Greitas pagrindas finansų specialistams
Duomenų saugumas yra pagrindinis finansinių paslaugų pramonės rūpestis, nes jis susijęs su didelėmis finansinėmis ir reputacijos sąnaudomis. Elektroninių nusikaltimų, skirtų finansų įmonėms, skaičius didėja.
Todėl dėmesys duomenų saugumo klausimams turėtų būti susijęs ne tik su informacinių technologijų personalo nariais, bet ir su rizikos valdymo ir atitikties darbuotojais, taip pat su kontrolierių organizacijų nariais ir vyriausiais finansiniais pareigūnais.
Be to, finansų valdymo specialistai kitose pramonės šakose turi iš esmės susipažinti su duomenų saugumo klausimais, atsižvelgiant į finansines pozicijas.
Didėjantis duomenų saugumo pažeidimų, kurie turi įtakos bankams, investicinėms įmonėms, elektroninių mokėjimų tvarkytojams, kreditinių kortelių tinklams, mažmeninės prekybos vartotojams ir kitiems subjektams, dažnumas ir išlaidos tampa sritimi, kurios svarbą šias dienas praktiškai neįmanoma nenuvertinti.
Duomenų saugumo problemos:
Duomenų saugumas bendrovėms, kurios priima mokėjimą kredito kortelėmis ir debetinėmis kortelėmis, labai rūpestingai vertina elektroninių mokėjimo procesorių pasirinkimą. Šioje verslo srityje yra šimtai kompanijų, tačiau mokėjimo kortelių pramonės saugumo standartų taryba yra tik pogrupis, kuriame yra "PCI compliant". Pagrindinės kredito kortelių emitentai ("Visa", "MasterCard" ir kt.) Paprastai bando valdyti įmones naudoti tik PCI suderinamąsias mokėjimo procesorius.
Duomenų saugumas, susijęs su kredito kortelių ir debitinių kortelių apdorojimo taškais, pvz., Kasos aparatuose, dujų siurbliuose ir bankomatuose, vis labiau kyla pavojus ir yra sudėtinga, siekiant pavogti kortelių numerius ir PIN kodus. Daugelis iš šių schemų naudojasi slapta RFID mikroschemų (radijo dažnių identifikavimo lustų) naudojimu duomenų vagims šiuose terminaluose, siekiant "nugriauti" tokius duomenis.
Apsaugos kompanija ADT yra tiekėjas, kuris siūlo "Anti-Skim" programinę įrangą, kuri sukelia įspėjimus, kai aptinkami tokio pobūdžio duomenų pažeidimai. Be to, kvalifikuoto saugumo vertintojo (QSA) gali būti įdarbintas, kad atliktų įmonės jautrumo tokiems duomenų saugumo pažeidimams tyrimą.
Duomenų saugumas dažnai priklauso nuo fizinio saugumo duomenų centruose. Tai reiškia, kad neleistini asmenys nebus laikomi. Be to, įgaliotiesiems darbuotojams negali būti leidžiama pašalinti serverius, nešiojamus kompiuterius, blykstės įrenginius, diskus, juostas, atspaudus ir tt, kuriuose yra slaptos informacijos iš įmonės vietų. Panašiai turėtų būti ir kontrolė, kad neleistini asmenys galėtų peržiūrėti slaptą informaciją, kuri nėra būtina jų pareigoms atlikti.
Be saugumo protokolų ir procedūrų jūsų įmonės patalpose, reikia išnagrinėti išorinių duomenų apdorojimo ir perdavimo paslaugų teikėjų praktiką. Pavyzdžiui, jei trečiosios šalies įmonė yra jūsų įmonės svetainė, turite būti susirūpinęs dėl duomenų saugumo tvarkos. SAS-70 sertifikavimas yra bendras standartas tinkamoms vidaus tinklų saugumo procedūroms, reikalaujamoms viešosioms informacinių technologijų įmonėms "Sarbanes-Oxley Act".
SSL protokolų naudojimas yra saugus internetinių duomenų tvarkymo standartas, pvz., Kreditinių kortelių numerių įvedimas mokant už sandorius.
Tinklo saugumo geriausios praktikos pavyzdžiai:
Svarbiausi tinklo saugumo aspektai, turintys įtakos duomenų saugumui, yra apsauga nuo įsilaužėlių ir svetainių ar tinklų potvynis. Tiek vidaus informacijos technologijų grupei, tiek jūsų interneto paslaugų teikėjui (ISP) turi būti taikomos tinkamos atsakomųjų priemonių. Tai taip pat kelia susirūpinimą dėl interneto prieglobos ir mokėjimo perdirbimo įmonių. Visi šie išoriniai pardavėjai turi parodyti, kokią apsaugą jie turi.
Vėlgi geriausios praktikos pavyzdžiai, kurie būdingi jūsų pačios įmonės duomenų tinklams, duomenų centrams ir duomenų valdymui, yra tie patys, kuriuos turėtumėte patvirtinti visose išorės duomenų tvarkymo, mokėjimų apdorojimo, tinklo ir svetainių talpinimo paslaugų teikėjams.
Prieš sudarant bet kokias sutartis su trečiosios šalies teikėju, turėtumėte įsitikinti, kad jis turi tinkamus minimalius nepriklausomų išorės įstaigų sertifikatus (kaip nurodyta pirmiau) ir atlikite savo deramą patikrinimą, kurį atlieka jūsų įmonės informacijos technologijų specialistai, turintys tinkamus įgaliojimus arba kvalifikuoti išoriniai konsultantai.
Galutiniu atveju galima įsigyti draudimą nuo išlaidų, susijusių su duomenų saugumo pažeidimais. Tokios išlaidos apima baudas ir nuobaudas, kurias kredito kortelių tinklai (tokie kaip "Visa" ir "MasterCard") taiko dėl tokių nesėkmių, taip pat išlaidas, kurias jos nustato kortelių išdavėjams (daugiausia bankams, kredito unijoms ir vertybinių popierių įmonėms) kredito ir debeto kortelių panaikinimui , išleidžiant naujus ir sudarant kortelės narius visai dėl jūsų įmonės sukeltų pažeidimų, išlaidos, kurias jie taip bandys sumokėti atgal į jūsų įmonę.
Tokią draudimą kartais gali pasiūlyti mokėjimo perdirbimo įmonės, taip pat jas gali tiesiogiai įsigyti draudimo bendrovės. Puikiai išspausdinti tokios politikos gali būti išsami, todėl tokio draudimo pirkimas reikalauja daug dėmesio.
Pagrindinis šaltinis: "Duomenų pažeidimo pažeidimas", " Forbes" , 2011 7/18.