En snabb primer för ekonomi
Datasäkerhet är ett stort problem i finanssektorns bransch eftersom det är förknippat med stora potentiella finansiella och ryktekostnader. Cyberkriminalitet som riktar sig mot finansiella företag ökar.
Uppmärksamhet på datasäkerhetsfrågor bör därför inte bara innebära medlemmar av informationsteknologipersonal, men också riskhantering och efterlevnadspersonal, samt medlemmarna av kontrollorganisationer och chefsfinansierare. Dessutom måste finansförvaltningen i andra branscher vara i grunden bekant med ämnen inom datasäkerhet, med tanke på de finansiella exponeringarna.
Den ökande frekvensen och kostnaden för stora brott mot datasäkerhet, som påverkar banker, värdepappersföretag, elektroniska betalningsförmedlare, kreditkortsnät, detaljhandlare och andra, gör det till ett område vars betydelse är nästan omöjligt att underskatta dessa dagar.
Problem med datasäkerhet:
Datasäkerhet för företag som accepterar betalning via kreditkort och betalkort innebär att man tar mycket hand om valet av elektroniska betalningsförmedlare. Det finns hundratals företag i denna bransch, men endast en delmängd är klassificerad PCI-kompatibel av Payment Card Industry Security Standard Council. De stora kreditkortsutgivarna (Visa, MasterCard, etc.) försöker vanligtvis att styra företag mot att använda endast PCI-kompatibla betalningsprocessorer.
Datasäkerhet avseende försäljningsställen Kreditkorts- och betalkortsbehandling, som till exempel kassaapparater, bensinpumpar och bankomater, blir alltmer komprometterad och komplicerad av system för att stjäla kortnummer och PIN-koder. Många av dessa system utnyttjar den hemliga placeringen av RFID-chips (radiofrekvensidentifieringschips) av datatjuvar vid dessa terminaler för att "skumma" sådana data. Säkerhetsföretag ADT är en leverantör som erbjuder Anti-Skim-programvara, som utlöser varningar när dataöverträdelser av den här sorten detekteras.
Dessutom kan en kvalificerad säkerhetsbedömare (QSA) engagera sig för att undersöka företagets mottaglighet för sådana typer av säkerhetsbrott.
Datasäkerhet beror ofta på den fysiska säkerheten vid datacenter. Detta innebär att man säkerställer att obehörig personal hålls borta. Dessutom får auktoriserad personal inte ta bort servrar, bärbara datorer, flash-enheter, skivor, tejp, utskrifter etc. som innehåller känslig information från företagets platser. På samma sätt bör kontroller finnas på plats för att skydda mot obehörig personalens visning av känslig information som inte behövs vid utövandet av sina uppgifter.
Utöver säkerhetsprotokoll och förfaranden i företagets lokaler måste praxis hos externa säljare av databehandling och överföringstjänster granskas. Till exempel, om ett tredjepartsföretag är värd för ditt företags webbplats, måste du vara oroad över sina datasäkerhetsförfaranden. SAS-70-certifieringen är en gemensam standard för adekvata säkerhetsprocedurer avseende interna nätverk, som krävs enligt Sarbanes-Oxley Act för offentligt hållna datateknikföretag. Användning av SSL-protokoll är standarden för hantering av känslig data säkert online, till exempel inmatning av kreditkortsnummer i betalning för transaktioner.
Nätverkssäkerhet Bästa praxis:
Viktiga aspekter av nätverkssäkerhet som påverkar datasäkerheten är skydd mot hackare och översvämningar av webbplatser eller nätverk. Både din inhemska IT-grupp och din Internetleverantör (ISP) måste ha lämpliga motåtgärder på plats. Detta är också ett problem med webbhotell och betalningsföretag. Alla dessa leverantörer måste visa vilka skydd de har.
Återigen är de bästa metoderna som karakteriserar ditt eget företags egna datanät, datacenter och datahantering samma som du bör bekräfta är på plats hos alla externa leverantörer av databehandling, betalningsbehandling, nätverk och webbhotellstjänster. Innan du ingår något kontrakt med en tredje part, bör du kontrollera att den har lämpliga minsta certifieringar från oberoende externa organ (som beskrivits ovan) och genomföra din egen due diligence, ledd antingen av företagets egen informationsteknologipersonal med lämpliga uppgifter eller av kvalificerade externa konsulter.
Som ett sista överväganden är det möjligt att köpa försäkringar mot kostnaderna i samband med säkerhetsbrott. Sådana kostnader inkluderar böter och påföljder som debiteras med kreditkortsnät (t.ex. Visa och MasterCard) för sådana misslyckanden, liksom de utgifter som de ålägger kortutgivare (huvudsakligen banker, kreditföreningar och värdepappersföretag) för avbokning av kredit- och betalkort, utfärda nya och göra kortmedlemmar hela på grund av överträdelser som orsakats av ditt företag, utgifter som de därmed kommer att försöka ladda tillbaka till ditt företag.
Sådan försäkring kan ibland erbjudas av betalningsbearbetningsföretag, såväl som direkt från försäkringsbolag. Det fina trycket på sådan politik kan vara detaljerat, så att köpa sådan försäkring kräver stor omsorg.
Huvudkälla: "Dodging Data Breaches, " Forbes, 7/18/2011.