En rask primer for økonomi
Datasikkerhet er et viktig problem i finansbransjen fordi den er forbundet med store potensielle økonomiske og renomméskostnader. Cyberkriminalitet rettet mot finansielle firmaer er på vei oppover.
Følgelig bør oppmerksomheten på datasikkerhetsspørsmål ikke bare innebære medlemmer av informasjonsteknologipersonell , men også risikostyring og etterlevelsespersonell , samt medlemmer av kontrollorganer og finansdirektører.
Videre må økonomistyring fagfolk i andre næringer være i utgangspunktet kjent med emner i datasikkerhet, gitt de økonomiske eksponeringene.
Den økende frekvensen og kostnadene ved store brudd på datasikkerhet, som påvirker banker, investeringsselskaper, elektroniske betalingsprosessorer, kredittkortnettverk, detaljhandlere og andre, gjør dette til et område hvor det er praktisk talt umulig å undervurdere disse dager.
Datasikkerhetsproblemer:
Datasikkerhet for selskaper som godtar betaling via kredittkort og debetkort, innebærer å ta stor forsiktighet i valget av elektroniske betalingsprosessorer. Det er hundrevis av selskaper i denne bransjen, men bare en delmengde er vurdert PCI-kompatibel av betalingskortet Industry Security Standard Council. De store kredittkortutstedere (Visa, MasterCard, etc.) forsøker vanligvis å styre bedrifter mot å bruke bare PCI-kompatible betalingsprosessorer.
Datasikkerhet med hensyn til salg av kredittkort og debetkortbehandling, som for eksempel kasseapparater, gasspumper og minibanker, blir stadig mer kompromittert og komplisert av ordninger for å stjele kortnummer og PIN-koder. Mange av disse systemene bruker hemmelig plassering av RFID-chips (radiofrekvensidentifikasjonschips) av datatyver på disse terminalene for å "skumme" slike data.
Sikkerhetsselskap ADT er en leverandør som tilbyr Anti-Skim-programvare, som utløser varsler når databrudd av denne typen oppdages. I tillegg kan en kvalifisert sikkerhetsvurdering (QSA) være forpliktet til å gjennomføre en undersøkelse av selskapets mottakelighet for slike brudd på datasikkerhet.
Datasikkerhet er ofte avhengig av fysisk sikkerhet ved datasentre. Dette innebærer å sikre at uautorisert personell holdes ute. I tillegg kan autorisert personell ikke få lov til å fjerne servere, bærbare datamaskiner, flash-stasjoner, disker, kassetter, utskrifter, etc., som inneholder sensitiv informasjon fra firmaets steder. På samme måte bør kontroller være på plass for å beskytte mot uautorisert personells visning av sensitiv informasjon som ikke er nødvendig for å utføre sine oppgaver.
I tillegg til sikkerhetsprotokoller og -prosedyrer på bedriftens lokaler, må praksisene fra eksterne leverandører av databehandling og overføringstjenester undersøkes. For eksempel, hvis et tredjepartsselskap er vertskap for bedriftens nettside, må du være bekymret for sine datasikkerhetsprosedyrer. SAS-70-sertifiseringen er en felles standard for tilstrekkelige sikkerhetsprosedyrer for interne nettverk, som kreves av Sarbanes-Oxley Act for offentlig holdt informasjonsteknologiselskaper.
Bruk av SSL-protokoller er standarden for å håndtere sensitive data sikkert på nettet, for eksempel innmatingen av kredittkortnumre i betaling for transaksjoner.
Nettverkssikkerhet Best Practices:
Viktige aspekter ved nettverkssikkerhet som har innvirkning på datasikkerhet, er beskyttelse mot hackere og oversvømmelse av nettsteder eller nettverk. Både din interne IT-gruppe og Internett-leverandøren din (ISP) må ha passende motforanstaltninger på plass. Dette er også et spørsmål om bekymring for web hosting og betaling behandling selskaper. Alle disse eksterne leverandørene må vise hvilke beskyttelser de har.
Igjen er de beste praksisene som kjennetegner ditt eget selskaps egne datanettverk, datasentre og datahåndtering de samme som du bør bekrefte, på plass hos alle eksterne leverandører av databehandling, betalingsbehandling, nettverk og nettside hosting-tjenester.
Før du inngår noen kontrakt med en tredjepartsleverandør, bør du forsikre deg om at den har de riktige minimumsertifiseringene fra uavhengige eksterne organer (som beskrevet ovenfor) og gjennomføre din egen due diligence, ledet enten av bedriftens eget informasjonsteknologipersonell med riktig legitimasjon eller av kvalifiserte eksterne konsulenter.
Som en endelig vurdering er det mulig å kjøpe forsikring mot kostnadene knyttet til brudd på datasikkerhet. Slike kostnader inkluderer bøter og straffer som kreves av kredittkortnettverk (for eksempel Visa og MasterCard) for slike feil, samt de utgiftene de pålegger kortutstedere (hovedsakelig banker, kredittforeninger og verdipapirforetak) for å kansellere kreditt- og debetkort , utstede nye og gjøre kortmedlemmer hele på grunn av brudd som følge av din bedrift, utgifter som de dermed vil forsøke å belaste tilbake til din bedrift.
Slike forsikringer kan noen ganger tilbys av betalingsvirksomhetsselskaper, samt å være tilgjengelig fra forsikringsselskaper direkte. Den fine utskriften på slike retningslinjer kan være detaljert, så kjøp av slik forsikring krever stor omhu.
Hovedkilde: "Dodging Data Breaches," Forbes , 7/18/2011.