Как да предотвратим нарушенията на данните при защита на данните

Сигурността на данните е основен проблем в сектора на финансовите услуги, тъй като е свързан с огромни потенциални финансови и репутационни разходи. Киберпрестъпленията, насочени към финансовите фирми, се увеличават.

Съответно, вниманието към въпросите, свързани със сигурността на данните, трябва да включва не само членовете на персонала на информационните технологии, но също така и персонала за управление на риска и съответствието, както и членовете на контролните организации и главните финансови служители. Освен това, специалистите по финансово управление в други отрасли трябва да са запознати основно с темите в областта на сигурността на данните, като се имат предвид финансовите експозиции.

Нарастващата честота и цената на основните нарушения на сигурността на данните, които засягат банките, инвестиционните посредници, процесорите на електронни плащания, мрежите за кредитни карти, търговците на дребно и други, прави тази област, чието значение на практика е невъзможно да се подценява в наши дни.

Проблеми със сигурността на данните:

Сигурността на данните за компаниите, които приемат плащане с кредитни карти и дебитни карти, изисква много внимание по отношение на избора на процесори за електронни плащания. Има стотици компании в тази сфера на дейност, но само подмножество е класифицирано като PCI съвместимо от Съвета за стандарти за сигурност на индустрията за платежни карти. Основните емитенти на кредитни карти (Visa, MasterCard и др.) Обикновено се опитват да насочат компаниите към използването само на PCI-съвместими платежни процесори.

Сигурността на данните по отношение на обработката на кредитни карти и дебитни карти, като например в касови апарати, газови помпи и банкомати, все повече се компрометира и усложнява от схеми за кражба на номера на карти и ПИН. Много от тези схеми използват тайното поставяне на чипове за радиочестотна идентификация (RFID чипове) от крадци на данни на тези терминали, за да „преглеждат” такива данни. Фирмата за сигурност ADT е продавач, който предлага Anti-Skim софтуер, който задейства сигнали, когато се открият нарушения на този вид данни.

Освен това, квалифициран оценител по сигурността (QSA) може да бъде ангажиран за провеждане на проучване на податливостта на компанията към тези видове нарушения на сигурността на данните.

Сигурността на данните често зависи от физическата сигурност в центровете за данни. Това включва гарантиране, че неупълномощени служители са извън обекта. Освен това на упълномощен персонал не може да се разрешава да премахва сървъри, лаптопи, флаш памети, дискове, касети, разпечатки и др., Съдържащи чувствителна информация от местонахождението на фирмата. По същия начин трябва да има контрол, който да предпазва от разглеждане от страна на неупълномощен персонал на чувствителна информация, която не е необходима при изпълнението на техните задължения.

В допълнение към протоколите и процедурите за сигурност в помещенията на вашата компания, трябва да се разгледат практиките на външни доставчици на услуги за обработка и предаване на данни. Например, ако фирма от трета страна е домакин на уебсайта на вашата компания, трябва да сте загрижени за процедурите за сигурност на данните. Сертификатът SAS-70 е общ стандарт за адекватни процедури за сигурност по отношение на вътрешните мрежи, изискван от Закона за Сарбейнс-Оксли за публично поддържани фирми за информационни технологии. Използването на SSL протоколи е стандарт за безопасна работа с поверителни данни онлайн, като например въвеждане на номера на кредитни карти при плащане за транзакции.

Най-добри практики за мрежова сигурност:

Ключови аспекти на мрежовата сигурност, които оказват влияние върху сигурността на данните, са защитата срещу хакери и наводняването на уебсайтове или мрежи. Както вашата вътрешна група за информационни технологии, така и вашият доставчик на интернет услуги (ISP) трябва да разполагат с подходящи мерки за противодействие. Това също е повод за загриженост относно уеб хостинг и компаниите за обработка на плащания. Всички тези външни доставчици трябва да демонстрират каква защита имат.

Отново, най-добрите практики, които характеризират собствените мрежи за данни, центрове за данни и управление на данни на собствената ви компания, са същите, които трябва да потвърдите, за всички външни доставчици на обработка на данни, обработка на плащания, мрежови услуги и услуги за хостинг на уебсайтове. Преди да сключите договор с доставчик от трета страна, трябва да се уверите, че той притежава необходимите минимални сертификати от независими външни органи (както е посочено по-горе) и да провеждате своя собствена проверка, ръководена или от собствения персонал на фирмата за информационни технологии с необходимите пълномощия или от квалифицирани външни консултанти.

Като последно съображение е възможно да се закупи застраховка срещу разходите, свързани с нарушения на сигурността на данните. Такива разходи включват глобите и санкциите, налагани от мрежи с кредитни карти (като Visa и MasterCard) за такива неуспехи, както и разходите, които те налагат на емитентите на карти (главно банки, кредитни съюзи и фирми за ценни книжа) за отмяна на кредитни и дебитни карти. Издаване на нови и утвърждаване на членовете на картата поради нарушения, причинени от Вашата фирма, разходите, които по този начин ще се опитат да върнат на Вашата компания.

Понякога такава застраховка може да се предлага от фирми за обработка на плащания, както и от застрахователни компании директно. Малкият шрифт на такива политики може да бъде подробен, така че закупуването на такава застраховка изисква много грижи.

_{Основен източник: "Избягване на нарушения на данните" Forbes, 7/18/2011.}