Cómo prevenir violaciones de datos con la seguridad de datos

La seguridad de los datos es un tema importante de preocupación en la industria de servicios financieros porque está asociado con enormes costos financieros y de reputación. La ciberdelincuencia dirigida a las empresas financieras está en aumento.

En consecuencia, la atención a los asuntos de seguridad de datos debe involucrar no solo a los miembros del personal de tecnología de la información, sino también al personal de gestión de riesgos y cumplimiento, así como a los miembros de las organizaciones controladoras y los directores financieros. Además, los profesionales de la gestión financiera en otras industrias deben estar familiarizados con los temas de seguridad de datos, dadas las exposiciones financieras.

La frecuencia y el costo cada vez mayores de las principales violaciones de la seguridad de los datos, que afectan a bancos, empresas de inversión, procesadores de pagos electrónicos, redes de tarjetas de crédito, comerciantes minoristas y otros, hacen de este un área cuya importancia es prácticamente imposible de subestimar en estos días.

Cuestiones de seguridad de datos:

La seguridad de los datos para las empresas que aceptan pagos mediante tarjetas de crédito y débito implica prestar mucha atención a la elección de los procesadores de pagos electrónicos. Hay cientos de compañías en esta línea de negocios, pero solo un subconjunto tiene la calificación de Cumplimiento de PCI por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago. Los principales emisores de tarjetas de crédito (Visa, MasterCard, etc.) generalmente intentan dirigir a las compañías hacia el uso de procesadores de pagos que solo cumplen con PCI.

La seguridad de los datos con respecto al procesamiento de tarjetas de crédito y tarjetas de débito en el punto de venta, como en cajas registradoras, gasolineras y cajeros automáticos, se ve cada vez más comprometida y complicada por los esquemas para robar números de tarjeta y PIN. Muchos de estos esquemas utilizan la ubicación secreta de los chips RFID (chips de identificación de radiofrecuencia) por parte de los ladrones de datos en estos terminales para "escatimar" dichos datos. La empresa de seguridad ADT es un proveedor que ofrece software Anti-Skim, que activa alertas cuando se detectan violaciones de datos de este tipo.

Además, se puede contratar a un Asesor de seguridad calificado (QSA) para realizar una encuesta sobre la susceptibilidad de una empresa a este tipo de violaciones de seguridad de datos.

La seguridad de los datos a menudo depende de la seguridad física en los centros de datos. Esto implica asegurarse de que el personal no autorizado se mantenga alejado. Además, el personal autorizado no puede quitar servidores, computadoras portátiles, unidades flash, discos, cintas, impresiones, etc. que contengan información confidencial de las ubicaciones de la compañía. De manera similar, se deben implementar controles para evitar que el personal no autorizado vea información sensible que no es necesaria en el desempeño de sus funciones.

Además de los protocolos y procedimientos de seguridad en las instalaciones de su empresa, se deben analizar las prácticas de los proveedores externos de procesamiento de datos y servicios de transmisión. Por ejemplo, si una empresa de terceros aloja el sitio web de su empresa, debe preocuparse por sus procedimientos de seguridad de datos. La certificación SAS-70 es un estándar común para los procedimientos de seguridad adecuados con respecto a las redes internas, exigido por la Ley Sarbanes-Oxley para las empresas públicas de tecnología de la información. El uso de los protocolos SSL es el estándar para el manejo seguro de datos confidenciales en línea, como la introducción de números de tarjetas de crédito en el pago de transacciones.

Mejores prácticas de seguridad de red:

Los aspectos clave de la seguridad de la red que tienen un impacto en la seguridad de los datos son las protecciones contra hackers y la inundación de sitios web o redes. Tanto su grupo interno de tecnología de la información como su proveedor de servicios de Internet (ISP) deben contar con las medidas adecuadas. Esto también es motivo de preocupación con respecto al alojamiento web y las compañías de procesamiento de pagos. Todos estos proveedores externos deben demostrar qué protecciones tienen.

Una vez más, las mejores prácticas que caracterizan las redes de datos, los centros de datos y la gestión de datos de su propia empresa son las mismas que debe confirmar que existen en todos los proveedores externos de procesamiento de datos, procesamiento de pagos, redes y servicios de alojamiento de sitios web. Antes de firmar un contrato con un proveedor externo, debe asegurarse de que cuenta con las certificaciones mínimas adecuadas de organismos externos independientes (como se describe anteriormente) y realizar su propia diligencia debida, ya sea por el propio personal de tecnología de la información de su empresa con las credenciales adecuadas. o por consultores externos calificados.

Como consideración final, es posible comprar un seguro contra los costos asociados con las violaciones de seguridad de datos. Dichos costos incluyen las multas y sanciones impuestas por las redes de tarjetas de crédito (como Visa y MasterCard) por tales fallas, así como los gastos que imponen a los emisores de tarjetas (principalmente bancos, cooperativas de crédito y firmas de valores) por cancelar tarjetas de crédito y débito., emitir nuevos y hacer que los miembros de la tarjeta sean íntegros debido a las infracciones causadas por su empresa, los gastos que intentarán cobrar a su empresa.

Este tipo de seguro a veces puede ser ofrecido por firmas de procesamiento de pagos, además de estar disponible directamente de las compañías de seguros. La letra pequeña de estas pólizas se puede detallar, por lo que comprar un seguro requiere una gran cantidad de cuidado.

_{Fuente principal: "Esquivando violaciones de datos" Forbes, 7/18/2011.}