Veri güvenliği ile veri ihlallerinin önlenmesi

Veri güvenliği büyük finansal ve idari maliyetlerle ilişkili olduğu için finansal hizmetler endüstrisinde önemli bir endişe kaynağıdır. Finansal firmaları hedef alan siber suçlar artmaktadır.

Buna göre, veri güvenliği konularına dikkat edilmesi sadece bilgi teknolojisi personeli üyelerini değil aynı zamanda risk yönetimi ve uygunluk personelinin yanı sıra denetleyici kuruluşlarının ve baş mali görevlilerin üyelerini de içermelidir.

Ayrıca, finansal endişeler göz önüne alındığında, diğer endüstrilerdeki finansal yönetim uzmanlarının, veri güvenliği konusuyla temkinli olması gerekir.

Bankaları, yatırım firmalarını, elektronik ödeme işlemcilerini, kredi kartı ağlarını, perakende ticaret yapan kuruluşları ve diğerlerini etkileyen önemli veri güvenliği ihlallerinin giderek artan frekansı ve maliyeti, bu durumu bu günlerin hafife alınması neredeyse imkânsız olan bir alan haline getiriyor.

Veri Güvenliği Sorunları:

Kredi kartı ve bankamatik kartıyla ödeme kabul eden şirketler için veri güvenliği, elektronik ödeme işlemcilerinin seçimi konusunda çok dikkatli davranıyor. Bu iş kolunda yüzlerce şirket var, ancak yalnızca bir alt set Ödeme Kartı Endüstrisi Güvenlik Standardı Konseyi tarafından PCI Uyumlu olarak derecelendirildi. Büyük kredi kartı düzenleyicileri (Visa, MasterCard, vb.) Genellikle şirketleri yalnızca PCI uyumlu ödeme işlemleri kullanmaya yönlendirmektedir.

Yazarkasa, benzin pompaları ve ATM'ler gibi satış noktası ile ilgili kredi kartı ve bankamatik işlemleriyle ilgili veri güvenliği giderek artmakta ve kart numaraları ve PIN'ler çalma şemaları ile karmaşık hale gelmektedir. Bu şemaların birçoğu, RFID çiplerinin (radyo frekansı tanımlama cipsi) bu tür terminallerdeki veri hırsızları tarafından gizli olarak yerleştirilmesini, bu tür verilerin "kaybolmasını" sağlar.

Güvenlik şirketi ADT, bu tür veri ihlalleri tespit edildiğinde uyarıları tetikleyen Anti-Skim yazılımı sunan bir tedarikçidir. Buna ek olarak, nitelikli bir Güvenlik Değerlendiricisi (QSA), bir şirketin bu türden veri güvenliği ihlallerine duyarlılıklarına ilişkin bir anket yapmakla meşgul olabilir.

Veri güvenliği genellikle veri merkezlerinde fiziksel güvenliğe bağlıdır. Bu, yetkisiz kişilerin tutulmasını sağlamayı içerir. Buna ek olarak, yetkili personel, şirket yerlerinden önemli bilgiler içeren sunucuları, dizüstü bilgisayarları, flash sürücüleri, diskleri, kasetleri, çıktıları vb. Kaldırmasına izin verilmez. Benzer şekilde, yetkisiz kişilerin görevlerini yerine getirirken ihtiyaç duyulmayan hassas bilgileri görmelerine karşı denetimler yapılmalıdır.

Şirketinizin bulunduğu yerdeki güvenlik protokolleri ve prosedürlerine ek olarak, veri işleme ve iletim servislerinin dış tedarikçilerinin uygulamaları da incelenmelidir.Örneğin, üçüncü taraf bir şirketin şirketinizin web sitesini barındırması durumunda, veri güvenliği prosedürlerinden endişe duymanız gerekir. SAS-70 sertifikası, halka açık bilgi teknolojisi firmaları için Sarbanes-Oxley Yasası tarafından gerekli görülen iç ağlar ile ilgili yeterli güvenlik prosedürleri için ortak bir standarttır.

SSL protokollerinin kullanımı hassas verilerin çevrimiçi olarak güvenli bir şekilde taşınması için standarttır; örneğin işlemler için ödeme yapılan kredi kartı numaraları girişi.

Ağ Güvenliği En İyi Uygulamalar:

Veri güvenliği üzerinde etkili olan ağ güvenliğinin temel özellikleri, bilgisayar korsanlarına karşı korunma ve web sitelerinin veya ağların taşmasıdır. Hem kurum içi bilgi teknolojisi grubunuz hem de İnternet servis sağlayıcınızın (ISS) uygun önlemleri olması gerekir. Bu aynı zamanda web hosting ve ödeme işlemleri yapan şirketler ile ilgili endişe meselesidir. Bu dış satıcıların tümü sahip oldukları korumayı göstermelidir.

Yine, kendi şirketinizin kendi veri ağlarını, veri merkezlerini ve veri yönetimini karakterize eden en iyi uygulamalar, veri işleme, ödeme işlemleri, ağ oluşturma ve web sitesi barındırma hizmetleri alanındaki tüm dış tedarikçilerde bulunduğunu onaylamanız gereken en iyi uygulamalar arasındadır. .

Bir üçüncü taraf tedarikçiyle herhangi bir sözleşme yapmadan önce, bağımsız dış kuruluşlardan (yukarıda ana hatlarıyla belirtildiği gibi) uygun en az sertifikaya sahip olduğunu ve şirketinizin kendi bilgi teknolojisi personeliyle ya da uygun kimlik bilgileri veya nitelikli dış danışmanlar tarafından.

Son olarak, veri güvenliği ihlalleriyle bağlantılı masraflara karşı sigorta satın almak mümkündür. Bu tür maliyetler arasında, bu gibi arızalar için kredi kartı şebekeleri (Visa ve MasterCard gibi) tarafından ödenen cezalar ve cezalar ve kredi kartı ve bankamatik kartlarını iptal etmek için kart düzenleyenlere (özellikle bankalar, kredi birlikleri ve menkul kıymet firmaları) uyguladıkları masraflar , şirketinizin neden olduğu ihlal nedeniyle yenilerini çıkartmak ve kart üyelerini bütün haline getirmek, dolayısıyla şirketinize geri ödeme girişiminde bulunacak masraflar.

Bu tür sigorta bazen ödeme işlemleri yapan firmalar tarafından sunulabilir; ayrıca doğrudan sigorta şirketlerinden temin edilebilir. Bu politikalardaki ince baskılar ayrıntılı olabilir, bu nedenle böyle bir sigortayı yaptırmak için çok dikkatli olmanız gerekir.

_{Başlıca kaynak: "Veri İhlallerinden Kaçma", Forbes , 18.07.2011.}