Primer Cepat untuk Profesional Keuangan
Keamanan data adalah masalah utama yang menjadi perhatian di industri jasa keuangan karena terkait dengan potensi biaya keuangan dan reputasi yang besar. Kejahatan cyber menargetkan perusahaan keuangan sedang meningkat.
Dengan demikian, perhatian terhadap masalah keamanan data harus melibatkan tidak hanya anggota staf teknologi informasi , tetapi juga manajemen risiko dan personel kepatuhan , serta anggota organisasi pengawas dan petugas keuangan kepala.
Selain itu, profesional manajemen keuangan di industri lain harus pada dasarnya mahir dengan topik dalam keamanan data, mengingat eksposur keuangan.
Meningkatnya frekuensi dan biaya pelanggaran keamanan data utama, yang mempengaruhi bank, perusahaan investasi, prosesor pembayaran elektronik, jaringan kartu kredit, pedagang eceran, dan lainnya, menjadikan hal ini sebagai bidang yang sangat sulit untuk diremehkan akhir-akhir ini.
Masalah Keamanan Data:
Keamanan data untuk perusahaan yang menerima pembayaran melalui kartu kredit dan kartu debit melibatkan banyak perhatian terkait pilihan prosesor pembayaran elektronik. Ada ratusan perusahaan dalam lini bisnis ini, tetapi hanya subset yang dinilai PCI Compliant oleh Dewan Standar Keamanan Industri Kartu Pembayaran. Penerbit kartu kredit utama (Visa, MasterCard, dll.) Biasanya berusaha untuk mengarahkan perusahaan agar hanya menggunakan prosesor pembayaran yang sesuai dengan PCI.
Keamanan data mengenai point of sale kartu kredit dan pemrosesan kartu debit, seperti di kasir, pompa bensin dan ATM, semakin dikompromikan dan dipersulit oleh skema untuk mencuri nomor kartu dan PIN. Banyak dari skema ini memanfaatkan penempatan rahasia chip RFID (chip identifikasi frekuensi radio) oleh pencuri data di terminal ini untuk "skim" data tersebut.
Perusahaan keamanan ADT adalah vendor yang menawarkan perangkat lunak Anti-Skim, yang memicu peringatan ketika pelanggaran data semacam ini terdeteksi. Selain itu, Qualified Security Assessor (QSA) dapat dilibatkan untuk melakukan survei terhadap kerentanan perusahaan terhadap jenis pelanggaran keamanan data ini.
Keamanan data sering bergantung pada keamanan fisik di pusat data. Ini melibatkan memastikan bahwa personel yang tidak sah tidak diikutkan. Selain itu, personel yang berwenang tidak dapat diizinkan untuk menghapus server, laptop, flash drive, disk, kaset, cetakan, dll., Yang berisi informasi sensitif dari lokasi perusahaan. Demikian pula, kontrol harus dilakukan untuk menjaga terhadap pandangan personel yang tidak sah dari informasi sensitif yang tidak diperlukan dalam pelaksanaan tugasnya.
Selain protokol dan prosedur keamanan di tempat perusahaan Anda, praktik vendor luar layanan pemrosesan dan transmisi data harus diteliti. Misalnya, jika perusahaan pihak ketiga menghosting situs web perusahaan Anda, Anda harus memperhatikan prosedur keamanan datanya. Sertifikasi SAS-70 adalah standar umum untuk prosedur keamanan yang memadai mengenai jaringan internal, yang diperlukan oleh Sarbanes-Oxley Act untuk perusahaan teknologi informasi yang dimiliki publik.
Penggunaan protokol SSL adalah standar untuk menangani data sensitif secara aman online, seperti input nomor kartu kredit dalam pembayaran untuk transaksi.
Praktik Terbaik Keamanan Jaringan:
Aspek kunci dari keamanan jaringan yang berdampak pada keamanan data adalah perlindungan terhadap peretas dan banjir situs web atau jaringan. Baik kelompok teknologi informasi in-house Anda dan penyedia layanan Internet (ISP) Anda harus memiliki tindakan penanggulangan yang tepat. Ini juga merupakan masalah yang berkaitan dengan web hosting dan perusahaan pemrosesan pembayaran. Semua vendor luar ini harus menunjukkan perlindungan apa yang mereka miliki.
Sekali lagi, praktik terbaik yang menjadi ciri jaringan data perusahaan Anda sendiri, pusat data, dan manajemen data adalah hal yang sama yang harus Anda konfirmasikan di tempat di semua vendor luar pemrosesan data, pemrosesan pembayaran, jaringan dan layanan hosting situs web.
Sebelum menandatangani kontrak apa pun dengan penyedia pihak ketiga, Anda harus memastikan bahwa ia memiliki sertifikasi minimum yang sesuai dari badan luar yang independen (sebagaimana diuraikan di atas) dan melakukan uji tuntas Anda sendiri, yang dipimpin oleh personel teknologi informasi perusahaan Anda sendiri dengan kredensial yang sesuai atau oleh konsultan luar yang berkualitas.
Sebagai pertimbangan terakhir, adalah mungkin untuk membeli asuransi terhadap biaya yang terkait dengan pelanggaran keamanan data. Biaya tersebut termasuk denda dan denda yang dipungut oleh jaringan kartu kredit (seperti Visa dan MasterCard) untuk kegagalan seperti itu, serta pengeluaran yang mereka bebankan pada penerbit kartu (terutama bank, credit union dan perusahaan sekuritas) untuk membatalkan kartu kredit dan debit , mengeluarkan yang baru dan membuat anggota kartu utuh karena pelanggaran yang disebabkan oleh perusahaan Anda, biaya yang mereka akan coba kembalikan ke perusahaan Anda.
Asuransi semacam itu kadang-kadang dapat ditawarkan oleh perusahaan pemrosesan pembayaran, dan juga tersedia langsung dari perusahaan asuransi. Cetak halus pada kebijakan tersebut dapat dirinci, jadi membeli asuransi semacam itu membutuhkan banyak perhatian.
Sumber utama: "Menghindari Pelanggaran Data," Forbes , 7/18/2011.