Een snelle introductie voor financiële professionals
Gegevensbeveiliging is een belangrijk punt van zorg in de financiële sector omdat het gepaard gaat met enorme potentiële financiële en reputatiekosten. Cybercrime gericht op financiële bedrijven is in opkomst.
Dienovereenkomstig moet de aandacht voor gegevensbeveiligingzaken niet alleen betrekking hebben op leden van het informatietechnologiepersoneel , maar ook op risicobeheer en compliancepersoneel , evenals op de leden van de controllerorganisaties en de chief financial officers.
Bovendien moeten financiële managementprofessionals in andere industrieën in principe vertrouwd zijn met onderwerpen in gegevensbeveiliging, gezien de financiële risico's.
De toenemende frequentie en kosten van grote inbreuken op de gegevensbeveiliging, die van invloed zijn op banken, beleggingsondernemingen, elektronische betalingsverwerkers, creditcardnetwerken, detailhandelaren en anderen, maakt dit een gebied waarvan het belang tegenwoordig vrijwel onmogelijk te onderschatten is.
Problemen met gegevensbeveiliging:
Gegevensbeveiliging voor bedrijven die betalingen via creditcards en betaalkaarten accepteren, houdt in dat er veel zorg wordt besteed aan de keuze van elektronische betalingsverwerkers. Er zijn honderden bedrijven in deze branche, maar slechts een subset heeft de PCI-conformiteit van de Payment Card Industry Security Standard Council. De belangrijkste creditcardverstrekkers (Visa, MasterCard, enz.) Proberen doorgaans om bedrijven te sturen naar het gebruik van alleen PCI-compatibele betalingsprocessoren.
Gegevensbeveiliging met betrekking tot creditcards voor betaalpassen en debetkaarten, zoals bij kassa's, benzinepompen en geldautomaten, komt steeds vaker in het gedrang en wordt gecompliceerd door regelingen om kaartnummers en pincodes te stelen. Veel van deze schema's maken gebruik van de geheime plaatsing van RFID-chips (radiofrequentie-identificatiechips) door datadieven op deze terminals om dergelijke gegevens te "skimmen".
Beveiligingsbedrijf ADT is een leverancier die Anti-Skim-software aanbiedt, die waarschuwingen activeert wanneer dergelijke gegevensinbreuken worden gedetecteerd. Bovendien kan een gekwalificeerde beveiligingsassessor (QSA) worden ingeschakeld om een onderzoek uit te voeren naar de gevoeligheid van een bedrijf voor dit soort inbreuken op de gegevensbeveiliging.
Gegevensbeveiliging is vaak afhankelijk van de fysieke beveiliging van datacenters. Dit houdt in dat ervoor wordt gezorgd dat onbevoegd personeel wordt buitengesloten. Bovendien mag geautoriseerd personeel geen toestemming krijgen om servers, laptops, flashstations, schijven, banden, afdrukken enz. Te verwijderen die gevoelige informatie van bedrijfslocaties bevatten. Op dezelfde manier moeten er controles worden ingesteld om te voorkomen dat onbevoegden gevoelige informatie bekijken die niet nodig is voor de uitvoering van hun taken.
Naast beveiligingsprotocollen en -procedures in de gebouwen van uw bedrijf, moeten ook de praktijken van externe leveranciers van gegevensverwerking en transmissiediensten nauwkeurig worden onderzocht. Als een externe partij bijvoorbeeld de website van uw bedrijf host, moet u zich zorgen maken over de procedures voor gegevensbeveiliging. De SAS-70-certificering is een algemene norm voor adequate beveiligingsprocedures met betrekking tot interne netwerken, vereist door de Sarbanes-Oxley-wet voor openbare informatietechnologiebedrijven.
Het gebruik van SSL-protocollen is de standaard voor het veilig online verwerken van gevoelige gegevens, zoals het invoeren van creditcardnummers bij betaling voor transacties.
Best practices voor netwerkbeveiliging:
Belangrijke aspecten van netwerkbeveiliging die van invloed zijn op gegevensbeveiliging zijn bescherming tegen hackers en overstromingen van websites of netwerken. Zowel uw eigen informatietechnologiegroep als uw internetserviceprovider (ISP) moeten geschikte tegenmaatregelen hebben getroffen. Dit is ook een punt van zorg bij webhosting- en betalingsverwerkingsbedrijven. Al deze externe leveranciers moeten aantonen welke bescherming ze hebben.
Nogmaals, de beste praktijken die kenmerkend zijn voor de eigen gegevensnetwerken, datacenters en gegevensbeheer van uw eigen bedrijf, die u moet bevestigen, zijn aanwezig bij alle externe leveranciers van gegevensverwerking, betalingsverwerking, netwerk- en websitehostingservices.
Voordat u een contract sluit met een derde partij, moet u zich ervan vergewissen dat het beschikt over de juiste minimumcertificeringen van onafhankelijke externe instanties (zoals hierboven beschreven) en uw eigen due diligence uitvoeren, geleid door uw eigen IT-personeel met de juiste inloggegevens of door gekwalificeerde externe adviseurs.
Als laatste overweging is het mogelijk om een verzekering te kopen tegen de kosten die gepaard gaan met inbreuken op de gegevensbeveiliging. Dergelijke kosten omvatten de boetes en boetes geheven door creditcardnetwerken (zoals Visa en MasterCard) voor dergelijke fouten, evenals de kosten die zij opleggen aan kaartuitgevers (voornamelijk banken, kredietverenigingen en effectenkantoren) voor het annuleren van creditcards en betaalkaarten. , het uitgeven van nieuwe kaarten en het maken van kaartleden als gevolg van schendingen veroorzaakt door uw bedrijf, kosten die zij dus zullen proberen terug te boeken naar uw bedrijf.
Een dergelijke verzekering kan soms door betalingsverwerkende bedrijven worden aangeboden en is ook rechtstreeks bij verzekeringsmaatschappijen verkrijgbaar. De kleine lettertjes van dergelijke polissen kunnen gedetailleerd zijn, dus het kopen van dergelijke verzekeringen vereist veel zorg.
Belangrijkste bron: "Dodging Data Breaches," Forbes , 7/18/2011.