Wie Sie Datenverletzungen mit Datensicherheit verhindern

Datensicherheit ist ein wichtiges Problem in der Finanzdienstleistungsbranche, da sie mit enormen potenziellen Finanz- und Reputationskosten verbunden ist. Cyberkriminalität, die auf Finanzunternehmen abzielt, ist auf dem Vormarsch.

Dementsprechend sollte die Aufmerksamkeit auf Fragen der Datensicherheit nicht nur auf Mitarbeiter von Informationstechnologie, sondern auch auf Risikomanagement- und Compliance-Personal sowie auf die Mitglieder von Kontrollorganisationen und Chief Financial Officers gerichtet werden.

Darüber hinaus müssen Finanzmanagement-Experten in anderen Branchen angesichts der finanziellen Risiken grundsätzlich mit Themen der Datensicherheit vertraut sein.

Die zunehmende Häufigkeit und die hohen Kosten von Datensicherheitsverletzungen, die Banken, Wertpapierfirmen, elektronische Zahlungsabwickler, Kreditkartennetzwerke, Einzelhändler und andere Unternehmen betreffen, machen diesen Bereich zu einem Bereich, dessen Bedeutung heutzutage kaum zu unterschätzen ist.

Datensicherheitsprobleme:

Datensicherheit für Unternehmen, die Zahlungen über Kreditkarten und Debitkarten akzeptieren, erfordert große Sorgfalt bei der Auswahl von elektronischen Zahlungsprozessoren. Es gibt Hunderte von Unternehmen in dieser Branche, aber nur eine Untergruppe wird von der Payment Card Industry Security Standard Council PCI-konform bewertet. Die großen Kreditkartenherausgeber (Visa, MasterCard usw.) versuchen typischerweise Unternehmen dazu zu bringen, nur PCI-konforme Zahlungsprozessoren zu verwenden.

Die Datensicherheit bei der Verarbeitung von Kreditkarten und Debitkarten am Point-of-Sale, z. B. an Kassen, Zapfsäulen und Geldautomaten, wird durch Schemata zum Entnehmen von Kartennummern und PINs zunehmend gefährdet. Viele dieser Schemata verwenden die geheime Platzierung von RFID-Chips (Radiofrequenz-Identifikationschips) durch Datendiebe an diesen Terminals, um solche Daten zu "überfliegen".

Die Sicherheitsfirma ADT ist ein Anbieter, der Anti-Skim-Software anbietet, die Warnungen auslöst, wenn solche Datenschutzverletzungen festgestellt werden. Zusätzlich kann ein Qualified Security Assessor (QSA) beauftragt werden, eine Umfrage zur Anfälligkeit eines Unternehmens für diese Art von Datensicherheitsverletzungen durchzuführen.

Datensicherheit hängt häufig von der physischen Sicherheit in Rechenzentren ab. Dazu muss sichergestellt werden, dass nicht autorisiertes Personal ferngehalten wird. Darüber hinaus darf autorisiertes Personal keine Server, Laptops, Flash-Laufwerke, Laufwerke, Bänder, Ausdrucke usw. entfernen, die vertrauliche Informationen von Unternehmensstandorten enthalten. In ähnlicher Weise sollten Kontrollen vorhanden sein, um sich vor der unbefugten Anzeige von sensiblen Informationen zu schützen, die bei der Erfüllung ihrer Pflichten nicht benötigt werden.

Zusätzlich zu Sicherheitsprotokollen und -verfahren in Ihrem Unternehmen müssen die Praktiken externer Anbieter von Datenverarbeitungs- und Übertragungsdiensten überprüft werden.Wenn zum Beispiel eine Drittfirma die Website Ihres Unternehmens hostet, müssen Sie sich über die Datensicherheitsverfahren Sorgen machen. Die SAS-70-Zertifizierung ist ein üblicher Standard für angemessene Sicherheitsverfahren in Bezug auf interne Netzwerke, die gemäß dem Sarbanes-Oxley Act für öffentlich gehaltene IT-Unternehmen erforderlich sind.

Die Verwendung von SSL-Protokollen ist der Standard für den sicheren Umgang mit sensiblen Daten, wie z. B. die Eingabe von Kreditkartennummern bei der Bezahlung von Transaktionen.

Best Practices für Netzwerksicherheit:

Wichtige Aspekte der Netzwerksicherheit, die sich auf die Datensicherheit auswirken, sind der Schutz vor Hackern und die Überflutung von Websites oder Netzwerken. Sowohl Ihre hauseigene IT-Gruppe als auch Ihr Internet Service Provider (ISP) müssen geeignete Gegenmaßnahmen ergreifen. Dies ist auch für Webhosting- und Zahlungsabwicklungsunternehmen von Belang. All diese externen Anbieter müssen nachweisen, welchen Schutz sie haben.

Auch hier sind die besten Praktiken, die die Datennetzwerke, Datenzentren und Datenmanagement Ihres eigenen Unternehmens charakterisieren, die gleichen, die Sie bestätigen sollten. Sie sind bei allen externen Anbietern von Datenverarbeitung, Zahlungsabwicklung, Netzwerk- und Website-Hosting-Diensten vorhanden. ..

Bevor Sie einen Vertrag mit einem Drittanbieter abschließen, sollten Sie sich vergewissern, dass die entsprechenden Mindestzertifizierungen von unabhängigen externen Stellen vorliegen (wie oben beschrieben) und Ihre eigene Due Diligence durchführen, die entweder von Ihrem eigenen IT-Personal durchgeführt wird. die entsprechenden Anmeldeinformationen oder von qualifizierten externen Beratern.

Als letzte Überlegung ist es möglich, eine Versicherung gegen die Kosten im Zusammenhang mit Datensicherheitsverletzungen zu erwerben. Zu diesen Kosten gehören die Geldbußen und Strafen, die von Kreditkartennetzen (wie Visa und MasterCard) für solche Ausfälle erhoben werden, sowie die Ausgaben, die sie den Kartenausstellern (hauptsächlich Banken, Kreditgenossenschaften und Wertpapierfirmen) für die Stornierung von Kredit- und Debitkarten auferlegen. , neue herausgeben und Kartenmitglieder aufgrund von Verstößen, die von Ihrem Unternehmen verursacht werden, zu Unkosten machen, die sie folglich versuchen werden, zurück zu Ihrem Unternehmen zu belasten.

Solche Versicherungen können manchmal von Zahlungsabwicklungsunternehmen angeboten werden und sind auch direkt bei Versicherungsunternehmen erhältlich. Das Kleingedruckte über solche Richtlinien kann detailliert sein, so dass der Kauf solcher Versicherungen sehr vorsichtig ist.

_{Hauptquelle: "Ausweichen von Datenpannen", Forbes , 18.07.2011.}