Cara Mencegah Pelanggaran Data dengan Keamanan Data

Keamanan data adalah masalah utama yang menjadi perhatian dalam industri jasa keuangan karena terkait dengan potensi besar biaya finansial dan reputasi. Cybercrime menargetkan perusahaan keuangan terus meningkat.

Dengan demikian, perhatian pada masalah keamanan data harus melibatkan tidak hanya anggota staf teknologi informasi, tetapi juga manajemen risiko dan personil kepatuhan, serta anggota organisasi pengontrol dan kepala petugas keuangan. Selain itu, para profesional manajemen keuangan di industri lain pada dasarnya harus fasih dengan topik-topik dalam keamanan data, mengingat paparan keuangan.

Meningkatnya frekuensi dan biaya pelanggaran keamanan data utama, yang memengaruhi bank, perusahaan investasi, pemroses pembayaran elektronik, jaringan kartu kredit, pedagang eceran, dan lainnya, menjadikan ini area yang kepentingannya hampir mustahil untuk diremehkan belakangan ini.

Masalah Keamanan Data:

Keamanan data untuk perusahaan yang menerima pembayaran melalui kartu kredit dan kartu debit melibatkan sangat berhati-hati mengenai pilihan prosesor pembayaran elektronik. Ada ratusan perusahaan di lini bisnis ini, tetapi hanya sebagian yang diberi peringkat PCI Compliant oleh Dewan Standar Keamanan Industri Kartu Pembayaran. Penerbit kartu kredit utama (Visa, MasterCard, dll.) Biasanya berupaya mengarahkan perusahaan agar hanya menggunakan prosesor pembayaran yang sesuai dengan PCI.

Keamanan data mengenai kartu kredit point of sale dan pemrosesan kartu debit, seperti di mesin kasir, pompa bensin dan ATM, semakin dikompromikan dan dipersulit oleh skema untuk mencuri nomor kartu dan PIN. Banyak dari skema ini menggunakan penempatan rahasia chip RFID (chip identifikasi frekuensi radio) oleh pencuri data di terminal ini untuk "membaca sekilas" data tersebut. Perusahaan keamanan ADT adalah vendor yang menawarkan perangkat lunak Anti-Skim, yang memicu peringatan ketika terdeteksi adanya pelanggaran data jenis ini.

Selain itu, Penilai Keamanan Berkualifikasi (QSA) dapat dilibatkan untuk melakukan survei kerentanan perusahaan terhadap jenis pelanggaran keamanan data ini.

Keamanan data seringkali tergantung pada keamanan fisik di pusat data. Ini melibatkan memastikan bahwa personel yang tidak berwenang dihalangi. Selain itu, personel yang berwenang tidak diizinkan untuk menghapus server, laptop, flash drive, disk, kaset, cetakan, dll., Yang mengandung informasi sensitif dari lokasi perusahaan. Demikian pula, kontrol harus dilakukan untuk menjaga agar personil tidak melihat informasi sensitif yang tidak diperlukan dalam pelaksanaan tugas mereka.

Selain protokol dan prosedur keamanan di lokasi perusahaan Anda, praktik vendor luar layanan pemrosesan dan transmisi data harus diteliti dengan cermat. Misalnya, jika perusahaan pihak ketiga meng-host situs web perusahaan Anda, Anda harus khawatir tentang prosedur keamanan datanya. Sertifikasi SAS-70 adalah standar umum untuk prosedur keamanan yang memadai mengenai jaringan internal, yang disyaratkan oleh Sarbanes-Oxley Act untuk perusahaan teknologi informasi yang dimiliki publik. Penggunaan protokol SSL adalah standar untuk menangani data sensitif secara online, seperti input nomor kartu kredit dalam pembayaran untuk transaksi.

Praktik Terbaik Keamanan Jaringan:

Aspek kunci dari keamanan jaringan yang berdampak pada keamanan data adalah perlindungan terhadap peretas dan membanjirnya situs web atau jaringan. Grup teknologi informasi in-house Anda dan penyedia layanan Internet (ISP) Anda harus memiliki tindakan pencegahan yang sesuai. Ini juga merupakan masalah yang mengkhawatirkan tentang hosting web dan perusahaan pemrosesan pembayaran. Semua vendor luar ini harus menunjukkan perlindungan apa yang mereka miliki.

Sekali lagi, praktik terbaik yang menjadi ciri jaringan data, pusat data, dan manajemen data perusahaan Anda sendiri adalah yang sama dengan yang harus Anda konfirmasi ada di semua vendor luar dari pemrosesan data, pemrosesan pembayaran, jaringan dan layanan hosting situs web. Sebelum menandatangani kontrak apa pun dengan penyedia pihak ketiga, Anda harus memastikan bahwa ia memiliki sertifikasi minimum yang sesuai dari badan luar independen (sebagaimana diuraikan di atas) dan melakukan uji tuntas Anda sendiri, dipimpin oleh personel teknologi informasi perusahaan Anda sendiri dengan kredensial yang sesuai. atau oleh konsultan luar yang berkualifikasi.

Sebagai pertimbangan terakhir, dimungkinkan untuk membeli asuransi terhadap biaya yang terkait dengan pelanggaran keamanan data. Biaya tersebut termasuk denda dan penalti yang dikenakan oleh jaringan kartu kredit (seperti Visa dan MasterCard) untuk kegagalan tersebut, serta biaya yang dikenakan pada penerbit kartu (terutama bank, serikat kredit dan perusahaan sekuritas) untuk membatalkan kartu kredit dan debit, mengeluarkan yang baru dan membuat kartu anggota secara keseluruhan karena pelanggaran yang disebabkan oleh perusahaan Anda, biaya yang dengan demikian mereka akan coba kembalikan ke perusahaan Anda.

Asuransi semacam itu kadang-kadang dapat ditawarkan oleh perusahaan pemrosesan pembayaran, dan juga tersedia dari perusahaan asuransi secara langsung. Cetak halus pada kebijakan semacam itu dapat dirinci, sehingga membeli asuransi semacam itu membutuhkan perhatian besar.

_{Sumber utama: "Menghindari Pelanggaran Data," Forbes, 7/18/2011.}