Инвестиции

Рискованный CRE

10 вещей, которые нужно знать об информационной безопасности для инвестиционных компаний CRE

Индустрия коммерческой недвижимости находится в разгаре трансформации. Приток больших данных и вездесущность информации способствовали быстрому внедрению коммерческих программных услуг в сфере недвижимости. По данным Deloitte, инвестиции в проекты в сфере недвижимости в последнее время достигли 33,7 млрд. долл. США, по сравнению с 2,4 млрд. долл. США в 2008 году .

Но с большим количеством данных и большими деньгами – возникают новые риски.

Критическая информация о сделках, финансовые модели, информация арендатора и собственные исследования являются ценными ресурсами в индустрии коммерческой недвижимости. Все, от простой слежки до использования сложного вредоносного ПО, оказывается дорогим, если не предпринять соответствующих мер. Будь то из-за небрежного обращения с данными или злонамеренной деятельности, эти риски могут скомпрометировать транзакции или, что еще хуже, нанести непоправимый ущерб репутации и репутации компании как профессионального и заслуживающего доверия фидуциария.

Чтобы защитить активы данных и обеспечить управление рисками на предприятиях, которое требуют современные институциональные стандарты, эти 10 вещей должны быть в самом лучшем состоянии:

I.   Установление соответствующих прав доступа

Права доступа должны быть четкими, стандартизованными и управляемыми в ручном режиме. Привилегии, выходящие за рамки функции и обязанностей сотрудника, создают риск. Чтобы извлечь выгоду из сотрудничества, не жертвуя безопасностью, вы должны тщательно подумать о том, как будут предоставляться и поддерживаться права доступа к информации.

II. Обеспечение надлежащих протоколов аутентификации

Чтобы проверить, являются ли люди были теми, кто они есть, и что корпоративный доступ является защищенным, должен существовать строгий процесс аутентификации пользователей. В частности, эффективная и эффективная практика двухфакторной аутентификации, надежных паролей и единого входа (SSO). Эти протоколы являются важной линией защиты от злонамеренных участников, пытающихся получить доступ к конфиденциальным данным и непреднамеренными задержками в обновлении систем, чтобы отразить корпоративные изменения.

III. Ведение журнала аудита

Даже с соответствующими правами доступа и надежной системой аутентификации ответственность за знание того, кто что сделал и когда, является ценным инструментом. Производятся случайные изменения, целенаправленные передачи или регулярная операционная деятельность, снижайте риски, постоянно совершенствуя протоколы идентификации изменений.

IV. Храните прилежащие записи в политике хранения данных

Хранение данных сегодня достаточно дешево, а историческая информация может быть очень ценной в самых разных ситуациях. Создайте политику хранения данных и обеспечьте ее или рискуйте здоровенными штрафами, дисциплинарными взысканиями, пропущенными инновациями и упущенной выгодой.

V. Имейте документированный план аварийного восстановления

Компании должны оборудовать план восстановления в случае нарушения данных или критической потери данных. Чтобы занять активную позицию, автоматическая доступность системы, мониторинг сети, протоколы реагирования на инциденты и процедуры связи должны быть задействованы задолго до того, как они понадобятся.

VI. Резервирование в центрах обработки данных

Распределенные центры обработки данных во многих регионах позволяют фирмам оставаться устойчивыми перед лицом сбоев системы, стихийных бедствий или других наихудших сценариев. Отдавая аутсорсинг профессионально обслуживаемым и распределенным центрам обработки данных, фирмы могут защищать свои данные, не беспокоясь о логистике, например, об обслуживании системы и соблюдении специфических для местоположения требований, таких как Директива ЕС о конфиденциальности данных.

VII. Безопасное физическое расположение центров обработки данных

Поскольку все больше компаний переносят свои данные в облако, это позволяет нам использовать безопасные центры обработки данных, а не серверные комнаты на местах. Физический доступ к этим центрам данных должен строго контролироваться, с профессиональным персоналом безопасности, системами видеонаблюдения и обнаружения вторжений. Следует учитывать и другие соображения, такие как контроль климата и двухфакторная аутентификация персонала.

VIII. Шифрование хранения данных

Шифрование данных в состоянии покоя является критическим аспектом всеобъемлющей стратегии безопасности предприятия. Защищенный поставщик данных должен иметь соответствие требованиям SOC и соответствовать отраслевым стандартам с 256-битным (банковским) шифрованием.

IX. Шифрование передаваемых данных

Данные, передаваемые через Интернет или локальную сеть, также должны быть зашифрованы в любое время. Лучшие отраслевые рекомендации рекомендуют зашифровать все данные в движении с помощью сертификатов TLS с 256 бит (SHA2), а само соединение должно быть зашифровано через HTTPS, SSL или FTPS. Кроме того, компаниям следует внедрять сетевые средства безопасности, такие как брандмауэры и решения конечных точек для защиты данных, поступающих от вредоносных программ и наборов эксплойтов.

X. Проведение регулярных обзоров служб данных и политик безопасности

Службы данных и политики безопасности не должны быть статическими. Они должны быть пересмотрены, обновлены и изменены по мере развития вашей компании и ее данных. Регулярный обзор текущих процедур должен быть основой любой надежной информации и стратегии обеспечения безопасности данных.

В то время как распространение данных в индустрии коммерческой недвижимости разблокировало значительную ценность, оно также вызвало настоятельную необходимость – как структурировать, защищать и поддерживать обширный объем данных в отрасли, которая исторически не должна была инвестировать в риск данных управления и кибербезопасности. Но с централизованной платформой управления данными, преднамеренным контролем доступа и надежным шифрованием, коммерческие фирмы по недвижимости могут снизить риски и максимизировать преимущества своих активов данных.

Показать больше

Добавить комментарий

Нет соединения с интернетом

Close