Un grund rapid pentru profesioniștii financiari
Securitatea datelor reprezintă o problemă majoră de îngrijorare în sectorul serviciilor financiare, deoarece este asociată cu costuri imense potențiale financiare și de reputație. Criminalitatea informatică care vizează firmele financiare este în creștere.
În consecință, atenția acordată aspectelor legate de securitatea datelor ar trebui să implice nu numai membrii personalului din domeniul tehnologiei informației , ci și personalul de gestionare a riscurilor și de conformitate , precum și membrii organizațiilor de controlor și directorii financiari.
În plus, profesioniștii în managementul financiar din alte industrii trebuie să fie în principiu familiarizați cu subiecte legate de securitatea datelor, având în vedere expunerile financiare.
Frecvența și costurile crescânde ale încălcărilor majore ale securității datelor, care afectează băncile, firmele de investiții, procesatorii de plăți electronice, rețelele de carduri de credit, comercianții cu amănuntul și alții, face ca acesta să devină o zonă a cărei importanță este aproape imposibil de subestimat în aceste zile.
Probleme de securitate a datelor:
Securitatea datelor pentru companiile care acceptă plata prin carduri de credit și carduri de debit implică acordarea unei mari atenții în ceea ce privește alegerea procesatorilor de plăți electronice. Există sute de companii în această linie de activitate, dar numai un subset este evaluat conform PCI Compliant de către Consiliul Standard de Securitate al Industriei Cardului de Plăți. Principalii emitenți de carduri de credit (Visa, MasterCard etc.) încearcă de obicei să direcționeze companiile spre utilizarea numai a procesoarelor de plată compatibile cu PCI.
Securitatea datelor cu privire la cardul de credit de la punctul de vânzare și la procesarea cardurilor de debit, cum ar fi casele de marcat, pompele de gaze și ATM-urile, este din ce în ce mai compromisă și complicată de schemele de a fura numerele de carduri și PIN-urile. Multe dintre aceste scheme utilizează plasarea secretă a chips-urilor RFID (chips-uri de identificare a frecvențelor radio) de către hoții de date de la aceste terminale pentru a "elimina" astfel de date.
Compania de securitate ADT este un furnizor care oferă software Anti-Skim, care declanșează alerte atunci când sunt detectate încălcări ale datelor de acest tip. În plus, un evaluator de securitate calificat (QSA) poate fi angajat pentru a efectua o analiză a susceptibilității unei companii la astfel de încălcări a securității datelor.
Securitatea datelor depinde adesea de securitatea fizică la centrele de date. Aceasta presupune asigurarea păstrării personalului neautorizat. În plus, personalului autorizat nu i se permite să elimine servere, laptopuri, unități flash, discuri, casete, tipărite etc., care conțin informații sensibile din locațiile companiei. În mod similar, ar trebui să existe controale pentru a preveni vizionarea de către personalul neautorizat a unor informații sensibile care nu sunt necesare pentru îndeplinirea sarcinilor lor.
Pe lângă protocoalele și procedurile de securitate de la sediul firmei dvs., trebuie să fie examinate practicile furnizorilor externi de servicii de procesare și transmisie a datelor. De exemplu, dacă o firmă terță parte găzduiește site-ul web al companiei dvs., trebuie să vă preocupați de procedurile sale de securitate a datelor. Certificarea SAS-70 este un standard comun pentru procedurile de securitate adecvate în ceea ce privește rețelele interne, cerute de Legea Sarbanes-Oxley pentru firmele publice de tehnologie a informației.
Utilizarea protocoalelor SSL este standardul pentru manipularea online a datelor sensibile, cum ar fi introducerea numerelor cărților de credit în plățile pentru tranzacții.
Cele mai bune practici privind securitatea rețelelor:
Aspectele cheie ale securității rețelelor care au un impact asupra securității datelor sunt protecția împotriva hackerilor și inundarea site-urilor web sau a rețelelor. Atât grupul propriu de tehnologie informatică, cât și furnizorul dvs. de servicii Internet (ISP) trebuie să dispună de contramăsuri adecvate. Aceasta este, de asemenea, o problemă de îngrijorare în ceea ce privește găzduirea web și companiile de procesare a plăților. Toți acești vânzători externi trebuie să demonstreze ce protecții au.
Din nou, cele mai bune practici care caracterizează propriile rețele de date ale companiei, centrele de date și gestionarea datelor sunt aceleași pe care ar trebui să le confirmați la toți vânzătorii externi de prelucrare a datelor, procesarea plăților, servicii de rețea și servicii de găzduire a site-urilor web.
Înainte de a încheia un contract cu un furnizor terț, trebuie să vă asigurați că acesta dispune de certificările minime corespunzătoare de la organisme externe independente (așa cum sa subliniat mai sus) și să efectuați propria diligență, condusă fie de propriul personal al companiei dvs. de tehnologie a informației cu acreditările corespunzătoare sau de către consultanți externi calificați.
Ca o ultimă considerație, este posibil să cumpărați asigurare contra costurilor asociate cu încălcarea securității datelor. Aceste costuri includ amenzile și penalitățile percepute de rețelele de carduri de credit (precum Visa și MasterCard) pentru astfel de defecțiuni, precum și cheltuielile pe care le impun emitenților de carduri (în principal bănci, uniuni de credit și societăți de valori mobiliare) pentru anularea cardurilor de credit și de debit , emise altele noi și făcând membrii cardului întregi din cauza încălcărilor cauzate de compania dvs., cheltuieli pe care le vor încerca astfel să le perceapă înapoi companiei.
O astfel de asigurare uneori poate fi oferită de firmele de procesare a plăților, precum și disponibilă direct de la companiile de asigurări. Imprimarea fină a acestor politici poate fi detaliată, prin urmare, cumpărarea unei astfel de asigurări necesită o mare atenție.
Sursa principală: "Suprimarea încălcărilor datelor", Forbes , 7/18/2011.