Come prevenire violazioni dei dati con la sicurezza dei dati

La sicurezza dei dati è una delle principali preoccupazioni nel settore dei servizi finanziari perché è associata a enormi potenziali costi finanziari e di reputazione. Il cybercrime rivolto alle società finanziarie è in aumento.

Di conseguenza, l'attenzione alle questioni relative alla sicurezza dei dati dovrebbe coinvolgere non solo i membri del personale delle tecnologie informatiche, ma anche il personale responsabile della gestione dei rischi e della conformità, nonché i membri delle organizzazioni di controllori e dei funzionari finanziari principali. Inoltre, i professionisti della gestione finanziaria in altri settori devono essere sostanzialmente d'accordo con gli argomenti relativi alla sicurezza dei dati, date le esposizioni finanziarie.

La crescente frequenza e il costo delle principali violazioni della sicurezza dei dati, che colpiscono banche, società di investimento, processori di pagamento elettronici, reti di carte di credito, commercianti al dettaglio e altri, rendono quest'area la cui importanza è praticamente impossibile da sottovalutare in questi giorni.

Problemi di sicurezza dei dati:

La sicurezza dei dati per le aziende che accettano pagamenti tramite carte di credito e carte di debito implica una grande attenzione per la scelta dei processori di pagamento elettronico. Ci sono centinaia di aziende in questa linea di business, ma solo un sottoinsieme è classificato conforme PCI dal Consiglio Standard per la sicurezza del settore delle carte di pagamento. I principali emittenti di carte di credito (Visa, MasterCard, ecc.) In genere cercano di indirizzare le aziende verso l'utilizzo di processori di pagamento conformi allo standard PCI.

La sicurezza dei dati relativi all'elaborazione delle carte di credito e delle carte di debito, come ad esempio registratori di cassa, pompe di benzina e bancomat, è sempre più compromessa e complicata dai sistemi di furto di numeri di carte e PIN. Molti di questi schemi utilizzano il posizionamento segreto di chip RFID (chip di identificazione a radiofrequenza) da parte di ladri di dati a questi terminali per "scremare" tali dati. La società di sicurezza ADT è un fornitore che offre software Anti-Skim, che attiva avvisi quando vengono rilevate violazioni di dati di questo tipo.

Inoltre, è possibile incaricare un QSA (Qualified Security Assessor) per condurre un'indagine sulla vulnerabilità di un'azienda a questi tipi di violazioni della sicurezza dei dati.

La sicurezza dei dati dipende spesso dalla sicurezza fisica dei data center. Ciò implica garantire che il personale non autorizzato sia tenuto fuori. Inoltre, il personale autorizzato non può essere autorizzato a rimuovere server, laptop, unità flash, dischi, nastri, stampe, ecc., Contenenti informazioni sensibili provenienti dalle sedi aziendali. Allo stesso modo, dovrebbero essere predisposti controlli per evitare la visione da parte di personale non autorizzato di informazioni sensibili che non sono necessarie per l'adempimento delle loro mansioni.

Oltre ai protocolli e alle procedure di sicurezza nei locali della vostra azienda, le pratiche dei fornitori esterni di servizi di elaborazione dati e trasmissione devono essere esaminate attentamente. Ad esempio, se un'azienda di terze parti ospita il sito Web della tua azienda, devi preoccuparti delle sue procedure di sicurezza dei dati. La certificazione SAS-70 è uno standard comune per procedure di sicurezza adeguate per quanto riguarda le reti interne, richieste dal Sarbanes-Oxley Act per le società di tecnologia dell'informazione detenute pubblicamente. L'uso di protocolli SSL è lo standard per la gestione sicura di dati sensibili online, come l'inserimento di numeri di carte di credito nel pagamento per le transazioni.

Best practice per la sicurezza della rete:

Gli aspetti chiave della sicurezza della rete che hanno un impatto sulla sicurezza dei dati sono le protezioni contro gli hacker e l'inondazione di siti Web o reti. Sia il vostro gruppo di tecnologie informatiche interno che il vostro provider di servizi Internet (ISP) devono disporre di adeguate contromisure. Questo è anche un problema di preoccupazione per le società di web hosting e di elaborazione dei pagamenti. Tutti questi venditori esterni devono dimostrare quali protezioni hanno.

Anche in questo caso, le migliori pratiche che caratterizzano le reti di dati, i data center e la gestione dei dati della propria azienda sono le stesse che è necessario verificare in tutti i fornitori esterni di elaborazione dei dati, elaborazione dei pagamenti, servizi di rete e di hosting del sito web. Prima di stipulare un contratto con un fornitore terzo, è necessario accertarsi che disponga delle certificazioni minime adeguate da parte di organismi esterni indipendenti (come descritto sopra) e condurre la propria due diligence, condotta dal proprio personale IT con le credenziali appropriate. o da consulenti esterni qualificati.

Come ultima considerazione, è possibile acquistare un'assicurazione contro i costi associati alle violazioni della sicurezza dei dati. Tali costi comprendono le multe e le sanzioni applicate dalle reti di carte di credito (come Visa e MasterCard) per tali errori, nonché le spese che impongono agli emittenti di carte (principalmente banche, cooperative di credito e società di valori mobiliari) per l'annullamento delle carte di credito e di debito, emettendone di nuovi e rendendo i membri della carta intere a causa di violazioni causate dalla vostra azienda, spese che quindi tenteranno di addebitare alla vostra azienda.

Tale assicurazione a volte può essere offerta dalle ditte di elaborazione dei pagamenti, oltre che essere disponibile direttamente dalle compagnie assicurative. La stampa fine su tali politiche può essere dettagliata, quindi l'acquisto di tale assicurazione richiede molta cura.

_{Fonte principale: "Dodging violazioni dei dati" Forbes, 7/18/2011.}