כיצד למנוע נתונים מפרה עם אבטחת נתונים

אבטחת מידע היא סוגיה מרכזית של דאגה בענף השירותים הפיננסיים משום שהיא קשורה בעלויות פוטנציאליות כספיות ובמוניטין. Cybercrime מיקוד חברות פיננסיות הוא במגמת עלייה.

לפיכך, תשומת הלב לענייני אבטחת מידע צריכה לכלול לא רק את אנשי צוות טכנולוגיית המידע, אלא גם את אנשי ניהול הסיכונים ואנשי הציות, וכן את חברי ארגוני הבקרים ואת מנהלי הכספים. כמו כן, אנשי מקצוע בתחום הניהול הפיננסי בענפים אחרים צריכים להיות בקיאים בעיקרו בנושאי אבטחת מידע, לאור החשיפות הפיננסיות.

התדירות והמחיר ההולכים וגדלים של הפרות אבטחת מידע משמעותיות, המשפיעות על בנקים, חברות השקעות, מעסיקי תשלום אלקטרוניים, רשתות כרטיסי אשראי, סוחרים קמעונאיים ואחרים, הופכים את השטח שחשיבותו כמעט בלתי אפשרית לזלזל בימים אלה.

בעיות בנושא אבטחת נתונים:

אבטחת מידע עבור חברות אשר מקבלים תשלום באמצעות כרטיסי אשראי וכרטיסי חיוב כרוך לוקח הרבה טיפול לגבי הבחירה של מעבדים תשלום אלקטרוניים. יש מאות חברות בתחום זה של העסק, אבל רק משנה הם מדורג תואם PCI על ידי התעשייה כרטיס אשראי תקן מועצת הביטחון. המנפיקים העיקריים של כרטיסי האשראי (ויזה, מאסטרקארד וכו ') מנסים בדרך כלל להטות חברות לקראת שימוש במעבדי תשלום תואמי PCI בלבד.

אבטחת מידע לגבי נקודת מכירה כרטיס אשראי ועיבוד כרטיס חיוב, כגון קופות רושמות, משאבות דלק כספומטים, הוא יותר ויותר להיות בסכנה מסובך על ידי תוכניות לגנוב מספרי כרטיס PINs. רבים של תוכניות אלה לנצל את המיקום הסודי של שבבי RFID (שבבים זיהוי תדר רדיו) על ידי גנבי נתונים במסופים אלה "רזה" נתונים כאלה. חברת האבטחה ADT היא ספקית המציעה תוכנות אנטי-סקיים, אשר מפעילה התראות כאשר מתפרצות נתונים מסוג זה.

בנוסף, ניתן לעסוק ב'מסייע אבטחה מוסמך '(QSA) כדי לערוך סקר לגבי רגישותה של החברה לפגיעות מסוג זה של אבטחת נתונים.

אבטחת מידע תלויה לעתים קרובות בביטחון הפיזי במרכזי נתונים. זה כרוך להבטיח כי אנשי צוות לא מורשים נשמרים. בנוסף, לא ניתן לאפשר לצוות מורשה להסיר שרתים, מחשבים ניידים, כונני הבזק, דיסקים, קלטות, תדפיסים וכו ', המכילים מידע רגיש ממיקומי החברה. באופן דומה, בקרות צריך להיות במקום כדי להישמר מפני צפייה של אנשים בלתי מורשים של מידע רגיש, כי אין צורך למלא את תפקידם.

בנוסף לפרוטוקולים ולנהלי אבטחה בחצרי החברה שלך, יש לבחון את שיטות העבודה של ספקים חיצוניים של שירותי עיבוד נתונים ותמסורת. לדוגמה, אם חברה של צד שלישי מאחסנת את אתר האינטרנט של החברה שלך, עליך להיות מודאג לגבי נהלי אבטחת הנתונים שלה. אישור ה- SAS-70 הוא תקן נפוץ להליכי אבטחה נאותים לגבי רשתות פנימיות, הנדרשות על ידי חוק Sarbanes-Oxley עבור חברות טכנולוגיית המידע הציבוריות. השימוש בפרוטוקולי SSL הוא התקן לטיפול בנתונים רגישים בצורה מאובטחת באינטרנט, כגון הקלט של מספרי כרטיסי אשראי בתשלום לעסקאות.

שיטות עבודה מומלצות לאבטחת רשת:

היבטים מרכזיים של אבטחת רשת שיש להם השפעה על אבטחת נתונים הם הגנות מפני האקרים והצפה של אתרים או רשתות. הן קבוצת טכנולוגיית המידע הביתית והן ספק שירותי האינטרנט שלך (ISP) חייבות להיות מנוגדות. זה גם עניין של דאגה לגבי אירוח אתרים ועיבוד תשלומים. כל אלה ספקים חיצוניים חייבים להוכיח מה הגנות יש להם.

שוב, שיטות העבודה המומלצות המאפיינות את רשתות הנתונים של החברה שלך, מרכזי נתונים וניהול נתונים הן אותן פעולות שעליך לאשר נמצאות בכל הספקים החיצוניים של עיבוד נתונים, עיבוד תשלומים, רישות ושירותי אירוח אתרים. לפני שתיכנס לחוזה כלשהו עם ספק צד שלישי, עליך לוודא כי יש לו את האישורים המינימליים המתאימים מגופים חיצוניים עצמאיים (כפי שתואר לעיל) ולבצע בדיקות נאותות משלך, אשר הובילו על ידי אנשי טכנולוגיית המידע של החברה שלך עם האישורים המתאימים או על ידי יועצים חיצוניים מתאימים.

כתמורה סופית, ניתן לרכוש ביטוח כנגד העלויות הכרוכות בהפרות של אבטחת מידע. עלויות אלה כוללות את הקנסות והעונשים המוטלים על רשתות כרטיסי אשראי (כגון ויזה ומאסטרקארד) בגין כשלים אלה, וכן את ההוצאות שהם מטילים על מנפיקי כרטיסים (בעיקר בנקים, איגודי אשראי וניירות ערך) לביטול כרטיסי אשראי וכרטיסי חיוב, הנפקת חדשים ולהפוך כרטיס שלם חברי בשל הפרות שנגרמו על ידי החברה שלך, הוצאות שהם ובכך ינסו לגבות בחזרה לחברה שלך.

ביטוח כזה לפעמים יכול להיות מוצע על ידי חברות עיבוד תשלומים, כמו גם להיות זמין מחברות הביטוח ישירות. את האותיות הקטנות על פוליסות כאלה ניתן לפרט, ולכן רכישת ביטוח כזה דורש הרבה טיפול.

_{המקור העיקרי: "הפרת נתונים" פורבס, 7/18/2011.}