Ātrs primer finanšu profesionāļiem
Datu drošība ir galvenā problēma finanšu pakalpojumu nozarē, jo tā ir saistīta ar lielām iespējamām finansiālām un reputācijas izmaksām. Pieaug finanšu nozaru mērķauditorija pret kibernoziegumiem.
Tādēļ uzmanība datu drošības jautājumiem būtu jāietver ne tikai informācijas tehnoloģijas darbinieku, bet arī riska vadības un atbilstības darbiniekiem, kā arī kontrolieru organizāciju un galveno finanšu darbinieku locekļiem.
Turklāt finanšu vadības speciālistiem citās nozarēs būtībā jābūt saistītiem ar datu drošības jautājumiem, ņemot vērā finanšu riskus.
Pieaugošais datu drošības pārkāpumu biežums un izmaksas, kas ietekmē bankas, ieguldījumu sabiedrības, elektronisko maksājumu apstrādātājus, kredītkartes tīklus, mazumtirdzniecības uzņēmumus un citus, rada šo jomu, kuras nozīmi šobrīd praktiski nav iespējams pārāk zemu novērtēt.
Datu drošības problēmas:
Datu drošība uzņēmumiem, kas pieņem maksājumus ar kredītkaršu un debetkaršu starpniecību, ļoti rūpīgi rūpējas par elektronisko maksājumu apstrādātāju izvēli. Šajā uzņēmējdarbības virzienā ir simtiem uzņēmumu, bet maksājumu aprindu drošības standartu padomei ir tikai viena apakškopa, kuras PCI atbilst. Galvenie kredītkartes izsniedzēji (Visa, MasterCard uc) parasti mēģina vadīt uzņēmumus izmantot tikai PCI-compliant maksājuma procesorus.
Datu drošību saistībā ar kredītkartes un debetkartes apstrādes vietām, piemēram, kases aparātiem, gāzes sūkņiem un bankomātiem, aizvien vairāk apdraud un sarežģī kartes, lai nozagtu karšu numurus un PIN. Daudzās no šīm shēmām izmanto slepeno RFID mikroshēmu izvietojumu (radiofrekvences identifikācijas mikroshēmas), izmantojot datu zagļus šajos terminālos, lai "noņemtu" šādus datus.
Drošības kompānija ADT ir pārdevējs, kas piedāvā Anti-Skim programmatūru, kas aktivizē brīdinājumus, ja tiek atklāti šāda veida datu pārkāpumi. Bez tam kvalificēta drošības vērtētāja (QSA) var iesaistīt, lai veiktu aptauju par uzņēmuma uzņēmību pret šāda veida datu drošības pārkāpumiem.
Datu drošība bieži ir atkarīga no fiziskās drošības datu centros. Tas nozīmē, ka jānodrošina, ka neautorizēts personāls tiek izslēgts. Turklāt pilnvarotajam personālam nedrīkst atļaut noņemt serverus, klēpjdatorus, flash diskus, diskus, lentes, izdrukas utt., Kas satur sensitīvu informāciju no uzņēmuma atrašanās vietas. Tāpat jāievieš kontroles, lai nepieļautu neatļautu personāla piekļuvi konfidenciālai informācijai, kas nav nepieciešama viņu pienākumu izpildei.
Papildus drošības protokoliem un procedūrām jūsu uzņēmuma telpās ir jāpārbauda datu apstrādes un pārsūtīšanas pakalpojumu ārēju pārdevēju prakse. Piemēram, ja trešās puses uzņēmums uzņem jūsu uzņēmuma vietni, jums ir jāuztraucas par datu drošības procedūrām. SAS-70 sertifikācija ir kopējs standarts adekvātām drošības procedūrām attiecībā uz iekšējiem tīkliem, ko saskaņā ar Sarbanes-Oxley likumu pieprasa publiski pieejamiem informācijas tehnoloģiju uzņēmumiem.
SSL protokolu izmantošana ir standarts, kā droši apstrādāt konfidenciālus datus tiešsaistē, piemēram, kredītkaršu numuru ievadīšana darījumu apmaksai.
Tīkla drošības labākā prakse:
Galvenie tīkla drošības aspekti, kas ietekmē datu drošību, ir aizsardzība pret hakeriem un vietņu vai tīklu plūdi. Gan jūsu iekšējai informācijas tehnoloģiju grupai, gan jūsu interneta pakalpojumu sniedzējam (ISP) jābūt piemērotiem pretpasākumiem. Tas ir arī satraukums par web hostinga un maksājumu apstrādes uzņēmumiem. Visiem šiem ārējiem pārdevējiem ir jāpierāda, kāda aizsardzība viņiem ir.
Atkal labākās prakses, kas raksturo jūsu uzņēmuma datu tīklus, datu centrus un datu pārvaldību, ir tādi paši, kas jums jāapstiprina, ir neatkarīgi no datu apstrādes, maksājumu apstrādes, tīkla un vietņu mitināšanas pakalpojumu sniedzējiem.
Pirms jebkura līguma noslēgšanas ar trešās puses pakalpojumu sniedzēju, jums jāpārliecinās, ka tā ir atbilstoša minimālā sertifikācija no neatkarīgām ārējām struktūrām (kā norādīts iepriekš), un veic savu uzticamības pārbaudi, ko vadījis vai nu jūsu uzņēmuma informācijas tehnoloģijas speciālists ar atbilstošiem akreditācijas datiem vai arī kvalificēti ārējie konsultanti.
Visbeidzot, ir iespējams iegādāties apdrošināšanu pret izmaksām, kas saistītas ar datu drošības pārkāpumiem. Šādas izmaksas ietver naudas sodus un soda naudas, ko no kredītkartes tīkliem (piemēram, Visa un MasterCard) iekasē par šādām neveiksmēm, kā arī izdevumus, ko tās uzliek karšu emitentiem (galvenokārt bankām, krājaizdevu sabiedrībām un vērtspapīru firmām), lai atceltu kredītkartes un debetkartes , izdodot jaunus un padarot kartes dalībniekus veselu sakarā ar jūsu uzņēmuma izraisītajiem pārkāpumiem, izdevumus, ko viņi tādējādi mēģinās iekasēt atpakaļ jūsu uzņēmumā.
Šādu apdrošināšanu dažreiz var piedāvāt maksājumu apstrādes uzņēmumi, kā arī tie ir pieejami tieši no apdrošināšanas kompānijām. Sīks drukāts uz šādām politikām var būt sīki izstrādāts, tādēļ, iegādājoties šādu apdrošināšanu, ir nepieciešama liela aprūpe.
Galvenais avots: "Dodging Data Breaches", Forbes , 2011. gada 7. jūnijs.