Kako spriječiti prekršaje podataka s sigurnost podataka

Sigurnost podataka je glavno pitanje zabrinutosti u industriji financijskih usluga jer je povezano s ogromnim potencijalnim financijskim i reputacijskim troškovima. Cyber ​​kriminal usmjeren na financijske tvrtke je u porastu.

Prema tome, pozornost na pitanja sigurnosti podataka trebala bi uključivati ​​ne samo članove osoblja informacijske tehnologije, već i osoblje za upravljanje rizicima i sukladnost, kao i članovi kontrolnih organizacija i glavnih financijskih službenika. Nadalje, stručnjaci za financijsko upravljanje u drugim industrijama moraju biti u osnovi poznati temama u sigurnosti podataka, s obzirom na financijske izloženosti.

Rastuća učestalost i troškovi velikih kršenja sigurnosnih podataka, koji utječu na banke, investicijske tvrtke, elektronički platni proceseri, kreditne kartice, maloprodajni trgovci i drugi, čini ovo područje čija je važnost gotovo nemoguće podcijeniti ovih dana.

Sigurnosni problemi o podacima:

Sigurnost podataka za tvrtke koje prihvaćaju plaćanje kreditnim karticama i debitnim karticama podrazumijevaju puno brige oko odabira elektroničkih procesora plaćanja. Postoje stotine tvrtki u ovoj djelatnosti, ali samo podskup pod nazivom PCI Compliant od strane Payment Card Industry Security Standard Council. Glavni izdavatelji kreditne kartice (Visa, MasterCard i sl.) Obično pokušavaju usmjeravati tvrtke prema korištenju samo procesora plaćanja kompatibilnih s PCI.

Sigurnost podataka o obradi kreditne kartice i debitne kartice na prodajnim mjestima, kao što su blagajne, plinske pumpe i bankomati, sve je ugrožena i komplicirana shemama za krađu brojeva karata i PIN-ova. Mnoge od tih shema koriste tajnu plasman RFID čipova (čipovi za identifikaciju radiofrekvencije) pomoću podataka lopovi na tim terminalsima kako bi "uklonili" takve podatke. Sigurnosna tvrtka ADT je ​​dobavljač koji nudi program Anti-Skim koji aktivira upozorenja kada se otkriju kršenja podataka ove vrste.

Osim toga, kvalificirani procjenitelj sigurnosti (QSA) može se angažirati za provođenje ankete o osjetljivosti tvrtke na ove vrste kršenja podataka.

Sigurnost podataka često ovisi o fizičkoj sigurnosti u podatkovnim centrima. To podrazumijeva osiguravanje neovlaštenog osoblja. Osim toga, ovlaštenom osoblju ne smije se dopustiti uklanjanje poslužitelja, prijenosnih računala, bljeskalica, diskova, traka, ispisa itd., Koji sadrže osjetljive podatke s lokacija tvrtke. Slično tome, trebaju postojati kontrole kako bi se zaštitio od neovlaštenog osoblja gledanje osjetljivih informacija koje nisu potrebne za obavljanje njihovih dužnosti.

Osim sigurnosnih protokola i postupaka na prostorima vaše tvrtke, mora se provesti praksa vanjskih dobavljača usluga obrade i prijenosa podataka. Na primjer, ako je tvrtka treće strane domaćin web-lokacije tvrtke, morate biti zabrinuti zbog svojih postupaka za sigurnost podataka. Certifikacija SAS-70 zajednički je standard za odgovarajuće sigurnosne postupke vezane uz interne mreže, koje zahtijeva Zakon Sarbanes-Oxley za javno održane informatičke tvrtke. Korištenje SSL protokola standard je za sigurno rukovanje osjetljivim podacima na mreži, kao što je unos brojeva kreditnih kartica u plaćanje za transakcije.

Najbolje prakse mrežne sigurnosti:

Ključni aspekti mrežne sigurnosti koji utječu na sigurnost podataka su zaštita od hakera i poplave web stranica ili mreža. I vaša in-house informatička grupa i vaš davatelj internetskih usluga (ISP) moraju imati odgovarajuće protumjere. To je također zabrinutost zbog web hostinga i tvrtki za obradu plaćanja. Svi ovi vanjski dobavljači moraju pokazati koje su im zaštite.

Opet, najbolje prakse koje karakteriziraju vlastite podatkovne mreže, podatkovne centre i upravljanje podacima vlastite tvrtke su one koje biste trebali potvrditi postoje li na svim vanjskim dobavljačima obrade podataka, obrade plaćanja, umrežavanja i usluge hostinga web stranica. Prije ulaska u bilo koji ugovor s pružateljem treće strane, trebate utvrditi da ima odgovarajuće minimalne certifikate od nezavisnih vanjskih tijela (kao što je gore navedeno) i provesti vlastitu dubinsku analizu, koju vode osoblje informatičke tehnologije vaše tvrtke s odgovarajućim vjerodajnicama ili kvalificiranih vanjskih konzultanata.

Konačno, moguće je kupiti osiguranje od troškova vezanih uz kršenje podataka. Takvi troškovi uključuju i novčane kazne i kazne za kreditne kartice (kao što su Visa i MasterCard) za takve propuste, kao i troškove koje nose za izdavatelje kartica (uglavnom banke, kreditne unije i vrijednosne papire) za otkazivanje kreditnih i debitnih kartica , izdavanje novih i čišćenje članova kartice zbog kršenja koje je prouzročila vaša tvrtka, troškove koje će time pokušati naplatiti natrag svojoj tvrtki.

Takvo osiguranje ponekad može ponuditi tvrtke za obradu plaćanja, kao i biti izravno dostupne od osiguravajućih društava. Fine tiskanje takvih pravila može biti detaljno, tako da kupujete takvo osiguranje zahtijeva veliku skrb.

_{Glavni izvor: "Dodging kršenja podataka" Forbes , 7/18/2011.}