Apabila tiba masanya untuk menjaga keselamatan maklumat kewangan, enkripsi muncul sebagai salah satu alat yang paling penting. Institusi kewangan bergantung secara berat kepada protokol enkripsi piawaian industri seperti AES-256 untuk melindungi data sensitif daripada dilihat oleh pihak yang tidak sepatutnya semasa proses pemindahan. Nombor-nombor juga memberikan gambaran yang jelas. Laporan Kebocoran Data terkini oleh Verizon menunjukkan bahawa hampir 60% daripada semua kejadian kebocoran boleh dielakkan sepenuhnya sekiranya enkripsi yang betul telah diterapkan. Bagi sesiapa sahaja yang bekerja dengan sistem kewangan, adalah wajar untuk memahami bagaimana pelbagai pendekatan enkripsi berfungsi. Enkripsi simetri mampu mengendalikan jumlah data yang besar dengan cepat, dan itulah sebabnya bank-bank sering menggunakannya untuk operasi harian. Sebaliknya, enkripsi asimetri menawarkan perlindungan yang lebih kuat tetapi dengan kos yang tinggi. Transaksi mengambil masa yang lebih lama apabila menggunakan kaedah ini, menyebabkan dilema klasik antara kehendak keselamatan maksimum dan keperluan kelajuan supaya pelanggan tidak berasa frustrasi.
Mengaplikasikan kawalan akses berlapis adalah sangat penting dalam mencegah individu daripada memasuki sistem tanpa kebenaran serta memastikan keselamatan data kewangan. Konsep utama di sini adalah menggabungkan pelbagai jenis pengesahan dan pengesahan autoriti supaya kita dapat mengenal pasti siapa individu tersebut sebelum membenarkan akses kepada maklumat yang sensitif. Sebagai contoh, pertimbangkan kawalan akses berdasarkan peranan (RBAC). Dengan menggunakan RBAC, individu hanya akan diberikan akses berdasarkan jawatan atau tanggungjawab mereka dalam syarikat. Ini dapat mengurangkan risiko penyalahgunaan secara tidak sengaja atau sengaja kerana individu tidak mempunyai akses yang tidak diperlukan. Malah, syarikat-syarikat sepatutnya menjalankan semakan secara berkala untuk memastikan hak akses yang dimiliki oleh setiap individu adalah tepat. Audit berkala seperti ini dapat mengesan isu seperti peningkatan keistimewaan akses, di mana seseorang memperoleh tahap akses yang terlalu tinggi secara tidak sepatutnya. Kejadian seperti ini sering berlaku, di mana ahli staf peringkat rendah memperoleh keistimewaan akses pada tahap pentadbir hanya disebabkan tiada pihak yang mengambil berat untuk meninjau semula hak akses tersebut. Audit berkala bukan sekadar kerja kertas kerja, tetapi merupakan salah satu cara terbaik untuk memastikan sistem kekal selamat dan setiap individu hanya dapat melihat maklumat yang benar-benar diperlukan untuk menjalankan tugas mereka.
Dengan begitu ramai orang membuat pembelian secara dalam talian pada masa kini, pengesanan penipuan secara masa nyata telah menjadi sangat perlu untuk memastikan wang selamat semasa urus niaga. Apabila penipuan dapat dikesan dengan segera, pihak bank dan peniaga boleh menghentikan pihak yang tidak bertanggungjawab sebelum mereka menyebabkan kerugian besar. Kajian menunjukkan bahawa pembelajaran mesin cukup berkesan dalam mengesan corak yang mencurigakan yang berkemungkinan menunjukkan penipuan, dan ini bermaksud kurang urus niaga yang sah akan tersalah tapis secara kebetulan sambil tetap berjaya mengesan kebanyakan kes penipuan sebenar. Namun terdapat masalah apabila cuba menghubungkan teknologi pengesanan penipuan yang baharu dengan sistem pembayaran lama yang dibina beberapa dekad yang lalu. Ramai syarikat menghadapi isu kesesuaian ini. Kebetulan, pendekatan-pendekatan baharu seperti menggunakan API untuk menghubungkan pelbagai sistem bersama dan membina perisian dalam bahagian-bahagian kecil yang boleh saling bertukar telah membantu menyelesaikan masalah ini. Pendekatan-pendekatan ini membolehkan perniagaan meningkatkan keselamatan mereka tanpa perlu menggantikan keseluruhan infrastruktur sedia ada, yang pada jangka panjang dapat menjimatkan masa dan wang.
Memastikan konfigurasi desktop dan pelayan dilakukan dengan betul masih merupakan keperluan untuk melindungi data kewangan daripada capaian tidak sah. Institusi kewangan perlu mematikan perkhidmatan yang tidak digunakan yang berjalan di latar belakang, memastikan perisian sentiasa dikemaskini secara berkala melalui pembaikan, dan melaksanakan piawaian keselamatan yang direka khusus untuk persekitaran perbankan. Insiden sebenar menunjukkan bagaimana konfigurasi yang lemah boleh mencipta kelemahan keselamatan yang besar. Salah satu insiden ketara melibatkan sebuah bank di mana tetapan pelayannya dibiarkan terbuka, membolehkan peretas mencuri rekod pelanggan yang sensitif bernilai jutaan ringgit. Kesilapan sebegini menegaskan mengapa langkah keselamatan yang ketat adalah sesuatu yang mesti dipatuhi. Apabila organisasi memastikan konfigurasi mereka betul sejak hari pertama lagi, mereka bukan sahaja melindungi mesin individu tetapi sebenarnya memperkukuhkan keseluruhan postur keselamatan siber dalam semua operasi mereka.
Kerangka Keselamatan Siber NIST bertindak sebagai peta jalan yang penting bagi syarikat-syarikat yang cuba mengesan, menangani, dan mengurangkan ancaman siber. Apabila diselaraskan dengan betul dalam sesebuah organisasi, ia meningkatkan ketahanan keseluruhan terhadap serangan, sesuatu yang sangat penting bagi CFO yang berurusan dengan pengurusan risiko setiap hari. Pendekatan keselamatan yang berstruktur membantu melindungi maklumat kewangan yang sensitif daripada ancaman baharu yang sentiasa bermunculan. Sudah tentu, pelaksanaan kerangka ini bukanlah perkara yang mudah. Ramai organisasi menghadapi kesukaran dalam memperuntukkan sumber yang mencukupi dan memahami butiran teknikal yang terlibat. Halangan-halangan ini sering kali boleh diatasi dengan program latihan staf yang mencukupi dan strategi perancangan jangka panjang yang bijak, yang disesuaikan dengan keperluan unik setiap perniagaan.
Memahami peraturan GDPR dan CCPA adalah sangat penting dalam pengurusan data secara betul dan memastikan keselamatannya. Undang-undang ini mengkehendaki syarikat-syarikat melaksanakan perlindungan yang ketat terhadap maklumat peribadi, dan kegagalan untuk mematuhinya boleh membawa kepada denda kewangan yang besar. Jangkauan peraturan ini juga tidak terhad kepada perniagaan tempatan sahaja, malah mempengaruhi cara syarikat-syarikat beroperasi di sempadan negara dan pengendalian pemindahan data antara negara, menjadikan kepatuhan terhadapnya kadangkala sukar untuk diuruskan. Bagi pegawai kewangan utama, mematuhi peraturan ini haruslah menjadi keutamaan kerana denda yang dikenakan boleh menjejaskan prestasi kewangan syarikat secara teruk. Selain itu, mengekalkan reputasi yang baik di pasaran antarabangsa juga bergantung kepada keupayaan syarikat untuk menunjukkan kepada pelanggan dan rakan kongsi bahawa privasi data diambil berat.
SEC mempunyai peraturan ketat mengenai bila syarikat perlu memberitahu pelabur tentang kejadian kegagalan keselamatan siber, yang menunjukkan betapa pentingnya perniagaan untuk kekal terbuka dan jujur berkaitan situasi kewangan mereka. Bagi pegawai kewangan utama, memahami peraturan ini bukan sekadar kerja kertas kerja—sebaliknya ini sebenarnya merupakan sebahagian daripada tugas mereka untuk memastikan keyakinan pemegang saham terhadap kestabilan syarikat. Jika kita melihat beberapa tahun kebelakangan ini, jelas kelihatan corak peningkatan hukuman oleh SEC terhadap firma yang gagal mendedahkan isu keselamatan dengan betul. Ambil kuartal lepas sahaja sebagai contoh, tiga buah syarikat besar telah dikenakan denda kerana memperlahankan pelaporan kejadian kebocoran data. Syarikat yang bijak akan membuat persiapan awal dengan mencipta strategi respons yang kukuh. Ini bermaksud mempunyai protokol yang jelas untuk mengenal pasti kejadian dengan cepat, memberitahu pihak berkenaan dalam masa beberapa jam sahaja berbanding hari, dan berkomunikasi secara transparan sepanjang proses tersebut. Apabila dikendalikan dengan betul, situasi sebegini tidak semestinya memusnahkan reputasi atau keuntungan syarikat.
Menguruskan risiko pembekal adalah penting untuk memastikan keselamatan data perniagaan dalam rantai bekalan yang kompleks. Kita telah melihat banyak kejadian di mana kebocoran pihak ketiga menyebabkan masalah besar kepada syarikat, ini menunjukkan betapa pentingnya proses penyaringan yang betul. Syarikat-syarikat biasanya menggunakan alat seperti rangka kerja Pengumpulan Maklumat Keselamatan bersama dengan pemeriksaan berkala terhadap pihak ketiga untuk menilai tahap keselamatan rakan kongsi mereka. Penilaian-penilaian ini membantu mencegah situasi di mana pihak luar mungkin mendedahkan maklumat yang sensitif. Bagi pemimpin kewangan yang memerhatikan aspek keuntungan, melaburkan masa untuk menjalankan penyaringan pembekal secara teliti bukan sahaja amalan yang baik, tetapi juga perlindungan yang diperlukan terhadap ancaman berpotensi yang wujud dalam hubungan pembekal. Kesimpulannya, tiada sesiapa mahu reputasi syarikatnya tercalar hanya kerana seorang subkontraktor mempunyai amalan keselamatan siber yang lemah.
Kenaikan teknologi AI telah benar-benar mengubah cara kita mengesan ancaman di dalam rangkaian, membuka peluang baharu dalam bidang keselamatan siber. Syarikat kini menggunakan pembelajaran mesin dan pelbagai sistem AI untuk mengesan masalah sebelum ia menjadi isu besar. Beberapa kajian menunjukkan pendekatan berbasis AI ini mampu mengesan ancaman sehingga 80% lebih baik daripada kaedah tradisional, memberi pasukan keselamatan kelebihan tersendiri dalam melindungi sistem mereka. Apabila memperkenalkan AI ke dalam sistem keselamatan sedia ada, kejayaan bergantung kepada bagaimana baik integrasi dilakukan. Ini bermakna perlu menilai kesesuaian pelbagai alat AI dengan infrastruktur yang sedia ada, serta melakukannya penyesuaian agar sejajar dengan keperluan khusus setiap perniagaan. Ramai organisasi mendapati bahawa meluangkan masa untuk memahami keperluan unik mereka akan membawa kepada hasil yang jauh lebih baik pada masa depan.
Teknologi blockchain membawa sesuatu yang benar-benar berbeza apabila datangnya kepada menjaga transaksi secara jujur dan terbuka. Apa yang membuatkannya menonjol ialah sekali maklumat direkodkan, tiada sesiapa yang boleh mengubahnya kemudian, yang mana menciptakan jejak audit yang berjalan secara automatik. Perniagaan yang mengendalikan pemindahan data yang sensitif mendapati ini sangat berguna. Ambil IBM sebagai contoh, mereka telah benar-benar menggunakan blockchain dalam proses audit mereka dan melihat peningkatan dari segi keselamatan serta berkurangnya ralat data. Namun begitu, masih terdapat beberapa halangan di hadapan. Ramai pihak masih beranggapan blockchain tidak boleh diskalakan dengan betul atau terlalu rumit untuk difahami. Melepasi salah faham ini akan membantu menunjukkan apa yang boleh dilakukan blockchain untuk audit. Kita memerlukan lebih banyak pendidikan mengenai bagaimana ia sebenarnya berfungsi dan peningkatan berterusan dalam teknologi itu sendiri untuk menjadikan segalanya lebih lancar bagi semua pihak yang terlibat.
Arkitek zero trust telah terbukti menjadi penting untuk memastikan tempat kerja hibrid kekal selamat, terutamanya sejak syarikat-syarikat mula kembali beroperasi selepas kawalan kesihatan semasa pandemik. Konsep utama di sini adalah ringkas tetapi berkesan: sahkan segala-galanya pada setiap titik capaian dan bukannya menganggap rangkaian dalaman sebagai kawasan selamat. Syarikat-syarikat yang telah mengaplikasikan pendekatan ini telah mencatatkan keputusan yang memberangsangkan mengikut kajian terkini yang menunjukkan penurunan sebanyak separuh dalam insiden keselamatan berbanding dengan syarikat yang masih menggunakan kaedah tradisional. Melaksanakan konsep zero trust ini memerlukan pemilihan alat teknologi yang sesuai. Sistem pengurusan identiti dan pengesahan berbilang faktor adalah antara komponen utama yang diperlukan dalam kebanyakan pelaksanaan. Apa yang paling berkesan bergantung kepada jenis perniagaan yang terlibat. Sebuah kilang pengeluaran memerlukan perlindungan yang berbeza berbanding dengan sebuah penyedia perkhidmatan dalam talian. Pelaksanaan yang berjaya memerlukan masa serta usaha untuk memetakan dengan tepat di mana aliran data sensitif berlaku dalam organisasi sebelum membangunkan sebarang benteng pertahanan terhadap serangan siber.
Komputasi kuantum terus berkembang dengan pesat, dan ini bermakna kaedah enkripsi sedia ada kini terancam. Kita benar-benar perlu mula bekerja pada penyelesaian yang mampu bertahan daripada serangan kuantum. Pakar keselamatan siber telah memperingatkan kita selama beberapa tahun bahawa ancaman kuantum ini mungkin menjadi masalah dalam tempoh sepuluh tahun sahaja. Persiapan untuk menghadapi kemungkinan ini memerlukan penyelidikan pelbagai projek yang sedang berlangsung di seluruh dunia. Ambil contoh Institut Kepujian Standard Kebangsaan yang telah memimpin usaha membangunkan piawaian enkripsi baru yang akan melindungi maklumat penting walaupun apabila komputer kuantum mula digunakan. Syarikat-syarikat yang ingin kekal di hadapan sediaan ini mesti mula memikirkan bagaimana mereka akan mengendalikan sistem enkripsi mereka pada masa depan. Lagipun, tiada siapa yang mahu terjaga suatu hari nanti dan mendapati data mereka tidak lagi selamat kerana seseorang itu telah membina komputer yang lebih baik.
Bagi CFO yang berurusan dengan kekompleksan operasi perniagaan moden, insurans siber bukan sekadar satu baris lagi dalam senarai perbelanjaan tetapi merupakan elemen penting dalam pendekatan pengurusan risiko mereka. Pencerobohan data kini merupakan perkara yang mahal, seringkali menelan kos berjuta-juta dolar kepada syarikat apabila semua faktor diambil kira. Ambil kira dapatan IBM pada tahun 2021 yang menunjukkan purata kos pencerobohan adalah sekitar $4.24 juta. Insurans siber membantu menampung kos-kos tidak dijangka seperti bayaran kepada peguam, membaiki sistem yang rosak, dan mengendalikan penalti dari pihak berkuasa yang timbul selepas berlakunya serangan. Dalam mempertimbangkan jumlah perbelanjaan untuk perlindungan ini, pemimpin kewangan perlu menilai nilai yang diperoleh berbanding dengan bidang perbelanjaan keselamatan yang lain. Walaupun memiliki insurans dapat melindungi daripada situasi terburuk, perniagaan yang bijak juga akan memperuntukkan sumber untuk usaha pencegahan supaya tidak sampai ke tahap perlu memohon sokongan tuntutan. Pada akhirnya, mencegah masalah sebelum berlaku tetap lebih baik daripada cuba membersihkan kesan selepas berlaku.
Latihan kesedaran keselamatan benar-benar memberi kesan apabila datang untuk mengubah cara pekerja berkelakuan dan mengurangkan masalah keselamatan. Syarikat-syarikat yang melaksanakan program ini sering kali menyaksikan penurunan besar dalam insiden, yang menunjukkan program ini berbaloi dengan perbelanjaan yang dikeluarkan. Ambil contoh kajian KnowBe4, mereka mendapati usaha pengenalan penipuan melalui e-mel (phishing) berkurangan sebanyak 90% selepas individu mengikuti program latihan mereka. Pegawai kewangan yang ingin menilai keberkesanan usaha-usaha ini patut mempertimbangkan beberapa faktor termasuk bilangan insiden yang berlaku dari semasa ke semasa, seberapa cepat pasukan bertindak apabila berlakunya masalah, dan tahap keterlibatan staf sebenarnya semasa sesi latihan. Cara lain yang baik untuk mengukur kejayaan adalah dengan melihat secara langsung berapa banyak wang yang berjaya dijimatkan kerana berkurangnya kes jolokan keselamatan yang berlaku dalam syarikat.
Apabila sampai ke peringkat melaporkan risiko siber kepada lembaga pengarah, adalah penting untuk terbuka tentang isu-isu ini sekiranya syarikat ingin membuat keputusan jangka panjang yang bijak. Laporan yang baik akan memudahkan semua masalah teknologi yang rumit dan mengubahnya kepada sesuatu yang boleh digunakan oleh pihak pengurusan. Beberapa tip asas? Gunakan bahasa yang mudah difahami, tumpukan perhatian terlebih dahulu kepada risiko yang paling utama, dan jangan lupa mencadangkan langkah-langkah yang perlu diambil seterusnya. Ambil Microsoft sebagai contoh. Mereka telah lebih berpengalaman dalam penyediaan laporan untuk lembaga pengarah dengan mencipta papan pemuka yang menunjukkan secara tepat ancaman keselamatan semasa dan cara mereka bertindak balas. Keterbukaan sebegini membantu pihak kepimpinan bertindak sebelum keadaan menjadi lebih buruk, selain menunjukkan kepada pelabur dan pelanggan bahawa syarikat benar-benar serius dalam melindungi asetnya. Lagipun, tiada siapa yang ingin melabur ke dalam perniagaan yang menyembunyikan kelemahan-kelemahannya.
Apabila perniagaan memasukkan analisis skrin komputer ke dalam rancangan keselamatan siber mereka, mereka sebenarnya menjadi lebih baik dalam mengesan ancaman seawal awal. Dengan melihat cara pengguna berinteraksi dengan sistem dan mengesan corak yang tidak biasa pada skrin, ini membantu mengesan masalah sebelum ia bertukar menjadi serangan penuh. Pasukan keselamatan biasanya bergantung kepada alat-alat seperti sistem SIEM untuk mengumpul semua data aktiviti skrin ini dan menanda sebarang perkara yang mencurigakan. Sebagai contoh, sesetengah syarikat mendapati mereka mampu bertindak balas terhadap cubaan pencerobohan sehingga 40% lebih cepat selepas melaksanakan analisis skrin. Walaupun tiada sistem yang sempurna, ramai pengurus IT melaporkan rasa lebih yakin terhadap pertahanan mereka apabila mereka benar-benar dapat melihat apa yang berlaku di seluruh rangkaian mereka secara masa nyata.
Ayat Transisi ke Bahagian Seterusnya: Setelah meneroka pendekatan berbilang aspek untuk memperoperasikan keselamatan melalui kepimpinan CFO, marilah kita menerokai teknologi baharu yang sedang mentakrifkan semula ciri-ciri keselamatan komputer, dengan menjelaskan bagaimana AI, blockchain, dan inovasi lain sedang mengubah landskap tersebut.
EN
AR
BG
HR
CS
DA
NL
FR
DE
EL
HI
IT
JA
KO
NO
PL
PT
RO
RU
ES
SV
TL
IW
ID
SR
SK
VI
HU
TH
TR
FA
AF
MS
SW
UR
BN
HA
KM
MN
UZ
