Как предотвратить утечку данных с помощью безопасности данных

Безопасность данных является серьезной проблемой в индустрии финансовых услуг, поскольку она связана с огромными потенциальными финансовыми и репутационными издержками. Киберпреступность, нацеленная на финансовые фирмы, находится на подъеме.

Соответственно, внимание к вопросам безопасности данных должно привлекать не только сотрудников информационных технологий, но также сотрудников по управлению рисками и соответствию, а также членов контролирующих организаций и финансовых директоров. Кроме того, специалисты по управлению финансами в других отраслях должны быть в основном знакомы с вопросами безопасности данных, учитывая финансовые риски.

Растущая частота и стоимость серьезных нарушений безопасности данных, которые затрагивают банки, инвестиционные фирмы, процессоры электронных платежей, сети кредитных карт, розничных продавцов и другие, делают эту область, важность которой в наши дни практически невозможно недооценить.

Вопросы безопасности данных:

Безопасность данных для компаний, которые принимают платежи с помощью кредитных и дебетовых карт, требует особого внимания при выборе процессоров электронных платежей. Существуют сотни компаний в этой сфере бизнеса, но только часть из них оценивается PCI-совместимым Советом по стандартам безопасности индустрии платежных карт. Крупные эмитенты кредитных карт (Visa, MasterCard и т. Д.) Обычно пытаются склонить компании к использованию только PCI-совместимых платежных процессоров.

Безопасность данных, связанных с обработкой кредитных карт и дебетовых карт в точках продаж, таких как кассовые аппараты, газовые насосы и банкоматы, все больше подрывается и усложняется схемами кражи номеров карт и ПИН-кодов. Многие из этих схем используют секретное размещение RFID-чипов (чипов радиочастотной идентификации) похитителями данных на этих терминалах для «скипинга» таких данных. Охранная компания ADT является поставщиком, который предлагает программное обеспечение Anti-Skim, которое запускает оповещения при обнаружении утечек данных такого рода.

Кроме того, Квалифицированный Оценщик Безопасности (QSA) может быть привлечен для проведения исследования подверженности компании таким нарушениям безопасности данных.

Безопасность данных часто зависит от физической безопасности в центрах обработки данных. Это подразумевает, что посторонний персонал не допускается. Кроме того, авторизованному персоналу нельзя разрешать удалять серверы, ноутбуки, флэш-диски, диски, ленты, распечатки и т. Д., Содержащие конфиденциальную информацию, из местоположений компании. Аналогичным образом, должны быть предусмотрены меры контроля для предотвращения несанкционированного просмотра конфиденциальной информации персоналом, который не требуется при выполнении ими своих обязанностей.

В дополнение к протоколам и процедурам безопасности на территории вашей компании, необходимо тщательно изучить практику внешних поставщиков услуг по обработке и передаче данных. Например, если на веб-сайте вашей компании размещается сторонняя фирма, вы должны быть обеспокоены ее процедурами защиты данных. Сертификация SAS-70 является общим стандартом для адекватных процедур безопасности в отношении внутренних сетей, требуемых Законом Сарбейнса-Оксли для публичных фирм, занимающихся информационными технологиями. Использование SSL-протоколов является стандартом для безопасной обработки конфиденциальных данных в режиме онлайн, таких как ввод номеров кредитных карт при оплате транзакций.

Рекомендации по сетевой безопасности:

Ключевыми аспектами сетевой безопасности, которые влияют на безопасность данных, являются защита от хакеров и наводнения веб-сайтов или сетей. И ваша внутренняя группа по информационным технологиям, и ваш интернет-провайдер должны иметь соответствующие контрмеры. Это также вызывает озабоченность в отношении веб-хостинга и компаний по обработке платежей. Все эти сторонние поставщики должны продемонстрировать, какую защиту они имеют.

Опять же, лучшие практики, которые характеризуют собственные сети передачи данных вашей компании, центры обработки данных и управление данными, являются теми же, что вы должны подтвердить, что они применяются у всех сторонних поставщиков услуг по обработке данных, обработке платежей, созданию сетей и хостингу веб-сайтов. Прежде чем заключать какой-либо контракт со сторонним поставщиком, вы должны удостовериться, что он имеет соответствующие минимальные сертификаты от независимых внешних органов (как указано выше), и провести собственную юридическую проверку, проводимую либо персоналом вашей компании, работающим в области информационных технологий, с соответствующими полномочиями. или квалифицированными внешними консультантами.

В качестве окончательного решения, можно приобрести страховку от расходов, связанных с нарушениями безопасности данных. Такие расходы включают штрафы и пени, налагаемые сетями кредитных карт (такими как Visa и MasterCard) за такие сбои, а также расходы, которые они налагают на эмитентов карт (главным образом банки, кредитные союзы и фирмы по ценным бумагам) за аннулирование кредитных и дебетовых карт. выпуск новых и создание целых членов карты из-за нарушений, вызванных вашей компанией, расходы, которые они, таким образом, будут пытаться возместить вашей компании.

Такое страхование иногда может предлагаться фирмами, обрабатывающими платежи, а также напрямую от страховых компаний. Мелкий шрифт на таких полисах может быть подробным, поэтому покупка такой страховки требует большой осторожности.

_{Основной источник: "Dodging Data Breaches" Forbes, 7/18/2011.}