פריימר מהיר עבור מקצוענים פיננסיים
אבטחת מידע היא סוגיה מרכזית של דאגה בענף השירותים הפיננסיים משום שהיא קשורה בעלויות פוטנציאליות כספיות וכספיות. Cybercrime מיקוד חברות פיננסיות הוא במגמת עלייה.
לפיכך, תשומת הלב לענייני אבטחת מידע צריכה לכלול לא רק את אנשי צוות טכנולוגיית המידע , אלא גם את אנשי ניהול הסיכונים ואנשי הציות , וכן את חברי ארגוני הבקרים ואת מנהלי הכספים.
כמו כן, אנשי מקצוע בתחום הניהול הפיננסי בענפים אחרים צריכים להיות בקיאים בעיקרו בנושאי אבטחת מידע, לאור החשיפות הפיננסיות.
התדירות והמחיר ההולכים וגדלים של הפרות אבטחת מידע משמעותיות, המשפיעות על בנקים, חברות השקעות, מעסיקי תשלום אלקטרוניים, רשתות כרטיסי אשראי, סוחרים קמעונאיים ואחרים, הופכים את השטח שחשיבותו כמעט בלתי אפשרית לזלזל בימים אלה.
בעיות בנושא אבטחת נתונים:
אבטחת מידע עבור חברות לקבל תשלום באמצעות כרטיסי אשראי וכרטיסי חיוב כרוך לוקח הרבה אכפתיות לגבי הבחירה של מעבדים תשלום אלקטרוניים. יש מאות חברות בתחום זה של העסק, אבל רק משנה הם מדורג תואם PCI על ידי התעשייה כרטיס אשראי תקן מועצת הביטחון. המנפיקים העיקריים של כרטיסי האשראי (ויזה, מאסטרקארד וכו ') מנסים בדרך כלל להטות חברות לקראת שימוש במעבדי תשלום תואמי PCI בלבד.
אבטחת מידע לגבי נקודת מכירה כרטיס אשראי ועיבוד כרטיס חיוב, כגון קופות רושמות, משאבות דלק כספומטים, הוא יותר ויותר להיות בסכנה מסובכת על ידי תוכניות לגנוב מספרי כרטיס PINs. רבים של תוכניות אלה לנצל את המיקום הסודי של שבבי RFID (שבבים זיהוי תדר רדיו) על ידי גנבי נתונים במסופים אלה "רזה" נתונים כאלה.
חברת האבטחה ADT היא ספקית המציעה תוכנות אנטי-סקיים, אשר מפעילה התראות כאשר מתפרצות נתונים מסוג זה. בנוסף, ניתן לעסוק ב'מסייע אבטחה מוסמך '(QSA) כדי לערוך סקר לגבי רגישותה של החברה לפגיעות מסוג זה של אבטחת נתונים.
אבטחת מידע תלויה לעתים קרובות בביטחון הפיזי במרכזי נתונים. זה כרוך להבטיח כי אנשי צוות לא מורשים נשמרים. בנוסף, לא ניתן לאפשר לאנשים מורשים להסיר שרתים, מחשבים נישאים, כונני הבזק, דיסקים, קלטות, תדפיסים וכו ', המכילים מידע רגיש ממיקומי החברה. באופן דומה, בקרות צריך להיות במקום כדי להישמר מפני צפייה של אנשים בלתי מורשים של מידע רגיש, כי אין צורך למלא את תפקידם.
בנוסף לפרוטוקולים ופרוצדורות אבטחה בחצרים של החברה שלך, יש לבחון את נוהלי הספקים החיצוניים של שירותי עיבוד נתונים ותמסורת. לדוגמה, אם חברה של צד שלישי מאחסנת את אתר האינטרנט של החברה שלך, עליך להיות מודאג לגבי נהלי אבטחת הנתונים שלה. אישור ה- SAS-70 הוא תקן נפוץ להליכי אבטחה נאותים לגבי רשתות פנימיות, הנדרשות על ידי חוק Sarbanes-Oxley עבור חברות טכנולוגיית המידע הציבוריות.
השימוש בפרוטוקולי SSL הוא תקן לטיפול בנתונים רגישים בצורה מאובטחת באינטרנט, כגון הקלט של מספרי כרטיסי אשראי בתשלום לעסקאות.
שיטות עבודה מומלצות לאבטחת רשת:
היבטים מרכזיים של אבטחת רשת שיש להם השפעה על אבטחת נתונים הם הגנות מפני האקרים והצפה של אתרים או רשתות. הן קבוצת טכנולוגיית המידע הביתית שלך והן ספק שירותי האינטרנט שלך (ISP) חייבות להיות מנוגדות. זה גם עניין של דאגה לגבי אירוח אתרים ועיבוד תשלומים. כל אלה ספקים חיצוניים חייבים להוכיח מה הגנות יש להם.
שוב, שיטות העבודה המומלצות המאפיינות את רשתות הנתונים של החברה שלך, מרכזי הנתונים, וניהול הנתונים הם אלה שאתה צריך לאשר נמצאים בכל ספקים חיצוניים של עיבוד נתונים, עיבוד תשלומים, רישות ושירותי אירוח אתרים.
לפני שתתקשר לכל חוזה עם ספק צד שלישי, עליך לוודא כי יש לו את האישורים המינימליים המתאימים מגופים חיצוניים עצמאיים (כפי שתואר לעיל) ולנהל את בדיקת נאותות שלך, הובילו על ידי אנשי טכנולוגיית המידע של החברה שלך עם אישורים מתאימים או על ידי יועצים חיצוניים מתאימים.
כתמורה סופית, ניתן לרכוש ביטוח כנגד העלויות הכרוכות בהפרות של אבטחת מידע. עלויות אלה כוללות את הקנסות והעונשים המוטלים על רשתות כרטיסי אשראי (כגון ויזה ומאסטרקארד) בגין כשלים אלה, וכן את ההוצאות שהם מטילים על מנפיקי כרטיסים (בעיקר בנקים, איגודי אשראי וחברות ניירות ערך) לביטול כרטיסי אשראי וכרטיסי חיוב , הנפקת חדשים ולהפוך כרטיס שלם חברי בשל הפרות שנגרמו על ידי החברה שלך, הוצאות שהם ובכך ינסו לגבות בחזרה לחברה שלך.
ביטוח כזה לפעמים יכול להיות מוצע על ידי חברות עיבוד תשלומים, כמו גם להיות זמין מחברות הביטוח ישירות. את האותיות הקטנות על פוליסות כאלה ניתן לפרט, אז רכישת ביטוח כזה דורש מידה רבה של טיפול.
מקור עיקרי: "השתמטות מעברי נתונים", פורבס , 17/1/2011.