Maliyyə mütəxəssisləri üçün sürətli bir primer
Məlumat təhlükəsizliyi maliyyə xidmətləri sənayesində böyük narahatlıq doğurur, çünki böyük potensial maliyyə və reputasiya xərcləri ilə bağlıdır. Maliyyə şirkətlərini hədəfləyən kibercinayətkarlıq artmaqda davam edir.
Buna görə, məlumatların təhlükəsizliyi məsələlərinə diqqət yalnız informasiya texnologiyaları işçiləri deyil, həmçinin risklərin idarə edilməsi və uyğunluq personalı, habelə nəzarətçi təşkilatlarının üzvləri və baş maliyyə vəzifəlilərini əhatə etməlidir.
Bundan başqa, digər sənaye sahələrində maliyyə menecmenti mütəxəssisləri əsasən maliyyə təhlükələrinə baxmayaraq məlumat təhlükəsizliyi mövzusu ilə əlaqəli olmalıdırlar.
Banklara, investisiya şirkətlərinə, elektron ödəniş prosessorlarına, kredit kartı şəbəkələrinə, pərakəndə ticarətçilərə və başqalarına təsir göstərən əsas məlumat təhlükəsizliyi pozuntularının artması tezliyi və xərcləri bu əhəmiyyəti bu günləri qiymətləndirmək üçün demək olar ki, mümkün deyildir.
Məlumat Təhlükəsizliyi Məsələləri:
Kredit kartları və debet kartları vasitəsilə ödəniş qəbul edən şirkətlər üçün məlumat təhlükəsizliyi elektron ödəmə prosessorlarının seçilməsi ilə əlaqədar çox vacib məsələlərdən ibarətdir. Bu iş xəttində yüzlərlə şirkət var, lakin yalnız bir altlıq Ödəmə Kartı Sənayesi Təhlükəsizliyi Standart Şurası tərəfindən PCI uyğun gəlir. Əsas kredit kartı emitentləri (Visa, MasterCard və s.) Adətən şirkətləri yalnız PCI uyğun ödəniş prosessorlarını istifadə etməyə yönəltməyə çalışırlar.
Satış nöqtəsi ilə bağlı məlumat təhlükəsizliyi, kassa aparatında, qaz pompalarında və bankomatlarda olduğu kimi, bank kartı emalının getdikcə daha çox təhlükə altına düşdüyünü və kart nömrələrini və pinlərini oğurlamaq üçün sxemlər vasitəsilə çətinləşdirir. Bu sxemlərdən bir çoxu RFID çiplərinin (radio frekansının identifikasiyası çiplərinin) bu terminallarda məlumat oğruları tərəfindən gizli şəkildə yerləşdirilməsindən istifadə edirlər.
Təhlükəsizlik şirkəti ADT, bu cür məlumat pozuntuları aşkar edildikdə xəbərdarlıqları tetikleyen Anti-Skim proqram təmin edən bir satıcıdır. Əlavə olaraq, Qualified Security Assessor (QSA) bu növ məlumat təhlükəsizliyi pozuntularına şirkətin həssaslığını araşdırmaq üçün məşğul ola bilər.
Data təhlükəsizliyi məlumat mərkəzlərində fiziki təhlükəsizliyə bağlıdır. Bu, icazəsiz işçilərin saxlanılmasını təmin etməkdir. Əlavə olaraq səlahiyyətli şəxslərə şirkət mövqelərindən həssas məlumatlar olan serverləri, noutbukları, flash sürücüləri, diskləri, lentləri, çapları və s. Eynilə, icazələrin verilməməsi üçün zəruri olmayan həssas məlumatların izlənilməsinə qarşı nəzarət etmək lazımdır.
Sizin şirkətinizin binalarına dair təhlükəsizlik protokollarına və prosedurlarına əlavə olaraq, məlumatların emalı və ötürülməsi xidmətlərinin kənar satıcılarının təcrübələri araşdırılmalıdır. Məsələn, üçüncü tərəf firma şirkətinizin veb saytını yerləşdirirsə, onun məlumat təhlükəsizliyi prosedurlarından narahat olmalısınız. SAS-70 sertifikatı ictimai informasiya texnologiyaları şirkətləri üçün Sarbanes-Oxley Aktı tərəfindən tələb olunan daxili şəbəkələrlə əlaqədar müvafiq təhlükəsizlik prosedurları üçün ümumi standartdır.
SSL protokollarından istifadə əməliyyatlar üçün ödənişdə kredit kartı nömrələrinin daxil edilməsi kimi həssas məlumatları təhlükəsiz onlayn rejimdə idarə etmək üçün standartdır.
Şəbəkə Təhlükəsizliyi Yaxşı Tətbiqlər:
Məlumat təhlükəsizliyinə təsir göstərən şəbəkə təhlükəsizliyinin əsas aspektləri hakerlərə və veb saytların və ya şəbəkələrin daşqınlarına qarşı qorunur. Həm daxili informasiya texnologiyaları qrupu, həm də İnternet xidmət provayderiniz (ISP) müvafiq tədbirlər görməlidirlər. Bu, veb hosting və ödəniş emalı şirkətləri ilə bağlı narahatlıq doğurur. Bütün bu kənar satıcılar hansı qorunmaları göstərməlidirlər.
Yenə də, öz şirkətinizin öz məlumat şəbəkələrini, məlumat mərkəzlərini və məlumatların idarə olunmasını xarakterizə edən ən yaxşı təcrübələr, məlumatların emalı, ödənişlərin emalı, şəbəkə və veb saytın barındırma xidmətlərinin xaricindəki satıcıların hamısında təsdiq edilməlidir.
Üçüncü tərəf provayderlə hər hansı bir müqavilə bağlamadan əvvəl, müstəqil kənar qurumlardan (yuxarıda göstərildiyi kimi) müvafiq minimum sertifikatlara sahib olduğunuzu və şirkətinizin öz informasiya texnologiyaları işçiləri tərəfindən müvafiq etimadnamələrlə rəhbər tutduğunuz öz səylərini aparmaq və ya ixtisaslı ixtisaslı məsləhətçilər tərəfindən həyata keçirilir.
Son baxımdan, məlumat təhlükəsizliyi pozuntuları ilə bağlı xərclərdən sığorta almaq mümkündür. Belə xərclər kredit kartı şəbəkələri (Visa və MasterCard kimi) bu cür uğursuzluqlar, həmçinin kredit və debet kartlarını ləğv etmək üçün kart emitentləri (əsasən banklar, kredit ittifaqları və qiymətli kağızlar firmalarına) tətbiq etdiyi xərcləri yeni şirkətlərin verilməsi və şirkətinizin gətirdiyi pozuntulara görə kart sahiblərini bütünlüklə vermək, beləliklə şirkətinizə geri qaytarıla biləcək xərclər.
Bu sığorta, bəzən ödəmə işləyən firmalar tərəfindən təklif edilə bilər, həm də sığorta şirkətlərindən birbaşa mövcuddur. Bu cür siyasətlər üzrə gözəl çap ətraflı ola bilər, belə ki, bu cür satın alınması çox vacibdir.
Müəllif mənbəyi: "Verilən məlumatların pozulması", Forbes , 7/18/2011.