki firm w tej branży, ale tylko podzbiór jest zgodny ze standardem PCI zgodny z Standardem Rady ds. Bezpieczeństwa kart płatniczych. Główni wydawcy kart kredytowych (Visa, MasterCard itp.) Zazwyczaj starają się nakłaniać firmy do korzystania tylko z procesorów płatności zgodnych z PCI.
Bezpieczeństwo danych związanych z obsługą kart kredytowych i kart debetowych w punkcie sprzedaży, takich jak kasy, pompy gazowe i bankomaty, jest coraz bardziej zagrożone i skomplikowane przez systemy kradzieży numerów kart i kodów PIN. Wiele z tych schematów wykorzystuje tajne rozmieszczenie chipów RFID (chipy identyfikacji radiowej) przez złodziei danych na tych terminalach w celu "przeszukiwania" takich danych.
Firma ochroniarska ADT jest dostawcą oferującym oprogramowanie Anti-Skim, które uruchamia alerty w przypadku wykrycia naruszeń danych tego rodzaju. Dodatkowo można zatrudnić wykwalifikowanego analityka bezpieczeństwa (QSA) do przeprowadzenia ankiety dotyczącej podatności firmy na tego typu naruszenia bezpieczeństwa danych.
Bezpieczeństwo danych często zależy od fizycznego bezpieczeństwa w centrach danych. Obejmuje to zapewnienie, że nieupoważniony personel jest trzymany na uboczu. Ponadto upoważniony personel nie może usuwać serwerów, laptopów, dysków flash, dysków, taśm, wydruków itp. Zawierających poufne informacje z lokalizacji firmy. Podobnie należy wprowadzić kontrole zapobiegające oglądaniu przez nieupoważnione osoby wrażliwych informacji, które nie są potrzebne do wykonywania ich obowiązków.
Oprócz protokołów i procedur bezpieczeństwa na terenie firmy, należy zbadać praktyki zewnętrznych dostawców usług przetwarzania i przesyłania danych. Na przykład, jeśli firma zewnętrzna obsługuje witrynę Twojej firmy, musisz być zaniepokojony procedurami bezpieczeństwa danych. Certyfikacja SAS-70 jest wspólnym standardem dla odpowiednich procedur bezpieczeństwa w odniesieniu do sieci wewnętrznych, wymaganych przez ustawę Sarbanes-Oxley dla publicznie dostępnych firm z branży technologii informatycznych.
Korzystanie z protokołów SSL jest standardem bezpiecznego przetwarzania poufnych danych w Internecie, na przykład wprowadzania numerów kart kredytowych w płatnościach za transakcje.
Najlepsze praktyki w zakresie bezpieczeństwa sieci:
Kluczowymi aspektami bezpieczeństwa sieci, które mają wpływ na bezpieczeństwo danych, są zabezpieczenia przed hakerami i zalewaniem witryn lub sieci. Zarówno twoja wewnętrzna grupa technologii informatycznych, jak i usługodawca internetowy (ISP) muszą mieć odpowiednie środki zaradcze. Jest to również niepokojące, jeśli chodzi o firmy hostingowe i przetwarzające płatności. Wszyscy ci zewnętrzni sprzedawcy muszą wykazać, jakie mają zabezpieczenia.
Ponownie, najlepsze praktyki, które charakteryzują własne sieci danych, centra danych i zarządzanie danymi w twojej własnej firmie to te same, które powinieneś potwierdzić na wszystkich zewnętrznych dostawcach usług przetwarzania danych, przetwarzania płatności, usług sieciowych i hostingu.
Przed zawarciem jakiejkolwiek umowy z zewnętrznym dostawcą, powinieneś upewnić się, że posiada on odpowiednie minimalne certyfikaty od niezależnych instytucji zewnętrznych (jak opisano powyżej) i przeprowadzać własne due diligence, prowadzone przez własny personel IT firmy z odpowiednimi referencjami lub przez wykwalifikowanych zewnętrznych konsultantów.
W ostatecznym rozrachunku możliwe jest wykupienie ubezpieczenia od kosztów związanych z naruszeniem bezpieczeństwa danych. Koszty takie obejmują kary i kary nakładane przez sieci kart kredytowych (takie jak Visa i MasterCard) za takie awarie, a także wydatki, które nakładają na emitentów kart (głównie banki, kasy oszczędnościowo-kredytowe i firmy zajmujące się papierami wartościowymi) za anulowanie kart kredytowych i debetowych , wydawanie nowych i tworzenie członków kart w całości z powodu naruszeń spowodowanych przez twoją firmę, wydatki, które w ten sposób będą próbować obciążyć twoją firmę.
Takie ubezpieczenie może czasami być oferowane przez firmy zajmujące się przetwarzaniem płatności, a także bezpośrednio przez firmy ubezpieczeniowe. Drobny druk na takich polisach może być szczegółowy, więc wykupienie takiego ubezpieczenia wymaga szczególnej uwagi.
Główne źródło: "Unikanie naruszenia danych", Forbes , 7/18/2011.