Una guia ràpida per a professionals financers
La seguretat de dades és un tema important de preocupació en la indústria dels serveis financers, ja que s'associa amb enormes costos financers i de reputació potencials. El cibercrime dirigit a les empreses financeres està en augment.
En conseqüència, l'atenció als assumptes de seguretat de la informació hauria d'implicar no només els membres del personal de tecnologies de la informació , sinó també la gestió del risc i el personal de compliment , així com els membres de les organitzacions de controladors i els principals agents financers.
A més, els professionals de la gestió financera d'altres indústries han de tenir coneixement bàsicament de temes relacionats amb la seguretat de les dades, tenint en compte les exposicions financeres.
La freqüència i el cost creixents de les principals vulneracions de la seguretat de les dades, que afecten els bancs, les empreses d'inversió, els processadors de pagaments electrònics, les xarxes de targetes de crèdit, els comerciants minoristes i altres, fan d'aquest una àrea la importància de la qual és pràcticament impossible de subestimar aquests dies.
Problemes de seguretat de dades:
La seguretat de dades per a les empreses que accepten el pagament mitjançant targetes de crèdit i dèbit implica tenir molta atenció en l'elecció dels processadors de pagaments electrònics. Hi ha centenars d'empreses en aquesta línia de negoci, però només un subconjunt està classificat com a PCI Complert pel Consell de Normes de Seguretat de la Indústria de la Targeta de Pagament. Els principals emissors de targetes de crèdit (Visa, MasterCard, etc.) solen intentar orientar les empreses per utilitzar només processadors de pagaments compatibles amb PCI.
La seguretat de dades sobre el processament de la targeta de crèdit i de dèbit de punt de venda, com ara registres d'efectiu, bombes de gas i caixers automàtics, es veurà cada vegada més compromesa i complicada per esquemes per robar números de targetes i PIN. Molts d'aquests esquemes utilitzen la col·locació secreta de xips RFID (xips d'identificació de freqüència de ràdio) per lladres de dades en aquests terminals per "skim" aquestes dades.
L'empresa de seguretat ADT és un proveïdor que ofereix programari Anti-Skim, que desencadena alertes quan es detecten infraccions d'aquest tipus. Addicionalment, es pot contractar un assessor de seguretat qualificat (QSA) per realitzar una enquesta sobre la susceptibilitat d'una empresa a aquest tipus de vulneracions de seguretat de dades.
La seguretat de dades sovint depèn de la seguretat física dels centres de dades. Això implica assegurar que es mantingui el personal no autoritzat. A més, el personal autoritzat no pot permetre eliminar servidors, ordinadors portàtils, unitats flash, discos, cintes, impressions, etc., que continguin informació confidencial de les ubicacions de l'empresa. De la mateixa manera, els controls haurien d'estar al seu lloc per protegir-se contra la visualització del personal no autoritzat d'informació sensible que no és necessària en l'execució de les seves funcions.
A més dels protocols i procediments de seguretat dels establiments de la vostra empresa, cal examinar les pràctiques dels venedors externs dels serveis de processament i transmissió de dades. Per exemple, si una empresa de tercers allotja el lloc web de la vostra empresa, ha d'estar preocupat pels seus procediments de seguretat de dades. La certificació SAS-70 és una norma comuna per a procediments de seguretat adequats en relació amb les xarxes internes, requerida per la llei Sarbanes-Oxley per a empreses de tecnologia d'informació de titularitat pública.
L'ús de protocols SSL és l'estàndard per gestionar les dades confidencials de manera segura en línia, com ara l'entrada de números de targetes de crèdit en el pagament per transaccions.
Pràctiques recomanades per a la seguretat de xarxes:
Els aspectes clau de la seguretat de la xarxa que tenen un impacte en la seguretat de les dades són les proteccions contra els pirates informàtics i la inundació de llocs web o xarxes. Tant el vostre grup de tecnologia de la informació interna com el vostre proveïdor de serveis d'Internet (ISP) han de tenir contramesures adequades al seu lloc. Això també és una qüestió de preocupació pel que fa a empreses d'allotjament web i processament de pagaments. Tots aquests proveïdors externs han de demostrar quines són les proteccions que tenen.
De nou, les millors pràctiques que caracteritzen les pròpies xarxes de dades, centres de dades i gestió de dades de la pròpia empresa són els mateixos que heu de confirmar en tots els proveïdors externs de processament de dades, processament de pagaments, xarxes i serveis d'allotjament web.
Abans d'iniciar qualsevol contracte amb un proveïdor extern, haureu d'assegurar-vos que disposa de les certificacions mínimes adequades d'organismes externs independents (tal com es descriu més amunt) i que realitzeu la seva pròpia diligència deguda, dirigida pel personal de la vostra tecnologia d'informació de la vostra empresa amb les credencials adequades o per consultors externs qualificats.
Com a contrapartida final, és possible adquirir una assegurança contra els costos associats a les infraccions de seguretat de dades. Aquests costos inclouen les multes i les sancions imposades per les xarxes de targetes de crèdit (com Visa i MasterCard) per a aquests fracassos, així com les despeses que imposen als emissors de targetes (principalment bancs, cooperatives de crèdit i empreses de valors) per cancel·lar les targetes de crèdit i dèbit , l'emissió d'altres nous i la integració de membres de la targeta a causa de les infraccions causades per la vostra empresa, despeses que intentaran cobrar a la vostra empresa.
Aquestes assegurances poden ser ofertes per part de les empreses de processament de pagaments, a més d'estar disponibles directament per les companyies d'assegurances. Es pot detallar la lletra petita sobre aquestes polítiques, de manera que comprar tal assegurança requereix molta atenció.
Font principal: "Omplir les infraccions de dades", Forbes , 18/7/2011.