כיצד למנוע הפרה של נתונים עם אבטחת מידע

אבטחת מידע היא סוגיה מרכזית של דאגה בענף השירותים הפיננסיים משום שהיא קשורה בעלויות פוטנציאליות כספיות ועלויות מוניטין. Cybercrime מיקוד חברות פיננסיות הוא במגמת עלייה.

בהתאם לכך, תשומת הלב לענייני אבטחת מידע צריכה לכלול לא רק את אנשי צוות טכנולוגיית המידע, אלא גם את אנשי ניהול הסיכונים ואנשי הציות, וכן את חברי ארגוני הבקרים ואת מנהלי הכספים.

-> ->

יתר על כן, אנשי מקצוע בתחום הניהול הפיננסי בענפים אחרים צריכים להיות בעיקרו של דבר עם נושאים אבטחת מידע, בהתחשב בחשיפות פיננסיות.

הגדלת התדירות והעלות של הפרות אבטחה מרכזיות של נתונים, המשפיעות על בנקים, חברות השקעות, מעסיקי תשלום אלקטרוניים, רשתות כרטיסי אשראי, סוחרים קמעונאיים ואחרים, הופך את האזור שחשיבותו כמעט בלתי אפשרית לזלזל בימים אלה.

-> ->

אבטחת מידע בעיות:

אבטחת מידע עבור חברות לקבל תשלום באמצעות כרטיסי אשראי וכרטיסי חיוב כרוך לוקח הרבה אכפתיות לגבי הבחירה של מעבדים תשלום אלקטרוניים. יש מאות חברות בתחום זה של העסק, אבל רק משנה הם מדורג תואם PCI על ידי התעשייה כרטיס אשראי תקן מועצת הביטחון. המנפיקים העיקריים של כרטיסי האשראי (ויזה, מאסטרקארד וכו ') מנסים בדרך כלל להטות חברות לקראת שימוש במעבדי תשלום תואמי PCI בלבד.

אבטחת מידע לגבי נקודת מכירה כרטיס אשראי ועיבוד כרטיס חיוב, כגון במזומן, משאבות גז כספומטים, הוא יותר ויותר להיות בסכנה מסובך על ידי תוכניות לגנוב מספרי כרטיס PINs. רבים של תוכניות אלה לנצל את המיקום הסודי של שבבי RFID (שבבים זיהוי תדר רדיו) על ידי גנבי נתונים במסופים אלה "רזה" נתונים כאלה.

חברת אבטחה ADT היא ספקית המציעה תוכנות אנטי-סקיים, שמפעילה התראות כאשר מתפרצות נתונים מסוג זה. בנוסף, ניתן לעסוק ב'מסייע אבטחה מוסמך '(QSA) כדי לערוך סקר לגבי רגישותה של החברה לפגיעות מסוג זה של אבטחת נתונים.

אבטחת מידע תלויה לעתים קרובות בביטחון הפיזי במרכזי נתונים. זה כרוך להבטיח כי אנשי צוות לא מורשים נשמרים. בנוסף, לא ניתן לאפשר לאנשים מורשים להסיר שרתים, מחשבים נישאים, כונני הבזק, דיסקים, קלטות, תדפיסים וכו ', המכילים מידע רגיש ממיקומי החברה. באופן דומה, בקרות צריך להיות במקום כדי להישמר מפני הצפייה של אנשים בלתי מורשים של מידע רגיש כי אין צורך למלא את תפקידם.

בנוסף לפרוטוקולים ולנהלי אבטחה בחדרי החברה שלך, יש לבחון את שיטות העבודה של ספקים חיצוניים של שירותי עיבוד נתונים ותמסורת.לדוגמה, אם חברה של צד שלישי מאחסנת את אתר האינטרנט של החברה שלך, עליך להיות מודאג לגבי נהלי אבטחת הנתונים שלה. אישור ה- SAS-70 הוא תקן נפוץ להליכי אבטחה נאותים לגבי רשתות פנימיות, הנדרשות על ידי חוק Sarbanes-Oxley עבור חברות טכנולוגיית המידע הציבוריות.

שימוש בפרוטוקולי SSL הוא תקן לטיפול בנתונים רגישים בצורה מאובטחת באינטרנט, כגון הקלט של מספרי כרטיסי אשראי בתשלום לעסקאות.

שיטות עבודה מומלצות לאבטחת רשת:

היבטים מרכזיים של אבטחת הרשת שיש להם השפעה על אבטחת הנתונים הם הגנות מפני האקרים והצפות של אתרים או רשתות. הן קבוצת טכנולוגיית המידע הביתית שלך והן ספק שירותי האינטרנט שלך (ISP) חייבות להיות מנוגדות. זה גם עניין של דאגה לגבי אירוח אתרים ועיבוד תשלומים. כל אלה ספקים חיצוניים חייבים להוכיח מה הגנות יש להם.

שוב, שיטות העבודה המומלצות המאפיינות את רשתות הנתונים של החברה שלך, מרכזי הנתונים וניהול הנתונים הן אותן אותן עליך לאשר בכל ספקים חיצוניים של עיבוד נתונים, עיבוד תשלומים, עבודה ברשת ושירותי אירוח אתרים .

לפני שתתקשר לכל חוזה עם ספק צד שלישי, עליך לוודא כי יש לו את האישורים המינימליים המתאימים מגופים חיצוניים עצמאיים (כפי שתואר לעיל) ולנהל את בדיקת נאותות שלך, הובילו על ידי אנשי טכנולוגיית המידע של החברה שלך עם את האישורים המתאימים או על ידי יועצים חיצוניים מתאימים.

כתמורה סופית, ניתן לרכוש ביטוח כנגד העלויות הכרוכות בהפרות של אבטחת מידע. עלויות אלה כוללות את הקנסות והעונשים המוטלים על רשתות כרטיסי אשראי (כגון ויזה ומאסטרקארד) בגין כשלים אלה, וכן את ההוצאות שהם מטילים על מנפיקי כרטיסים (בעיקר בנקים, איגודי אשראי וחברות ניירות ערך) לביטול כרטיסי אשראי וכרטיסי חיוב , הנפקת חדשים ולהפוך כרטיס שלם חברי בשל הפרות שנגרמו על ידי החברה שלך, הוצאות שהם ובכך ינסו לגבות בחזרה לחברה שלך.

ביטוח כזה לפעמים יכול להיות מוצע על ידי חברות עיבוד תשלומים, כמו גם להיות זמין מחברות הביטוח ישירות. את האותיות הקטנות על פוליסות כאלה ניתן לפרט, אז רכישת ביטוח כזה דורש מידה רבה של טיפול.

_{מקור עיקרי: "השתמטות מעברי נתונים", Forbes , 7/18/2011.}