Када је реч о чувању финансијских информација у сигурности, енкрипција се истиче као једно од најважнијих алата на располагању. Финансијске институције се у великој мери ослањају на стандардне протоколе шифрања као што је АЕС-256 како би заштитили осетљиве податке од љубоморног погледа током преноса. Бројеви такође говоре убедљиву причу. Најновији извештај Веризона о кршењу података показује да би скоро 60% свих кршења могло бити заустављено у потпуности ако би била на месту одговарајућа енкрипција. За све који раде са финансијским системима, упознавање са начином на који функционишу различити приступи шифровању има смисла. Симетрична енкрипција брзо обрађује велике количине података, због чега је банке често користе за свакодневне операције. С друге стране, асиметрична енкрипција пружа јачу заштиту, али има своју цену. Трансакције трају дуже када се користи ова метода, стварајући класичну дилему између жеље за максималном сигурношћу и потребе да се ствари одвијају довољно брзо да купци не буду фрустрирани.
Устављање контроле приступа на више слојева је заиста важно када је у питању спречавање људи да уђу без дозволе и чување финансијских података. Основна идеја је комбиновање различитих провера и овлашћења тако да знамо ко је неко заправо пре него што им дозволимо да виде нешто осетљиво. Узмите контролу приступа засновану на улозима, на пример. Са РБАЦ-ом, људи добијају само оно што им је потребно на основу њихове позиције у компанији. Ово смањује случајну или намерну злоупотребу јер људи не лутају с приступним материјалима које не требају. Када смо већ овде, компаније би требало да редовно проверају ко има која права приступа. Ове ревизије ухватију проблеме као што је ескалација привилегија, где неко некако завршава са много већим приступом него што би требало да има. Видели смо да се то дешава превише често где млађи чланови особља завршавају са привилегијама администраторског нивоа једноставно зато што нико није потрудио да правилно прегледа права приступа. Редовна ревизија није само папирологија, већ је један од најбољих начина да се системи буду сигурни, док се свако види само оно што му је апсолутно потребно за свој посао.
Пошто данас толико људи купује на мрежи, детекција превара у реалном времену постала је апсолутно неопходна да би се новац чувао током трансакција. Када се преваре одмах ухвати, банке и трговци могу да зауставе лоше актере пре него што изазову велике губитке. Истраживања показују да машинско учење добро открива сумњиве обрасце који могу указивати на превару, што значи да се мање легитимних трансакција погрешно зазначава, а ипак се ухвати већина стварних случајева преваре. Али постоји проблем када се покушавају повезати нове технологије за откривање превара са старијим платничким системима који су изграђени пре деценија. Многе компаније се боре са овим проблемом компатибилности. Срећом, новији приступи као што су коришћење АПИ-ја за повезивање различитих система и изградња софтвера у мањим, размјенљивим деловима помажу да се реши овај проблем. Овим методама предузећа могу да унапреде своју сигурност без потребе да потпуно замењују сву постојећу инфраструктуру, што дуготрајно штеди време и новац.
Одржавање десктопа и сервера правилно конфигурисаних и даље је од суштинског значаја за заштиту финансијских података од неовлашћеног приступа. Финансијске институције треба да онемогуће неискоришћене услуге које се покрећу у позадини, редовно ажурирају софтвер путем исправљања и имплементирају стандарде безбедности посебно дизајниране за банкарска окружења. Инциденти из стварног света показују како слабе конфигурације могу створити велике безбедносне рупе. Један значајни инцидент је био у вези са банком чије су поставке сервера остале отворене, што је хакерима омогућило да украду осетљиве податке о купцима вредне милионе. Овакве грешке истичу зашто су строге мере безбедности неразговарајуће. Када организације добију своје конфигурације од првог дана, не само да штите појединачне машине већ и да заправо ојачају целу своју кибербезбедност у свим операцијама.
НИСТ-ов Циберсигурност Рамк делује као суштинска мапа за компаније које покушавају да открију, управљају и смање сајбер претње. Када се правилно усклађује са организацијом, повећава општу отпорност на нападе, што је веома важно за финансијске директоре који се свакодневно баве управљањем ризицима. Структурисани приступ безбедности помаже да се заштите осетљиве финансијске информације од нових врста претњи које се стално појављују. Наравно, не је лако применити овај оквир. Многима организацијама је тешко да распореде довољно ресурса и да схвате техничке детаље које се тичу. Ове препреке се често могу савладати са одговарајућим програмима за обуку особља и паметним стратегијама дугорочног планирања прилагођеним јединственим потребама сваког предузећа.
Упознавање правила GDPR-а и CCPA-а је веома важно када је у питању правилно управљање подацима и њихово обезбеђивање. Ови закони захтевају од компанија да спроводе прилично строге мере заштите личних информација, а непраћење њих може довести до озбиљних новчаних казни. Досег ових прописа далеко прелази локалне продавнице, такође утичу на то како предузећа раде преко граница и управљају преносом података између земаља, што понекад чини усклађивање са истим прави главобоља. За финансијске директоре, поштовање ових правила треба да буде на врху њихове листе приоритета јер би казне биле штетно за коштање. Осим тога, одржавање доброг положаја на међународним тржиштима у великој мери зависи од тога да се клијентима и партнерима покаже да компанија озбиљно узима приватност података.
SEC има строга правила о томе када компаније морају да обавести инвеститоре о кршењима сајбер безбедности, што показује колико је важно да предузећа остану отворена и искрена о својој финансијској ситуацији. За финансијске директоре, упознавање са овим прописима није само папиролошка работа - то је заправо део њиховог посла да акционари буду сигурни у стабилност компаније. Погледајте последње године и било је јасно да је више казни од стране SEC против фирми које нису откриле безбедносна питања правилно. Само у прошлом кварталу, три велике корпорације су се суочиле са казнама јер су одлагале пријављивање кршења података. Паметне компаније се припремају унапред стварајући солидне стратегије одговора. То значи да треба имати јасне протоколе за брзо идентификовање инцидента, обавештавање релевантних страна у року од неколико сати, а не дана, и транспарентну комуникацију током целог процеса. Када се таквим ситуацијама правилно управља, то не мора нужно да уништи репутацију компаније или њену приходну приход.
Управљање ризицима продаваца је од суштинског значаја за очување сигурности корпоративних података кроз сложене ланце снабдевања. Видели смо пуно случајева када су кршења од стране треће стране изазвала велике проблеме за пословне компаније, што показује зашто је правилна проверка толико важна. Компаније често користе алате као што су оквири за прикупљање обавештајних података о безбедности заједно са редовним проверкама треће стране како би процениле колико су њихови партнери заиста сигурни. Ове процене помажу да се спрече ситуације у којима би спољни сарадници могли да изложе осетљиве информације. За финансијске лидере који гледају на крајњу линију, улагање времена у темељну проверу добављача није само добра пракса већ неопходна заштита од потенцијалних претњи које се крију у односима са добављачима. На крају крајева, нико не жели да се репутација његове компаније оштети зато што неки потпоручник има лоше навике сајбер безбедности.
Појав технологије вештачке интелигенције потпуно је променио начин на који препознајемо претње унутар мрежа, отварајући потпуно нове могућности за сајбер безбедност. Компаније сада користе машинско учење и различите системе вештачке интелигенције како би ухватиле проблеме пре него што постану велики проблеми. Неке студије показују да ови приступи вештачкој интелигенцији могу заправо открити претње око 80% боље од традиционалних метода, што обезбеђује тим за безбедност стварну предност када штите своје системе. Када уводимо вештачку интелигенцију у постојеће безбедносне поставке, добијање добрих резултата зависи од тога да се уверимо да све функционише заједно. То значи да треба да се погледа колико се различите алате вештачке интелигенције уклапају са већ постојећим, а истовремено их прилагођавају потребама одређених предузећа. Многе организације сматрају да узимање времена да разумеју своје јединствене захтеве доводи до много бољих резултата на путу.
Блоцкхајн технологија доноси нешто стварно другачије када је у питању одржавање трансакција поштено и отворено. Оно што га чини изузетним је то што када се информација једном запише, нико не може да је мења касније, што ствара аудитску трагу која се самостално решава. Пословима који се баве преносом осетљивих података ово је веома корисно. Узмите ИБМ на пример, они су заправо поставили блокчејн да ради у својим ревизорским процесима и видели боље резултате безбедности плус мање грешака у подацима. Ипак, пред нама су препреке. Многи људи још увек мисле да блокчејн не може да се правилно скалира или да је превише компликован за разумевање. Превазилажење ових неразумије би много помогло да се покаже шта блокчејн може учинити за ревизије. Потребно нам је више образовања о томе како она заправо функционише и континуирано побољшање саме технологије како би ствари биле лакше за све укључене.
Архитектура нултног поверења показала се неопходном за очување хибридних радних места безбедним, посебно пошто су се компаније почеле враћати након пандемијских блокада. Основна идеја је једноставна, али моћна: проверите све на свакој тачки приступа, уместо да претпостављате да су унутрашње мреже безбедне зоне. Компаније које су усвојиле овај приступ виделе су импресивне резултате, према недавним студијама које показују око пола мање безбедносних инцидента у поређењу са онима које још увек користе традиционалне методе. Уложити нула поверења у праксу значи одабрати праве технолошке алате. Системи за управљање идентитетом и мултифакторска аутентификација су неопходни за већину имплементација. Оно што најбоље функционише зависи од тога о чему говоримо. Производња би требало да има другачију заштиту од онлине пружаоца услуга. Да би се ово урадило правилно, потребно је време и потребно је прецизно одредити где се у организацији пролазе осетљиви подаци пре него што се изграде било какве одбране од сајбер напада.
Квантно рачунање напредује брзо, а то значи да су наше постојеће методе шифрања у опасности. Ми заиста треба да почнемо да радимо на решењима која могу да издржавају квантне нападе. Људи из сајбер безбедности већ годинама упозоравају да ове квантне претње могу постати проблем за само десет година. Припрема за оно што долази захтева да се погледају све врсте истраживачких пројеката који се сада дешавају широм света. Узмите Национални институт за стандарде и технологију на пример. Они воде рад у развоју нових стандарда шифрања који ће штитити важне информације чак и када квантни рачунари буду на мрежи. Компаније које желе да остану испред криве би дефинитивно требало да почну да размишљају о томе како ће управљати својим системима шифрања на путу. На крају крајева, нико не жели да се једног дана пробуди и да сазна да његови подаци више нису безбедни јер је неко направио бољи рачунар.
За финансијске директоре који се баве сложеношћу модерних пословних операција, сајбер осигурање није само још један производ, већ је неопходан елемент њиховог приступа управљању ризицима. У данашње време, кршење података је скупо, а често чини компанији неколико милиона долара. Узмите ИБМ-ове резултате из 2021. године који су проценили просечну повреду на око 4,24 милиона долара. Кибер осигурање помаже да се покрију неочекивани трошкови као што су плаћање адвоката, поправљање оштећених система и управљање регулаторним казнама које настају након напада. Када разматрају колико ће потрошити на ову покривеност, финансијски лидери морају да претеже шта добијају у односу на друге области потрошње безбедности. Иако осигурање штити од најгорег сценарија, паметна предузећа такође распоређују ресурсе за превенцију тако да им у почетку не треба подршка за подношење захтева. На крају крајева, спречавање проблема пре него што почну и даље је много боље него покушавање да се поправи након тога.
Обука о свести о безбедности заиста чини разлику када је реч о томе како да се промени понашање запослених и смањи безбедносни проблеми. Компаније које спроводе ове програме често виде велики пад инцидента, што показује да вреде потрошених новца. Узмите истраживање KnowBe4-а, на пример, открили су да су покушаји фишинг-а пали за око 90% након што су људи прошли кроз њихов тренинг програм. Финансијски службеници који гледају да ли ови напори раде треба да провере неколико ствари, укључујући и колико се инцидента дешава током времена, колико брзо тимови реагују када нешто не иде како и колико су запослени заправо укључени током тренинг сесија. Још један добар начин мерења успеха је једноставно гледање колико се новца уштеди, јер се мање кршења сигурности дешава у целој компанији.
Када је реч о извештавању о сајбер ризицима за одборе, отвореност о овим питањима је заиста важна ако компаније желе да доносе паметне дугорочне изборе. Добри извештаји узимају све те компликоване техничке проблеме и претварају их у нешто на чему руководиоци могу да раде. Неке основне савете? Држите језик једноставним, прво се фокусирајте на ризике који су најважнији, и не заборавите да предложите шта треба да се уради даље. Узмимо Мицрософт, на пример. Они су били испред игре са извештајима одбора, стварајући контролне табле које тачно показују које се безбедносне претње тренутно дешавају и како реагују. Ова врста отворености помаже лидерима да делују пре него што ствари постану лоше, плус показује инвеститорима и клијентима да компанија озбиљно узима заштиту својих ствари. Уосталом, нико не жели да уложи у посао који крије своје слабости.
Када предузећа уграде анализу рачунарских монитора у своје планове сајбер безбедности, они заправо постају бољи у рано откривању претњи. Погледање на то како корисници комуницирају са системима и уочавање чудних образаца на екранима помаже у уочавању проблема пре него што се претворе у потпуне нападе. Безбеднички тимови се често ослањају на алате као што су SIEM системи за прикупљање свих ових података о активностима екрана и обележавање било чега сумњивог. На пример, неке компаније су приметиле да могу да реагују на могуће упадне до 40% брже након имплементације анализе монитора. Иако ниједан систем није сигуран, многи ИТ менаџери пријављују да се осећају поузданије у своју одбрану када буквално могу да виде шта се дешава у њиховим мрежама у реалном времену.
Прелазна реченица у следећи део: Након што смо истражили вишеструки приступ операционализацији безбедности кроз финансијско руководство, хајде да се бавимо новим технологијама које редефинишу компјутерске безбедносне функције, детаљно описујући како АИ, блокчејн и друге иновације трансформишу пејзаж.
EN
AR
BG
HR
CS
DA
NL
FR
DE
EL
HI
IT
JA
KO
NO
PL
PT
RO
RU
ES
SV
TL
IW
ID
SR
SK
VI
HU
TH
TR
FA
AF
MS
SW
UR
BN
HA
KM
MN
UZ
