Cybersecurity: zo pakken financieel dienstverleners dat aan

Bron: CIO

Financieel dienstverleners vormen op dit moment de drijvende kracht achter de wereldeconomie en technologie is de verbindende factor, van effectenmakelaars tot fondsenbeheerders en van verzekeraars tot kapitaalverschaffers. Financieel dienstverleners vormen een belangrijk doelwit voor cyberaanvallen vanwege de grote hoeveelheden fondsen, data en tot personen te herleiden informatie die ze dagelijks verwerken.

 

Daar komt nog eens bij dat het motief voor aanvallen op dergelijke organisaties veranderd is. Voorheen werden aanvallen gedaan met ideologisch hacktivisme als achterliggende gedachte. Nu is criminaliteit vaak de intentie. Dit betekent dat financieel dienstverleners zwaar moeten inzetten op de bescherming van data, geld, klanten en reputatie. Maar dreigingen nemen toe in aantal en worden steeds geavanceerder. Waar steken financieel dienstverleners het beste hun tijd en geld in?

Medewerkers trainen is noodzakelijk voor het verbeteren van de beveiliging. Uit een onderzoek van het Financial Services Information Sharing and Analysis Center (FS-ISAC) kwam naar voren dat volgens 35 procent van de CIO’s in de financiële dienstverlening bewustzijn rondom cybersecurity topprioriteit moet zijn. Maar dat bewustzijn gaat veel verder dan medewerkers enkele e-learningmodules te laten volgen. Er is ook een mentaliteitsverandering nodig. Dit is lastig, maar wel essentieel ter bescherming tegen datalekken die te voorkomen zijn, bijvoorbeeld door onoplettendheid of onzorgvuldigheid.

Deloitte Insights heeft goede adviezen voor het verbeteren van het bewustzijn rondom cybersecurity. Uit hun onderzoek naar de status van cybersecurity bij financieel dienstverleners bleek dat bij bedrijven met een volwassen houding ten opzichte van beveiliging aansprakelijkheid aan de top begint. De directie bij zulke bedrijven is niet alleen op de hoogte van de algehele securitystrategie, maar kent ook vaker de ins en outs van het budget, de operationele verantwoordelijkheden en de voortgang. Een andere conclusie uit het onderzoek was dat gedeelde verantwoordelijkheid het verschil maakt. Van oudsher is security vaak een zaak van het IT-team. Maar securitybewuste organisaties geven de voorkeur aan een aanpak waarbij businessunits óók de verantwoordelijkheid dragen voor security en voor het samenwerken met andere units op dit gebied.

 Securitybudgetten worden steeds meer ingezet op respons in plaats van bescherming. Denk even terug aan de stelling van PwC dat er twee soorten financieel dienstverleners zijn en je snapt waarom dit prioriteit moet hebben. Bescherming moet voor financieel dienstverleners nog altijd een van de wapens zijn, maar in staat zijn om realtime dreigingen te detecteren en erop te reageren wordt net zo onmisbaar. Voor financieel dienstverleners is dit vooral essentieel om dreigingen van binnenuit aan te pakken. In deze sector is het verloop onder medewerkers soms hoog, wat een risico vormt voor data en de omzet. Zo nam een op de vier werknemers bij vertrek weleens data mee van zijn werkgever, blijkt uit onderzoek van securitybedrijf Biscom. Klantgegevens, handelsalgoritmen en -strategieën, strategische plannen – het zijn allemaal data die weleens gestolen zouden kunnen worden. Het is dan ook noodzaak datadiefstal te detecteren.

Financieel dienstverleners zijn afhankelijk van een groot en altijd groeiend netwerk van leveranciers en partners. Deze relaties worden nog complexer naarmate delen van de business worden uitbesteed. Financiële data en tot personen te herleiden informatie zijn dan misschien wel op een andere plek opgeslagen, het is nog steeds de taak van de overkoepelende organisatie om ervoor te zorgen dat geoutsourcete data beschermd en veilig verwerkt worden. En over derde partijen gesproken: de snelle opkomst van Internet of Things-devices en -sensoren betekent dat data nu overal is. Zo zijn er dus meer mogelijke ingangen voor cybercriminelen.

Financieel dienstverleners moeten zich ook bewust zijn van de regelgeving in de landen waarin ze actief zijn. Of het nu gaat om Sarbanes-Oxley, FCA of GDPR, bedrijven moeten kunnen aantonen dat ze regelgeving naleven om boetes te voorkomen. Activiteit kunnen volgen – en proactief kunnen reageren op iets wat afwijkt – is nog een reden waarom een allesomvattend overzicht van activiteit in het systeem essentieel is. Financieel dienstverleners hebben er weleens moeite mee om overzicht te houden over waar en hoe data is opgeslagen. Hoewel de GDPR-deadline al verstreken is, zijn veel organisaties nog op weg naar compliance.

Kortom, er staat veel op het spel voor financieel dienstverleners. Verlies van data of omzet is één ding waar een securityteam van wakker kan liggen. Reputatieschade betekent echter nog veel meer slapeloze nachten. Klanten willen immers niets te maken hebben met een organisatie die de krantenkoppen haalde vanwege datalekken.

Please follow and like us: