Finantstöötajatele mõeldud kiire algversioon
Andmete turvalisus on finantsteenuste sektori peamine probleem, kuna see on seotud suurte võimalike finants- ja mainekusega seotud kuludega. Küberkuritegevus, mis sihib finantsettevõtteid, on tõusuteel.
Seetõttu peaks andmete turvalisuse küsimustele tähelepanu pöörama mitte ainult infotehnoloogia töötajate, vaid ka riskijuhtimise ja vastavuspersonali , samuti vastutavate organisatsioonide liikmete ja finantsjuhtide liikmed.
Peale selle, finantsjuhtimise spetsialistid teistes tööstusharudes peavad olema põhiliselt kursis andmekaitsega seotud teemadele, võttes arvesse finantsriski.
Pankade, investeerimisühingute, elektrooniliste maksete töötlejate, krediitkaardivõrkude, jaemüüjate ja teiste jaoks suurte andmeturbe rikkumiste sagedus ja maksumus muudavad selle valdkonna, mille tähtsust on tänapäeval praktiliselt võimatu alahinnata.
Andmekaitse probleemid:
Andmete turvalisus ettevõtetele, kes aktsepteerivad makseid krediitkaartide ja deebetkaartidega, tähendab suurt hoolt elektrooniliste maksete töötlejate valiku eest. Selles ärivaldkonnas on sadu ettevõtteid, kuid Maksekaarditööstuse Turvalisuse Standardnõukogus on PCI-ühilduvust hinnanud ainult üks alamhulk. Peamised krediitkaardiettevõtjad (Visa, MasterCard jne) püüavad tavaliselt juhtida ettevõtteid ainult PCI-ga ühilduvate makseprotsessorite kasutamiseks.
Andmekaitset seoses müügikoha krediitkaardi ja deebetkaardi töötlemisega, näiteks kassaaparaatide, gaasipumpade ja sularahaautomaatidega, on üha enam kompromiteeritud ja keerulised, et varastada kaardinumbreid ja PIN-koode. Paljud neist skeemidest kasutavad RFID-kiipide (raadiosagedustuvastuse kiibid) salajast paigutust nendes terminalides olevate andmete varguses, et selliseid andmeid nullida.
Turvalisusfirma ADT on Anti-Skimi tarkvara tarnija, mis käivitab märguandeid, kui tuvastatakse selliseid andmehäireid. Lisaks võib kvalifitseeritud julgeolekunõustaja (QSA) olla kaasatud, et viia läbi ülevaatus ettevõtte vastuvõtlikkuse kohta sellist tüüpi andmete turvalisuse rikkumistele.
Andmete turvalisus sõltub sageli andmekeskuste füüsilisest turvalisusest. See hõlmab tagamist, et volitamata töötajaid hoitakse ära. Lisaks ei tohiks volitatud personalil lubada serverite, sülearvutite, mälupulgad, kettaid, linde, väljatrükke jms eemaldada, sisaldades tundlikke andmeid ettevõtte asukohtadest. Samuti tuleks kontrollida, et hoida ära volitamata personali tundliku teabe vaatamine, mis ei ole nende ülesannete täitmisel vajalik.
Lisaks teie ettevõtte ruumides asuvatele turvaprotokollidele ja -protseduuridele tuleb kontrollida andmetöötlus- ja edastamisteenuste välistarnijate tavasid. Näiteks kui kolmanda osapoole ettevõtja hostib teie ettevõtte veebisaidi, peate olema mures andmete turvalisuse protseduuride pärast. SAS-70 sertifikaat on ühine standard siseturvallide piisavate turvaprotseduuride jaoks, mida Sarbanes-Oxley seaduses nõutakse avalik-õiguslike infotehnoloogiaettevõtete jaoks.
SSL-protokollide kasutamine on turvaline veebis turvaliste tundlike andmete käitlemise standard, näiteks krediitkaardinumbrite sisestamine tehingute eest tasumiseks.
Võrguturbe parimad tavad:
Andmete turvalisust mõjutavad võrguturbe põhiaspektid on häkkerite vastu võitlemine ja veebilehtede või võrkude üleujutus. Nii teie sisemaisel infotehnoloogiagrupil kui ka teie Interneti-teenuse pakkujal (ISP) peavad olema sobivad vastumeetmed. See on mure veebimajutusteenuste ja maksete töötlemisega tegelevate ettevõtjate pärast. Kõik need välistarnijad peavad näitama, millist kaitset neil on.
Jällegi on teie ettevõtte enda andmesidevõrkude, andmekeskuste ja andmete haldamise iseloomustavad parimad tavad samad, mida peaksite kinnitama kõikides andmetöötluse, maksete töötlemise, võrguühenduse ja veebimajutusteenuste välistelt tarnijatelt.
Enne kolmanda osapoole pakkujaga sõlmitud lepingu sõlmimist peaksite veenduma, et tal on nõuetekohased minimaalsed sertifikaadid sõltumatute väliste asutuste poolt (nagu eespool kirjeldatud) ja teete oma nõuetekohase hoolsuse, mille juhivad teie ettevõtte infotehnoloogia töötajad asjakohaste volitustega või kvalifitseeritud väliskonsultandid.
Lõpptulemusena on võimalik osta kindlustus andmete turvalisuse rikkumistega seotud kulude eest. Selliste kulude hulka kuuluvad selliste krediitkaardivõrkude (nagu Visa ja MasterCard) poolt krediitkaardivõrkudega (nagu Visa ja MasterCard) kehtestatud trahvid ja karistused krediidi- ja deebetkaartide tühistamiseks kaardi väljastajatele (peamiselt pangad, krediidiühistud ja väärtpaberibörsid) , väljastades uusi ja tehes kaardi liikmeid tänu oma ettevõtte põhjustatud rikkumistele, kulud, mida nad seega üritavad teie ettevõtet tagasi maksta.
Sellist kindlustusmaha võib mõnikord pakkuda maksete töötlemise ettevõtted, samuti on need otseselt kindlustusseltsid kättesaadavad. Sellistele poliitikatele mõeldud peeneid trükiseid saab üksikasjalikult kirjeldada, nii et selliste kindlustuskatete ostmine nõuab palju hoolt.
Peamine allikas: "Andmete rikkumisega tegelemine", Forbes , 7.01.2011.