Un guide rapide pour les professionnels de la finance
La sécurité des données est un sujet de préoccupation majeur dans le secteur des services financiers, car elle est associée à d'énormes coûts financiers et de réputation potentiels. La cybercriminalité ciblant les entreprises financières est en hausse.
En conséquence, l'attention aux questions de sécurité des données devrait impliquer non seulement les membres du personnel de la technologie de l'information, mais aussi le personnel de gestion des risques et de conformité, ainsi que les membres des contrôleurs et des directeurs financiers. En outre, les professionnels de la gestion financière dans d'autres industries doivent être fondamentalement au courant des sujets liés à la sécurité des données, compte tenu des risques financiers.
La fréquence et le coût croissants des principales violations de la sécurité des données, qui affectent les banques, les entreprises d'investissement, les processeurs de paiement électronique, les réseaux de cartes de crédit, les détaillants et autres, en font un domaine dont l'importance est aujourd'hui quasi inexistante.
Problèmes de sécurité des données:
La sécurité des données pour les entreprises qui acceptent les paiements par cartes de crédit et cartes de débit implique une grande attention au choix des processeurs de paiement électronique. Il existe des centaines d'entreprises dans ce secteur d'activité, mais seul un sous-ensemble est classé PCI conforme par le Conseil des normes de sécurité de l'industrie des cartes de paiement. Les principaux émetteurs de cartes de crédit (Visa, MasterCard, etc.) tentent généralement d'inciter les entreprises à n'utiliser que des processeurs de paiement conformes à la norme PCI.
La sécurité des données concernant le traitement des cartes de crédit et des cartes de débit au point de vente, telles que les caisses enregistreuses, les pompes à essence et les guichets automatiques, est de plus en plus compromise et compliquée par des systèmes de vol de numéros de cartes. Beaucoup de ces systèmes utilisent le placement secret de puces RFID (puces d'identification radiofréquence) par des voleurs de données à ces terminaux pour "écrémer" de telles données. La société de sécurité ADT est un fournisseur qui propose un logiciel anti-Skim, qui déclenche des alertes lorsque des violations de données de ce type sont détectées.
En outre, un évaluateur de sécurité qualifié (QSA) peut être engagé pour mener une enquête sur la vulnérabilité d'une entreprise à ces types de violations de la sécurité des données.
La sécurité des données dépend souvent de la sécurité physique dans les centres de données. Cela implique de s'assurer que le personnel non autorisé est tenu à l'écart. De plus, le personnel autorisé ne peut pas être autorisé à retirer des serveurs, des ordinateurs portables, des lecteurs flash, des disques, des bandes, des impressions, etc., contenant des informations sensibles des sites de l'entreprise. De même, des contrôles devraient être mis en place pour empêcher le personnel non autorisé de visionner des informations sensibles dont il n'a pas besoin dans l'exercice de ses fonctions.
En plus des protocoles et des procédures de sécurité dans les locaux de votre entreprise, les pratiques des fournisseurs externes de services de traitement et de transmission de données doivent être examinées attentivement. Par exemple, si une entreprise tierce héberge le site Web de votre entreprise, vous devez vous préoccuper de ses procédures de sécurité des données. La certification SAS-70 est une norme commune pour les procédures de sécurité adéquates concernant les réseaux internes, exigée par la loi Sarbanes-Oxley pour les entreprises de technologie de l'information détenues par le secteur public. L'utilisation de protocoles SSL est la norme pour le traitement sécurisé des données sensibles en ligne, telles que la saisie des numéros de cartes de crédit en paiement des transactions.
Meilleures pratiques de sécurité réseau:
Les principaux aspects de la sécurité réseau qui ont un impact sur la sécurité des données sont les protections contre les pirates et l'inondation de sites Web ou de réseaux. Votre groupe de technologie de l'information interne et votre fournisseur de services Internet (ISP) doivent tous deux avoir mis en place des contre-mesures appropriées. C'est également un sujet de préoccupation concernant les sociétés d'hébergement et de traitement des paiements. Tous ces fournisseurs externes doivent démontrer quelles protections ils ont.
Encore une fois, les meilleures pratiques qui caractérisent les propres réseaux de données, centres de données et gestion de données de votre propre entreprise sont les mêmes que celles des fournisseurs de services de traitement de données, de traitement des paiements, de réseautage et d'hébergement de sites Web. Avant de conclure un contrat avec un fournisseur tiers, vous devez vous assurer qu'il possède les certifications minimales appropriées d'organismes externes indépendants (comme indiqué ci-dessus) et effectuer vos propres vérifications, menées par le personnel informatique de votre entreprise avec les informations d'identification appropriées ou par des consultants externes qualifiés.
En dernier lieu, il est possible d'acheter une assurance contre les coûts associés aux atteintes à la sécurité des données. Ces coûts comprennent les amendes et les pénalités imposées par les réseaux de cartes de crédit (tels que Visa et MasterCard) pour ces défaillances, ainsi que les frais imposés aux émetteurs de cartes (principalement les banques, les coopératives de crédit et les maisons de courtage) pour annuler les cartes de crédit et de débit. en émettant de nouveaux et en rendant les membres de la carte entiers en raison des violations causées par votre entreprise, les dépenses qu'ils tenteront ainsi de facturer à votre entreprise.
Une telle assurance peut parfois être offerte par les entreprises de traitement des paiements, et être disponible directement auprès des compagnies d'assurance. Les petits caractères sur ces polices peuvent être détaillés, donc l'achat d'une telle assurance nécessite beaucoup de soin.
Source principale: "Dodging Data Breaches", Forbes, 7/18/2011.