Πώς να αποτρέψετε παραβιάσεις δεδομένων με ασφάλεια δεδομένων

Η ασφάλεια των δεδομένων αποτελεί μείζον ζήτημα ανησυχίας στον κλάδο των χρηματοπιστωτικών υπηρεσιών, καθώς συνδέεται με τεράστιο δυνητικό οικονομικό κόστος και κόστος φήμης. Το έγκλημα στον κυβερνοχώρο που στοχεύει τις χρηματοπιστωτικές επιχειρήσεις αυξάνεται.

Ως εκ τούτου, η προσοχή στα ζητήματα ασφάλειας δεδομένων πρέπει να περιλαμβάνει όχι μόνο μέλη του προσωπικού της τεχνολογίας της πληροφορίας, αλλά και προσωπικό διαχείρισης κινδύνου και συμμόρφωσης, καθώς και τα μέλη των ελεγκτικών οργανισμών και των επικεφαλής χρηματοοικονομικών υπαλλήλων. Επιπλέον, οι επαγγελματίες της οικονομικής διαχείρισης σε άλλες βιομηχανίες πρέπει να είναι βασικά εξοικειωμένοι με θέματα ασφάλειας των δεδομένων, δεδομένων των χρηματοδοτικών ανοιγμάτων.

Η αυξανόμενη συχνότητα και το κόστος των μεγάλων παραβιάσεων της ασφάλειας των δεδομένων, οι οποίες επηρεάζουν τις τράπεζες, τις επιχειρήσεις επενδύσεων, τους επεξεργαστές ηλεκτρονικών πληρωμών, τα δίκτυα πιστωτικών καρτών, τους εμπόρους λιανικής πώλησης κ.λπ., καθιστά αυτή την περιοχή μια περιοχή της οποίας είναι σχεδόν αδύνατο να υποτιμηθεί σήμερα.

Ζητήματα ασφάλειας δεδομένων:

Η ασφάλεια των δεδομένων για εταιρείες που δέχονται πληρωμές μέσω πιστωτικών καρτών και χρεωστικών καρτών συνεπάγεται μεγάλη προσοχή όσον αφορά την επιλογή των επεξεργαστών ηλεκτρονικών πληρωμών. Υπάρχουν εκατοντάδες εταιρίες σε αυτήν τη γραμμή, αλλά μόνο ένα υποσύνολο χαρακτηρίζεται ως PCI Compliant από το Πρότυπο Συμβουλίου Ασφαλείας Καρτών Πληρωμών. Οι μεγαλύτεροι εκδότες πιστωτικών καρτών (Visa, MasterCard, κ.λπ.) προσπαθούν συνήθως να κατευθύνουν τις εταιρείες προς τη χρήση μόνο επεξεργαστών πληρωμών συμβατού με PCI.

Η ασφάλεια των δεδομένων σχετικά με την επεξεργασία πιστωτικών καρτών σημείου πώλησης και επεξεργασίας χρεωστικών καρτών, όπως σε ταμειακές μηχανές, αντλίες αερίου και ΑΤΜ, διακυβεύεται όλο και περισσότερο και περιπλέκεται από σχέδια για την κλοπή αριθμών καρτών και PIN. Πολλά από αυτά τα συστήματα χρησιμοποιούν τη μυστική τοποθέτηση των τσιπ RFID (μάρκες ραδιοσυχνοτήτων) από τους κλέφτες δεδομένων σε αυτά τα τερματικά για να «απομακρύνουν» αυτά τα δεδομένα. Η εταιρεία ασφάλειας ADT είναι ένας πωλητής που προσφέρει λογισμικό Anti-Skim, το οποίο ενεργοποιεί ειδοποιήσεις όταν ανιχνεύονται παραβιάσεις δεδομένων αυτού του είδους.

Επιπλέον, ένας Ειδικός Αξιολογητής Ασφαλείας (Qualified Security Assessor - QSA) μπορεί να ασχολείται με τη διεξαγωγή έρευνας σχετικά με την ευαισθησία μιας εταιρείας σε τέτοιου είδους παραβιάσεις της ασφάλειας των δεδομένων.

Η ασφάλεια των δεδομένων συχνά εξαρτάται από την φυσική ασφάλεια στα κέντρα δεδομένων. Αυτό συνεπάγεται τη διατήρηση του μη εξουσιοδοτημένου προσωπικού. Επιπλέον, δεν επιτρέπεται στο εξουσιοδοτημένο προσωπικό να αφαιρέσει διακομιστές, φορητούς υπολογιστές, μονάδες flash, δίσκους, κασέτες, εκτυπώσεις κ.λπ. που περιέχουν ευαίσθητες πληροφορίες από τοποθεσίες της εταιρείας. Παρομοίως, θα πρέπει να υπάρχουν έλεγχοι για την προστασία από την άνευ αδείας εξέταση προσωπικού χαρακτήρα ευαίσθητων πληροφοριών που δεν είναι απαραίτητες για την εκπλήρωση των καθηκόντων τους.

Εκτός από τα πρωτόκολλα και τις διαδικασίες ασφαλείας στις εγκαταστάσεις της εταιρείας σας, πρέπει να εξεταστούν λεπτομερώς οι πρακτικές των εξωτερικών πωλητών υπηρεσιών επεξεργασίας δεδομένων και μετάδοσης. Για παράδειγμα, εάν μια εταιρεία τρίτου φιλοξενεί τον ιστότοπο της εταιρείας σας, πρέπει να ανησυχείτε για τις διαδικασίες ασφαλείας δεδομένων. Η πιστοποίηση SAS-70 είναι ένα κοινό πρότυπο για επαρκείς διαδικασίες ασφαλείας όσον αφορά τα εσωτερικά δίκτυα, όπως απαιτείται από τον νόμο Sarbanes-Oxley για τις κρατικές εταιρείες πληροφορικής. Η χρήση πρωτοκόλλων SSL είναι το πρότυπο για τον ασφαλή χειρισμό ευαίσθητων δεδομένων στο διαδίκτυο, όπως η εισαγωγή αριθμών πιστωτικών καρτών σε πληρωμή για συναλλαγές.

Βέλτιστες πρακτικές ασφάλειας δικτύων:

Βασικές πτυχές της ασφάλειας του δικτύου που έχουν αντίκτυπο στην ασφάλεια των δεδομένων είναι η προστασία από τους χάκερ και η πλημμύρα ιστοτόπων ή δικτύων. Τόσο η εσωτερική ομάδα τεχνολογίας πληροφοριών σας όσο και ο παροχέας υπηρεσιών διαδικτύου (ISP) πρέπει να διαθέτουν κατάλληλα μέτρα αντιμετώπισης. Αυτό είναι επίσης ένα ζήτημα ανησυχίας όσον αφορά την φιλοξενία ιστοσελίδων και τις εταιρείες επεξεργασίας πληρωμών. Όλοι αυτοί οι εξωτερικοί πωλητές πρέπει να αποδείξουν τι προστασίες έχουν.

Και πάλι, οι βέλτιστες πρακτικές που χαρακτηρίζουν τα δικά σας δίκτυα δεδομένων, τα κέντρα δεδομένων και τη διαχείριση δεδομένων είναι τα ίδια που πρέπει να επιβεβαιώσετε ότι ισχύουν σε όλους τους εξωτερικούς προμηθευτές επεξεργασίας δεδομένων, επεξεργασίας πληρωμών, δικτύωσης και φιλοξενίας ιστοσελίδων. Πριν από τη σύναψη οποιασδήποτε σύμβασης με τρίτο πάροχο, θα πρέπει να βεβαιωθείτε ότι διαθέτει τις κατάλληλες ελάχιστες πιστοποιήσεις από ανεξάρτητα εξωτερικά όργανα (όπως περιγράφονται παραπάνω) και να διεξάγει τη δική σας επιμέλεια, είτε από το προσωπικό της τεχνολογίας της εταιρείας της εταιρείας σας με τα κατάλληλα διαπιστευτήρια ή από ειδικευμένους εξωτερικούς συμβούλους.

Ως τελική σκέψη, είναι δυνατή η αγορά ασφάλισης έναντι των δαπανών που σχετίζονται με παραβιάσεις της ασφάλειας των δεδομένων. Τέτοιες δαπάνες περιλαμβάνουν τα πρόστιμα και τις ποινές που επιβάλλονται από δίκτυα πιστωτικών καρτών (όπως Visa και MasterCard) για τέτοιες αποτυχίες, καθώς και τα έξοδα που επιβάλλουν στους εκδότες καρτών (κυρίως τράπεζες, πιστωτικές ενώσεις και εταιρείες χαρτοφυλακίου) για την ακύρωση πιστωτικών και χρεωστικών καρτών, εκδίδοντας νέα και καθιστώντας τα μέλη της κάρτας ολόκληρα εξαιτίας παραβιάσεων που προκλήθηκαν από την εταιρεία σας, δαπάνες που θα προσπαθήσουν έτσι να χρεώσουν πίσω στην εταιρεία σας.

Τέτοιες ασφάλειες μπορούν μερικές φορές να προσφέρονται από επιχειρήσεις επεξεργασίας πληρωμών, καθώς και να είναι άμεσα διαθέσιμες από τις ασφαλιστικές εταιρείες. Η λεπτή εκτύπωση για τέτοιες πολιτικές μπορεί να είναι λεπτομερής, οπότε η αγορά τέτοιων ασφαλίσεων απαιτεί μεγάλη προσοχή.

_{Κύρια πηγή: "Αποφυγή παραβιάσεων δεδομένων" Forbes, 7/18/2011.}