Πώς να αποτρέψετε παραβιάσεις δεδομένων με ασφάλεια δεδομένων

Η ασφάλεια των δεδομένων αποτελεί μείζον ζήτημα ανησυχίας στον κλάδο των χρηματοπιστωτικών υπηρεσιών, καθώς συνδέεται με τεράστιο δυνητικό οικονομικό κόστος και κόστος φήμης. Το έγκλημα στον κυβερνοχώρο που στοχεύει τις χρηματοπιστωτικές επιχειρήσεις αυξάνεται.

Κατά συνέπεια, η προσοχή στα ζητήματα ασφάλειας δεδομένων πρέπει να περιλαμβάνει όχι μόνο μέλη του προσωπικού της τεχνολογίας της πληροφορίας, αλλά και προσωπικό διαχείρισης κινδύνου και συμμόρφωσης, καθώς και τα μέλη των ελεγκτικών οργανισμών και των επικεφαλής χρηματοοικονομικών υπαλλήλων. Επιπλέον, οι επαγγελματίες της οικονομικής διαχείρισης σε άλλες βιομηχανίες πρέπει να είναι βασικά εξοικειωμένοι με θέματα ασφάλειας δεδομένων, δεδομένων των χρηματοοικονομικών ανοιγμάτων.

Η αυξανόμενη συχνότητα και το κόστος των μεγάλων παραβιάσεων της ασφάλειας των δεδομένων, οι οποίες επηρεάζουν τις τράπεζες, τις επιχειρήσεις επενδύσεων, τους επεξεργαστές ηλεκτρονικών πληρωμών, τα δίκτυα πιστωτικών καρτών, τους εμπόρους λιανικής πώλησης κ.λπ., καθιστούν μια περιοχή της οποίας η σημασία είναι ουσιαστικά αδύνατη να υποτιμηθεί αυτές τις μέρες.

Ζητήματα ασφάλειας δεδομένων:

Η ασφάλεια δεδομένων για εταιρείες που δέχονται πληρωμές μέσω πιστωτικών καρτών και χρεωστικών καρτών συνεπάγεται μεγάλη προσοχή όσον αφορά την επιλογή των επεξεργαστών ηλεκτρονικών πληρωμών. Υπάρχουν εκατοντάδες εταιρίες σε αυτήν την κατηγορία επιχειρήσεων, αλλά μόνο ένα υποσύνολο αξιολογείται ως PCI Compliant από το Συμβούλιο Τυποποίησης Ασφάλειας της Κάρτας Πληρωμών. Οι μεγαλύτεροι εκδότες πιστωτικών καρτών (Visa, MasterCard, κ.λπ.) προσπαθούν συνήθως να κατευθύνουν τις εταιρείες προς τη χρήση μόνο επεξεργαστών πληρωμών συμβατού με PCI.

Η ασφάλεια δεδομένων σχετικά με την επεξεργασία πιστωτικών καρτών σημείου πώλησης και επεξεργασίας χρεωστικών καρτών, όπως σε ταμειακές μηχανές, αντλίες αερίου και ΑΤΜ, διακυβεύεται όλο και περισσότερο και περιπλέκεται από σχέδια για την κλοπή αριθμών καρτών και PIN. Πολλά από αυτά τα συστήματα χρησιμοποιούν τη μυστική τοποθέτηση των τσιπ RFID (μάρκες ραδιοσυχνοτήτων) από κλέφτες δεδομένων σε αυτά τα τερματικά για να «απομακρύνουν» αυτά τα δεδομένα. Η εταιρεία ασφάλειας ADT είναι ένας προμηθευτής που προσφέρει λογισμικό Anti-Skim, το οποίο ενεργοποιεί ειδοποιήσεις όταν ανιχνεύονται παραβιάσεις δεδομένων αυτού του είδους.

Επιπρόσθετα, ένας αρμόδιος αξιολογητής ασφάλειας (QSA) μπορεί να ασχολείται με τη διεξαγωγή έρευνας σχετικά με την ευαισθησία μιας εταιρείας σε τέτοιου είδους παραβιάσεις ασφάλειας δεδομένων.

Η ασφάλεια των δεδομένων εξαρτάται συχνά από τη φυσική ασφάλεια στα κέντρα δεδομένων. Αυτό συνεπάγεται τη διατήρηση του μη εξουσιοδοτημένου προσωπικού. Επιπρόσθετα, δεν επιτρέπεται στο εξουσιοδοτημένο προσωπικό να αφαιρέσει διακομιστές, φορητούς υπολογιστές, μονάδες flash, δίσκους, κασέτες, εκτυπώσεις κ.λπ. που περιέχουν ευαίσθητες πληροφορίες από τοποθεσίες της εταιρείας. Παρομοίως, θα πρέπει να υπάρχουν έλεγχοι για την προστασία από την άνευ αδείας εξέταση προσωπικού ευαίσθητων πληροφοριών που δεν είναι απαραίτητες για την εκπλήρωση των καθηκόντων τους.

Εκτός από τα πρωτόκολλα και τις διαδικασίες ασφαλείας στις εγκαταστάσεις της εταιρείας σας, οι πρακτικές των εξωτερικών πωλητών υπηρεσιών επεξεργασίας δεδομένων και μετάδοσης πρέπει να εξεταστούν διεξοδικά. Για παράδειγμα, αν μια εταιρεία τρίτου φιλοξενεί τον ιστότοπο της εταιρείας σας, πρέπει να ανησυχείτε για τις διαδικασίες ασφαλείας δεδομένων. Η πιστοποίηση SAS-70 είναι ένα κοινό πρότυπο για επαρκείς διαδικασίες ασφαλείας όσον αφορά τα εσωτερικά δίκτυα, που απαιτούνται από τον νόμο Sarbanes-Oxley για δημόσιες επιχειρήσεις πληροφορικής. Η χρήση πρωτοκόλλων SSL είναι το πρότυπο για τον ασφαλή χειρισμό ευαίσθητων δεδομένων στο διαδίκτυο, όπως η εισαγωγή αριθμών πιστωτικών καρτών σε πληρωμή για συναλλαγές.

Βέλτιστες πρακτικές ασφάλειας δικτύων:

Βασικές πτυχές της ασφάλειας του δικτύου που έχουν αντίκτυπο στην ασφάλεια των δεδομένων είναι η προστασία από τους χάκερ και η πλημμύρα ιστοτόπων ή δικτύων.Τόσο η εσωτερική ομάδα τεχνολογιών πληροφόρησης όσο και ο πάροχος υπηρεσιών Internet (ISP) πρέπει να διαθέτουν τα κατάλληλα αντίμετρα. Αυτό είναι επίσης θέμα ανησυχίας όσον αφορά τις εταιρείες φιλοξενίας ιστοσελίδων και πληρωμών. Όλοι αυτοί οι εξωτερικοί πωλητές πρέπει να αποδείξουν τι προστασίες έχουν.

Και πάλι, οι βέλτιστες πρακτικές που χαρακτηρίζουν τα δικά σας δίκτυα δεδομένων, τα κέντρα δεδομένων και τη διαχείριση δεδομένων είναι τα ίδια με αυτά που πρέπει να επιβεβαιώσετε ότι ισχύουν σε όλους τους εξωτερικούς προμηθευτές επεξεργασίας δεδομένων, επεξεργασίας πληρωμών, δικτύωσης και φιλοξενίας ιστοσελίδων. Πριν από τη σύναψη οποιασδήποτε σύμβασης με τρίτο πάροχο, θα πρέπει να βεβαιωθείτε ότι διαθέτει τις κατάλληλες ελάχιστες πιστοποιήσεις από ανεξάρτητα εξωτερικά όργανα (όπως περιγράφονται παραπάνω) και να διεξάγει τη δική σας επιμέλεια, είτε από το προσωπικό της τεχνολογίας της εταιρείας της εταιρείας σας με τα κατάλληλα διαπιστευτήρια ή από ειδικευμένους εξωτερικούς συμβούλους.

Ως τελική σκέψη, είναι δυνατή η αγορά ασφάλισης έναντι των δαπανών που σχετίζονται με παραβιάσεις της ασφάλειας των δεδομένων. Τέτοιες δαπάνες περιλαμβάνουν τα πρόστιμα και τις ποινές που επιβάλλονται από τα δίκτυα πιστωτικών καρτών (όπως η Visa και η MasterCard) για τέτοιες αποτυχίες, καθώς και τα έξοδα που επιβάλλουν στους εκδότες καρτών (κυρίως τράπεζες, πιστωτικές ενώσεις και εταιρείες χαρτοφυλακίου) για την ακύρωση πιστωτικών και χρεωστικών καρτών , εκδίδοντας νέα και καθιστώντας τα μέλη της κάρτας ολόκληρα λόγω παραβιάσεων που προκλήθηκαν από την εταιρεία σας, τα έξοδα που θα προσπαθήσουν να χρεώσουν πίσω στην εταιρεία σας.

Τέτοιες ασφάλειες μπορούν μερικές φορές να προσφέρονται από επιχειρήσεις επεξεργασίας πληρωμών, καθώς και να είναι άμεσα διαθέσιμες από ασφαλιστικές εταιρείες. Η λεπτή εκτύπωση σε τέτοιες πολιτικές μπορεί να είναι λεπτομερής, οπότε η αγορά τέτοιων ασφαλίσεων απαιτεί μεγάλη προσοχή.

_{Κύρια πηγή: "Αποτροπή παραβιάσεων δεδομένων" Forbes , 7/18/2011.}