En hurtig primer for finansielle fagfolk
Datasikkerhed er et stort problem i finanssektoren, fordi det er forbundet med enorme potentielle økonomiske og omdømmeomkostninger. Cyberkriminalitet rettet mod finansielle virksomheder er stigende.
Derfor bør opmærksomheden på databeskyttelsesspørgsmål ikke kun involvere medlemmer af informationsteknologipersonale , men også risikostyring og compliance personale samt medlemmerne af kontrollerende organisationer og økonomidirektører.
Desuden skal fagfolk i økonomistyring i andre brancher grundlæggende være fortrolige med emner inden for datasikkerhed i betragtning af de finansielle eksponeringer.
Den stigende frekvens og omkostninger ved større overtrædelser af datasikkerheden, som påvirker banker, investeringsselskaber, elektroniske betalingsprocessorer, kreditkortnetværk, detailhandlere og andre, gør dette til et område, hvis betydning næsten er umulig at undervurdere i disse dage.
Datasikkerhedsproblemer:
Datasikkerhed for virksomheder, der accepterer betaling via kreditkort og betalingskort, indebærer at være meget omhyggelig med valget af elektroniske betalingsprocessorer. Der er hundredvis af virksomheder i denne forretningssted, men kun en delmængde er klassificeret PCI-kompatibel af Payment Card Industry Security Standard Council. De største kreditkortudstedere (Visa, MasterCard, etc.) forsøger typisk at styre virksomheder mod at bruge kun PCI-kompatible betalingsprocessorer.
Datasikkerhed vedrørende salgssteder Kreditkort- og betalingskortbehandling, som f.eks. Kasseapparater, gaspumper og pengeautomater, bliver i stigende grad kompromitteret og kompliceret af ordninger til at stjæle kortnumre og PIN-koder. Mange af disse ordninger udnytter den hemmelige placering af RFID-chips (radiofrekvensidentifikationschips) af datatyver på disse terminaler for at "skumme" sådanne data.
Sikkerhedsfirmaet ADT er en leverandør, der tilbyder Anti-Skim-software, som udløser advarsler, når der opdages databrud af denne art. Derudover kan en kvalificeret sikkerhedsassessor (QSA) forpligte sig til at foretage en undersøgelse af virksomhedens modtagelighed for sådanne former for brud på datasikkerhed.
Datasikkerhed afhænger ofte af den fysiske sikkerhed i datacentre. Dette indebærer at sikre, at uautoriseret personale holdes ude. Derudover kan autoriseret personale ikke få fjernet servere, bærbare computere, flashdrev, diske, bånd, udskrivninger mv., Der indeholder følsomme oplysninger fra firmaets placeringer. På samme måde bør der indføres kontrolforanstaltninger for at beskytte uautoriseret personals visning af følsomme oplysninger, som ikke er nødvendige for udførelsen af deres opgaver.
Ud over sikkerhedsprotokoller og procedurer i virksomhedens lokaler skal praksis fra eksterne leverandører af databehandling og transmissionstjenester undersøges. Hvis et tredjepartsfirma f.eks. Er vært for din virksomheds websted, skal du være bekymret over sine datasikkerhedsprocedurer. SAS-70-certificeringen er en fælles standard for tilstrækkelige sikkerhedsprocedurer vedrørende interne netværk, som kræves af Sarbanes-Oxley Act for offentligt holdte informationsteknologiselskaber.
Brug af SSL-protokoller er standarden til håndtering af følsomme data sikkert online, f.eks. Indtastningen af kreditkortnumre i betaling for transaktioner.
Netværkssikkerhed Bedste praksis:
Nøgleaspekter af netværkssikkerhed, der har indvirkning på datasikkerhed, er beskyttelse mod hackere og oversvømmelse af websteder eller netværk. Både din interne IT-gruppe og din internetudbyder (ISP) skal have passende modforanstaltninger på plads. Dette er også et spørgsmål om bekymring vedrørende web hosting og betaling behandling virksomheder. Alle disse udenforleverandører skal demonstrere, hvilke beskyttelser de har.
Igen er de bedste metoder, der karakteriserer dit eget virksomheds egne datanetværk, datacentre og datastyring, de samme, som du bør bekræfte, på plads hos alle eksterne leverandører af databehandling, betalinger, netværk og web-hosting-tjenester.
Før du indgår nogen kontrakt med en tredjepartsleverandør, skal du sikre dig, at den har de rette minimumscertificeringer fra uafhængige eksterne organer (som beskrevet ovenfor) og udfør din egen due diligence, ledet enten af din virksomheds eget informationsteknologipersonale med de relevante legitimationsoplysninger eller af kvalificerede eksterne konsulenter.
Som en endelig overvejelse er det muligt at købe forsikring mod omkostningerne i forbindelse med brud på datasikkerhed. Sådanne omkostninger omfatter bøder og sanktioner, der opkræves af kreditkortnetværk (f.eks. Visa og MasterCard) for sådanne fejl, samt de udgifter, de pålægger kortudstedere (hovedsagelig banker, kreditforeninger og værdipapirfirmaer) til at annullere kredit- og betalingskort , udstedelse af nye og gøre kortmedlemmer hele på grund af brud på grund af din virksomhed, udgifter, som de dermed vil forsøge at opkræve tilbage til din virksomhed.
En sådan forsikring kan undertiden udbydes af betalingsforarbejdningsvirksomheder, såvel som direkte tilgængelig fra forsikringsselskaber. Den fine print på sådanne politikker kan være detaljeret, så køb af sådan forsikring kræver stor omhu.
Hovedkilde: "Dodging Data Breaches," Forbes , 7/18/2011.