Finansal Profesyoneller İçin Hızlı Bir Primer
Veri güvenliği, finansal hizmetler sektöründe büyük bir endişe kaynağıdır çünkü büyük potansiyel finansal ve itibar maliyetleri ile ilişkilidir. Finansal firmaları hedefleyen siber suçlar artıyor.
Buna göre, veri güvenliği konularına dikkat, sadece bilgi teknolojisi personelinin değil aynı zamanda risk yönetimi ve uyum personelinin yanı sıra denetleyici kuruluşların ve finans müdürlerinin üyeleri de içermelidir.
Dahası, diğer sektörlerdeki finansal yönetim profesyonelleri, finansal riskler göz önünde bulundurulduğunda, temel olarak veri güvenliğiyle ilgili konulara muhatap olmak zorundadırlar.
Bankaları, yatırım şirketlerini, elektronik ödeme işlemcileri, kredi kartı ağlarını, perakende tüccarlarını ve diğerlerini etkileyen büyük veri güvenliği ihlallerinin artan sıklığı ve maliyeti, bu durumu önemini neredeyse imkansız kılan bir alan haline getirmektedir.
Veri Güvenliği Sorunları:
Kredi kartları ve banka kartları ile ödeme kabul eden şirketler için veri güvenliği, elektronik ödeme işlemcileri seçimi konusunda büyük bir özen gösterilmesini gerektirir. Bu iş kolunda yüzlerce şirket var, ancak Ödeme Altyapısı Güvenlik Standardı Konseyi tarafından yalnızca bir alt gruba PCI Uyumlu olarak puan verildi. Büyük kredi kartı veren kuruluşlar (Visa, MasterCard, vb.), Şirketleri yalnızca PCI uyumlu ödeme işlemlerini kullanmaya yönlendirmeye çalışırlar.
Kredi kartı, bankamatik kartı ve ATM gibi satış noktası kredi kartı ve banka kartı işlemleriyle ilgili veri güvenliği, kart numaraları ve PIN'leri çalmak için giderek daha fazla tehlikeye girmekte ve karmaşıklaşmaktadır. Bu şemaların birçoğu, RFID çiplerinin (radyo frekansı tanımlama yongaları) bu terminallerdeki veri hırsızları tarafından bu tür verilerin "kayması" için gizli olarak yerleştirilmesini kullanır.
Güvenlik şirketi ADT, Anti-Skim yazılımı sunan, bu tür veri ihlalleri algılandığında uyarılar tetikleyen bir satıcıdır. Ek olarak, bir firmanın bu tür veri güvenliği ihlallerine karşı hassasiyetine ilişkin bir anket çalışması yapmak için bir Nitelikli Güvenlik Değerlendirmesi (QSA) devreye girebilir.
Veri güvenliği genellikle veri merkezlerindeki fiziksel güvenliğe bağlıdır. Bu yetkisiz personelin dışarıda tutulmasını gerektirir. Ayrıca, yetkili personelin, şirket konumlarından hassas bilgiler içeren sunucuları, dizüstü bilgisayarları, flash sürücüleri, diskleri, bantları, çıktıları vb. Benzer şekilde, yetkisiz personelin görevlerini yerine getirirken gerekli olmayan hassas bilgileri görmesini önlemek için kontroller yapılmalıdır.
Şirketinizin güvenlik protokolleri ve prosedürlerine ek olarak, veri işleme ve iletim hizmetlerinin dış satıcılarının uygulamaları da dikkatle incelenmelidir. Örneğin, bir üçüncü taraf firmanız şirketinizin web sitesini barındırıyorsa, veri güvenliği prosedürleri konusunda endişelenmeniz gerekir. SAS-70 sertifikası, kamuya açık bilgi teknolojisi firmaları için Sarbanes-Oxley Yasası'nın gerektirdiği dahili ağlarla ilgili yeterli güvenlik prosedürleri için ortak bir standarttır.
SSL protokollerinin kullanımı, işlemlerin ödemesinde kredi kartı numaralarının girilmesi gibi hassas verilerin çevrimiçi olarak güvenli bir şekilde kullanılması için standarttır.
Ağ Güvenliği En İyi Uygulamaları:
Veri güvenliğine etki eden ağ güvenliğinin temel yönleri, bilgisayar korsanlarına karşı korunma ve web sitelerinin veya ağların su basmasıdır. Hem şirket içi bilgi teknolojisi grubunuz hem de İnternet servis sağlayıcınız (İSS) uygun önlemleri yerinde bulundurmalıdır. Bu aynı zamanda web barındırma ve ödeme işleme şirketleri ile ilgili bir endişe konusu. Tüm bu dış satıcılar sahip oldukları korumayı göstermelidir.
Yine, kendi şirketinizin kendi veri ağlarını, veri merkezlerini ve veri yönetimini karakterize eden en iyi uygulamalar, veri işleme, ödeme işlemleri, ağ oluşturma ve web sitesi barındırma hizmetleri dışındaki tüm dış satıcılarda teyit edilmesi gerekenlerle aynıdır.
Bir üçüncü taraf sağlayıcı ile herhangi bir sözleşmeye girmeden önce, bağımsız dış kuruluşlardan (yukarıda belirtildiği gibi) uygun asgari sertifikalara sahip olduğunu ve şirketinizin kendi bilgi teknolojisi personeli tarafından uygun kimlik bilgilerinin yol açtığı kendi durum tespiti işlemlerinizi gerçekleştirdiğinizden emin olmalısınız. veya nitelikli dış danışmanlar tarafından.
Son olarak, veri güvenliği ihlalleriyle ilişkili maliyetlere karşı sigorta satın almak mümkündür. Bu gibi masraflar, kredi kartı ağlarının (Visa ve MasterCard gibi) uyguladığı para cezalarını ve cezalarını ve kredi kartlarını ve banka kartlarını iptal etmek için kart ihraççılarına (özellikle bankalar, kredi kuruluşları ve menkul kıymet firmaları) dayattığı harcamaları içerir. Şirketinizin neden olduğu ihlallerden dolayı yenilerini düzenleyerek ve kart üyeliğini tamamıyla yaparak, şirketinize geri ödeme yapmaya çalışacaklarını belirtti.
Bu tür sigortalar bazen ödeme işleme firmalarının yanı sıra doğrudan sigorta şirketlerinden de temin edilebilir. Bu tür politikalar üzerindeki ince baskı ayrıntılı olabilir, bu nedenle bu sigortayı satın almak büyük bir özen gerektirir.
Başlıca kaynak: "Veri İhlallerini Önleme", Forbes , 7/18/2011.