Brzi primer za finansijske profesionalce
Bezbednost podataka je glavno pitanje zabrinutosti u industriji finansijskih usluga, jer je povezano sa ogromnim potencijalnim finansijskim i reputacionim troškovima. Cyber kriminal koji se bavi finansijskim firmama je u porastu.
Shodno tome, pažnja na pitanja vezana za sigurnost podataka treba da obuhvati ne samo članove osoblja informacionih tehnologija , već i osoblje za upravljanje rizicima i poštovanje , kao i članove organizacija kontrolora i glavnih finansijskih službenika.
Osim toga, stručnjaci za finansijsko upravljanje u drugim industrijama moraju biti u osnovi upoznati sa temama u pogledu sigurnosti podataka, s obzirom na finansijske izloženosti.
Povećana frekvencija i troškovi kršenja sigurnosti podataka o velikim podacima koji se odnose na banke, investicione firme, procesore elektronskog plaćanja, mreže kreditnih kartica, maloprodajne trgovce i druge, čine ovo područje čiji je značaj praktično nemoguće potcijeniti ovih dana.
Pitanja bezbednosti podataka:
Bezbednost podataka kompanijama koja prihvata plaćanje putem kreditnih kartica i debitnih kartica podrazumijeva veliku pažnju u pogledu izbora elektronskih procesora plaćanja. Postoji stotine kompanija u ovoj delatnosti, ali samo je podskupina ocijenjena PCI Compliant od strane Vijeća standarda za sigurnost industrije platnih kartica. Izdavači najvećih kreditnih kartica (Visa, MasterCard, itd.) Obično pokušavaju da usmere kompanije ka korišćenju samo PCI kompatibilnih procesora plaćanja.
Bezbednost podataka u vezi sa prodajom kreditne kartice i debitne kartice, kao što su kase, gasne pumpe i bankomati, sve više se ugrožava i komplikuje šeme za krađu brojeva kartica i PIN-ova. Mnoge od ovih šema koriste tajne postavke RFID čipova (čipova za identifikaciju radio frekvencija) od strane lopova podataka na ovim terminalima kako bi "skimali" takve podatke.
Sigurnosna kompanija ADT je prodavac koji nudi Anti-Skim softver, koji pokreće upozorenja kada se otkrivaju povrede podataka ove vrste. Pored toga, može se angažovati kvalifikovani procenitelj bezbednosti (QSA) da sprovede istraživanje podložnosti kompanije za ove vrste kršenja bezbednosti podataka.
Sigurnost podataka često zavisi od fizičke sigurnosti u centrima podataka. Ovo podrazumeva obezbeđivanje da se neovlašćeno osoblje čuva. Pored toga, ovlašćenom osoblju ne može se dozvoliti da uklanja servere, laptopove, flash diskove, diskove, trake, izlaze i sl., Koji sadrže osetljive informacije sa lokacija preduzeća. Slično tome, kontrole treba da postoje kako bi se zaštitio od neovlašćenog osoblja u pogledu osetljivih informacija koje nisu potrebne u obavljanju njihovih dužnosti.
Pored sigurnosnih protokola i procedura u prostorijama vaše kompanije, praksa spoljnih dobavljača usluga obrade i prenosa podataka mora biti detaljno pregledana. Na primjer, ako treća kompanija posjeduje web stranicu vaše kompanije, morate biti zabrinuti zbog svojih postupaka sigurnosti podataka. SAS-70 sertifikacija je zajednički standard za adekvatne sigurnosne postupke u vezi sa internim mrežama, koje se zahtijevaju Zakonom Sarbanes-Oxley za javne kompanije za informacione tehnologije.
Upotreba SSL protokola je standard za sigurno rukovanje osjetljivim podacima, kao što je unošenje brojeva kreditnih kartica u plaćanju transakcija.
Best Practice za mrežnu sigurnost:
Ključni aspekti sigurnosti mreže koji imaju utjecaj na sigurnost podataka su zaštita od hakera i poplava stranica ili mreža. I vaša grupa za informacione tehnologije i vaš Internet provajder usluga (ISP) moraju imati odgovarajuće kontra mjere. Ovo je takođe pitanje zabrinutosti u vezi sa web hostingom i kompanijama za obradu plaćanja. Svi ovi spoljašnji proizvođači moraju pokazati zaštitu koju imaju.
Ponovo, najbolje prakse koje karakterišu sopstvene mreže podataka, centri za podatke i upravljanje podacima su iste koje biste trebali potvrditi da postoje na svim spoljnim dobavljačima za obradu podataka, obradu plaćanja, umrežavanje i web hosting usluge.
Pre nego što počnete sa bilo kojim ugovorom sa dobavljačem treće strane, morate da utvrdite da li ima odgovarajuće minimalne sertifikate od nezavisnih spoljnih organa (kao što je gore opisano) i da vodite sopstvenu dužnu pažnju, koju vodi osoblje vaše informacione tehnologije vaše kompanije sa odgovarajućim akreditivima ili kvalifikovani spoljni konsultanti.
Kao konačno razmatranje, moguće je kupiti osiguranje od troškova povezanih sa kršenjem sigurnosti podataka. Takvi troškovi uključuju novčane kazne i kazne koje plaćaju mreže kreditnih kartica (kao što su Visa i MasterCard) za takve neuspjehe, kao i troškove koje izdaju izdavaocima kartica (uglavnom bankama, kreditnim sindikatima i firmama za vrijednosne papire) za otkazivanje kreditnih i debitnih kartica , izdavanje novih i čineći članove kartice cijelim zbog povreda koje izaziva vaša kompanija, troškovi koje će na taj način pokušati da vam vrate preduzeće.
Ovakvo osiguranje ponekad mogu ponuditi preduzeća za obradu plaćanja, kao i da ih direktno mogu dobiti od osiguranja. Dotjerak na takve politike može biti detaljan, pa kupovina takvog osiguranja zahtijeva veliku pažnju.
Glavni izvor: "Dodirivanje kršenja podataka", Forbes , 18.7.2011.