Як запобігти порушенням даних із захистом даних

Безпека даних є основною проблемою, що викликає занепокоєння у сфері фінансових послуг, оскільки вона пов'язана з величезними потенційними фінансовими та репутаційними витратами. Кіберзлочинність, спрямована на фінансові фірми, зростає.

Відповідно, увагу до питань безпеки даних повинно залучати не тільки представники персоналу інформаційних технологій, але й персонал з управління ризиками та відповідності, а також члени організацій-контролерів та головні фінансові працівники. Крім того, фахівці з фінансового менеджменту в інших галузях мають бути в основному обізнаними з питаннями безпеки даних, враховуючи фінансові ризики.

Зростаюча частота і вартість основних порушень безпеки даних, які впливають на банки, інвестиційні фірми, електронні платіжні системи, мережі кредитних карток, роздрібні торговці та інші, робить цю область, важливість якої практично неможливо недооцінити в ці дні.

Проблеми безпеки даних:

Безпека даних для компаній, які приймають оплату через кредитні картки та дебетові картки, вимагає великої турботи щодо вибору електронних процесорів оплати. Є сотні компаній у цій сфері бізнесу, але тільки підмножина оцінюється PCI Compliant Радою стандартів безпеки платіжних карток. Основні емітенти кредитних карток (Visa, MasterCard та ін.), Як правило, намагаються спрямувати компанії на використання лише PCI-сумісних процесорів оплати.

Безпека даних щодо обробки кредитних карт та дебетових карт, таких як на касових апаратах, газових насосах та банкоматах, все більше і більше ускладнюється схемами крадіжки номерів карт і PIN-кодів. Багато з цих схем використовують таємне розміщення чіпів RFID (радіочастотних ідентифікаційних мікросхем) за допомогою даних злодіїв на цих терміналах для "сканування" таких даних. Охоронна компанія ADT - це постачальник, який пропонує програмне забезпечення Anti-Skim, яке викликає сповіщення про виявлені порушення цього типу.

Окрім того, кваліфікований експерт з безпеки (QSA) може бути залучений для проведення опитування про схильність компанії до таких порушень безпеки даних.

Безпека даних часто залежить від фізичної безпеки центрів обробки даних. Це передбачає забезпечення несанкціонованого використання персоналу. Крім того, авторизованому персоналу не може бути дозволено видаляти сервери, ноутбуки, флеш-диски, диски, касети, роздруківки тощо, які містять конфіденційну інформацію з місця розташування компанії. Аналогічно, має бути встановлений контроль, щоб захистити від перегляду несанкціонованим персоналом конфіденційної інформації, яка не потрібна при виконанні своїх обов'язків.

На додаток до протоколів та процедур безпеки в приміщеннях вашої компанії, необхідно вивчити практику зовнішніх постачальників послуг з обробки та передачі даних. Наприклад, якщо фірма третьої сторони розміщує веб-сайт вашої компанії, ви повинні бути стурбовані процедурами безпеки даних. Сертифікат SAS-70 є загальним стандартом для адекватних процедур безпеки, що стосуються внутрішніх мереж, що вимагається законом Сарбейнса-Окслі для публічних фірм з інформаційних технологій. Використання протоколів SSL є стандартом для безпечної роботи з конфіденційними даними в Інтернеті, таких як введення номерів кредитних карток в платіж за транзакції.

Кращі методи безпеки мережі:

Ключовими аспектами мережевої безпеки, що впливають на безпеку даних, є захист від хакерів і затоплення веб-сайтів або мереж. Ваша внутрішня група інформаційних технологій та ваш постачальник послуг Інтернету (ISP) повинні мати відповідні заходи протидії. Це також викликає занепокоєння з приводу веб-хостингу та компаній з обробки платежів. Всі ці зовнішні постачальники повинні продемонструвати, що вони мають.

Знову ж таки, найкращі практики, що характеризують власні мережі передачі даних, центри обробки даних та керування даними - це ті самі, які ви повинні підтвердити на всіх зовнішніх постачальниках обробки даних, обробки платежів, мереж і послуг хостингу веб-сайтів. Перед тим, як укласти будь-який контракт з постачальником послуг третьої сторони, ви повинні переконатися, що він має відповідні мінімальні сертифікати від незалежних зовнішніх органів (як зазначено вище) і проводити власну юридичну перевірку, що проводиться або власним персоналом інформаційних технологій вашої компанії з відповідними повноваженнями або кваліфікованими зовнішніми консультантами.

Як остаточний розгляд, можна придбати страхування від витрат, пов'язаних з порушеннями безпеки даних. До таких витрат відносяться штрафи та пені, що стягуються мережами кредитних карток (таких як Visa та MasterCard) за такі невдачі, а також витрати, які вони накладають на емітентів карток (переважно банки, кредитні спілки та фірми з цінних паперів) для скасування кредитних та дебетових карт, видаючи нові та роблячи всім членам картки через порушення, спричинені Вашою компанією, витрати, які вони таким чином спробують повернути Вашій компанії.

Таке страхування іноді може бути запропоноване фірмами для обробки платежів, а також безпосередньо доступними від страхових компаній. Дрібний шрифт на такій політиці може бути деталізований, тому придбання такого страхування вимагає великої турботи.

_{Основний джерело: "Усунення порушень даних" Forbes, 7/18/2011.}