Når det gælder om at beskytte finansiel information, skiller kryptering sig som et af de vigtigste tilgængelige værktøjer. Finansinstitutioner gør stort brug af branchestandard krypteringsprotokoller som AES-256 for at skærme sensibel data mod uvedkommende under dataoverførsler. Tallene fortæller også en overbevisende historie. Ifølge Verizons seneste rapport om databreacher kunne næsten 60 % af alle breacher have været forhindrede helt, hvis korrekt kryptering havde været implementeret. For enhver, der arbejder med finansielle systemer, giver det god mening at gøre sig fortrolig med, hvordan forskellige krypteringsmetoder fungerer. Symmetrisk kryptering håndterer store datamængder hurtigt, hvilket er grunden til, at banker ofte bruger den til daglig drift. Derimod tilbyder asymmetrisk kryptering en stærkere beskyttelse, men med en pris. Transaktioner tager længere tid ved brug af denne metode, hvilket skaber det klassiske dilemma mellem ønsket om maksimal sikkerhed og behovet for tilstrækkelig hastighed, så kunder ikke bliver frustrerede.
At etablere flerlagsadgangskontrol er virkelig vigtigt, når det kommer til at forhindre uvedkommende i at få adgang og sikre finansielle data. Den grundlæggende idé er at kombinere forskellige kontroller og autorisationer, så vi ved, hvem en person rent faktisk er, inden de får adgang til noget følsomt. Tag f.eks. rollebaseret adgangskontrol (RBAC). Med RBAC får personer kun den adgang, de har brug for, baseret på deres stilling i virksomheden. Dette reducerer risikoen for utilsigtet eller opmærksomt misbrug, da personer ikke har unødige adgangsrettigheder. I den forbindelse bør virksomheder gennemføre regelmæssige gennemgange af, hvem der har hvilke adgangsrettigheder. Disse revisioner opdager problemer som privilegiering (privilege escalation), hvor nogen på en eller anden måde pludselig har langt mere adgang, end de burde have. Vi har set for mange tilfælde, hvor medarbejdere på lavere niveauer har fået administratorrettigheder udelukkende fordi ingen har taget sig tid til at gennemgå adgangsrettighederne ordentligt. Regelmæssig revision er ikke bare papirarbejde – det er faktisk en af de bedste måder at sikre systemer og samtidig sikre, at alle kun ser det, de virkelig har brug for at udføre deres arbejdsfunktioner.
Med så mange mennesker, der foretager køb online disse dage, er det blevet helt nødvendigt med øjeblikkelig bedrugsdetektion for at beskytte penge under transaktioner. Når bedrug opdages med det samme, kan banker og detailhandlere stoppe dårlige aktører, før de forårsager alvorlige tab. Forskning viser, at maskinlæring er ganske effektiv til at finde mistænkelige mønstre, som måske indikerer bedrug, hvilket betyder, at færre lovlige transaktioner fejlagtigt bliver markeret, mens de fleste reelle bedrugssager stadig opdages. Men der er et problem ved at forsøge at forbinde ny teknologi til bedrugsdetektion med ældre betalingssystemer, der blev bygget for mange årtier siden. Mange virksomheder har svært ved denne kompatibilitetsudfordring. Heldigvis hjælper nyere tilgange som f.eks. brugen af API'er til at forbinde forskellige systemer og udvikling af software i mindre, udskiftelige dele med at løse dette problem. Disse metoder giver virksomheder mulighed for at opgradere deres sikkerhed, uden at skulle erstatte hele den eksisterende infrastruktur, hvilket sparer både tid og penge på lang sigt.
At holde computere og servere korrekt konfigureret, forbliver afgørende for at beskytte finansielle data mod uautoriseret adgang. Finansinstitutioner bør deaktivere ubenyttede tjenester, der kører i baggrunden, sørge for regelmæssig softwareopdatering via patches og implementere sikkerhedsstandarder, der specifikt er designet til bankmiljøer. Virkelige hændelser viser, hvordan svage konfigurationer kan skabe alvorlige sikkerhedshuller. En bemærkelsesværdig hændelse involverede en bank, hvis serverindstillinger var blevet efterladt åbne, hvilket tillod hackere at stjæle følsomme kundedata med en værdi på millioner. Denne type fejl fremhæver, hvorfor strenge sikkerhedsforanstaltninger er en nødvendighed. Når organisationer får deres konfigurationer rigtige fra dag ét, beskytter de ikke blot enkelte maskiner, men styrker deres samlede cybersikkerhedsposition på tværs af alle operationer.
NIST's Cybersecurity Framework fungerer som en afgørende retningslinje for virksomheder, der forsøger at identificere, håndtere og reducere cybertrusler. Når den er korrekt implementeret i en organisation, styrker den den overordnede modstandsdygtighed mod angreb, hvilket er særdeles vigtigt for CFO'er, som dagligt har med risikostyring at gøre. En struktureret sikkerhedstilgang hjælper med at beskytte sensitiv finansiel information mod hele tiden nye trusler. Selvfølgelig er det ikke let at implementere denne ramme. Mange organisationer har vanskeligt ved at allokere tilstrækkelige ressourcer og forstå de tekniske detaljer, der er involveret. Disse udfordringer kan ofte overkommes med passende medarbejdertræningsprogrammer og velovervejede langsigtede strategier, der er tilpasset den enkelte virksomheds unikke behov.
At få styr på GDPR- og CCPA-regler er meget vigtigt, når det gælder om at håndtere data korrekt og sikre dem ordentligt. Disse love kræver, at virksomheder implementerer ret strikte beskyttelsesforanstaltninger omkring personoplysninger, og manglende overholdelse kan føre til alvorlige bøder. Rækkevidden af disse regler går langt ud over blot lokale virksomheder, da de påvirker, hvordan virksomheder opererer grænseoverskridende og håndterer databehandling mellem lande, hvilket gør overholdelse til en reel udfordring nogle gange. For finansdirektører bør overholdelse af disse regler være højt prioriteret, fordi bøder ville få alvorlige konsekvenser for bundlinjen. Desuden afhænger det gode omdømme i internationale markeder stærkt af, at kunder og partnere kan se, at virksomheden tager databeskyttelse alvorligt.
SEC har strenge regler for, hvornår virksomheder skal informere investorer om cyberangreb, hvilket viser, hvor vigtigt det er for virksomheder at være åbne og ærlige omkring deres finansielle situation. For finansdirektorer er det ikke blot en formalitet at lære disse regler at kende – det er faktisk en del af deres ansvar at sikre, at aktionærer har tillid til virksomhedens stabilitet. Ser man på de seneste år, er der tydeligvis en stigende tendens i antallet af bøder fra SEC mod virksomheder, som ikke korrekt har offentliggjort sikkerhedsproblemer. Tag blot det seneste kvartal, hvor tre store selskaber blev bødet, fordi de udsatte offentliggørelsen af databreaches. Foresete virksomheder er forberedt på forhånd og har solidt udarbejdede reaktionsstrategier. Det indebærer klare procedurer for hurtigt at identificere hændelser, underrette relevante parter inden for timer frem for dage og kommunikere gennemsigtigt gennem hele processen. Håndteres det korrekt, behøver sådanne situationer ikke nødvendigvis ødelægge virksomhedens rygte eller bundlinje.
At styre leverandørerisici er afgørende for at beskytte virksomhedsdata i komplekse leverandørkæder. Vi har oplevet mange tilfælde, hvor sikkerhedsbrud hos tredjeparter har forårsaget alvorlige problemer for virksomheder, hvilket viser, hvor vigtigt det er at foretage korrekt screening. Virksomheder anvender ofte værktøjer som Security Intelligence Gathering-frameworks sammen med regelmæssige tredjepartsundersøgelser for at vurdere, hvor sikre deres partnere er. Disse vurderinger hjælper med at forhindre situationer, hvor eksterne samarbejdspartnere måske udsætter fortrolige oplysninger. For finanschefer, der kigger på bundlinjen, er det at investere tid i grundig leverandørkontrol ikke kun god praksis, men en nødvendig beskyttelse mod potentielle trusler, der skjuler sig i leverandørrelationer. I sidste ende ønsker ingen, at deres virksomheds rygte skal skades, fordi en underleverandør havde dårlige cybersikkerhedsvaner.
Fremkomsten af AI-teknologi har fuldstændigt ændret måden, vi opdager trusler inden for netværk på, og har åbnet helt nye muligheder for cybersikkerhed. Virksomheder anvender nu maskinlæring og forskellige AI-systemer til at opdage problemer, før de bliver til større problemer. Visse undersøgelser viser, at disse AI-baserede metoder faktisk kan registrere trusler cirka 80 % bedre end traditionelle metoder, hvilket giver sikkerhedsteamene et reelt forspring, når de skal beskytte deres systemer. Når AI integreres i eksisterende sikkerhedsopsætninger, afhænger gode resultater af, at alt fungerer sammen problemfrit. Det betyder, at man skal vurdere, hvor godt forskellige AI-værktøjer harmonerer med det, der allerede er på plads, samtidig med at de tilpasses for at matche de specifikke behov hos enkelte virksomheder. Mange organisationer opdager, at det at bruge tid på at forstå deres unikke krav først og fremmest fører til langt bedre resultater på sigt.
Blockchain-teknologi bringer noget helt unikt med sig, når det kommer til at sikre ægte og gennemsigtige transaktioner. Det, der gør den så særlig, er, at når information først er registreret, kan ingen ændre den bagefter, hvilket skaber en revisionsspor, der i praksis fungerer automatisk. Virksomheder, som beskæftiger sig med overførsel af følsomme data, finder dette virkelig nyttigt. Tag IBM som eksempel – de har faktisk sat blockchain-teknologi i spil i deres revisionsprocesser og oplevet forbedret sikkerhed samt færre fejl i dataene. Alligevel er der nogle udfordringer på vejen. Mange mener stadig, at blockchain ikke kan skaleres korrekt, eller at det er alt for kompliceret at forstå. At komme over disse misforståelser kunne gøre meget for at vise, hvad blockchain kan betyde for revisionen. Vi har brug for mere uddannelse i, hvordan den rent faktisk fungerer, og forbedringer i selve teknologien for at gøre det hele mere brugervenligt for alle involverede.
Nul-tillidsarkitektur har vist sig at være afgørende for at sikre hybride arbejdspladser, især siden virksomheder begyndte at vende tilbage efter pandemiens nedlukninger. Den centrale idé er enkel, men kraftfuld: verificér alt ved hver enkelt adgangspunkt i stedet for at antage, at interne netværk er sikre zoner. Virksomheder, der har adopteret denne tilgang, har oplevet imponerende resultater, ifølge nyere studier, som viser cirka halvt så mange sikkerhedsincidenter sammenlignet med dem, der stadig anvender traditionelle metoder. At implementere nul-tillid i praksis betyder dog at vælge de rigtige teknologiske værktøjer. Identitetsstyringssystemer og multifaktor-godkendelse er nødvendigheder i de fleste implementeringer. Hvad der virker bedst, afhænger virkelig af den enkelte virksomheds type. En produktionsfabrik vil have behov for andre beskyttelsesforanstaltninger end en online tjenesteudbyder. At få dette til at fungere kræver tid og indebærer at kortlægge, hvor følsomme data bevæger sig i organisationen, før man opbygger effektive forsvarsmekanismer mod cyberangreb.
Kvantecomputing bevæger sig hurtigt fremad, og det betyder, at vores eksisterende krypteringsmetoder nu er i fare. Vi har virkelig brug for at begynde at arbejde på løsninger, der kan stå imod kvanteangreb. Cybersecurity-eksperter har advokeret i årevis om, at disse kvantetrusler faktisk kan blive et problem allerede omkring ti år. At forberede sig på det, der kommer, kræver, at man kigger på forskellige forskningsprojekter, som lige nu sker rundt om i verden. Tag National Institute of Standards and Technology som eksempel – de har været i spidsen for udviklingen af nye krypteringsstandarder, som vil beskytte vigtige informationer, også når kvantecomputere bliver tilgængelige. Virksomheder, der ønsker at være foran bølgen, bør bestemt begynde at tænke over, hvordan de vil håndtere deres krypteringssystemer i fremtiden. I sidste ende ønsker ingen at vågne op en dag og opdage, at deres data ikke længere er sikkert, fordi nogen har bygget en bedre computer.
For CFO'er, der skal håndtere komplekserede forretningsoperationer, er cyberforsikring ikke blot en tilføjelse til budgettet, men en nødvendighed i deres risikostyringsstrategi. Databreacher er dyre affærer i dag, og koster ofte virksomheder flere millioner dollars, når alt er sagt og gjort. Tag IBM's resultater fra 2021 som eksempel, hvor gennemsnitsomkostningen ved en brud var omkring 4,24 millioner dollars. Cyberforsikring hjælper med at dække de uventede omkostninger, såsom betaling af advokater, reparation af skadede systemer og håndtering af reguleringsbøder, som opstår efter en angreb. Når man vurderer, hvor meget man skal investere i en sådan dækning, skal finanscheferne afveje, hvad de får ud af forsikringen i forhold til andre sikkerhedsområder. Selv om forsikring beskytter mod værste fald, skal kloge virksomheder også bruge ressourcer på forebyggende foranstaltninger, så de ikke kommer i situationer, hvor de er nødt til at indkalde forsikringssupport. At forhindre problemer, før de opstår, er og bliver langt bedre end at skulle rydde op bagefter.
Sikkerhedsbevidstgørelsestræning gør virkelig en forskel, når det kommer til at ændre medarbejdernes adfærd og reducere sikkerhedsproblemer. Virksomheder, der implementerer disse programmer, oplever ofte et markant fald i incidenter, hvilket viser, at det er værd pengene. Tag for eksempel KnowBe4's forskning, hvor de fandt ud af, at phishing-forsøg faldt cirka 90 %, efter at personer gennemgik deres træningsprogram. Finanschefer, der vurderer, om disse indsatsområder virker, bør se på flere ting, herunder hvor mange incidenter, der sker over tid, hvor hurtigt holdene reagerer, når der går noget galt, og hvor engagerede medarbejderne faktisk er under træningssessionerne. En anden god måde at måle succes på er ganske enkelt at se på, hvor meget penge der bliver sparet, fordi der sker færre reelle sikkerhedsbrud i virksomheden.
Når det gælder cyber-risikorapportering for bestyrelser, er det virkelig vigtigt at være åben over for disse spørgsmål, hvis virksomheder ønsker at træffe kloge langsigtede beslutninger. Gode rapporter tager alle de komplicerede tekniske problemer og omdanner dem til noget, ledelsen faktisk kan arbejde med. Nogle grundlæggende tips? Hold sproget enkelt, fokuser først på de risici, der er mest væsentlige, og glem ikke at foreslå, hvad der skal gøres herefter. Tag Microsoft som eksempel. De har været foran forløbet med deres bestyrelsesrapporter og har oprettet dashboards, der viser præcis, hvilke sikkerhedstrusler der foregår lige nu og hvordan de reagerer. Denne åbenhed hjælper ledere med at handle, før tingene bliver alvorlige, og det viser desuden både investorer og kunder, at virksomheden tager beskyttelse af sin ejendom alvorligt. Afslutningsvis ønsker ingen at investere i en virksomhed, der skjuler sine sårbarheder.
Når virksomheder inddrager analyse af computerskærme i deres cybersikkerhedsplaner, bliver de faktisk bedre til at opdage trusler tidligt. Ved at se på, hvordan brugere interagerer med systemer og opdager unormale mønstre på skærme, kan problemer opdages, før de udvikler sig til fuldbyrdede angreb. Sikkerhedsholdene bruger ofte værktøjer som SIEM-systemer til at indsamle al denne skærmaktivitetsdata og markere noget mistænkeligt. For eksempel bemærkede nogle virksomheder, at de kunne reagere op til 40 % hurtigere på mulige indtrængninger, efter at de havde implementeret skærmovervågning. Selv om intet system er fejlsikkert, oplyser mange IT-chefer, at de føler større tillid til deres forsvar, når de bogstaveligt talt kan se, hvad der sker på deres netværk i realtid.
Overgangssætning til næste afsnit: Efter at have udforsket den mangfoldige tilgang til at operationalisere sikkerhed gennem CFO-lederskab, vil vi nu dykke ned i nye teknologier, der omdefinerer computersikkerhedsfunktioner, og detaljere, hvordan AI, blockchain og andre innovationer transformerer landskabet.
EN
AR
BG
HR
CS
DA
NL
FR
DE
EL
HI
IT
JA
KO
NO
PL
PT
RO
RU
ES
SV
TL
IW
ID
SR
SK
VI
HU
TH
TR
FA
AF
MS
SW
UR
BN
HA
KM
MN
UZ
