Wat het beschermen van financiële gegevens betreft, valt encryptie op als een van de belangrijkste beschikbare tools. Financiële instellingen verlaten zich sterk op standaard encryptieprotocollen uit de industrie, zoals AES-256, om gevoelige gegevens te beschermen tegen ongeoorloofde toegang tijdens overdracht. De cijfers vertellen ook een overtuigend verhaal. Het nieuwste Data Breach-rapport van Verizon laat zien dat bijna 60% van alle datalekken volledig hadden kunnen worden voorkomen indien juiste encryptie was toegepast. Voor iedereen die werkt met financiële systemen is het zinvol om vertrouwd te raken met de werking van verschillende encryptiebenaderingen. Symmetrische encryptie verwerkt grote hoeveelheden gegevens snel, wat is waarom banken deze vaak gebruiken voor de dagelijkse operaties. Asymmetrische encryptie daarentegen biedt sterke beveiliging, maar heeft ook nadelen. Transacties duren langer wanneer deze methode wordt gebruikt, wat leidt tot het klassieke dilemma tussen de wens om maximale beveiliging en de noodzaak van snelheid, zodat klanten niet teleurgesteld worden.
Het implementeren van meervoudige toegangscontroles is erg belangrijk bij het voorkomen dat onbevoegden toegang krijgen en het beschermen van financiële gegevens. Het basisidee is hier om verschillende verificaties en autorisaties te combineren, zodat we zeker weten wie iemand daadwerkelijk is voordat we toegang geven tot gevoelige informatie. Neem bijvoorbeeld rollen gebaseerde toegangscontrole (RBAC). Met RBAC krijgen mensen alleen de toegang die ze nodig hebben op basis van hun functie binnen het bedrijf. Dit vermindert het risico op onopzettelijk of opzettelijk misbruik, omdat mensen niet overbodige toegangsrechten hebben. Terzijde, bedrijven zouden regelmatig audits moeten uitvoeren om te controleren wie welke toegangsrechten heeft. Deze audits helpen bij het opsporen van problemen zoals privilege escalatie, waarbij iemand per ongeluk of met opzet veel meer toegang heeft dan verantwoord is. Wij hebben dit helaas vaak gezien, waarbij junior medewerkers uiteindelijk beheerdersrechten hadden omdat niemand de toegangsrechten adequaat had gecontroleerd. Regelmatige audits zijn niet alleen maar papierwerk; het is daadwerkelijk een van de beste manieren om systemen veilig te houden en ervoor te zorgen dat iedereen alleen toegang heeft tot wat strikt noodzakelijk is voor hun werk.
Met zoveel mensen die tegenwoordig online aankopen doen, is real-time fraude detectie absoluut noodzakelijk geworden om het geld veilig te houden tijdens transacties. Wanneer fraude direct wordt opgespoord, kunnen banken en handelaren schadelijke actoren stoppen voordat zij grote verliezen veroorzaken. Onderzoek wijst uit dat machine learning vrij goed werkt bij het herkennen van verdachte patronen die mogelijk op fraude duiden. Dat betekent dat minder legitieme transacties per ongeluk worden gemarkeerd, terwijl het merendeel van de echte fraudegevallen toch wordt opgepikt. Maar er is een probleem wanneer men nieuwe fraudedetectietechnologie probeert te koppelen aan oudere betalingssystemen die tientallen jaren geleden zijn ontwikkeld. Veel bedrijven worstelen met deze compatibiliteitsproblemen. Gelukkig helpen nieuwere aanpakken, zoals het gebruik van API's om verschillende systemen met elkaar te verbinden en het bouwen van software in kleinere, uitwisselbare onderdelen, om dit probleem op te lossen. Deze methoden stellen bedrijven in staat om hun beveiliging bij te werken zonder dat ze al hun bestaande infrastructuur volledig hoeven te vervangen, wat op de lange termijn zowel tijd als geld bespaart.
Het goed configureren van desktops en servers blijft essentieel om financiële gegevens te beschermen tegen ongeoorloofde toegang. Financiële instellingen zouden ongebruikte diensten die op de achtergrond draaien moeten uitschakelen, regelmatig software-updates via patches moeten toepassen en beveiligingsstandaarden moeten implementeren die specifiek zijn ontworpen voor bankomgevingen. Incidenten uit de praktijk tonen aan hoe zwakke configuraties grote beveiligingsgaten kunnen creëren. Een opmerkelijk incident betrof een bank waarvan de serverinstellingen openstonden, waardoor hackers gevoelige klantgegevens konden stelen van miljoenen euro's aan waarde. Dit soort fouten benadrukt waarom strikte beveiligingsmaatregelen onontkoombaar zijn. Wanneer organisaties hun configuraties vanaf dag één goed aanpakken, beschermen ze niet alleen individuele machines, maar versterken ze ook hun algehele cyberbeveiligingspositie over alle operaties heen.
Het cybersecuritykader van NIST fungeert als een essentiële routebeschrijving voor bedrijven die proberen cyberdreigingen op te sporen, te beheren en te verminderen. Wanneer het op de juiste manier binnen een organisatie wordt geïntegreerd, versterkt het de algehele weerbaarheid tegen aanvallen, iets wat voor CFO's die dagelijks te maken hebben met risicobeheer erg belangrijk is. Een gestructureerde beveiligingsaanpak helpt bij het beschermen van gevoelige financiële informatie tegen steeds nieuwe soorten bedreigingen. Uiteraard is het implementeren van dit kader niet eenvoudig. Veel organisaties worstelen met het toewijzen van voldoende middelen en het begrijpen van de technische details. Deze obstakels kunnen vaak worden overwonnen met behulp van adequate medewerkersopleidingsprogramma's en slimme langetermijnplanningsstrategieën die zijn afgestemd op de unieke behoeften van elk bedrijf.
Het goed begrijpen van de GDPR- en CCPA-regels is erg belangrijk bij het correct beheren en beveiligen van gegevens. Deze wetten vereisen dat bedrijven behoorlijke beschermmaatregelen implementeren rondom persoonlijke informatie, en het niet naleven ervan kan leiden tot ernstige boetes. De reikwijdte van deze regelgeving gaat verder dan alleen lokale bedrijven; het beïnvloedt ook hoe ondernemingen operationeel omgaan met grensoverschrijdende gegevensoverdrachten, waardoor naleving soms behoorlijk complex kan zijn. Voor financieel directeuren moet het naleven van deze regels hoog op de prioriteitenlijst staan, omdat boetes ernstige gevolgen kunnen hebben voor de winstgevendheid. Daarnaast is het behouden van een goede positie op internationale markten sterk afhankelijk van het aantonen dat het bedrijf gegevensbescherming serieus neemt.
De SEC heeft strikte regels over wanneer bedrijven investeerders moeten informeren over beveiligingsincidenten, wat laat zien hoe belangrijk het is dat bedrijven open en eerlijk blijven over hun financiële situatie. Voor financieel directeuren is het leren kennen van deze regelgeving niet alleen een kwestie van papierwerk – het maakt deel uit van hun taak om aandeelhouders vertrouwen in de stabiliteit van het bedrijf te houden. Kijkt u naar recente jaren, dan is er duidelijk een patroon van meer boetes van de SEC tegen bedrijven die beveiligingsproblemen onvoldoende meldden. Neem alleen het afgelopen kwartaal, waarin drie grote bedrijven boetes kregen omdat ze de melding van gegevenslekken hadden uitgesteld. Slimme bedrijven bereiden zich van tevoren voor door sterke responsstrategieën op te zetten. Dit betekent duidelijke protocollen hebben om incidenten snel te detecteren, belanghebbenden binnen uren in plaats van dagen te informeren en gedurende het hele proces transparant te communiceren. Wanneer het goed wordt aangepakt, hoeft zo'n situatie de reputatie of winstgevendheid van een bedrijf niet per se te schaden.
Het beheren van leveranciersrisico's is essentieel om bedrijfsgegevens veilig te houden in complexe supply chains. We hebben talloze voorbeelden gezien waarin schendingen via derden grote problemen hebben veroorzaakt voor bedrijven, wat laat zien hoe belangrijk grondig screenen is. Bedrijven maken vaak gebruik van tools zoals Security Intelligence Gathering-frameworks en regelmatige controles van derden om te beoordelen hoe veilig hun partners daadwerkelijk zijn. Deze evaluaties helpen voorkomen dat externe samenwerkingen gevoelige informatie blootstellen. Voor financiële leiders die kijken naar de financiële gevolgen, is tijd investeren in grondige leveranciersbeoordeling niet alleen goede praktijk, maar ook een noodzakelijke bescherming tegen potentiële bedreigingen die schuilgaan in leveranciersrelaties. Uiteindelijk wil niemand dat de reputatie van hun bedrijf wordt aangetast omdat een onderaannemer slechte cyberbeveiligingsgewoontes had.
De opkomst van AI-technologie heeft de manier waarop we bedreigingen binnen netwerken detecteren volledig veranderd en opent geheel nieuwe mogelijkheden voor cybersecurity. Bedrijven gebruiken momenteel machine learning en diverse AI-systemen om problemen op te sporen voordat ze uitgroeien tot grote problemen. Sommige studies tonen aan dat deze AI-aanpakken bedreigingen tot wel 80% effectiever kunnen detecteren dan traditionele methoden, wat securityteams een duidelijk voordeel oplevert bij het beschermen van hun systemen. Bij de integratie van AI in bestaande securityoplossingen hangt het behalen van goede resultaten af van een naadloze samenwerking tussen de systemen. Dit betekent dat men moet kijken naar de mate waarin verschillende AI-tools compatibel zijn met de huidige oplossingen en ze moet aanpassen aan de specifieke behoeften van het bedrijf. Veel organisaties constateren dat het nemen van de tijd om hun unieke eisen te begrijpen leidt tot veel betere resultaten op de lange termijn.
Blockchain-technologie brengt iets echt nieuws wanneer het gaat om het waarborgen van eerlijke en open transacties. Wat het zo bijzonder maakt, is dat informatie die eenmaal is geregistreerd, niet meer gewijzigd kan worden, waardoor er automatisch een controlepad ontstaat. Bedrijven die te maken hebben met gevoelige datatransfers, vinden dit zeer nuttig. Neem bijvoorbeeld IBM, die blockchain daadwerkelijk heeft ingezet in hun auditprocessen en hierdoor betere beveiliging en minder dat fouten hebben bereikt. Toch zijn er nog obstakels. Velen mensen denken nog steeds dat blockchain niet goed schaalbaar is of te ingewikkeld om te begrijpen. Het overwinnen van deze misverstanden zou veel kunnen betekenen om te laten zien wat blockchain kan betekenen voor audits. Meer educatie over hoe het werkelijk werkt en verdere technologische verbeteringen zijn nodig om het voor iedereen beter toegankelijk en efficiënter te maken.
Zero Trust Architecture heeft zich bewezen als essentieel voor het veilig houden van hybride werkomgevingen, vooral sinds bedrijven na de pandemie-lockdowns weer begonnen terug te keren. Het kernidee hier is eenvoudig maar krachtig: verifieer alles bij elke toegangspunt, in plaats van aan te nemen dat interne netwerken veilige zones zijn. Bedrijven die deze aanpak hebben geadopteerd, behaalden indrukwekkende resultaten, volgens recente studies met ongeveer 50% minder beveiligingsincidenten in vergelijking met bedrijven die nog steeds traditionele methoden gebruiken. Zero Trust in de praktijk brengen betekent echter het kiezen van de juiste technische tools. Identiteitsbeheersystemen en multi-factor authenticatie zijn onmisbaar voor de meeste implementaties. Wat het beste werkt, hangt sterk af van het soort bedrijf. Een productiefaciliteit heeft andere beveiligingsmaatregelen nodig dan een aanbieder van online diensten. Het goed implementeren hiervan kost tijd en omvat het in kaart brengen van de stromen van gevoelige gegevens binnen de organisatie, voordat daadwerkelijke verdedigingsmechanismen tegen cyberaanvallen worden opgebouwd.
Quantumcomputing blijft razendsnel vooruitgang boeken, en dat betekent dat onze huidige encryptiemethoden nu in gevaar verkeren. We moeten echt beginnen met het ontwikkelen van oplossingen die bestand zijn tegen quantum-aanvallen. Cybersecurity-experts waarschuwen ons al jaren dat deze quantumbedreigingen mogelijk al binnen tien jaar werkelijkheid kunnen worden. Het voorbereiden op wat komen gaat, vereist het inzien van allerlei onderzoeksprojecten die momenteel wereldwijd plaatsvinden. Neem bijvoorbeeld het National Institute of Standards and Technology, dat al jaren de voortrekkersrol speelt bij de ontwikkeling van nieuwe encryptiestandaarden die belangrijke informatie ook in de toekomst veilig zullen houden, zelfs wanneer quantumcomputers operationeel worden. Ondernemingen die voorop willen lopen, zouden er verstandig aan doen nu al na te denken over de toekomstige aanpak van hun encryptiesystemen. Uiteindelijk wil niemand op een ochtend wakker worden en ontdekken dat hun gegevens niet langer veilig zijn omdat iemand een betere computer heeft gebouwd.
Voor CFO's die te maken hebben met de complexiteit van moderne bedrijfsoperaties, is cyberverzekering niet zomaar een regel in de begroting, maar een essentieel onderdeel van hun risicobeheerstrategie. Gegevenslekken zijn tegenwoordig kostbare aangelegenheden, die vaak miljoenen dollars kosten als alle schade is hersteld. Neem de bevindingen van IBM uit 2021, waarbij de gemiddelde schade van een lek rond de 4,24 miljoen dollar lag. Een cyberverzekering helpt bij het dekken van onverwachte kosten zoals advocatenvergoedingen, het herstellen van beschadigde systemen en het afhandelen van regelgevende boetes die na een aanval kunnen ontstaan. Bij het bepalen van het bedrag dat aan deze dekking moet worden uitgegeven, moeten financiële leiders de balans opmaken tussen wat ze krijgen en andere beveiligingsuitgaven. Hoewel verzekering bescherming biedt tegen ergste-scenario's, besteden slimme bedrijven ook budget aan preventieve maatregelen, zodat ze uiteindelijk geen beroep hoeven te doen op de verzekering. Want het voorkomen van problemen blijft immers altijd beter dan het opruimen van de gevolgen achteraf.
Security awareness training maakt echt een verschil wanneer het gaat om het veranderen van het gedrag van medewerkers en het verminderen van beveiligingsproblemen. Bedrijven die deze programma's implementeren, ervaren vaak een aanzienlijke daling van incidenten, wat aantoont dat de investering de moeite waard is. Neem bijvoorbeeld KnowBe4's onderzoek: zij ontdekten dat phishingpogingen ongeveer 90% daalden nadat mensen hun training hadden gevolgd. Financiële managers die willen beoordelen of deze inspanningen effectief zijn, zouden meerdere aspecten moeten bekijken, zoals het aantal incidenten over een bepaalde periode, hoe snel teams reageren wanneer er iets misgaat en hoe betrokken medewerkers daadwerkelijk zijn tijdens de trainingssessies. Een andere goede manier om succes te meten, is simpelweg te kijken naar hoeveel geld er wordt bespaard doordat er minder beveiligingslekken binnen het bedrijf plaatsvinden.
Wat betreft het rapporteren van cyber-risico's aan bestuursorganen is het van groot belang dat bedrijven open zijn over deze kwesties als ze slimme, langetermijnbeslissingen willen nemen. Goede rapporten nemen al die gecompliceerde technische problemen en vertalen die in iets waarmee de directie daadwerkelijk kan werken. Enkele basistips? Gebruik eenvoudige taal, richt u allereerst op de risico's die het belangrijkst zijn, en vergeet niet aan te geven wat er als volgende moet gebeuren. Neem bijvoorbeeld Microsoft. Zij zijn al geruime tijd voorop met hun bestuursrapporten en hebben dashboards ontwikkeld die precies aangeven welke beveiligingsdreigingen er momenteel zijn en hoe zij daarop reageren. Deze mate van openheid helpt leidinggevenden om actie te ondernemen voordat er problemen ontstaan, en laat ook aan investeerders en klanten zien dat het bedrijf het beschermen van zijn bezittingen serieus neemt. Uiteindelijk wil niemand investeren in een bedrijf dat zijn kwetsbaarheden verborgen houdt.
Wanneer bedrijven computermonitoranalyse integreren in hun cybersecuritystrategie, worden ze eigenlijk beter in het vroegtijdig detecteren van bedreigingen. Het analyseren van de manier waarop gebruikers met systemen omgaan en het opmerken van vreemde patronen op schermen helpt om problemen op te sporen voordat ze uitgroeien tot volledige aanvallen. Securityteams verlaten zich vaak op tools zoals SIEM-systemen om al deze schermactiviteiten te verzamelen en verdachte activiteiten te markeren. Sommige bedrijven merkten bijvoorbeeld dat ze tot wel 40% sneller konden reageren op mogelijke infiltraties nadat ze monitoranalyse hadden ingevoerd. Hoewel geen enkel systeem volledig veilig is, melden veel IT-managers zich meer zekerheid te voelen over hun verdediging wanneer ze letterlijk kunnen zien wat er in real-time gebeurt op hun netwerken.
Overgangszin naar de volgende sectie: Na het verkennen van de veelzijdige aanpak voor het operationaliseren van beveiliging via leiderschap van de CFO, gaan we nu in op de opkomende technologieën die computerveiligheidsfuncties opnieuw vormgeven, en leggen we uit hoe AI, blockchain en andere innovaties het landschap transformeren.
EN
AR
BG
HR
CS
DA
NL
FR
DE
EL
HI
IT
JA
KO
NO
PL
PT
RO
RU
ES
SV
TL
IW
ID
SR
SK
VI
HU
TH
TR
FA
AF
MS
SW
UR
BN
HA
KM
MN
UZ
