Una guía rápida para profesionales financieros
La seguridad de los datos es un tema de gran preocupación en la industria de los servicios financieros porque está asociada a enormes costos financieros y de reputación potenciales. El cibercrimen dirigido a las empresas financieras va en aumento.
En consecuencia, la atención a los asuntos de seguridad de datos debe involucrar no solo a los miembros del personal de tecnología de la información , sino también al personal de gestión de riesgos y cumplimiento , así como a los miembros de las organizaciones controladoras y los directores financieros.
Además, los profesionales de la gestión financiera en otras industrias deben estar básicamente familiarizados con los temas de seguridad de los datos, dadas las exposiciones financieras.
La frecuencia y el costo cada vez mayores de las infracciones de seguridad de datos importantes, que afectan a bancos, empresas de inversión, procesadores de pagos electrónicos, redes de tarjetas de crédito, comercios minoristas y otros, hacen de este un área cuya importancia es prácticamente imposible de subestimar en estos días.
Problemas de seguridad de datos:
La seguridad de los datos para las empresas que aceptan pagos con tarjetas de crédito y tarjetas de débito implica tener mucho cuidado con la elección de los procesadores de pagos electrónicos. Hay cientos de empresas en esta línea de negocio, pero solo un subconjunto está calificado como compatible con PCI por el Consejo Estándar de Seguridad de la Industria de Tarjetas de Pago. Los principales emisores de tarjetas de crédito (Visa, MasterCard, etc.) suelen intentar orientar a las empresas hacia el uso exclusivo de procesadores de pagos compatibles con PCI.
La seguridad de los datos con respecto al procesamiento de tarjetas de crédito y tarjetas de débito en el punto de venta, como cajas registradoras, bombas de gasolina y cajeros automáticos, se ve cada vez más comprometida y complicada por los esquemas para robar números de tarjetas y PIN. Muchos de estos esquemas utilizan la colocación secreta de chips RFID (chips de identificación de radiofrecuencia) por los ladrones de datos en estos terminales para "rozar" esos datos.
La compañía de seguridad ADT es un proveedor que ofrece software Anti-Skim, que activa alertas cuando se detectan violaciones de datos de este tipo. Además, se puede contratar un Asesor de seguridad calificado (QSA) para realizar una encuesta de la susceptibilidad de una empresa a este tipo de infracciones de seguridad de datos.
La seguridad de los datos a menudo depende de la seguridad física en los centros de datos. Esto implica asegurarse de que no se mantenga al personal no autorizado. Además, no se le puede permitir al personal autorizado eliminar servidores, computadoras portátiles, unidades de memoria flash, discos, cintas, impresiones, etc., que contengan información confidencial de las ubicaciones de la compañía. Del mismo modo, deben existir controles para evitar que personas no autorizadas vean información sensible que no es necesaria en el desempeño de sus funciones.
Además de los protocolos y procedimientos de seguridad en las instalaciones de su empresa, las prácticas de los proveedores externos de servicios de transmisión y procesamiento de datos deben ser analizadas minuciosamente. Por ejemplo, si una empresa externa aloja el sitio web de su compañía, debe estar preocupado por sus procedimientos de seguridad de datos. La certificación SAS-70 es un estándar común para los procedimientos de seguridad adecuados con respecto a las redes internas, requerido por la Ley Sarbanes-Oxley para las empresas de tecnología de la información que cotizan en bolsa.
El uso de protocolos SSL es el estándar para el manejo seguro de datos confidenciales en línea, como la entrada de números de tarjetas de crédito en el pago de las transacciones.
Mejores prácticas de seguridad de red:
Los aspectos clave de la seguridad de la red que tienen un impacto en la seguridad de los datos son las protecciones contra los piratas informáticos y la inundación de sitios web o redes. Tanto su grupo de tecnología de la información interno como su proveedor de servicios de Internet (ISP) deben contar con las contramedidas apropiadas. Esto también es motivo de preocupación con respecto al alojamiento web y las empresas de procesamiento de pagos. Todos estos vendedores externos deben demostrar qué protecciones tienen.
Una vez más, las mejores prácticas que caracterizan las redes de datos, los centros de datos y la administración de datos de su propia compañía son los mismos que debe confirmar que existen en todos los proveedores externos de procesamiento de datos, procesamiento de pagos, redes y servicios de alojamiento de sitios web.
Antes de celebrar un contrato con un proveedor externo, debe asegurarse de que cuenta con las certificaciones mínimas adecuadas de entidades externas independientes (como se describe anteriormente) y realizar su propia diligencia debida, dirigido por el personal de tecnología de la información de su compañía con las credenciales apropiadas o por consultores externos calificados.
Como consideración final, es posible comprar un seguro contra los costos asociados con las infracciones de seguridad de datos. Dichos costos incluyen las multas y sanciones impuestas por las redes de tarjetas de crédito (tales como Visa y MasterCard) por tales fallas, así como los gastos que imponen a los emisores de tarjetas (principalmente bancos, cooperativas de crédito y firmas de valores) para cancelar tarjetas de crédito y débito , emite nuevos y hace que los miembros de la tarjeta sean completos debido a infracciones causadas por su empresa, gastos que, de este modo, intentarán cobrar a su empresa.
Dicho seguro a veces puede ser ofrecido por empresas de procesamiento de pagos, además de estar disponible de las compañías de seguros directamente. La letra pequeña de tales políticas puede detallarse, por lo que comprar dicho seguro requiere una gran cantidad de cuidado.
Fuente principal: "Esquivar infracciones de datos", Forbes , 18/7/2011.