Kada je u pitanju zaštita finansijskih informacija, enkripcija se ističe kao jedno od najvažnijih dostupnih sredstava. Finansijske institucije u velikoj meri se oslanjaju na standardne protokole enkripcije u industriji, poput AES-256, kako bi zaštitile osetljive podatke od neovlašćenog pristupa tokom prenosa. I brojke takođe pričaju ubedljivu priču. Najnoviji Verizon izveštaj o incidentima sa podacima pokazuje da je skoro 60% svih incidenata moglo biti potpuno zaustavljeno da je odgovarajuća enkripcija bila u upotrebi. Za svakog ko radi sa finansijskim sistemima, važno je razumeti kako različiti pristupi enkripciji funkcionišu. Simetrična enkripcija omogućava brzo upravljanje velikim količinama podataka, što je razlog zašto je banke često koriste za svakodnevne operacije. S druge strane, asimetrična enkripcija nudi jaču zaštitu, ali uz određenu cenu. Transakcije traju duže kada se koristi ovaj metod, što stvara klasičnu dilemu između želje za maksimalnom bezbednošću i potrebom da stvari budu dovoljno brze kako korisnicima ne bi dosadile.
Uvođenje višeslojnih kontrola pristupa zaista je važno kada je riječ o zaustavljanju osoba koje pokušavaju ući bez dozvole i o čuvanju sigurnosti financijskih podataka. Osnovna ideja je kombiniranje različitih provjera i ovlaštenja kako bismo znali tko je osoba zapravo prije nego joj dopustimo pristup osjetljivim informacijama. Uzmite, primjerice, kontrolu pristupa temeljenu na ulogama. S RBAC-om, pojedincima se dopušta pristup samo onome što im je potrebno za obavljanje posla, ovisno o njihovoj radnoj poziciji u tvrtki. Time se smanjuje slučajna ili namjerna zlouporaba, jer ljudi nemaju pristup koji im nije potreban. U tom smislu, tvrtke bi trebale redovito provoditi revizije tko ima koji nivo pristupa. Ove revizije pomažu u otkrivanju problema poput eskalacije privilegija, gdje osoba iz nekog razloga dobije znatno više pristupa nego što joj je potrebno. To smo često vidjeli gdje su čak i obični zaposlenici imali administratorske privilegije samo zato što nitko nije redovito pregledavao prava pristupa. Redovite revizije nisu samo papirologija – zapravo su jedan od najboljih načina da se osiguraju sustavi i da se svatko vidi samo ono što je nužno za obavljanje svojih poslova.
S obzirom na velik broj ljudi koji danas vrše kupnje putem interneta, detekcija prijevare u stvarnom vremenu postala je apsolutno nužna za zaštitu sredstava tijekom transakcija. Kada se prijevara otkrije na vrijeme, banke i trgovci mogu spriječiti štetne osobe prije nego što prouzrokuju velike gubitke. Istraživanja pokazuju da strojno učenje prilično dobro prepoznaje sumnjive obrasce koji mogu ukazivati na prijevaru, što znači da će manje pravih transakcija pogrešno označiti kao sumnjive, a istovremeno će većina stvarnih slučajeva prijevare biti otkrivena. No, postoji problem u povezivanju nove tehnologije za otkrivanje prijevare s tehnologijama plaćanja koja su razvijena prije desetljeća. Mnoge tvrtke suočene su s ovim pitanjem kompatibilnosti. Srećom, noviji pristupi poput korištenja API-ja za povezivanje različitih sustava i izgradnje softvera u manjim, zamjenjivim dijelovima pomažu u rješavanju ovog problema. Ove metode omogućuju tvrtkama da nadograđuju sigurnost bez potrebe za potpunom zamjenom postojeće infrastrukture, što dugoročno štedi vrijeme i novac.
Održavanje pravilno konfiguriranih radnih stolova i poslužitelja ostaje ključno za zaštitu financijskih podataka od neovlaštenog pristupa. Financijske institucije trebaju onemogućiti nepotrebne servise koji rade u pozadini, redovito ažurirati softver kroz popravke i implementirati sigurnosne standarde posebno dizajnirane za bankarske okoline. Stvarni incidenti pokazuju kako slabe konfiguracije mogu stvoriti velike rupe u sigurnosti. Jedan značajan incident uključivao je banku čije su postavke poslužitelja ostale otvorene, što je omogućilo hakiranje i krađu osjetljivih korisničkih podataka vrijednih milijune. Takve pogreške upućuju na razlog zašto su stroge sigurnosne mjere nužne. Kada organizacije od samog početka pravilno konfiguriraju sustave, ne štite samo pojedinačne strojeve već zapravo jačaju cjelokupnu kibersigurnost svih operacija.
NIST-ov okvir za kibernetičku sigurnost djeluje kao ključni vodič za tvrtke koje pokušavaju prepoznati, upravljati i smanjiti prijetnje u kibersvijetu. Kada se pravilno uskladi unutar organizacije, ovaj okvir povećava ukupnu otpornost na napade, što je posebno važno za CFO-ove koji se svakodnevno bave upravljanjem rizikom. Strukturirani pristup sigurnosti pomaže u zaštiti osjetljivih financijskih informacija od stalno rastućih novih vrsta prijetnji. Naravno, implementacija ovog okvira nije jednostavna. Mnoge organizacije imaju poteškoća s dodjelom dovoljno resursa i razumijevanjem tehničkih detalja koji su uključeni. Te poteškoće često se mogu prevladati kroz odgovarajuće programe obuke zaposlenika i pametne strategije dugoročnog planiranja prilagođene specifičnim potrebama svake tvrtke.
Razumijevanje GDPR i CCPA pravila iznimno je važno kada je riječ o pravilnom upravljanju podacima i njihovoj zaštiti. Ovi zakoni zahtijevaju da tvrtke provedu prilično stroge mjere zaštite osobnih informacija, a nepoštivanje može dovesti do ozbiljnih novčanih kazni. Doseg ovih propisa ide daleko izvan lokalnih trgovina jer utječu na način na koji tvrtke djeluju između država i upravljaju prijenosom podataka između zemalja, što ponekad čini prilagodbu zakonima pravim izazovom. Za financijske direktore, poštivanje ovih pravila trebalo bi biti na vrhu prioriteta jer bi kazne ozbiljno udarile po financijskom rezultatu. Osim toga, održavanje dobrog glasa na međunarodnim tržištima u velikoj mjeri ovisi o tome da poduzetje pokazuje kupcima i partnerima kako ozbiljno shvaća privatnost podataka.
SEC ima stroga pravila o tome kada tvrtke moraju obavijestiti investitore o sigurnosnim incidentima u kibernetičkom prostoru, što pokazuje koliko je važno da poduzeća ostaju otvorena i iskrena u vezi svog financijskog stanja. Za financijske direktore, upoznavanje s ovim propisima nije samo papirologija – zapravo je to dio njihove poslovne obaveze da održe povjerenje dioničara u stabilnost tvrtke. Pogledamo li recentne godine, jasno je uočljiv trend većeg broja kazni koje SEC izdaje tvrtkama koje nisu pravilno otkrile probleme s sigurnošću. Uzmimo samo prošli kvartal – tri velike korporacije primile su kazne jer su odugovlačile s prijavom incidenta u kibernetičkom prostoru. Pamtiveštne tvrtke unaprijed se pripremaju stvaranjem čvrstih strategija reagiranja. To podrazumijeva jasne protokole za brzo prepoznavanje incidenta, obavijesti relevantne osobe unutar sati, a ne dana, te komunikaciju otvoreno tijekom cijelog procesa. Kada se situacija pravilno upravlja, takvi incidenti ne moraju nužno uništiti reputaciju tvrtke niti njen poslovni rezultat.
Upravljanje rizicima kod dobavljača ključno je za zaštitu korporativnih podataka u složenim lancima opskrbe. Imali smo mnogo primjera gdje su incidenti u trećih strana uzrokovali ozbiljne probleme za poslovanje, što pokazuje koliko je važna odgovarajuća provjera. Kompanije često koriste alate poput okvira za prikupljanje sigurnosne inteligencije zajedno s redovitim provjerama trećih strana kako bi procijenile koliko su zaista sigurni njihovi partneri. Ove evaluacije pomažu u sprječavanju situacija gdje bi vanjski suradnici mogli izložiti osjetljive informacije. Za voditelje u financijama koji gledaju poslovni rezultat, ulaganje vremena u temeljitu provjeru dobavljača nije samo dobra praksa, već nužna zaštita od potencijalnih prijetnji koje se krije u odnosima s dobavljačima. Na kraju krajeva, nitko ne želi da reputacija njegove kompanije bude oštećena zato što je neki subdobavljač imao loše navike u području kibernetičke sigurnosti.
Razvoj AI tehnologije potpuno je promijenio način na koji prepoznajemo prijetnje unutar mreža, otvarajući nove mogućnosti za kibernetičku sigurnost. Tvrtke sada koriste strojno učenje i različite AI sustave kako bi pronašle probleme prije nego što postanu ozbiljni. Neka istraživanja pokazuju da ove AI metode mogu zaista prepoznati prijetnje oko 80% učinkovitije nego tradicionalne metode, što timovima za sigurnost daje stvarnu prednost u zaštiti svojih sustava. Kada se AI uvodi u postojeće sigurnosne sustave, postizanje dobrih rezultata ovisi o tome koliko su svi elementi usklađeni. To znači razmotriti koliko dobro različiti AI alati pristaju uz već postojeće sustave, ali i prilagoditi ih potrebama pojedinačnih tvrtki. Mnoge organizacije uviđaju da ulaganje vremena u razumijevanje svojih jedinstvenih potreba vodi puno boljim rezultatima u budućnosti.
Blockchain tehnologija donosi nešto zaista drugačije kada je riječ o održavanju transakcija iskrenim i transparentnim. Ono što je ističe je činjenica da se jednom zapisane informacije ne mogu promijeniti, što stvara automatski auditni trail. Poslovanjima koja rade s osjetljivim prijenosima podataka ovo je izuzetno korisno. Uzmite IBM kao primjer, koji je već uspješno primijenio blockchain u svojim auditnim procesima i time postigao veću sigurnost i manje grešaka u podacima. Ipak, postoje prepreke koje treba prevazići. Mnogi ljudi još uvijek vjeruju da blockchain ne može dovoljno skalirati ili da je previše kompliciran za razumijevanje. Prevladavanje ovih pogrešnih pretpostavki bi dosta doprinijelo prikazivanju onoga što blockchain može pružiti auditima. Potrebno je više edukacije o tome kako zapravo funkcionira i kontinuirana poboljšanja same tehnologije kako bi proces bio lakši za sve uključene.
Arhitektura bez povjerenja pokazala se kao ključna za održavanje sigurnosti hibridnih radnih okruženja, posebno od kada su tvrtke ponovno započele s radom nakon karantenskih ograničenja tijekom pandemije. Osnovna ideja je jednostavna, ali snažna: provjeravajte sve na svakoj točki pristupa, umjesto da pretpostavljate kako su unutarnje mreže sigurne zone. Tvrtke koje su prihvatile ovaj pristup postigle su izuzetne rezultate, prema nedavnim istraživanjima, koja pokazuju otprilike 50% manje sigurnosne incidente u usporedbi s onima koje još uvijek koriste tradicionalne metode. Uvođenje nultog povjerenja u praksu znači birati odgovarajuće tehnološke alate. Sustavi za upravljanje identitetom i autentifikacija s više faktora nužni su elementi za većinu implementacija. Ono što najbolje funkcionira ovisi o vrsti poslovanja. Tvornica proizvodnje zahtijevat će drukčije zaštite nego pružatelj online usluga. Da bi se to ispravno izvelo, potrebno je vrijeme i detaljno kartiranje kretanja osjetljivih podataka unutar organizacije prije izgradnje stvarne obrane protiv kibernetičkih napada.
Kvantno računarstvo napreduje sve brže, što znači da su naša postojeća šifriranja sada u riziku. Stoga moramo početi raditi na rješenjima otpornim na kvantne napade. Stručnjaci za kibernetičku sigurnost upozoravaju već godinama da kvantne prijetnje mogu postati stvarni problem već za otprilike deset godina. Priprema za budućnost zahtijeva praćenje različitih istraživačkih projekata koji se trenutno odvijaju širom svijeta. Primjer za to je Nacionalni institut za standarde i tehnologiju, koji vodi borbu u razvoju novih standarda šifriranja kako bi zaštitio važne informacije čak i kada kvantna računarstva postanu dostupna. Kompanije koje žele ostati korak ispred trebale bi ozbiljno razmotriti kako će upravljati svojim sustavima šifriranja u budućnosti. Na kraju krajeva, nitko ne želi jednog dana ustanoviti da njihovi podaci više nisu sigurni samo zato što je netko napravio bolje računalo.
Za CFO-ove koji se suočavaju s kompleksnostima savremenih poslovnih operacija, kibersigurnosna osiguranja nisu samo još jedna stavka u budžetu, već nužan element pristupa upravljanju rizikom. Povremeno, naknade za krađu podataka mogu biti vrlo visoke, često dostižući nekoliko miliona dolara po slučaju. Uzmite u obzir IBM-ove nalaze iz 2021. godine, prema kojima je prosečna cena pojedinačnog incidenta iznosila oko 4,24 miliona dolara. Kibersigurnosna osiguranja pomažu u pokrivanju tih neočekivanih troškova, kao što su honorari advokata, popravka oštećenih sistema i upravljanje regulisanim kaznama koje nastaju nakon napada. Kada se analizira koliko treba potrošiti na ovu vrstu zaštite, vodstvo finansija mora da uporedi koristi koje se dobijaju u odnosu na druge oblasti sigurnosnih troškova. Iako osiguranje pruža zaštitu od najgoreg mogućeg scenarija, pametne kompanije takođe ulažu sredstva u prevenciju kako bi se izbegla potreba za pokretanjem zahteva za naknadu štete. Na kraju krajeva, sprečavanje problema pre nego što nastanu ostaje daleko bolje rešenje nego pokušaji da se očisti posledice nakon incidenta.
Obuka o sigurnosti stvarno čini razliku kada je riječ o promjeni ponašanja zaposlenika i smanjenju problema s sigurnošću. Tvrtke koje provode takve programe često primijete veliki pad incidenata, što pokazuje da su troškovi tih programa isplativi. Uzmimo za primjer istraživanje tvrtke KnowBe4, prema kojem su pokušaji phishinga opali za oko 90% nakon što su ljudi prošli kroz njihov program obuke. Financijski urednici koji procjenjuju učinkovitost ovakvih mjera trebaju razmotriti nekoliko faktora, uključujući broj incidenata tijekom vremena, brzinu reakcije timova kada se pojavi problem i koliko su zapravo zaposlenici uključeni tijekom obuke. Još jedan dobar način za mjerenje uspjeha je jednostavno promatrati koliko je novca ušteđeno jer se smanjio broj stvarnih sigurnosnih incidenta u tvrtki.
Kada je riječ o izvješćivanju o kibernetskim rizicima za upraviteljski odbor, važno je biti otvoren u vezi s ovim pitanjima ako kompanije žele donijeti pametne odluke na dugi rok. Kvalitetni izvještaji pretvaraju sve te komplicirane tehničke probleme u nešto s čime izvršni direktori mogu stvarno raditi. Neke osnovne savjete? Držite jezik jednostavnim, prvo se usredotočite na najvažnije rizike i nemojte zaboraviti predložiti što treba učiniti dalje. Uzmite Microsoft kao primjer. Oni su bili ispred igre s izvješćima za svoj odbor, kreirajući kontrolne ploče koje prikazuju točno koje sigurnosne prijetnje su prisutne upravo sada i kako se na njih reagira. Ovaj tip transparentnosti pomaže vođama da djeluju prije nego što stvari krenu naopako, a također pokazuje investitorima i kupcima da kompanija ozbiljno shvaća zaštitu svojih resursa. Na kraju krajeva, nitko ne želi investirati u posao koji skriva svoje slabosti.
Kada poduzeća uključuju analitiku monitora računala u svoje planove za kibernetičku sigurnost, zapravo postaju bolji u ranoj detekciji prijetnji. Praćenje načina na koji korisnici komuniciraju s sustavima i uočavanje neobičnih uzoraka na ekranima pomaže u otkrivanju problema prije nego što prerastu u potpune napade. Sigurnosni timovi često se oslanjaju na alate poput SIEM sustava kako bi prikupili sve podatke o aktivnostima na ekranu i označili sve sumnjivo. Na primjer, neke tvrtke primijetile su da su mogle reagirati na potencijalne provale čak i 40% brže nakon provedbe analize monitora. Iako nijedan sustav nije besprijekoran, mnogi IT upravitelji izvještavaju da se osjećaju samopouzdanije u vezi s obranom kada doslovno mogu vidjeti što se u stvarnom vremenu događa preko svojih mreža.
Pripremna rečenica za sljedeći dio: Nakon što smo istražili višestruki pristup operacionalizaciji sigurnosti kroz vođstvo CFO-a, potopit ćemo se u nove tehnologije koje ponovno definiraju sigurnosne značajke računala, objašnjavajući kako AI, blockchain i druge inovacije transformiraju ovaj prostor.
EN
AR
BG
HR
CS
DA
NL
FR
DE
EL
HI
IT
JA
KO
NO
PL
PT
RO
RU
ES
SV
TL
IW
ID
SR
SK
VI
HU
TH
TR
FA
AF
MS
SW
UR
BN
HA
KM
MN
UZ
