Como prevenir transgressões de dados com segurança de dados

A segurança de dados é uma questão importante de preocupação no setor de serviços financeiros porque está associada a grandes custos financeiros e de reputação. A cibercriminalidade dirigida a empresas financeiras está em ascensão.

Por conseguinte, a atenção aos assuntos de segurança de dados deve envolver não só membros da equipe de tecnologia da informação, mas também pessoal de gerenciamento de riscos e conformidade, bem como membros de organizações controladoras e diretores financeiros.

Além disso, os profissionais de gestão financeira de outras indústrias precisam estar basicamente familiarizados com temas de segurança de dados, tendo em vista as exposições financeiras.

A crescente freqüência e custo das principais falhas de segurança de dados, que afetam bancos, empresas de investimento, processadores de pagamento eletrônico, redes de cartões de crédito, comerciantes de varejo e outros, torna esta área cuja importância é praticamente impossível subestimar estes dias.

Problemas de segurança de dados:

A segurança de dados para as empresas que aceitam o pagamento através de cartões de crédito e cartões de débito envolve uma grande atenção quanto à escolha dos processadores de pagamento eletrônico. Existem centenas de empresas nesta linha de negócios, mas apenas um subconjunto são classificados como compatíveis com PCI pelo Conselho de Padrões de Segurança da Indústria de Cartão de Pagamento. Os principais emissores de cartões de crédito (Visa, MasterCard, etc.) tipicamente tentam orientar as empresas para usar apenas processadores de pagamento compatíveis com PCI.

A segurança de dados em relação ao processamento de cartão de crédito e débito do ponto de venda, como em caixas registradoras, bombas de gás e caixas eletrônicos, está cada vez mais comprometida e complicada por esquemas para roubar números de cartões e PINs. Muitos desses esquemas utilizam a colocação secreta de chips de RFID (chips de identificação de radiofreqüência) por ladrões de dados nesses terminais para "esconder" esses dados.

A empresa de segurança ADT é um fornecedor que oferece o software Anti-Skim, que desencadeia alertas quando as falhas de dados desse tipo são detectadas. Além disso, um avaliador de segurança qualificado (QSA) pode ser contratado para realizar um levantamento da susceptibilidade de uma empresa a esses tipos de violação de segurança de dados.

A segurança de dados geralmente depende da segurança física nos data centers. Isso envolve garantir que o pessoal não autorizado seja mantido fora. Além disso, o pessoal autorizado não pode ser autorizado a remover servidores, laptops, unidades flash, discos, fitas, impressões, etc., contendo informações confidenciais dos locais da empresa. Da mesma forma, os controles devem estar no lugar para evitar a exibição de informações confidenciais por parte do pessoal não autorizado que não são necessárias no exercício de suas funções.

Além dos protocolos e procedimentos de segurança nas instalações da sua empresa, as práticas dos fornecedores externos de serviços de processamento e transmissão de dados devem ser examinadas.Por exemplo, se uma empresa de terceiros hospeda o site da sua empresa, você deve se preocupar com seus procedimentos de segurança de dados. A certificação SAS-70 é um padrão comum para procedimentos de segurança adequados em relação às redes internas, exigido pela Lei Sarbanes-Oxley para empresas de tecnologia da informação detidas publicamente.

O uso de protocolos SSL é o padrão para lidar com dados confidenciais de forma segura, como a entrada de números de cartão de crédito no pagamento de transações.

Práticas recomendadas de segurança de rede:

Os aspectos-chave da segurança da rede que têm impacto na segurança de dados são proteções contra hackers e inundações de sites ou redes. Tanto o seu grupo de tecnologia da informação interna como o seu fornecedor de serviços de Internet (ISP) devem ter contramedidas adequadas. Isso também é motivo de preocupação em relação às empresas de hospedagem na web e de processamento de pagamentos. Todos esses fornecedores externos devem demonstrar quais as proteções que eles possuem.

Mais uma vez, as melhores práticas que caracterizam as próprias redes de dados, data centers e gerenciamento de dados de sua própria empresa são as mesmas que você deve confirmar estão em vigor em todos os fornecedores externos de processamento de dados, processamento de pagamentos, rede e serviços de hospedagem de sites .

Antes de entrar em qualquer contrato com um terceiro fornecedor, você deve verificar se possui as certificações mínimas apropriadas de órgãos externos independentes (conforme descrito acima) e conduzir sua própria diligência, liderada pelo próprio pessoal de tecnologia da informação da sua empresa com as credenciais apropriadas ou por consultores externos qualificados.

Como uma consideração final, é possível comprar um seguro contra os custos associados às violações da segurança dos dados. Tais custos incluem as multas e multas cobradas pelas redes de cartões de crédito (como Visa e MasterCard) por tais falhas, bem como as despesas que impõem aos emissores de cartões (principalmente bancos, cooperativas de crédito e empresas de valores mobiliários) para cancelar cartões de crédito e débito , emitindo novos e tornando os membros do cartão inteiro devido a violações causadas por sua empresa, despesas que assim tentarão cobrar de volta para sua empresa.

Esse seguro às vezes pode ser oferecido por empresas de processamento de pagamento, além de estar disponível diretamente das companhias de seguros. A impressão fina em tais políticas pode ser detalhada, portanto, comprar esse seguro requer muito cuidado.

_{Fonte principal: "Esquivando Violações de Dados", Forbes , 7/18/2011.}