لا ينبغي أن يكون مفاجئا أن تكون شركات الخدمات المالية أهدافا رئيسية لانتهاكات الأمان عبر الإنترنت. في النصف الأول من عام 2019 ، كانت هذه هي أكبر ثماني صناعات أبلغت عن خروقات البيانات ، وفقا ل CSHub.com:
1. الرعاية الصحية
2. البيع بالتجزئة
3. التمويل والتأمين
4. الجهات الحكومية
5. المعلومات (جمع البيانات وتوزيعها)
ومن المثير للاهتمام ، أن مؤلفي مقال CSHub يقترحون أن أحد أسباب استمرار الرعاية الصحية في تصدر قائمة البيانات المخترقة هو الامتثال الصارم وإرشادات الإبلاغ. مثل الشركات في القطاع المالي ، تلتزم عمليات الرعاية الصحية بالقواعد التي تتطلب منها إخطار المستهلكين عند اختراق البيانات. قد لا تجعل الشركات الأخرى ذات المعايير الأكثر مرونة انتهاكات البيانات معروفة للجمهور.
في مجال البيع بالتجزئة ، نرى تداخلا بين خروقات البيانات بين شركات البيع بالتجزئة / التجارة والقطاع المالي - مرة أخرى ، في أي مكان يتغير فيه المال ، ستجد تهديدات أمنية. تعد أنظمة التمرير السريع ونقاط البيع أهدافا مفضلة لمجرمي الإنترنت ، خاصة في محطات الوقود وأجهزة الصراف الآلي ، وفقا ل CSHub.
على الرغم من كونها من أوائل المتبنين للكشف عن الاحتيال ومنعه ، فضلا عن وجود بعض من أعلى المعايير في مجال الأمن عبر الإنترنت ، لا تزال البنوك والشركات المالية وشركات التأمين أهدافا مفضلة للجرائم الإلكترونية لأسباب واضحة. يذهب المجرمون إلى حيث يوجد المال.
درست Verizon "الحوادث" و "الانتهاكات" الأمنية ، حيث يتم تعريف الحوادث على أنها أي نوع من الاضطرابات الأمنية ، والخروقات هي تسريبات بيانات محددة (لذلك ، جميع الخروقات هي حوادث ولكن ليست كل الحوادث خروقات). ووجدوا أن الصناعة المالية لديها أكبر عدد من الخروقات في عام واحد ، في جميع الصناعات ، وأبلغت الشركات الصغيرة عن أكبر عدد من الانتهاكات لأنها "ليست مجهزة جيدا لتحييد مثل هذه الاختراقات الأمنية مثل الشركات الكبيرة" ، وفقا لتقرير حكومي.
هذا هو السبب في أن المزيد من الشركات الصغيرة والمتوسطة الحجم تشارك مع مزودي النظام الأساسي كخدمة تابعين لجهات خارجية مثلنا ، في Empaxis. نظرا لأن منصة إدارة الأصول الجاهزة الخاصة بنا تتكامل مع مجموعة واسعة من البرامج والحلول المستندة إلى الويب ، يتعين علينا الالتزام بأعلى المعايير في أمان البيانات. إن التصديق على أننا ملتزمون بمعيار ISO 27001 وتوفير التدريب على الهندسة الاجتماعية لفريقنا ليست سوى بعض التدابير المتخذة لضمان الأمن.
أكبر تهديد للأمن السيبراني لأي مؤسسة هو الخطأ البشري. بالنسبة للشركات المالية ، فإن الضعف البشري ليس فقط من خلال موظفيك ولكن أيضا من خلال عملائك. هناك خطوات يمكنك اتخاذها لتأمين بيانات عملائك عبر الإنترنت.
متى كانت آخر مرة قرأت فيها سياسة أمان البيانات الخاصة بك وقمت بتحديثها؟ نوصيك باتباع إطار عمل الأمن السيبراني الذي وضعه المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST) وإرشادات أمان المعلومات المدرجة من قبل مجلس فحص المؤسسات المالية الفيدرالية (FFIEC).
أمن البيانات ليس مسؤولية قسم تكنولوجيا المعلومات وحده. يجب أن يكون أمان البيانات جزءا من كل ما تفعله ، من كل قطعة ورق تطبعها إلى كل تفاعل يقوم به أعضاء فريقك من خلال لوحات المفاتيح الخاصة بهم.
تقترح FFIEC أن تقوم المؤسسات بتطوير "ثقافة أمنية" ، مما يعني أن أمن البيانات يصبح جزءا من عملياتك اليومية. تضمن الشركات ذات الثقافات الأمنية القوية أن يكون الأمان جزءا لا يتجزأ من كل منتج وخدمة تنتجها وتبيعها. ميزة أخرى لثقافة الأمان الفعالة هي مساءلة الموظفين عن الامتثال لسياسة أمان البيانات الخاصة بك.
1. المصادقة متعددة العوامل ، خاصة عندما يصل الموظفون إلى منصة إدارة الأصول الخاصة بك من خارج جدرانك المادية. حتى أن بعض الشركات تذهب إلى حد السماح فقط بوصول خارجي محدود للغاية إلى التطبيقات الخلفية. تطلب بعض البنوك ، مثل USAA ، من عملائها استخدام مصادقة متعددة العوامل في كل مرة يقومون فيها بتسجيل الدخول إلى حساباتهم ، حتى عند تسجيل الدخول من الأجهزة المعترف بها. قد يكون هذا إزعاجا طفيفا لعملاء البنك ، لكنه يرسل رسالة واضحة مفادها أن البنك يبذل قصارى جهده لحماية بيانات عملائه الأكثر حساسية.
2. سياسات BYOD الصارمة ، والتي تشير إلى قدرة الموظفين على إحضار أجهزتهم المحمولة إلى مكان العمل ، أو استخدام أجهزتهم الشخصية للقيام بالعمل. لا تسمح بعض الشركات للموظفين بإحضار أجهزتهم الخاصة ، بينما تسمح شركات أخرى بذلك طالما أن الموظف على استعداد لتثبيت جدران الحماية التي تديرها الشركة ومكافحة الفيروسات وتكنولوجيا مكافحة برامج التجسس.
3. تدريب سنوي أو مرتين في السنة على الأمن السيبراني. يجب أن يكون فريق تكنولوجيا المعلومات أو الشريك الخارجي قادرا على تزويدك بمواد تعليمية حول أحدث التهديدات التي تتعرض لها البيانات ، بالإضافة إلى أفضل الممارسات لحماية حسابات عملائك. شارك قصص الرعب حول تكلفة المؤسسات عندما يتم اختراقها بواسطة برامج الفدية.
4. تعزيز ثقافة الأمان من خلال مشاركة الأخبار والمعلومات بانتظام حول أفضل الممارسات لحماية بيانات عملائك. الموظفون هم خط دفاعك الأول ضد الحوادث الأمنية ، والمعرفة هي سلاحهم.
5. مراقبة التهديدات 24/7 ، كما نفعل في Empaxis.
6. منصات إدارة الأصول الجاهزة ، مثل TAMP1. مع وجود اتصالات آمنة في مكانها الصحيح ، يمكن للتطبيقات المستندة إلى السحابة حماية البيانات بطرق لا تستطيع الخوادم الداخلية القيام بها. على سبيل المثال ، إذا كان هناك حريق أو بعض الأضرار المادية الأخرى للخادم ، فقد لا يتم استرداد هذه البيانات أبدا. مع نظام آمن قائم على السحابة ، تظل البيانات محمية ويمكن الوصول إليها بغض النظر عن الأضرار التي لحقت بالأجهزة المخزنة محليا.
يصف كتيب أمن المعلومات FFIEC نهجا متعدد الطبقات للأمن السيبراني.
7. الضوابط الوقائية مثل جدران الحماية وضوابط الوصول التي تمنع المستخدمين غير المصرح لهم من الوصول إلى البيانات
8. ضوابط المباحث مثل تطبيقات مكافحة الفيروسات والبرامج الضارة التي تفحص وتكتشف التهديدات المحتملة
9. الضوابط التصحيحية مثل خطة الاستجابة للطوارئ في حالة فشل الضوابط الوقائية والمباحثية
مع استجابة المزيد من الشركات المالية لطلب العملاء للوصول إلى حساباتهم على مدار 24/7 ، بالإضافة إلى الاتصال عبر القنوات ، تزداد التحديات التي تواجه تأمين بياناتهم. بعد كل شيء ، يمكنك منع واكتشاف والتحكم فقط في ما هو ضمن مجال الوصول الخاص بك. لا يمكنك إدارة أجهزة عملائك والوصول إلى الإنترنت وممارسات الأمن السيبراني.
تعرض نشرتنا الإخبارية الشهرية موارد ومقالات مفيدة وأفضل الممارسات التي يمكن تطبيقها داخل مزودي التكنولوجيا وشركات الاستثمار