Një Primer i shpejtë për profesionistët financiarë
Siguria e të dhënave është një çështje kryesore e shqetësimit në industrinë e shërbimeve financiare, sepse ajo është e lidhur me kostot e mëdha potenciale financiare dhe të reputacionit. Krimi kibernetik që synon firmat financiare është në rritje.
Prandaj, vëmendja në çështjet e sigurisë së të dhënave duhet të përfshijë jo vetëm anëtarët e stafit të teknologjisë së informacionit , por edhe personelin e menaxhimit dhe pajtueshmërisë së rrezikut , si dhe anëtarët e organizatave kontrolluese dhe zyrtarët kryesorë financiarë.
Për më tepër, profesionistët e menaxhimit financiar në industritë e tjera duhet të jenë në thelb të njohura me tema në sigurinë e të dhënave, duke pasur parasysh ekspozimet financiare.
Shpeshtësia dhe kostot e shkeljeve më të mëdha të sigurisë të të dhënave, të cilat ndikojnë në bankat, firmat e investimeve, përpunuesit elektronikë të pagesave, rrjetet e kartave të kreditit, tregtarët me pakicë dhe të tjerë, e bëjnë këtë një fushë, rëndësia e të cilës është praktikisht e pamundur të nënvlerësohet këto ditë.
Çështjet e sigurisë së të dhënave:
Siguria e të dhënave për kompanitë që pranojnë pagesa nëpërmjet kartave të kreditit dhe kartave të debitit, përfshin marrjen e kujdesit të madh në lidhje me zgjedhjen e përpunuesve elektronikë të pagesave. Ka qindra kompani në këtë linjë biznesi, por vetëm një nënkategori janë të kualifikuar në pajtueshmëri me PCI nga Këshilli Standard i Sigurisë së Industrisë së Kartës së Pagesave. Lëshuesit më të mëdhenj të kartave të kreditit (Visa, MasterCard, etj.) Zakonisht përpiqen t'i drejtojnë kompanitë drejt përdorimit të procesorëve të pagesave në përputhje me PCI.
Siguria e të dhënave në lidhje me shitjen e kartelës së kreditit dhe përpunimin e kartave të debitit, si në regjistrat e kashtave, pompat e gazit dhe ATM-ve, gjithnjë e më shumë po kompromentohet dhe komplikohet nga skemat për të vjedhur numrat e kartelave dhe PIN-et. Shumë prej këtyre skemave përdorin vendosjen e fshehtë të patateve të RFID (patate të skuqura të identifikimit të radio frekuencave) nga hajdutët e të dhënave në këto terminale për të "mbuluar" të dhëna të tilla.
Kompania e Sigurimit ADT është një shitës që ofron programin Anti-Skim, i cili shkakton alarme kur zbulohen shkeljet e të dhënave të këtij lloji. Përveç kësaj, një vlerësues i kualifikuar i sigurisë (QSA) mund të angazhohet për të kryer një studim të ndjeshmërisë së një kompanie ndaj këtyre llojeve të shkeljeve të sigurisë së të dhënave.
Siguria e të dhënave shpesh varet nga siguria fizike në qendrat e të dhënave. Kjo përfshin sigurimin që personeli i paautorizuar të mbahet jashtë. Për më tepër, personelit të autorizuar nuk mund të lejohen të heqin serverat, laptopët, flash drives, disqet, kaseta, printime, etj, që përmbajnë informacion të ndjeshëm nga vendet e kompanisë. Në mënyrë të ngjashme, duhet të ekzistojnë kontrolle për të mbrojtur shikimin e personelit të paautorizuar të informatave të ndjeshme që nuk janë të nevojshme gjatë kryerjes së detyrave të tyre.
Përveç protokolleve të sigurisë dhe procedurave në lokalet e kompanisë suaj, praktikat e shitësve të jashtëm të përpunimit të të dhënave dhe shërbimeve të transmetimit duhet të shqyrtohen. Për shembull, nëse një firmë e palës së tretë pret faqen e internetit të kompanisë suaj, duhet të shqetësohesh për procedurat e sigurisë së të dhënave. Certifikimi SAS-70 është një standard i zakonshëm për procedurat adekuate të sigurisë në lidhje me rrjetet e brendshme, të kërkuara nga Akti Sarbanes-Oxley për firmat e teknologjisë informative të mbajtura publikisht.
Përdorimi i protokolleve SSL është standardi për trajtimin e të dhënave të ndjeshme online të sigurt, siç është futja e numrave të kartës së kreditit në pagesa për transaksione.
Praktikat më të mira të sigurisë së rrjetit:
Aspektet kyçe të sigurisë së rrjetit që kanë një ndikim në sigurinë e të dhënave janë mbrojtja kundër hakerëve dhe përmbytja e faqeve ose rrjeteve. Si grupi juaj i teknologjisë informative në shtëpi ashtu dhe ofruesi i shërbimit të Internetit (ISP) duhet të kenë kundërmasat e duhura në vend. Kjo është gjithashtu një çështje shqetësuese në lidhje me web hosting dhe kompanitë e përpunimit të pagesave. Të gjithë këta shitës të jashtëm duhet të tregojnë se çfarë mbrojtjeje kanë.
Përsëri, praktikat më të mira që karakterizojnë rrjetet e të dhënave personale të kompanisë suaj, qendrat e të dhënave dhe menaxhimi i të dhënave janë të njëjtat që duhet të konfirmoni janë në vend të të gjithë shitësve të jashtëm të përpunimit të të dhënave, përpunimit të pagesave, rrjeteve dhe shërbimeve të ueb faqeve.
Para se të lidhni ndonjë kontratë me një ofrues të palës së tretë, duhet të konstatohet se ai ka çertifikatat minimale të përshtatshme nga organet e jashtme të pavarura (siç është përshkruar më sipër) dhe të kryejë vigjilencën tuaj të duhur, të udhëhequr nga personeli i teknologjisë së informacionit të kompanisë suaj me kredencialet përkatëse ose nga konsulentë të kualifikuar jashtë.
Si një konsideratë përfundimtare, është e mundur të blini sigurime kundrejt kostove që lidhen me shkeljet e sigurisë së të dhënave. Kostot e tilla përfshijnë gjobat dhe gjobat e vendosura nga rrjetet e kartave të kreditit (si Visa dhe MasterCard) për këto dështime, si dhe shpenzimet që ato u imponojnë emetuesve të kartave (kryesisht bankave, unioneve të kreditit dhe firmave të letrave me vlerë) për anulimin e kartave të kreditit dhe debitit , duke lëshuar ato të reja dhe duke e bërë anëtarët e kartelave të plota për shkak të shkeljeve të shkaktuara nga kompania juaj, shpenzimet që ata do të përpiqen të ngarkojnë përsëri në kompaninë tuaj.
Sigurimet e tilla nganjëherë mund të ofrohen nga firmat e përpunimit të pagesave, si dhe të jenë të disponueshëm direkt nga kompanitë e sigurimeve. Printimi i hollë në këto politika mund të detajohet, kështu që blerja e një sigurimi të tillë kërkon shumë kujdes.
Burimi kryesor: "Zvarritja e shkeljeve të të dhënave", Forbes , 18/7/2011.