Hur man förhindrar dataöverträdelser med datasäkerhet

Datasäkerhet är ett viktigt problem i finanssektorns bransch eftersom det är förknippat med stora potentiella finansiella och ryktekostnader. Cyberkriminalitet som riktar sig mot finansiella företag ökar.

Följaktligen bör uppmärksamhet på datasäkerhetsfrågor innebära att inte bara medlemmar av informationsteknologipersonal, utan även riskhantering och efterlevnadspersonal, samt medlemmarna av kontrollorganisationer och finansdirektörer.

Vidare måste ekonomichef i andra branscher i princip vara bekant med ämnen inom datasäkerhet med tanke på de finansiella exponeringarna.

Den ökande frekvensen och kostnaden för stora brott mot datasäkerhet, som påverkar banker, värdepappersföretag, elektroniska betalningsföretagen, kreditkortsnät, detaljhandeln och andra, gör det till ett område vars betydelse är praktiskt taget omöjligt att underskatta dessa dagar.

Datasäkerhetsfrågor:

Datasäkerhet för företag som accepterar betalning via kreditkort och betalkort innebär att man tar mycket hand om valet av elektroniska betalningsförmedlare. Det finns hundratals företag i denna bransch, men endast en delmängd är klassificerad PCI-kompatibel av Payment Card Industry Security Standard Council. De stora kreditkortsutgivarna (Visa, MasterCard, etc.) försöker vanligtvis att styra företag mot att använda endast PCI-kompatibla betalningsprocessorer.

Datasäkerhet när det gäller försäljningsställen Kreditkorts- och betalkortbehandling, som till exempel kassaapparater, bensinpumpar och bankomater, blir alltmer komprometterad och komplicerad av system för att stjäla kortnummer och PIN-koder. Många av dessa system utnyttjar den hemliga placeringen av RFID-chips (radiofrekvensidentifieringschips) av datatjuvar vid dessa terminaler för att "skumma" sådana data.

Säkerhetsföretag ADT är en leverantör som erbjuder Anti-Skim-programvara, som utlöser varningar när dataöverträdelser av den här typen upptäcks. Dessutom kan en kvalificerad säkerhetsbedömare (QSA) engagera sig för att undersöka företagets mottaglighet för sådana typer av säkerhetsbrott.

Datasäkerhet beror ofta på den fysiska säkerheten vid datacenter. Detta innebär att man säkerställer att obehörig personal hålls borta. Dessutom får auktoriserad personal inte ta bort servrar, bärbara datorer, flash-enheter, skivor, tejp, utskrifter etc. som innehåller känslig information från företagets platser. På samma sätt bör kontroller finnas på plats för att skydda mot obehörig personalens visning av känslig information som inte behövs vid utövandet av sina uppgifter.

Förutom säkerhetsprotokoll och förfaranden i företagets lokaler måste praxis hos externa säljare av databehandling och överföringstjänster granskas.Till exempel, om ett tredjepartsföretag är värd för ditt företags webbplats, måste du vara oroad över sina datasäkerhetsförfaranden. SAS-70-certifieringen är en gemensam standard för adekvata säkerhetsprocedurer avseende interna nätverk, som krävs enligt Sarbanes-Oxley Act för offentligt hållna datateknikföretag.

Användning av SSL-protokoll är standarden för hantering av känslig data säkert online, till exempel inmatning av kreditkortsnummer i betalning för transaktioner.

Nätverkssäkerhet Bästa praxis:

Viktiga aspekter av nätverkssäkerhet som påverkar datasäkerheten är skydd mot hackare och översvämningar av webbplatser eller nätverk. Både din inhemska IT-grupp och din Internetleverantör (ISP) måste ha lämpliga motåtgärder på plats. Detta är också ett problem med webbhotell och betalningsföretag. Alla dessa leverantörer måste visa vilka skydd de har.

Återigen är de bästa metoderna som karaktäriserar ditt eget företags egna datanät, datacenter och datahantering samma som du bör bekräfta är på plats hos alla externa leverantörer av databehandling, betalningsbehandling, nätverk och webbhotellstjänster .

Innan du ingår något kontrakt med en tredje part leverantör bör du kontrollera att den har lämpliga minsta certifieringar från oberoende externa organ (som beskrivits ovan) och genomföra din egen due diligence, ledd antingen av företagets egen informationsteknik personal med lämpliga uppgifter eller av kvalificerade externa konsulter.

Som ett övervägande är det möjligt att köpa försäkringar mot kostnaderna i samband med brott mot datasäkerhet. Sådana kostnader inkluderar böter och påföljder som debiteras med kreditkortsnät (t.ex. Visa och MasterCard) för sådana misslyckanden, liksom de utgifter som de ålägger kortutgivare (huvudsakligen banker, kreditföreningar och värdepappersföretag) för avbokning av kredit- och betalkort , utfärda nya och göra kortmedlemmar hela på grund av överträdelser som orsakats av ditt företag, utgifter som de därmed kommer att försöka ladda tillbaka till ditt företag.

Sådan försäkring kan ibland erbjudas av betalningsföretag, samt att de är tillgängliga direkt från försäkringsbolag. Det fina trycket på sådan politik kan vara detaljerat, så att köpa sådan försäkring kräver stor omsorg.

_{Huvudkälla: "Dodging Data Breaches," Forbes , 7/18/2011.}