Kako preprečiti kršitve podatkov z varnostjo podatkov

Varnost podatkov je glavna zadeva v industriji finančnih storitev, ker je povezana z velikimi možnimi finančnimi in uglednimi stroški. Kibernetski kriminal, usmerjen v finančne družbe, je v porastu.

Skladno s tem bi bilo treba pri vprašanjih varnosti podatkov vključiti ne le člane osebja informacijske tehnologije, ampak tudi osebje za obvladovanje tveganja in skladnost, pa tudi člane organizacij upravljavcev in glavne finančne uradnike. Poleg tega morajo biti strokovnjaki za finančno poslovodenje v drugih panogah v glavnem seznanjeni s temami o varnosti podatkov, glede na finančne izpostavljenosti.

Zaradi vedno pogostejših in strožjih kršitev varnosti podatkov, ki vplivajo na banke, investicijske družbe, procesorje elektronskih plačil, omrežja kreditnih kartic, trgovce na drobno in druge, je to področje, ki ga v današnjih časih skoraj ni mogoče podcenjevati.

Težave z varnostjo podatkov:

Varnost podatkov za podjetja, ki sprejemajo plačila s kreditnimi karticami in debetnimi karticami, je potrebna previdnost pri izbiri procesorjev elektronskih plačil. V tej panogi je na stotine podjetij, vendar je svet za varnostni standard industrije plačilnih kartic ocenjen kot skladen s PCI. Najpomembnejši izdajatelji kreditnih kartic (Visa, MasterCard, itd.) Običajno poskušajo usmeriti podjetja k uporabi samo plačilnih procesorjev, ki so skladni s standardom PCI.

Varnost podatkov pri obdelavi kreditnih kartic in debetnih kartic na prodajnih mestih, kot so na blagajnah, plinskih črpalkah in bankomatih, je vedno bolj ogrožena in zapletena zaradi shem za krajo številk kartic in PIN-ov. Številne od teh shem uporabljajo tajno namestitev čipov RFID (radiofrekvenčni identifikacijski čipi) s pomočjo podatkovnih tatov na teh terminalih, da bi "prebrali" take podatke. Varnostno podjetje ADT je ​​prodajalec, ki ponuja Anti-Skim programsko opremo, ki sproži opozorila, ko se odkrijejo kršitve te vrste podatkov.

Poleg tega se lahko za preverjanje dovzetnosti podjetja za tovrstne kršitve varnosti podatkov vključi kvalificirani varnostni ocenjevalec (QSA).

Varnost podatkov je pogosto odvisna od fizičnega varovanja podatkovnih centrov. To vključuje zagotavljanje, da se nepooblaščeno osebje ne uporablja. Poleg tega pooblaščenemu osebju ni dovoljeno odstraniti strežnikov, prenosnih računalnikov, bliskovnih pogonov, diskov, trakov, izpisov ipd., Ki vsebujejo občutljive podatke iz lokacij podjetja. Podobno je treba vzpostaviti nadzor, da se prepreči pregledovanje občutljivih informacij nepooblaščenim osebam, ki niso potrebne pri opravljanju njihovih nalog.

Poleg varnostnih protokolov in postopkov v prostorih vašega podjetja je treba pregledati tudi prakse zunanjih ponudnikov storitev obdelave in prenosa podatkov. Na primer, če podjetje tretje stranke gosti spletno stran vašega podjetja, morate biti zaskrbljeni zaradi svojih postopkov za varnost podatkov. Certifikat SAS-70 je skupni standard za ustrezne varnostne postopke v zvezi z notranjimi omrežji, ki ga zahteva zakon Sarbanes-Oxley za javna informacijska podjetja. Uporaba protokolov SSL je standard za varno obdelavo občutljivih podatkov na spletu, kot je vnos številk kreditnih kartic v plačilo za transakcije.

Najboljše prakse za varnost omrežij:

Ključni vidiki varnosti omrežja, ki vplivajo na varnost podatkov, so zaščita pred hekerji in poplavljanje spletnih mest ali omrežij. Vaša interna skupina za informacijsko tehnologijo in ponudnik internetnih storitev (ISP) morata imeti na voljo ustrezne protiukrepe. To je prav tako zaskrbljujoče glede spletnega gostovanja in podjetij za obdelavo plačil. Vsi ti zunanji prodajalci morajo dokazati, kakšne zaščite imajo.

Tudi najboljše prakse, ki so značilne za lastna podatkovna omrežja, podatkovne centre in upravljanje podatkov v vašem podjetju, so enake tistim, ki bi jih morali potrditi vsi zunanji ponudniki obdelave podatkov, obdelave plačil, mreženja in storitev spletnega gostovanja. Pred sklenitvijo kakršne koli pogodbe s tretjim ponudnikom morate preveriti, ali ima ustrezno minimalno potrdilo neodvisnih zunanjih organov (kot je opisano zgoraj), in opraviti lasten skrbni pregled, ki ga vodi osebje informacijske tehnologije vašega podjetja z ustreznimi poverilnicami ali kvalificiranih zunanjih svetovalcev.

Končno je mogoče kupiti zavarovanje pred stroški, ki so povezani s kršitvami varnosti podatkov. Takšni stroški vključujejo globe in kazni, ki jih za takšne napake zaračunavajo omrežja kreditnih kartic (kot so Visa in MasterCard), pa tudi stroške, ki jih naložijo izdajateljem kartic (predvsem bankam, kreditnim zadrugam in podjetjem za vrednostne papirje) za preklic kreditnih in debetnih kartic. izdajanjem novih in sprejemanjem vseh članov kartice zaradi kršitev, ki jih je povzročilo vaše podjetje, stroški, ki jih bodo tako poskusili zaračunati vašemu podjetju.

Takšno zavarovanje lahko včasih ponudijo tudi podjetja za obdelavo plačil in so neposredno na voljo pri zavarovalnicah. Drobni tisk na takšnih politikah je lahko podroben, zato je za nakup takega zavarovanja potrebna precejšnja skrb.

_{Glavni vir: "Izogibanje kršitvam podatkov" Forbes, 7/18/2011.}