Un rapido primer per professionisti finanziari
La sicurezza dei dati è una delle principali preoccupazioni nel settore dei servizi finanziari perché è associata a enormi potenziali costi finanziari e di reputazione. Il cybercrime rivolto alle società finanziarie è in aumento.
Di conseguenza, l'attenzione alle questioni relative alla sicurezza dei dati dovrebbe coinvolgere non solo i membri del personale delle tecnologie informatiche, ma anche il personale di gestione dei rischi e di conformità, nonché i membri delle organizzazioni di controllori e dei funzionari finanziari principali. Inoltre, i professionisti della gestione finanziaria in altri settori devono essere sostanzialmente al corrente degli argomenti relativi alla sicurezza dei dati, date le esposizioni finanziarie.
La crescente frequenza e il costo delle principali violazioni della sicurezza dei dati, che colpiscono banche, imprese di investimento, processori di pagamento elettronici, reti di carte di credito, commercianti al dettaglio e altri, rendono quest'area la cui importanza è praticamente impossibile da sottovalutare in questi giorni.
Problemi di sicurezza dei dati:
La sicurezza dei dati per le aziende che accettano pagamenti tramite carte di credito e carte di debito implica una grande attenzione per la scelta dei processori di pagamento elettronici. Ci sono centinaia di aziende in questa linea di business, ma solo un sottoinsieme ha ottenuto la certificazione PCI Compliant dal Consiglio Standard per la sicurezza del settore delle carte di pagamento. I principali emittenti di carte di credito (Visa, MasterCard, ecc.) In genere cercano di indirizzare le società verso l'utilizzo di processori di pagamento conformi allo standard PCI.
La sicurezza dei dati relativi all'elaborazione delle carte di credito e delle carte di debito, come ad esempio registratori di cassa, pompe di benzina e bancomat, è sempre più compromessa e complicata dai sistemi di furto di numeri di carte e PIN. Molti di questi schemi utilizzano il posizionamento segreto di chip RFID (chip di identificazione a radiofrequenza) da parte di ladri di dati a questi terminali per "scremare" tali dati. La società di sicurezza ADT è un fornitore che offre software Anti-Skim, che attiva avvisi quando vengono rilevate violazioni di dati di questo tipo.
Inoltre, è possibile incaricare un QSA (Qualified Security Assessor) per condurre un'indagine sulla vulnerabilità di un'azienda a questi tipi di violazioni della sicurezza dei dati.
La sicurezza dei dati dipende spesso dalla sicurezza fisica dei data center. Ciò significa assicurare che il personale non autorizzato sia tenuto fuori. Inoltre, il personale autorizzato non può essere autorizzato a rimuovere server, laptop, unità flash, dischi, nastri, stampe, ecc., Contenenti informazioni sensibili provenienti dalle sedi della società. Allo stesso modo, dovrebbero essere predisposti controlli per evitare la visione da parte di personale non autorizzato di informazioni sensibili che non sono necessarie per l'adempimento delle loro mansioni.
Oltre ai protocolli e alle procedure di sicurezza nei locali della vostra azienda, le pratiche dei fornitori esterni di servizi di elaborazione dati e trasmissione devono essere esaminate attentamente. Ad esempio, se un'azienda di terze parti ospita il sito Web della tua azienda, devi preoccuparti delle sue procedure di sicurezza dei dati. La certificazione SAS-70 è uno standard comune per procedure di sicurezza adeguate per quanto riguarda le reti interne, richieste dal Sarbanes-Oxley Act per le società di tecnologia dell'informazione detenute pubblicamente. L'uso dei protocolli SSL è lo standard per la gestione sicura dei dati sensibili online, come l'inserimento di numeri di carte di credito nel pagamento delle transazioni.
Best practice per la sicurezza della rete:
Aspetti chiave della sicurezza della rete che hanno un impatto sulla sicurezza dei dati sono le protezioni contro gli hacker e l'inondazione di siti Web o reti. Sia il gruppo di tecnologie informatiche interno che il provider di servizi Internet (ISP) devono disporre di contromisure adeguate. Questo è anche un problema di preoccupazione per le società di web hosting e di elaborazione dei pagamenti. Tutti questi venditori esterni devono dimostrare quali protezioni hanno.
Anche in questo caso, le migliori pratiche che caratterizzano le reti dati, i data center e la gestione dei dati della propria azienda sono le stesse che è necessario verificare in tutti i fornitori esterni di elaborazione dei dati, elaborazione dei pagamenti, servizi di rete e di hosting del sito web. Prima di stipulare un contratto con un fornitore terzo, è necessario accertarsi che disponga delle certificazioni minime adeguate da parte di organismi esterni indipendenti (come descritto sopra) e condurre la propria due diligence, condotta dal proprio personale IT con le credenziali appropriate. o da consulenti esterni qualificati.
Come ultima considerazione, è possibile acquistare un'assicurazione contro i costi associati alle violazioni della sicurezza dei dati. Tali costi comprendono le multe e le sanzioni applicate dalle reti di carte di credito (come Visa e MasterCard) per tali guasti, nonché le spese che impongono agli emittenti di carte (principalmente banche, cooperative di credito e società di valori mobiliari) per l'annullamento delle carte di credito e di debito, emettendone di nuovi e rendendo i membri della carta intere a causa di violazioni causate dalla vostra azienda, spese che quindi tenteranno di addebitare alla vostra azienda.
Tale assicurazione a volte può essere offerta dalle ditte di elaborazione dei pagamenti, oltre che essere disponibile direttamente dalle compagnie assicurative. La stampa fine su tali politiche può essere dettagliata, quindi l'acquisto di tale assicurazione richiede molta cura.
Fonte principale: "Dodging Data Breaches", Forbes, 18/07/2011.