Када је у питању безбедност финансијских информација, енкрипција истиче се као један од најважнијих алатки које су доступне. Финансијске институције се у великој мери ослањају на стандардне протоколе енкрипције попут AES-256 како би заштитиле осетљиве податке од нежељеног приступа током трансфера. И бројке причају убедљиву причу. Најновије извештаје о нарушењу безбедности компаније Verizon показују да је скоро 60% свих инцидената могло бити спречено да је енкрипција била правилно имплементирана. За свакога ко ради са финансијским системима, разумевање како различити приступи енкрипцији функционишу има смисла. Симетрична енкрипција обрађује велике количине података брзо, што је разлог зашто је банке често користе у свакодневним операцијама. Са друге стране, асиметрична енкрипција нуди јачу заштиту, али доноси одређене жртве. Трансакције трају дуже када се користи ова метода, чиме настаје класичан проблем избора између жеље за максималном безбедношћу и потребом да процес буде довољно брз да корисници не би осетили фрустрацију.
Увођење контрола приступа у више слојева је заиста важно када је у питању спречавање непозваног приступа и заштита финансијских података. Основна идеја је комбиновање различитих провера и овлашћења како бисмо знали ко је заправо особа пре него што јој буде дозвољен приступ осетљивим подацима. Узмимо, на пример, контролу приступа на основу улога. Уколико се користи RBAC (Role-Based Access Control), особе добијају приступ само ономе што им је неопходно у складу са њиховом позицијом у компанији. Ово смањује могућност случајне или намерне злоупотребе, јер људи неће имати приступ који им није неопходан. Имајући то на уму, компаније треба да редовно врше провере ко има која овлашћења. Такве ревизије могу открити проблеме као што је незаконито повећање привилегија, где неко на неки начин добије много већи приступ него што му је потребно. Више пута смо већ видели случајеве у којима млади запослени добијају привилегије администратора само зато што неко није уложио време да провери овлашћења. Редовне ревизије нису само папирска процедура – то је заправо један од најбољих начина да се системи одржавају сигурним и да се обезбеди да свако види само оно што му је неопходно за обављање посла.
С обзиром на то да све више људи данас врши куповине онлајн, детекција преваре у реалном времену постала је апсолутно неопходна како би новац био безбедан током трансакција. Када се превара уочи одмах, банке и продавци могу да зауставе неправилне активности пре него што оне проузрокују велике губитке. Истраживања показују да машинско учење прилично добро препознаје сумњиве образце који могу указивати на превару, што значи да ће мање легитимних трансакција погрешно бити означених као сумњиве, а истовремено ће бити детектован већи број стварних случајева преваре. Међутим, постоји проблем у погледу повезивања нових технологија за детекцију преваре са старијим системима плаћања који су развијени пре неколико деценија. Многе компаније имају проблем са овим питањем компатибилности. Срећом, нови приступи као што су употреба API-ја за повезивање различитих система и израда софтвера у мањим, заменљивим деловима постепено решавају овај проблем. Ови методи омогућавају предузећима да ажурирају своју безбедност без потребе да потпуно замене постојећу инфраструктуру, што на дужи термин уштеди и време и новац.
Одржавање исправно конфигурисаних радних станица и сервера остаје од кључне важности за заштиту финансијских података од недозвољеног приступа. Финансијске институције треба да онемогуће непотребне сервисе који раде у позадини, редовно ажурирају софтвер путем патчева и имплементирају стандарде безбедности који су специфично дизајнирани за банкарске средине. Инциденти из стварног света показују како слабе конфигурације могу да креирају велике безбедносне пропусте. Један познати случај је био када је серверска поставка једне банке била остављена отворена, што је хакерима омогућило да украђу осетљиве податке о клијентима вредне милионе долара. Овакве грешке истичу зашто су строге мере безбедности недискутабилне. Када организације од самог почетка правилно конфигуришу системе, не штите само појединачне машине, већ у ствари јачају целокупну кибербезбедносну позицију у свим операцијама.
Okvir za kibersigurnost instituta NIST deluje kao osnovni vodič za kompanije koje pokušavaju da identifikuju, upravljaju i ublaže kibernetske pretnje. Kada se pravilno uskladi sa organizacijom, ovaj okvir povećava opštu otpornost na napade, što je posebno važno za finansijske direktore (CFO-ove) koji se svakodnevno bave upravljanjem rizikom. Strukturirani pristup sigurnosti pomaže u zaštiti osetljivih finansijskih informacija od stalno novih vrsta pretnji. Naravno, primena ovog okvira nije laka. Mnoge organizacije imaju poteškoća s dodeljivanjem dovoljno resursa i razumevanjem tehničkih detalja koji su uključeni. Ove prepreke se mogu prevazići kroz odgovarajuće programe obuke zaposlenih i pažljivo planiranje dugoročnih strategija prilagođenih potrebama svake pojedinačne kompanije.
Razumevanje GDPR i CCPA pravila je od ključne važnosti kada je u pitanju pravilno upravljanje podacima i njihova zaštita. Ovi zakoni zahtevaju da kompanije sprovode prilično stroge mere zaštite oko ličnih informacija, a nepridržavanje ovih pravila može dovesti do ozbiljnih novčanih sankcija. Domet ovih propisa ide daleko izvan lokalnih preduzeća jer utiče na to kako kompanije funkcionišu u međunarodnom poslovanju i upravljaju prenosom podataka između zemalja, što čini ispunjenje uslova propisa pravim izazovom. Za glavne finansijske direktore, poštivanje ovih pravila treba da bude na vrhu prioriteta, jer bi naknade ozbiljno pogodile finansijski rezultat. Osim toga, održavanje dobrog ugleda na međunarodnim tržištima u velikoj meri zavisi od toga da li kompanija ozbiljno tretira privatnost podataka i to pokaže svojim klijentima i partnerima.
Комисија за хартије од вредности (SEC) има строга правила о томе када компаније морају да обавесте инвеститоре о кибербезбедносним инцидентима, што показује колико је важно да предузећа остану отворена и искрена у погледу свог финансијског стања. За главне финансијске директоре, упознавање са овим прописима није само формалност – то је заправо део њихове улоге да одрже самопоуздање акционара у стабилност компаније. Ако погледамо последњих годину дана, јасно се уочава тенденција повећања казни које SEC изриче фирмама које нису правилно објавиле информације о безбедносним проблемима. Узмимо само проши прошлог квартала – три велике корпорације су платиле новчане казне зато што су одуговлачили са пријављивањем недозвољеног приступа подацима. Паметне компаније се унапред припремају тако што развијају чврсте стратегије реаговања. То подразумева постојање јасних протокола за брзо откривање инцидената, обавештавање надлежних лица у року од сати, а не дана, и прозрачну комуникацију током целог процеса. Када се ситуација обрне на правовит начин, то не мора непосредно да угрози репутацију или финансијску основу компаније.
Upravljanje rizicima kod dobavljača ključno je za zaštitu poslovnih podataka u složenim lancima snabdevanja. Imali smo dosta primera gde su prekršaji trećih strana izazvali ozbiljne probleme za kompanije, što pokazuje koliko je važno pravilno proveravanje. Kompanije često koriste alate kao što su okviri za prikupljanje bezbednosne inteligencije zajedno sa redovnim proverama trećih strana, kako bi procenile koliko su zaista sigurni njihovi partneri. Ove ocene pomažu u sprečavanju situacija u kojima spoljašnji saradnici mogu da izlože poverljive informacije. Za finansijske lidera koji gledaju ukupne troškove, ulaganje vremena u pažljivo ispitivanje dobavljača nije samo dobra praksa, već i nužna zaštita od potencijalnih pretnji koje se kriju u odnosima sa dobavljačima. Na kraju krajeva, niko ne želi da ugled kompanije bude oštećen zato što je neki subdobavljač imao loše navike u vezi sa kibernetičkom bezbednošću.
Razvoj AI tehnologije je potpuno promenio način na koji prepoznajemo pretnje unutar mreža, otvarajući nove mogućnosti za kibersigurnost. Kompanije sada koriste mašinsko učenje i različite AI sisteme kako bi otkrile probleme pre nego što postanu ozbiljni. Neka istraživanja pokazuju da ove AI metode mogu čak za 80% bolje da otkriju pretnje u poređenju sa tradicionalnim metodama, što daje timovima za bezbednost značajnu prednost u zaštiti svojih sistema. Kada se AI uvodi u postojeće sigurnosne sisteme, postizanje dobrih rezultata zavisi od toga koliko su svi elementi usklađeni. To podrazumeva proveru koliko dobro različiti AI alati funkcionišu sa već postojećim rešenjima, kao i njihovo prilagođavanje konkretnim potrebama preduzeća. Mnoge organizacije primećuju da ulaganje vremena u razumevanje svojih posebnih zahteva vodi znatno boljim rezultatima u budućnosti.
Blockchain tehnologija donosi nešto zaista novo kada je u pitanju ispravnost i transparentnost transakcija. Ono što je posebno kod nje je što, kada se jednom podatak zabeleži, niko ga ne može promeniti, što stvara automatski auditni put. Kompanijama koje rukuju osetljivim podacima ove osobine su posebno korisne. Uzmite IBM, na primer, koji je uspešno primenio blockchain u sopstvenim auditnim procesima i postigao bolju bezbednost i manje grešaka u podacima. Ipak, postoje prepreke koje treba prevazići. Mnogi i dalje veruju da blockchain nema dovoljnu skalabilnost ili da je previše komplikovan za razumevanje. Prevazilaženje ovih pogrešnih predstava bi dosta doprinelo prihvatanju blockchaina u auditnim procesima. Potrebno je više edukacije o tome kako tačno funkcioniše i dalji tehnološki napredak kako bi upotreba bila jednostavnija za sve uključene.
Архитектура без иницијалног поверења показала се као кључна за одржавање безбедности хибридних радних места, посебно од када су компаније почеле да се опорављају након блокада током пандемије. Основна идеја је једноставна али моћна: верификуј све на свакој тачки приступа, уместо да претпостављаш да су унутрашње мреже сигурне зоне. Компаније које су прихватиле овај приступ имале су изузетне резултате, према недавним студијама које показују да су инциденти у вези безбедности смањени за око половину у поређењу са онима које и даље користе традиционалне методе. Увођење модела без иницијалног поверења у праксу подразумева и избор одговарајућих технолошких алата. Системи за управљање идентитетом и аутентификација у више корака неопходни су за већину имплементација. Најбоље решење зависи од врсте пословања. Пословни објекат који се бави производњом захтеваће другачију заштиту у односу на пружаоца онлајн услуга. Да би све функционисало како треба, неопходно је уложити време и детаљно утврдити где се у организацији налазе осетљиви подаци, пре него што се започне изградња било какве одбране против кибер напада.
Kvantno računarstvo napreduje sve brže, što znači da su naša postojeća šifrovanja sada u opasnosti. Stoga moramo ozbiljno da započnemo rad na rešenjima otpornim na kvantne napade. Stručnjaci za kibernetičku bezbednost nas godinama upozoravaju da ove kvantne pretnje mogu postati stvarni problem već za oko deset godina. Priprema za budućnost zahteva praćenje različitih istraživačkih projekata koji se trenutno dešavaju širom sveta. Uzmite, na primer, Nacionalni institut za standarde i tehnologiju (NIST), koji vodi borbu u razvoju novih standarda šifrovanja koji će zaštititi važne informacije čak i kada kvantna računarstva postanu dostupna. Kompanije koje žele da budu ispred krive treba da počnu da razmišljaju o tome kako će upravljati svojim sistemima šifrovanja u budućnosti. Na kraju krajeva, niko ne želi da se jednog dana probudi i sazna da njihovi podaci više nisu bezbedni jer je neko napravio bolje računalo.
За CFO-ове који се боре са комплексношћу модерних пословних операција, кибер осигурање није само још једна ставка у буџету, већ неопходан део приступа управљању ризиком. Напади на безбедност података су скупи у овим временима, често коштајући компаније неколико милиона долара када се све урачуна. Узмите у обзир проналаске IBM-а из 2021. године, који су показали да је просечан напад коштао око 4,24 милиона долара. Кибер осигурање помаже да се покрију непредвиђени трошкови као што су ангажовање правних заступника, поправка оштећених система и подмиравање регулаторних казни које настају након напада. Када се разматра колико треба уложити у ову заштиту, лидерима у финансијама треба да теже вредностима које добијају у поређењу са другим областима безбедносних трошкова. Иако осигурање нуди заштиту од најгорих сценарија, паметне компаније такође улажу у превенцију, како не би дошло до ситуација када је потребно користити осигурање. На крају крајева, спречавање проблема пре него што настану увек је боље него покушавати да се уклоне последице након штете.
Обука за свест о безбедности заиста чини разлику када је у питању промена понашања запослених и смањење проблема са безбедношћу. Компаније које уведу овакве програме често примете значајно смањење инцидената, што показује да су вредни уложених средстава. Узмимо, на пример, истраживање компаније KnowBe4, која је установила да је након што људи прођу кроз њихов програм обуке, број покушаја фишинга опао за око 90%. Финансијски менаџери који размишљају о ефективности ових иницијатива треба да размотре неколико фактора, као што су број инцидената током времена, брзина реакције тимова када нешто крене наопако и ниво ангажованости запослених током обуке. Још један добар начин да се измери успех је једноставно посматрање колико је новца уштедеђено услед смањења броја стварних безбедносних пропуштања у компанији.
Kada je u pitanju izveštavanje o kibernetskim rizicima za upravni odbor, važno je biti otvoren o tim pitanjima ako kompanije žele da donose pametne dugoročne odluke. Dobri izveštaji uzimaju sve te komplikovane tehničke probleme i pretvaraju ih u nešto s čim izvršni organi mogu stvarno da rade. Nekoliko osnovnih saveta? Koristite jednostavan jezik, prvo se fokusirajte na najvažnije rizike i nemojte zaboraviti da predložite sledeće korake koje treba preduzeti. Uzmimo na primer Microsoft. Oni su bili ispred vremena u pogledu svojih izveštaja za upravni odbor, kreirajući kontrolne table koje prikazuju tačno koje sigurnosne pretnje su trenutno prisutne i kako se na njih reaguje. Ovaj tip transparentnosti pomaže vođama da deluju pre nego što stvari krenu naopako, a takođe pokazuje investitorima i kupcima da kompanija ozbiljno shvata zaštitu svoje imovine. Na kraju krajeva, niko ne želi da investira u kompaniju koja sakriva svoje slabosti.
Када предузећа укључе аналитику монитора у своје планове кибербезбедности, они заправо постају бољи у раном откривању претњи. Посматрање начинa на који корисници интерагују са системима и проналажење необичних обрасца на екрану помаже да се проблеми уоче пре него што се претворе у пуно развијене нападе. Тимови за безбедност често се ослањају на алате као што су SIEM системи, који прикупљају све податке о активностима на екрану и означавају сумњиве радње. На пример, неке компаније су приметиле да су након увођења анализе монитора могле да реагују на могуће продоре чак 40% брже. Иако ниједан систем није савршен, многи менаџери у ИТ сектору изјавили су да осећају већу сигурност у своје одбрамбене системе када могу буквално да виде шта се у стварном времену дешава на мрежама.
Прелазни израз до следеће секције: Након што смо истражили вишеструки приступ операционализацији безбедности кроз лидерство главног финансијског директора, хајде да се позабавимо новим технологијама које преобликују карактеристике безбедности рачунара, објашњавајући како вештачка интелигенција, блокчејн и друге иновације трансформишу ову област.
EN
AR
BG
HR
CS
DA
NL
FR
DE
EL
HI
IT
JA
KO
NO
PL
PT
RO
RU
ES
SV
TL
IW
ID
SR
SK
VI
HU
TH
TR
FA
AF
MS
SW
UR
BN
HA
KM
MN
UZ
