Når det gjelder å beskytte finansiell informasjon, skiller kryptering seg som ett av de viktigste verktøyene. Finansinstitusjoner stoler stort sett på bransjestandard krypteringsprotokoller som AES-256 for å skjerme sensitiv data mot uønsket innsyn under overføringer. Tallene forteller også en overbevisende historie. Ifølge Verizons siste datainnbruddsrapport kunne nesten 60 % av alle innbrudd vært stoppet helt hvis riktig kryptering hadde vært på plass. For enhver som arbeider med finanssystemer, gir det mening å bli kjent med hvordan ulike krypteringsmetoder fungerer. Symmetrisk kryptering håndterer store mengder data raskt, noe som forklarer hvorfor banker ofte bruker den til daglig drift. Asymmetrisk kryptering derimot tilbyr sterkere beskyttelse, men med en pris. Transaksjoner tar lenger tid når denne metoden brukes, og skaper dermed det klassiske dilemmaet mellom å ønske maksimal sikkerhet og å trenge hastighet nok til at kundene ikke blir frustrerte.
Det er virkelig viktig å sette i verk flerlags tilgangskontroll for å hindre at personer kommer inn uten tillatelse og for å beskytte finansielle data. Den grunnleggende ideen her er å kombinere forskjellige sjekker og godkjenninger slik at vi vet hvem personen faktisk er, før de får tilgang til noe følsomt. Ta for eksempel rollebasert tilgangskontroll. Med RBAC får personer bare det de trenger, basert på stillingen deres i bedriften. Dette reduserer risikoen for utilsiktet eller bevisst misbruk, fordi folk ikke går rundt med tilgang de ikke trenger. Og mens vi snakker om dette, bør bedrifter gjennomføre jevnlige revisjoner av hvem som har hvilke tilgangsrettigheter. Disse revisjonene oppdager problemer som privilegieuskalering, hvor noen på en eller annen måte får langt mer tilgang enn de skal ha. Vi har sett dette skje for ofte, hvor ansatte med lavere stilling ender opp med administratorrettigheter bare fordi ingen bød på å gjennomgå tilgangsrettighetene ordentlig. Rutinemessig revisjon er ikke bare papirarbeid – det er faktisk en av de beste måtene å sikre systemene på, samtidig som man sørger for at alle kun ser det de absolutt trenger for å gjøre jobben sin.
Med så mange mennesker som gjør kjøp på nett disse dager, har sanntidsbedragerioppdaging blitt helt nødvendig for å beskytte penger under transaksjoner. Når bedrageri oppdages med en gang, kan banker og selgere stoppe dårlige aktører før de forårsaker store tap. Studier viser at maskinlæring fungerer ganske bra til å oppdage mistenkelige mønster som kan tyde på bedrageri, noe som betyr færre lovlige transaksjoner blir feilaktig merket, mens de fleste reelle bedrageritilfellene likevel oppdages. Men det er et problem når man prøver å koble ny teknologi for bedragerioppdaging sammen med eldre betalingssystemer som ble bygget for mange tiår siden. Mange selskaper har vanskeligheter med dette kompatibilitetsproblemet. Heldigvis hjelper nyere tilnærminger som for eksempel bruk av API-er for å koble sammen ulike systemer og bygge programvare i mindre, utskiftbare deler til å løse dette problemet. Disse metodene lar bedrifter oppgradere sikkerheten uten å måtte erstatte hele den eksisterende infrastrukturen, noe som sparer både tid og penger på lang sikt.
Å holde skrivebord og servere riktig konfigurert er fortsatt avgjørende for å beskytte finansielle data mot uautorisert tilgang. Finansinstitusjoner bør deaktivere ubrukte tjenester som kjører i bakgrunnen, sørge for at programvare blir oppdatert regelmessig gjennom programoppdateringer og implementere sikkerhetsstandarder som er spesielt utviklet for bankmiljøer. Virkelige hendelser viser hvordan svake konfigurasjoner kan skape alvorlige sikkerhetshull. En kjent hendelse involverte en bank hvis serverinnstillinger var blitt åpne, noe som tillot hackere å stjele følsomme kunderegister med millionverdi. Denne typen feil viser hvorfor strenge sikkerhetstiltak er uunnværlige. Når organisasjoner får konfigurasjonene riktig fra første dag, beskytter de ikke bare enkelte maskiner, men styrker hele sin cybersikkerhetsposisjon over alle operasjoner.
NISTs cybersikkerhetsrammeverk fungerer som en viktig veibok for selskaper som prøver å identifisere, håndtere og redusere cybertrusler. Når det er riktig integrert i en organisasjon, styrker det den totale motstanden mot angrep, noe som er svært viktig for CFO-er som daglig står overfor risikostyring. En strukturert sikkerhetsapproksjon hjelper til med å beskytte sensitiv finansiell informasjon mot stadig nye trusler som dukker opp. Selvfølgelig er det ikke lett å sette denne rammeverket i praksis. Mange organisasjoner sliter med å allokere tilstrekkelige ressurser og forstå de tekniske detaljene som er involvert. Disse utfordringene kan ofte overkommes med egnet personopplæring og langsiktige planleggingsstrategier tilpasset hver enkelt virksomhets unike behov.
Å få kontroll over GDPR- og CCPA-regler er veldig viktig når det gjelder å håndtere data på en riktig og sikker måte. Disse lovene krever at selskaper implementerer ganske strenge beskyttelser rundt personlig informasjon, og å ikke følge dem kan føre til alvorlige økonomiske boter. Rekkevidden til disse reglene går langt utover kun lokale bedrifter, da de påvirker hvordan selskaper opererer tvers av grenser og håndterer dataoverføringer mellom land, noe som gjør etterlevelse til en ekte hodepine noen ganger. For konsernsjefer bør å følge disse reglene være høyt prioritert, fordi å bli påsatt boter vil skade økonomien alvorlig. I tillegg avhenger det å opprettholde et godt omdømme i internasjonale markeder sterkt av å vise kunder og partnere at selskapet tar databeskyttelse på alvor.
SEC har strenge regler for når selskaper må informere investorer om sikkerhetsbrudd i cybersikkerhet, noe som viser hvor avgjørende det er for bedrifter å være åpne og ærlige når det gjelder deres økonomiske situasjon. For finansdirektører er det ikke bare en formalitet å bli kjent med disse reglene – det er faktisk en del av deres ansvar å sikre at aksjonærene beholder tillit til selskapets stabilitet. Ser man på de siste årene, er det tydelig at SEC har økt antall bøter mot selskaper som ikke har rapportert sikkerhetsproblemer ordentlig. Bare i fjor kvartal fikk tre store selskaper bøter fordi de utelatte eller forsinket rapportering av datainnbrudd. Kloke selskaper forbereder seg på forhånd ved å utvikle solide responsstrategier. Dette innebærer å etablere klare protokoller for å raskt identifisere hendelser, varsle relevante parter innen timer fremfor dager og kommunisere åpent og tydelig gjennom hele prosessen. Håndteres situasjonen riktig, fører det ikke nødvendigvis til at selskapets rykte eller økonomi blir ødelagt.
Å håndtere leverandørusikker er avgjørende for å beskytte bedriftens data i komplekse leverandkjeder. Vi har sett mange tilfeller der tredjepartsbrudd har ført til store problemer for selskaper, noe som viser hvorfor grundig vurdering er så viktig. Selskaper bruker ofte verktøy som sikkerhetsintelligensrammer sammen med jevnlige tredjepartssjekker for å vurdere hvor sikre partnerne deres faktisk er. Disse vurderingene bidrar til å forhindre situasjoner der eksterne samarbeidspartnere kan utsette sensitiv informasjon. For finansledere som ser på bunden linje, er det ikke bare en god praksis å investere tid i grundig leverandørvurdering, men også en nødvendig beskyttelse mot potensielle trusler som skjuler seg i leverandørrelasjoner. Til slutt ønsker jo ingen at selskapets rykte skal skades fordi en underleverandør hadde dårlige cybersikkerhetsvaner.
Den økende bruk av AI-teknologi har fullstendig endret måten vi oppdager trusler i nettverk på, og åpnet helt nye muligheter innen cybersikkerhet. Selskaper benytter nå maskinlæring og ulike AI-systemer for å oppdage problemer før de blir større saker. Visse studier viser at slike AI-baserte metoder faktisk kan oppdage trusler omtrent 80 % bedre enn tradisjonelle metoder, noe som gir sikkerhetsteam en klar fordel når de skal beskytte sine systemer. Når AI skal integreres i eksisterende sikkerhetsløsninger, avhenger vellykket implementering av at alt fungerer godt sammen. Dette innebærer å vurdere hvor godt forskjellige AI-verktøy passer med det som allerede er på plass, samtidig som de tilpasses for å møte spesifikke bedriftsbehov. Mange organisasjoner oppdager at det å bruke tid på å forstå sine unike krav først og fremst fører til langt bedre resultater på sikt.
Blockchain-teknologi bringer noe helt unikt med seg når det gjelder å sørge for at transaksjoner er ærlige og åpne. Det som gjør den spesiell, er at når informasjon først er registrert, kan ingen endre den etterpå, noe som skaper en revisjonslogg som automatisk ordner seg selv. Bedrifter som håndterer overføring av sensitiv data finner dette ekstremt nyttig. Ta IBM som et eksempel, de har faktisk tatt blockchain- teknologien i bruk i sine revisjonsprosesser og oppnådd bedre sikkerhetsresultater og færre datafeil. Likevel ligger det fremdeles utfordringer i vente. Mange tror fortsatt at blockchain ikke skalerer ordentlig eller at den er altfor komplisert å forstå. Å overkomme disse misforståelsene ville vise tydeligere hva blockchain kan bidra med for revisjon. Vi trenger mer opplæring i hvordan den faktisk fungerer og videre teknologisk utvikling for å gjøre bruken enklere for alle involverte.
Zero Trust-arkitektur har vist seg å være avgjørende for å sikre hybride arbeidsplasser, spesielt siden selskaper begynte å komme tilbake etter pandemilåsene. Den sentrale idéen her er enkel men kraftfull: verifiser alt ved hver tilgangspunkt i stedet for å anta at interne nettverk er trygge soner. Selskaper som har tatt i bruk denne tilnærmingen, har oppnådd imponerende resultater, ifølge nylige studier som viser omtrent halvparten færre sikkerhetsincidenter sammenlignet med de som fortsatt bruker tradisjonelle metoder. Å sette Zero Trust i praksis innebærer å velge riktige teknologiverktøy. Identitetsstyringssystemer og flerfaktorautentisering er nødvendigheter i de fleste implementeringer. Hva som fungerer best, avhenger virkelig av hvilken type virksomhet det er spørsmål om. En produksjonsfabrikk vil trenge andre beskyttelsesmekanismer enn en leverandør av nettjenester. Å få dette til krever tid og innebærer å kartlegge nøyaktig hvor følsom informasjon flyter i organisasjonen før man bygger faktiske forsvar mot cyberangrep.
Kvantedatateknologi utvikler seg raskt, og dette betyr at våre eksisterende krypteringsmetoder nå er i fare. Vi må virkelig begynne å arbeide med løsninger som kan stå imot angrep fra kvantedatamaskiner. IT-sikkerhetseksperter har advart oss i årevis om at disse kvantetruslene faktisk kan bli et problem om cirka ti år. Å forberede seg på det som kommer, innebærer å følge med på de mange forskningsprosjektene som akkurat nå skjer over hele verden. Ta for eksempel National Institute of Standards and Technology, som har ledet arbeidet med å utvikle nye krypteringsstandarder som skal beskytte viktig informasjon også når kvantedatamaskiner blir tilgjengelige. Selskaper som ønsker å være i forkant av utviklingen, bør helt klart begynne å tenke på hvordan de skal håndtere krypteringssystemene sine i fremtiden. Til slutt er det jo ingen som ønsker å våkne en dag og oppdage at dataene deres ikke lenger er sikre fordi noen har bygget en bedre datamaskin.
For CFO-er som håndterer kompleksiteten i moderne forretningsdrift, er cyberforsikring ikke bare en post i regnskapet, men en nødvendig del av deres risikostyringsstrategi. Databreacher er kostbare hendelser disse dager, og koster ofte selskaper flere millioner dollar når alt er sagt og gjort. Ta for eksempel IBMs funn fra 2021, som angav at den gjennomsnittlige breachen kostet omtrent 4,24 millioner dollar. Cyberforsikring hjelper med å dekke de uventede kostnadene, som for eksempel betaling av advokater, reparer av skadede systemer og håndtering av regulatoriske boter som oppstår etter en angrepshendelse. Når man vurderer hvor mye man skal investere i en slik dekning, må finansledere avveie hva de får ut av forsikringen i forhold til andre sikkerhetsrelaterte utgifter. Selv om forsikring gir beskyttelse mot verste scenario, setter smarte bedrifter også av ressurser til prevensjonsarbeid, slik at de unngår å måtte ta i bruk forsikringen i det hele tatt. Til slutt er det alltid bedre å stoppe problemene før de oppstår, enn å måtte rydde opp etterpå.
Sikkerhetsopplæring gir virkelig en merkbar effekt når det gjelder å endre ansattes adferd og redusere sikkerhetsproblemer. Bedrifter som implementerer slike programmer, opplever ofte et kraftig fall i antall hendelser, noe som viser at pengene er godt brukt. Ta for eksempel KnowBe4s forskning, hvor de fant at antall phishing-forsøk gikk ned med hele 90 % etter at personene hadde gjennomgått opplæringen. Finansdirektører som vurderer hvor effektivt slike tiltak er, bør se på flere faktorer, inkludert hvor mange hendelser som skjer over tid, hvor raskt teamene reagerer når noe går galt, og hvor engasjerte ansatte faktisk er under opplæringssesjonene. En annen god måte å måle suksess på er ganske enkelt å se hvor mye penger som blir spart som følge av færre faktiske sikkerhetsbrudd i bedriften.
Når det gjelder rapportering av cyber-risiko for styret, er det åpenhet om disse spørsmålene som virkelig teller hvis selskaper ønsker å ta gode langsiktige beslutninger. Gode rapporter tar alle de kompliserte tekniske problemene og gjør dem om til noe slikt som ledelsen faktisk kan bruke. Noen grunnleggende tips? Hold språket enkelt, fokuser først på de risikoene som er viktigst, og glem ikke å foreslå hva som bør gjøres videre. Ta Microsoft som eksempel. De har vært lengre fremme i spillet med deres styre-rapporter, og har laget dashboards som viser nøyaktig hvilke sikkerhetstrusler som skjer akkurat nå og hvordan de håndterer dem. En slik åpenhet hjelper ledelsen til å handle før ting går galt, og viser samtidig til investorer og kunder at selskapet tar beskyttelsen av sin eiendom alvorlig. Til slutt, ingen ønsker å investere i et selskap som skjuler sine sårbarheter.
Når bedrifter inkluderer analyse av dataskjermer i sine cyber-sikkerhetsplaner, blir de faktisk bedre til å oppdage trusler tidlig. Å se på hvordan brukere samhandler med systemer og oppdager unormale mønster på skjermer, hjelper med å oppdage problemer før de utvikler seg til fulle angrep. Sikkerhetsteam stoler ofte på verktøy som SIEM-systemer for å samle all denne skjermaktivitetsdata og markere noe som virker mistenkelig. For eksempel la noen selskaper merke til at de kunne reagere på mulige innbrudd inntil 40 % raskere etter å ha implementert skjermanalyse. Selv om ingenting system er fullstendig sikkert, melder mange IT-ledere at de føler seg mer trygge på sine forsvarsløsninger når de bokstavelig talt kan se hva som skjer på nettverkene sine i sanntid.
Overgangssetning til neste seksjon: Etter å ha utforsket den flerfasettede tilnærmingen til å operasjonalisere sikkerhet gjennom CFO-lederskap, la oss gå videre til nye teknologier som omdefinerer datasikkerhetsfunksjoner, og detaljere hvordan AI, blockchain og andre innovasjoner transformerer landskapet.
EN
AR
BG
HR
CS
DA
NL
FR
DE
EL
HI
IT
JA
KO
NO
PL
PT
RO
RU
ES
SV
TL
IW
ID
SR
SK
VI
HU
TH
TR
FA
AF
MS
SW
UR
BN
HA
KM
MN
UZ
