Pokud jde o uchování finančních informací v bezpečí, šifrování se řadí mezi nejdůležitější dostupné nástroje. Finanční instituce výrazně spoléhají na průmyslové standardy šifrování, jako je AES-256, aby ochránily citlivá data před zraky třetích osob během přenosu. I čísla vyprávějí přesvědčivý příběh. Podle nejnovější zprávy o únicích dat od Verizonu bylo téměř 60 % všech úniků zcela zamezeno, pokud by bylo správně implementováno šifrování. Pro každého, kdo pracuje s finančními systémy, dává smysl se seznámit s tím, jak fungují různé přístupy k šifrování. Symetrické šifrování zvládne velké objemy dat rychle, což je důvod, proč jej běžně používají banky pro každodenní operace. Na druhou stranu nabízí asymetrické šifrování silnější ochranu, ale za cenu určitých nevýhod. Transakce trvají déle, když je používána tato metoda, a tak vzniká klasické dilema mezi touhou po maximální bezpečnosti a potřebou dosáhnout rychlosti, která zákazníky neznechutí.
Zavedení víceúrovňové kontroly přístupu hraje klíčovou roli při zamezení neoprávněnému vstupu a při ochraně finančních dat. Základní myšlenkou je kombinace různých ověřovacích mechanismů a autorizací, abychom mohli spolehlivě identifikovat, kým osoba skutečně je, než jí povolíme přístup k citlivým informacím. Vezměme si například řízení přístupu na základě rolí (RBAC). U systému RBAC mají lidé přístup pouze k tomu, co je nezbytné pro jejich pracovní pozici. Tím se snižuje riziko neúmyslného nebo záměrného zneužití, protože uživatelé nemají přístup, který nepotřebují. Mimochodem, firmy by měly pravidelně provádět kontroly, kdo má jaká oprávnění. Tyto audity pomáhají odhalit problémy, jako je neoprávněné rozšíření oprávnění, kdy někdo získá mnohem větší přístup, než by měl. Tento jev se bohužel často vyskytuje, například když juniorští zaměstnanci získají oprávnění na úrovni administrátora jen proto, že nikdo neprováděl pravidelné kontroly přístupových práv. Pravidelné audity nejsou jen formální záležitostí – jsou to jeden z nejefektivnějších způsobů, jak udržet systémy bezpečné a zajistit, aby každý viděl pouze to, co opravdu potřebuje k plnění svých pracovních povinností.
V dnešní době, kdy si mnoho lidí zajišťuje nákupy online, se detekce podvodů v reálném čase stala naprosto nezbytnou pro ochranu peněz během transakcí. Když je podvod zjištěn okamžitě, mohou banky a obchodníci zastavit pachatele, než způsobí větší ztráty. Výzkum ukazuje, že strojové učení poměrně účinně rozpoznává podezřelé vzorce, které mohou naznačovat podvod, což znamená, že méně legitimních transakcí je omylem označeno jako podezřelých, a přitom je stále zachycena většina skutečných případů podvodu. Ale vzniká problém při propojování nových technologií detekce podvodů se staršími platebními systémy, které byly vyvinuty před desítkami let. Mnoho společností se potýká právě s tímto problémem kompatibility. Naštěstí novější přístupy, jako je použití API pro propojení různých systémů a vývoj softwaru pomocí menších, vzájemně zaměnitelných částí, pomáhají tento problém řešit. Tyto metody umožňují firmám aktualizovat svou bezpečnost, aniž by musely zcela nahradit veškerou stávající infrastrukturu, což v dlouhodobém horizontu ušetří čas i peníze.
Udržování správné konfigurace počítačů a serverů zůstává klíčové pro ochranu finančních dat před neoprávněným přístupem. Finanční instituce by měla deaktivovat nepoužívané služby běžící na pozadí, pravidelně aktualizovat software pomocí záplat a implementovat bezpečnostní standardy speciálně navržené pro bankovní prostředí. Reálné incidenty ukazují, jak mohou slabé konfigurace vytvořit závažné bezpečnostní mezery. Jeden známý incident zahrnoval banku, jejíž nastavení serveru bylo ponecháno otevřené, čímž umožnilo hackeřům ukrást důvěrné záznamy o zákaznících v hodnotě milionů. Takové chyby zdůrazňují, proč jsou přísná bezpečnostní opatření nezbytná. Když organizace správně nastaví konfigurace hned od prvního dne, neochraňují pouze jednotlivé počítače, ale posilují celkovou kybernetickou bezpečnost všech svých operací.
Rámec kyberbezpečnosti NIST slouží jako klíčová příručka pro společnosti, které se snaží identifikovat, řešit a omezovat kyberhrozby. Pokud je správně implementován v rámci organizace, posiluje celkovou odolnost proti útokům, což je pro CFO velmi důležité, jelikož se každodenně zabývají řízením rizik. Strukturovaný přístup k zabezpečení pomáhá chránit citlivé finanční informace před neustále se vyvíjejícími hrozbami. Samozřejmě, implementace tohoto rámce není jednoduchá. Mnoho organizací má potíže s přidělením dostatečných zdrojů a pochopením technických detailů, které jsou zapotřebí. Tyto překážky je často možné překonat prostřednictvím vhodných školení zaměstnanců a promyšlených dlouhodobých strategií přizpůsobených konkrétním potřebám každého podniku.
Zvládnutí předpisů GDPR a CCPA hraje velkou roli při správném nakládání s daty a udržení jejich bezpečnosti. Tyto zákony vyžadují, aby společnosti zavedly poměrně přísné ochrany osobních informací, a jejich nedodržení může vést k vážným finančním sankcím. Platnost těchto předpisů sahá daleko za hranice místních podniků – ovlivňují způsob, jakým firmy působí mezi hranicemi, a nakládají s přenosem dat mezi zeměmi, což někdy činí dodržování těchto pravidel opravdovou výzvou. Pro finanční ředitele (CFO) by mělo být dodržování těchto pravidel na vrcholu jejich seznamu priorit, protože pokuty by značně zasáhly finanční výsledky podniku. Kromě toho závisí udržení dobré pozice na mezinárodních trzích výrazně na prokazování zákazníkům a partnerům, že společnost vážně dbá na ochranu soukromí.
SEC má přísná pravidla, kdy musí společnosti informovat investory o kybernetických útocích, což ukazuje, jak důležité je pro podniky zůstat otevřené a upřímné ohledně své finanční situace. Pro finanční ředitele je osvojení si těchto předpisů více než jen formální záležitost - je to ve skutečnosti jejich pracovní povinností udržet důvěru akcionářů v stabilitu společnosti. V posledních letech je zřetelný trend rostoucího počtu sankcí SEC proti firmám, které nedostatečně zveřejnily problémy s bezpečností. Vezměme si například minulý čtvrtletí, kdy tři velké korporace byly pokutovány za zpožděné hlášení úniků dat. Chytré firmy se připravují včas tím, že vypracují solidní strategie reakce. To znamená mít jasné postupy pro rychlé identifikování incidentů, okamžité informování příslušných stran během hodin, nikoli dnů, a průběžnou transparentní komunikaci. Pokud jsou takové situace řešeny správně, nemusí nutně zničit pověst společnosti nebo její finanční výsledky.
Řízení rizik dodavatelů je klíčové pro udržení firemních dat v bezpečí napříč složitými dodavatelskými řetězci. Již mnohokrát jsme viděli případy, kdy porušení zabezpečení třetí stranou způsobilo vážné problémy pro podniky, což jasně ukazuje, proč je důležité provádět řádné prověrky. Společnosti často využívají nástroje, jako je rámec pro sběr bezpečnostních informací (Security Intelligence Gathering), spolu s pravidelnými kontrolami třetích stran, aby posoudily, jak bezpeční jejich partneři ve skutečnosti jsou. Tyto hodnocení pomáhají předcházet situacím, kdy by externí spolupracovníci mohli ohrozit důvěrné informace. Pro finanční vedení zaměřené na konečné výsledky je investice času do důkladného prověřování dodavatelů nejen dobrým zvykem, ale nezbytnou ochranou proti potenciálním hrozbám skrývajícím se v dodavatelských vztazích. Koneckonců, nikdo přece nechce, aby byla pověst jeho společnosti poškozena kvůli špatným kybernetickým návykům nějakého subdodavatele.
Rozvoj AI technologií zcela změnil způsob, jakým detekujeme hrozby uvnitř sítí, a otevřel zcela nové možnosti pro kybernetickou bezpečnost. Společnosti nyní využívají strojové učení a různé AI systémy k tomu, aby problémy odhalily dříve, než se stanou většími potížemi. Některé studie ukazují, že tyto přístupy využívající AI dokáží ve skutečnosti detekovat hrozby o více než 80 % efektivněji než tradiční metody, což poskytuje bezpečnostním týmům skutečnou výhodu při ochraně svých systémů. Při zavádění AI do stávajících bezpečnostních opatření závisí dosažení dobrých výsledků na tom, že všechno funguje bezproblémově společně. To znamená hodnotit, jak dobře se jednotlivé AI nástroje hodí do stávajícího prostředí a zároveň je doladit tak, aby vyhovovaly konkrétním potřebám podniků. Mnoho organizací zjišťuje, že investice času do pochopení jejich jedinečných požadavků vede k mnohem lepším výsledkům v budoucnu.
Blockchainová technologie přináší něco úplně nového, pokud jde o čestnost a průhlednost transakcí. To, co ji odlišuje, je fakt, že jakmile se informace jednou zaznamená, už ji nikdo nemůže později změnit, čímž vzniká automaticky fungující auditní stopa. Firma, která pracuje s přenosem citlivých dat, na toto velmi dobře doplatí. Vezměme si například IBM, která v rámci svých auditních procesů blockchain skutečně využívá a dosáhla lepších výsledků z hlediska bezpečnosti a zároveň nižší míry chyb v datech. Stále však existují překážky, které je třeba překonat. Mnoho lidí stále věří, že blockchain není škálovatelný, nebo že je příliš složitý na pochopení. Překonání těchto nesprávných představ by výrazně pomohlo při prezentaci toho, co blockchain pro audity může udělat. Potřebujeme více vzdělávání ohledně toho, jak ve skutečnosti funguje, a další vývoj technologie samotné, aby pro všechny zúčastněné strany věci fungovaly hladčeji.
Architektura bez implicitní důvěry se ukázala jako klíčová pro zabezpečení hybridních pracovišť, zejména od doby, kdy firmy začaly vyrážet z karantény vyvolané pandemií. Hlavní myšlenka je jednoduchá, ale účinná: ověřovat všechno na každém přístupovém bodě, místo aby se předpokládalo, že interní sítě jsou bezpečné zóny. Firmy, které tento přístup zavedly, dosáhly podle nedávných studií zhruba polovičního počtu bezpečnostních incidentů ve srovnání s těmi, které stále používají tradiční metody. Uvedení nulové důvěry do praxe však znamená volbu vhodných technologických nástrojů. Systémy řízení identit a vícefázové ověření jsou pro většinu implementací nezbytné. Co funguje nejlépe, závisí skutečně na konkrétním druhu podnikání. Výrobní závod bude potřebovat jiná opatření než poskytovatel online služeb. Aby to fungovalo správně, je třeba si nejprve důkladně mapovat, kde v organizaci cirkuluje citlivá data, a teprve poté budovat obranné mechanismy proti kyberútokům.
Kvantové počítání se rychle vyvíjí a to znamená, že naše stávající metody šifrování jsou nyní ohroženy. Opravdu musíme začít pracovat na řešeních, která odolají kvantovým útokům. Odborníci na kybernetickou bezpečnost nás upozorňují již léta, že kvantové hrozby se mohou stát problémem během příštích deseti let. Příprava na to, co přijde, vyžaduje sledování různých výzkumných projektů, které právě probíhají po celém světě. Vezměte si například Národní institut pro standardy a technologie, který vedl vývoj nových šifrovacích standardů, jež budou chránit důležité informace, až kvantové počítače začnou být realitou. Společnosti, které chtějí zůstat v popředí, by si rozhodně měly začít přemýšlet o tom, jak budou řešit své šifrovací systémy v budoucnu. Koneckonců, nikdo nechce jednoho dne vstát a zjistit, že jejich data už nejsou bezpečná, protože někdo sestrojil lepší počítač.
Pro CFO, kteří se potýkají s komplexitou moderních podnikových operací, není kyberpojištění jen dalším položkou v rozpočtu, ale nezbytnou součástí jejich přístupu ke správě rizik. Úniky dat jsou dnes nákladnou záležitostí, které společnostem často stojí několik milionů dolarů, a to až po vyúčtování všech nákladů. Vezměte si výsledky společnosti IBM z roku 2021, které uvádějí průměrné náklady na únik dat ve výši přibližně 4,24 milionu dolarů. Kyberpojištění pomáhá pokrýt tyto neočekávané náklady, jako je například zaplacení právníkům, oprava poškozených systémů a řešení sankcí, které vzniknou po útoku. Při rozhodování o výši výdajů na toto pojištění musí finanční ředitelé zvážit, co získávají v porovnání s jinými oblastmi výdajů na bezpečnost. Ačkoli pojištění chrání před nejhoršími scénáři, chytrá podnikání také alokují prostředky na prevenci, aby se vůbec nemusela obracet o vyřízení pojistné události. Nakonec je mnohem lepší zamezit problémům předem, než se snažit je odstraňovat až po jejich vzniku.
Bezpečnostní školení zaměstnanců opravdu může změnit jejich chování a výrazně snížit počet bezpečnostních incidentů. Společnosti, které tato školení zavádějí, často zaznamenají výrazný pokles incidentů, což dokazuje, že náklady na ně stojí za to. Například výzkum KnowBe4 ukázal, že po absolvování jejich školení klesly pokusy o phishing až o 90 %. Finanční ředitelé, kteří hodnotí efektivitu těchto opatření, by měli sledovat několik ukazatelů, například počet incidentů v průběhu času, rychlost reakce týmů při vzniku problému a zapojení zaměstnanců během školení. Dalším dobrým způsobem, jak měřit úspěšnost, je jednoduše sledovat, kolik peněz díky nižšímu počtu bezpečnostních incidentů společnost ušetří.
Pokud jde o reportování kybernetických rizik pro představenstvo, je důležité být v těchto otázkách otevřený, pokud si firmy chtějí učinit rozumné dlouhodobé rozhodnutí. Dobré reporty převádějí všechny tyto složité technické problémy na něco, s čím mohou manažeři skutečně pracovat. Několik základních tipů? Používejte jednoduchý jazyk, soustřeďte se nejprve na ta rizika, která jsou nejdůležitější, a nezapomeňte navrhnout, co je třeba udělat v dalším kroku. Vezměte si například Microsoft. Ten je v reportování pro představenstvo předem, když vytváří přehledy zobrazující aktuální bezpečnostní hrozby a způsob, jakým na ně reaguje. Tato otevřenost pomáhá vedení jednat dříve, než se věci zhorší, a také ukazuje investorům i zákazníkům, že podnik bere ochranu svého majetku vážně. Koneckonců, nikdo přece nechce investovat do firmy, která skrývá své zranitelnosti.
Když podniky zahrnou analýzu činnosti na monitorech počítačů do svých plánů kybernetické bezpečnosti, ve skutečnosti se zlepší v odhalování hrozeb v rané fázi. Sledování způsobu, jakým uživatelé interagují se systémy a detekování neobvyklých vzorů na obrazovce, pomáhá zachytit problémy dříve, než se rozvinou v plnohodnotný útok. Bezpečnostní týmy často využívají nástroje jako jsou systémy SIEM k shromažďování všech těchto dat o aktivitě na monitorech a k označení čehokoli podezřelého. Například některé společnosti zaznamenaly, že mohly reagovat na možné průniky až o 40 % rychleji poté, co zavedly analýzu monitorování. Ačkoli žádný systém není stoprocentně dokonalý, mnoho manažerů IT uvádí, že mají větší důvěru ve své obranné mechanismy, když mohou doslova vidět, co se v reálném čase děje po celé jejich síti.
Přechodová věta k další části: Po prozkoumání víceúrovňového přístupu k operační bezpečnosti pod vedením finančního ředitele se nyní zaměříme na nové technologie, které předefinují počítačové bezpečnostní funkce, a podrobněji rozebereme, jak umělá inteligence, blockchain a další inovace mění celý bezpečnostní prostor.
EN
AR
BG
HR
CS
DA
NL
FR
DE
EL
HI
IT
JA
KO
NO
PL
PT
RO
RU
ES
SV
TL
IW
ID
SR
SK
VI
HU
TH
TR
FA
AF
MS
SW
UR
BN
HA
KM
MN
UZ
