Com evitar infraccions de dades amb seguretat de dades

La seguretat de les dades és un problema important de preocupació en la indústria dels serveis financers, ja que està associada a possibles costos financers i de reputació. Les empreses financeres destinades a objectius de delictes cibernètics augmenten.

En conseqüència, l'atenció a les qüestions de seguretat de les dades hauria d'implicar no només els membres del personal de tecnologia de la informació, sinó també el personal de gestió i compliment de riscos, així com els membres de les organitzacions de controladors i els principals agents financers. A més, els professionals de la gestió financera d’altres indústries han de tenir coneixement bàsic dels temes de seguretat de les dades, donades les exposicions financeres.

La creixent freqüència i el cost de les principals bretxes de seguretat de dades, que afecten els bancs, les empreses d’inversions, els processadors de pagaments electrònics, les xarxes de targetes de crèdit, els comerciants minoristes i altres, fan d’aquesta àrea la importància pràcticament impossible de subestimar en aquests dies.

Problemes de seguretat de dades:

La seguretat de les dades per a les empreses que accepten el pagament mitjançant targetes de crèdit i de dèbit consisteix a tenir molta cura pel que fa a l'elecció dels processadors de pagaments electrònics. Hi ha centenars d’empreses en aquesta línia de negoci, però només es considera que un subconjunt compleix PCI pel Consell estàndard de seguretat de la targeta de pagament. Els principals emissors de targetes de crèdit (Visa, MasterCard, etc.) solen intentar orientar les empreses cap a l’ús d’un sol processador de pagament compatible amb PCI.

La seguretat de les dades sobre el processament de targetes de dèbit i targeta de crèdit de venda, com ara les caixes registradores, les bombes de gasolina i els caixers automàtics, es veu compromesa cada vegada més i es complica amb els sistemes de robatori de números de targeta i PIN. Molts d’aquests esquemes utilitzen la col·locació secreta de xips RFID (xips d’identificació de radiofreqüència) per part dels lladres de dades en aquests terminals per “escatimar” aquestes dades. L'empresa de seguretat ADT és un proveïdor que ofereix un programari anti-skim, que desencadena alertes quan es detecten aquestes infraccions de dades.

A més, es pot contractar un assessor de seguretat qualificada (QSA) per dur a terme una enquesta sobre la susceptibilitat d’una empresa a aquest tipus de violacions de seguretat de dades.

La seguretat de les dades depèn sovint de la seguretat física dels centres de dades. Això implica assegurar que el personal no autoritzat es mantingui fora. A més, no es pot autoritzar el personal autoritzat per eliminar servidors, ordinadors portàtils, unitats flash, discs, cintes, impressions, etc., que continguin informació sensible de les ubicacions de les empreses. De la mateixa manera, els controls haurien de tenir lloc per evitar que el personal no autoritzat vegi informació sensible que no sigui necessària per al compliment de les seves funcions.

A més dels protocols i procediments de seguretat a les instal·lacions de la vostra empresa, cal examinar les pràctiques dels proveïdors externs de serveis de processament i transmissió de dades. Per exemple, si una empresa de tercers allotja el lloc web de la vostra empresa, us haureu de preocupar pels seus procediments de seguretat de dades. La certificació SAS-70 és un estàndard comú per a procediments de seguretat adequats en relació amb les xarxes internes, requerides per la Llei Sarbanes-Oxley per a empreses de tecnologies de la informació públiques. L’ús de protocols SSL és l’estàndard per al maneig de dades sensibles en línia de forma segura, com ara l’entrada de números de targetes de crèdit en el pagament de transaccions.

Pràctiques recomanades de seguretat de xarxa:

Els aspectes clau de la seguretat de la xarxa que incideixen en la seguretat de les dades són les proteccions contra pirates informàtics i la inundació de llocs web o xarxes. Tant el vostre grup de tecnologia d’informació com el vostre proveïdor de serveis d’Internet (ISP) han de tenir les mesures adequades. Aquesta és també una qüestió de preocupació pel que fa a allotjaments web i empreses de processament de pagaments. Tots aquests proveïdors externs han de demostrar quines proteccions tenen.

De nou, les millors pràctiques que caracteritzen les xarxes de dades, centres de dades i la gestió de dades pròpies de la vostra pròpia empresa són les mateixes que haureu de confirmar que estan instal·lades en tots els proveïdors externs de serveis de processament de dades, processament de pagaments, xarxes i allotjament de llocs web. Abans d’iniciar un contracte amb un proveïdor de tercers, s’haurà d’assegurar que té les certificacions mínimes adequades d’organismes externs independents (tal com s’indiquen anteriorment) i que realitzeu la vostra pròpia diligència, dirigida pel propi personal de tecnologia de la informació de la vostra empresa amb les credencials adequades. o per consultors externs qualificats.

Com a consideració final, és possible adquirir una assegurança contra els costos associats a incompliments de seguretat de dades. Aquests costos inclouen les multes i sancions percebudes per les xarxes de targetes de crèdit (com ara Visa i MasterCard) per a aquestes fallades, així com les despeses que imposen als emissors de targetes (principalment bancs, cooperatives de crèdit i societats de valors) per cancel·lar les targetes de crèdit i dèbit., emetent-ne de noves i fes els membres de la targeta sencers a causa d’infraccions causades per la vostra empresa, les despeses que així intentaran retornar a la vostra empresa.

Aquestes assegurances de vegades es poden oferir a les empreses de processament de pagaments, a més d’estar disponibles directament per les companyies d’assegurances. Es pot detallar la lletra petita d’aquestes polítiques, de manera que la compra d’aquest tipus d’assegurança requereix molta cura.

_{Font principal: "Evitant les infraccions de dades" Forbes, 7/18/2011.}