Isang Quick Primer para sa Financial Professionals
Ang seguridad ng datos ay isang pangunahing isyu ng pag-aalala sa industriya ng mga serbisyo sa pananalapi dahil iniugnay ito sa malaking potensyal na pinansiyal at reputational na mga gastos. Ang pagtaas ng Cybercrime sa mga pinansiyal na kumpanya ay tumaas.
Alinsunod dito, ang pansin sa mga bagay sa seguridad ng datos ay dapat na kasangkot hindi lamang ang mga miyembro ng kawani ng teknolohiya ng impormasyon , kundi pati na rin ang mga pamamahala ng panganib at mga tauhan ng pagsunod , pati na rin ang mga miyembro ng mga organisasyon ng controller at mga punong pampinansyal na opisyal.
Higit pa rito, ang mga propesyonal sa pamamahala ng pananalapi sa iba pang mga industriya ay dapat na karaniwang nakakaunawa sa mga paksa sa seguridad ng data, na ibinigay sa mga pinansiyal na exposures.
Ang pagtaas ng dalas at gastos ng mga malalaking paglabag sa seguridad ng data, na nakakaapekto sa mga bangko, mga kumpanya ng pamumuhunan, mga elektronikong tagapagpaunlad ng pagbabayad, mga network ng credit card, mga retail na negosyante at iba pa, ay gumagawa ng isang lugar na ang kahalagahan ay halos imposible upang mabawasan ang mga araw na ito.
Mga Isyu sa Seguridad ng Data:
Ang seguridad ng data para sa mga kumpanya na tumatanggap ng pagbabayad sa pamamagitan ng mga credit card at debit card ay nagsasangkot ng pagkuha ng isang mahusay na pangangalaga tungkol sa pagpili ng mga electronic processor ng pagbabayad. May daan-daang mga kumpanya sa linyang ito ng negosyo, subalit isang subset lamang ang pinahahalagahan ng PCI na sang-ayon sa Standard Security Council ng Industriyang Payment Card. Ang mga pangunahing issuer ng credit card (Visa, MasterCard, atbp.) Ay karaniwang nagtatangka na makapagpatakbo ng mga kumpanya patungo sa paggamit lamang ng mga tagaproseso ng bayad sa PCI.
Ang seguridad ng data tungkol sa pagpoproseso ng credit card at pagproseso ng debit card, tulad ng mga cash register, gas pump at ATM, ay lalong nakakompromiso at kumplikado sa pamamagitan ng mga scheme upang magnakaw ng mga numero ng card at PIN. Marami sa mga scheme na ito ay gumagamit ng lihim na pagkakalagay ng mga chips ng RFID (chips ng pagkilala sa dalas ng radyo) sa pamamagitan ng mga magnanakaw ng data sa mga terminal na ito upang "magplano" ng ganitong data.
Ang kompanya ng seguridad na ADT ay isang vendor na nag-aalok ng Anti-Skim software, na nagpapalit ng mga alerto kapag ang mga paglabag sa data ng ganitong uri ay napansin. Bukod pa rito, ang isang Qualified Security Assessor (QSA) ay maaaring nakatuon upang magsagawa ng isang survey ng pagkamaramdamin ng isang kumpanya sa mga ganitong uri ng paglabag sa seguridad ng data.
Ang seguridad ng data ay madalas na nakasalalay sa pisikal na seguridad sa mga sentro ng data. Ito ay nagsasangkot na tinitiyak na ang mga hindi awtorisadong tauhan ay pinananatiling. Bukod pa rito, ang mga awtorisadong tauhan ay hindi maaaring pahintulutan na tanggalin ang mga server, laptop, flash drive, mga disk, mga tape, mga printout, atbp., Na naglalaman ng sensitibong impormasyon mula sa mga lokasyon ng kumpanya. Katulad nito, ang mga kontrol ay dapat na nasa lugar upang bantayan ang pagtingin sa mga hindi awtorisadong tauhan sa sensitibong impormasyon na hindi kinakailangan sa paglabas ng kanilang mga tungkulin.
Bilang karagdagan sa mga protocol ng seguridad at mga pamamaraan sa mga lugar ng iyong kumpanya, ang mga gawi ng mga labas vendor ng pagpoproseso ng data at mga serbisyo ng paghahatid ay dapat na scrutinized. Halimbawa, kung nagho-host ng isang third party firm ang website ng iyong kumpanya, dapat kang mag-alala tungkol sa mga pamamaraan ng seguridad ng data nito. Ang sertipikasyon ng SAS-70 ay isang pangkaraniwang pamantayan para sa sapat na mga pamamaraan sa seguridad tungkol sa mga panloob na network, na kinakailangan ng Sarbanes-Oxley Act para sa mga publicly held firms na teknolohiya ng impormasyon.
Ang paggamit ng mga protocol ng SSL ay ang pamantayan para sa paghawak ng sensitibong data nang ligtas sa online, tulad ng input ng mga numero ng credit card sa pagbabayad para sa mga transaksyon.
Mga Pinakamahusay na Kasanayan sa Network:
Ang mga pangunahing aspeto ng seguridad sa network na may epekto sa seguridad ng data ay mga proteksyon laban sa mga hacker at pagbaha ng mga website o network. Ang iyong in-house information technology group at ang iyong service provider ng Internet (ISP) ay dapat magkaroon ng naaangkop na countermeasures sa lugar. Isa rin itong pag-aalala tungkol sa web hosting at mga kumpanya sa pagpoproseso ng pagbabayad. Ang lahat ng mga ito sa labas ng mga vendor ay dapat ipakita kung ano ang mga proteksyon na mayroon sila.
Muli, ang mga pinakamahusay na kasanayan na nagpapakilala sa sariling data ng iyong sariling kumpanya ng mga network, data center, at pamamahala ng data ay ang parehong mga na dapat mong kumpirmahin ay nasa lugar sa lahat ng mga vendor sa labas ng pagpoproseso ng data, pagproseso ng pagbabayad, networking at mga website hosting serbisyo.
Bago pumasok sa anumang kontrata sa isang third party provider, dapat mong alamin na mayroon itong angkop na mga minimum na sertipikasyon mula sa mga independyenteng labas na katawan (tulad ng nakabalangkas sa itaas) at magsagawa ng iyong sariling angkop na pagsusumikap, na pinangungunahan ng sariling mga tauhan ng teknolohiya ng iyong kumpanya sa mga naaangkop na kredensyal o sa pamamagitan ng mga kwalipikadong konsulta sa labas.
Bilang huling pagsasaalang-alang, posible na bumili ng seguro laban sa mga gastos na nauugnay sa mga paglabag sa seguridad ng data. Kasama sa mga naturang gastos ang mga multa at mga parusa na ipinapataw ng mga network ng credit card (tulad ng Visa at MasterCard) para sa mga kabiguan, pati na rin ang mga gastos na ipinapataw nila sa mga issuer ng card (pangunahing mga bangko, mga unyon ng kredito at mga securities firm) para sa pagkansela ng mga credit at debit card , nag-isyu ng mga bago at kumpleto na ang mga miyembro ng card dahil sa mga paglabag na dulot ng iyong kumpanya, ang mga gastusin na ito ay susubukang ibalik sa iyong kumpanya.
Ang ganitong seguro kung minsan ay maaaring ihandog ng mga kumpanya sa pagpoproseso ng pagbabayad, pati na rin ang magagamit mula sa mga kompanya ng seguro nang direkta. Ang maayos na pag-print sa naturang mga patakaran ay maaaring detalyado, kaya ang pagbili ng naturang seguro ay nangangailangan ng isang mahusay na pangangalaga.
Pinagmulan ng pinagmulan: "Dodging Data Breaches," Forbes , 7/18/2011.