Տվյալների անվտանգություն

Ֆինանսական պրոֆեսիոնալների համար առաջնային հիմք

Տվյալների անվտանգությունը ֆինանսական ծառայությունների ոլորտի անհանգստության հիմնական խնդիրն է, քանի որ այն կապված է մեծ ներուժի ֆինանսական եւ հեղինակային ծախսերի հետ: Կիբերհանցագործությունը նպատակաուղղված ֆինանսական ընկերությունների աճն է:

Համապատասխանաբար, տվյալների անվտանգության հարցերում ուշադրություն պետք է դարձնեն ոչ միայն տեղեկատվական տեխնոլոգիաների աշխատակիցների անդամները, այլեւ ռիսկերի կառավարման եւ համապատասխանության աշխատակիցները, ինչպես նաեւ վերահսկիչ կազմակերպությունների անդամները եւ գլխավոր ֆինանսական աշխատակիցները:

Բացի այդ, այլ ոլորտներում ֆինանսական կառավարման մասնագետները պետք է հիմնականում տեղեկացված լինեն տվյալների անվտանգությանը վերաբերող թեմաներով, հաշվի առնելով ֆինանսական ռիսկը:

Բանկի, ներդրումային ընկերությունների, էլեկտրոնային վճարման պրոցեսորների, վարկային քարտերի ցանցերի, մանրածախ առեւտրի եւ այլ անձանց վրա ազդող խոշոր տվյալների անվտանգության խախտումների աճող հաճախականությունն ու արժեքը կազմում են այն տարածքները, որոնց նշանակությունը գրեթե անհնար է թերագնահատել այս օրերին:

Տվյալների անվտանգության հարցերը.

Կրեդիտ քարտերով եւ դեբետային քարտերով վճարման ընդունող ընկերությունների համար տվյալների անվտանգությունը ներառում է էլեկտրոնային վճարման պրոցեսորների ընտրության հարցում մեծ ուշադրություն դարձնելու համար: Բիզնեսի այս հարթությունում կան հարյուրավոր ընկերություններ, սակայն միայն ենթաբաժինն արժանացել է PCI- ին համապատասխանող `վճարային քարտի արդյունաբերության անվտանգության ստանդարտ խորհրդի կողմից: Կրեդիտ քարտերի հիմնական թողարկողները (Visa, MasterCard եւ այլն) սովորաբար փորձում են ուղղորդել ընկերություններին, օգտագործելով միայն PCI- ի համապատասխանող վճարային պրոցեսորներ:

Վարկային քարտի եւ դեբետային քարտերի վերամշակման վերաբերյալ տվյալների անվտանգությունը, օրինակ, հսկիչ գրանցումների, գազի պոմպերի եւ բանկոմատների նկատմամբ, ավելի ու ավելի է խափանվում եւ բարդացնում քարտային համարների եւ PIN- ների գողության սխեմաները: Այս սխեմաներից շատերը օգտագործում են RFID չիպսերի գաղտնի տեղաբաշխումը (ռադիոհաճախականության նույնականացման չիպսեր) այդ տերմինալների տվյալների գողերը `« քաշել »այդ տվյալները:

Անվտանգության ընկերությունը ADT- ը վաճառող է, որը առաջարկում է Anti-Skim ծրագրային ապահովումը, որը ազդարարում է ահազանգեր, երբ հայտնաբերվում են տվյալ տեսակի տվյալների խախտում: Բացի այդ, որակյալ անվտանգության գնահատողը (QSA) կարող է ներգրավվել տվյալ տվյալների անվտանգության խախտումների նկատմամբ ընկերության զգայունության հարցման անցկացման համար:

Տվյալների անվտանգությունը հաճախ կախված է տվյալների կենտրոններից ֆիզիկական անվտանգությունից: Սա ենթադրում է ապահովել, որ չարտոնված անձնակազմը դուրս է մնացել: Բացի այդ, լիազորված անձնակազմը չի կարող թույլատրել հեռացնել սերվերները, նոթբուքերը, ֆլեշ կրիչներ, սկավառակներ, ժապավեններ, տպագրումներ եւ այլն, որոնք պարունակում են զգայուն տեղեկատվություն ընկերության գտնվելու վայրից: Նմանապես, պետք է վերահսկել վերահսկողությունը, չպահպանել չարտոնված անձնակազմի զգայուն տեղեկատվության դիտումը, որը չի պահանջվում իրենց պարտականությունները կատարելիս:

Բացի ձեր ընկերության տարածքներում անվտանգության հաղորդակարգերի եւ ընթացակարգերի հետ մեկտեղ, պետք է ուսումնասիրել տվյալների մշակման եւ փոխանցման ծառայություններ մատուցող արտաքին մատակարարների գործելակերպը: Օրինակ, եթե երրորդ կողմը հաստատում է ձեր ընկերության կայքը, դուք պետք է մտահոգվեք նրա տվյալների անվտանգության ընթացակարգերով: SAS-70 սերտիֆիկատը հանրային տեղեկատվական տեխնոլոգիաների ընկերությունների համար Sarbanes-Oxley Act- ի կողմից պահանջվող ներքին ցանցերի վերաբերյալ համապատասխան անվտանգության ընթացակարգերի համար ընդհանուր ստանդարտ է:

SSL հաղորդակարգերի օգտագործումը հանդիսանում է անվտանգ տվյալների առցանց օգտագործման ստանդարտ, օրինակ `գործարքների համար վճարման մեջ կրեդիտային քարտի համարների մուտքագրում:

Ցանցի անվտանգությունը լավագույն փորձը.

Ցանցի անվտանգության ապահովման հիմնական ասպեկտները, որոնք ազդում են տվյալների անվտանգության վրա, պաշտպանված են հաքերների դեմ եւ կայքերի կամ ցանցերի ջրհեղեղներից: Ձեր ներքին տեղեկատվական տեխնոլոգիաների խումբը եւ ձեր ինտերնետ ծառայություն մատուցողը (ISP) պետք է ունենան համապատասխան հակահարվածներ: Սա նաեւ մտահոգություն է վեբ հոստինգի եւ վճարման վերամշակող ընկերությունների վերաբերյալ: Այս բոլոր արտաքին մատակարարները պետք է ցույց տան, թե ինչ պաշտպանություն ունեն:

Կրկին, ձեր սեփական ընկերության տվյալների շտեմարանները, տվյալների կենտրոնները եւ տվյալների կառավարումը բնութագրող լավագույն փորձը նույնն են, որոնք դուք պետք է հաստատեք, որ տվյալների մշակման, վճարումների մշակման, ցանցի եւ կայքի հոսթինգի ծառայություններ մատուցող բոլոր արտաքին մատակարարները:

Նախքան երրորդ կողմի մատակարարի հետ որեւէ պայմանագիր կնքելը, դուք պետք է համոզվեք, որ այն ունի համապատասխան նվազագույն հավաստագրեր անկախ արտաքին մարմիններից (ինչպես վերը նշված է) եւ իրականացնել ձեր սեփական պատշաճ ջանասիրությունը, որը ղեկավարվում է ձեր ընկերության տեղեկատվական տեխնոլոգիաների աշխատակիցների կողմից համապատասխան հավատարմագրով կամ որակավորված արտաքին խորհրդատուների կողմից:

Որպես վերջնական քննարկում, հնարավոր է ձեռք բերել ապահովագրություն `տվյալների անվտանգության խախտումների հետ կապված ծախսերի դեմ: Նման ծախսերը ներառում են կրեդիտ քարտերի ցանցերի (օրինակ, Visa եւ MasterCard) կողմից այդպիսի անհաջողությունների համար գանձվող տույժերի եւ տուգանքների, ինչպես նաեւ քարտի թողարկողների (հիմնականում բանկերի, վարկային միությունների եւ արժեթղթերի ֆիրմաների) վրա ծախսած ծախսերը վարկի եւ դեբետային քարտերի , նորություններ տրամադրելով եւ քարտի անդամներին ամբողջությամբ դարձնելով ձեր ընկերության պատճառած խախտումները, ծախսերը, որոնք նրանք կփորձեն վերադարձնել ձեր ընկերությանը:

Այդպիսի ապահովագրությունը երբեմն կարող է առաջարկել վճարման վերամշակող ընկերությունների կողմից, ինչպես նաեւ ապահովագրական ընկերություններից անմիջապես ստանալ: Նման քաղաքականության տուգանքները կարող են մանրամասն լինել, հետեւաբար, նման ապահովագրության ձեռքբերումը պահանջում է մեծ խնամք:

_{Հիմնական աղբյուրը `« Տվյալների կորստից խուսափելը », Forbes , 7/18/2011:}