När det gäller att hålla finansiell information säker sticker kryptering ut som ett av de viktigaste verktygen. Finansinstitut litar mycket på branschstandardiserade krypteringsprotokoll som AES-256 för att skydda sensibel data från obehörig åtkomst under överföringar. Siffrorna berättar också en övertygande historia. Enligt Verizons senaste rapport om dataintrång skulle nästan 60 % av alla intrång kunnat stoppas helt om tillräcklig kryptering använts. För alla som arbetar med finansiella system är det klokt att lära sig hur olika krypteringsmetoder fungerar. Symmetrisk kryptering hanterar stora mängder data snabbt, vilket är anledningen till att banker ofta använder den för dagliga operationer. Å andra sidan erbjuder asymmetrisk kryptering starkare skydd, men det kommer med en kostnad. Transaktioner tar längre tid när den här metoden används, vilket skapar det klassiska dilemmat mellan att vilja ha maximal säkerhet och att behöva snabba processer så att kunder inte blir frustrerade.
Att införa flerlagersåtkomstkontroller spelar verkligen stor roll när det gäller att stoppa obehöriga personer från att komma in och samtidigt skydda finansiella data. Den grundläggande idén här är att kombinera olika kontroller och godkännanden för att veta exakt vem en person är innan de får tillgång till något känsligt. Ta rollbaserad åtkomstkontroll som exempel. Med RBAC får personer endast den åtkomst som krävs baserat på deras arbetsposition inom företaget. Detta minskar risken för oavsiktlig eller avsiktlig missbruk eftersom personer inte har tillgång som de inte behöver. När vi redan talar om ämnet bör företag utföra regelbundna granskningar av vem som har vilka åtkomsträttigheter. Dessa granskningar upptäcker problem som rättighetsökning, där någon på något sätt får betydligt större åtkomst än vad som är tillåtet. Vi har sett detta för ofta, där medarbetare på juniornivå får administratörsnivåbehörigheter bara för att ingen brytt sig om att granska åtkomsträttigheterna ordentligt. Regelbundna granskningar är inte bara byråkrati – det är faktiskt ett av de bästa sätten att hålla systemen säkra och samtidigt se till att alla bara ser det de verkligen behöver för att kunna utföra sina arbetsuppgifter.
Med så många människor som gör köp online dessa dagar har det blivit absolut nödvändigt med verklig tidsbedövning för att upptäcka bedrägerier för att hålla pengarna säkra under transaktioner. När bedrägerier upptäcks direkt kan banker och handlare stoppa dåliga aktörer innan de orsakar stora förluster. Forskning visar att maskininlärning fungerar ganska bra för att identifiera misstänksamma mönster som kan indikera bedrägeri, vilket innebär att färre legitima transaktioner felaktigt markeras medan de flesta faktiska bedrägerierna fortfarande upptäcks. Men det uppstår ett problem när man försöker koppla samman ny teknik för bedrägeriupptäckt med äldre betalningssystem som byggdes för flera årtionden sedan. Många företag har svårt med detta kompatibilitetsproblem. Lyckligtvis hjälper nyare metoder, såsom att använda API:er för att länka samman olika system och bygga mjukvara i mindre, utbytbara delar, till att lösa detta problem. Dessa metoder gör att företag kan uppgradera sin säkerhet utan att behöva ersätta hela sin befintliga infrastruktur, vilket sparar både tid och pengar på lång sikt.
Att behålla skrivbord och servrar korrekt konfigurerade är avgörande för att skydda finansiella data mot obehörig åtkomst. Finansiella institutioner bör inaktivera oanvända tjänster som körs i bakgrunden, hålla programvaran regelbundet uppdaterad genom säkerhetspaket och implementera säkerhetsstandarder som specifikt är utformade för bankmiljöer. Incidenter från den riktiga världen visar hur svaga konfigurationer kan skapa stora säkerhetshål. En känd incident involverade en bank vars servers inställningar lämnats öppna, vilket tillät hackare att stjäla känsliga kunduppgifter värd miljoner. Denna typ av misstag visar varför strikta säkerhetsåtgärder är oumbärliga. När organisationer får sina konfigurationer rätt från första dagen skyddar de inte bara enskilda datorer utan stärker hela sin cybersäkerhetsposition över alla operationer.
NIST:s cybersäkerhetsramverk fungerar som en avgörande vägkarta för företag som försöker identifiera, hantera och minska cyberhot. När det på rätt sätt integreras inom en organisation, stärks den övergripande motståndskraften mot attacker, något som är särskilt viktigt för CFO:er som dagligen hanterar riskhantering. En strukturerad säkerhetsansats hjälper till att skydda känslig finansiell information från ständigt nya typer av hot. Självklart är det inte lätt att sätta ramverket i praktiken. Många organisationer har svårt att avsätta tillräckliga resurser och förstå de tekniska detaljer som ingår. Dessa hinder kan ofta överbryggas med hjälp av lämpliga utbildningsprogram för personal och långsiktiga strategier som anpassas efter varje företags unika behov.
Att få bukt med GDPR- och CCPA-reglerna är väldigt viktigt när det gäller att hantera data på ett korrekt sätt och hålla den säker. Dessa lagar kräver att företag implementerar ganska strikta skydd kring personlig information, och att inte följa dem kan leda till allvarliga ekonomiska sanktioner. Dessa reglers räckvidd går långt bortom bara lokala företag – de påverkar hur företag agerar gränsöverskridande och hanterar dataöverföringar mellan länder, vilket ibland gör efterlevnad till en riktig huvudvärk. För finanschefer bör att följa dessa regler ligga högt upp på prioriteringslistan eftersom böter skulle drabba bolagets ekonomi mycket hårt. Dessutom beror det på att upprätthålla ett gott rykte på internationella marknader till stor del på att visa kunder och partners att företaget tar dataskydd på allvar.
SEC har strikta regler för när företag behöver informera investerare om cyberattackbrott, vilket visar hur avgörande det är för företag att förbli öppna och ärliga om sin ekonomiska situation. För finanschefer innebär det att ta sig en inblick i dessa regler inte bara byråkrati – det är faktiskt en del av deras arbete att behålla aktieägarnas förtroende för företagets stabilitet. Tittar man på de senaste åren synliggörs en tydlig trend med fler sanktioner från SEC riktade mot företag som inte rapporterat säkerhetsproblem korrekt. Ta bara förra kvartalet där tre stora företag drabbades av böter eftersom de försenat sina rapporteringar om dataläckor. Klok företag förbereder sig i förväg genom att utveckla robusta svarsstrategier. Det innebär att ha tydliga protokoll för att snabbt identifiera incidenter, informera relevanta parter inom timmar snarare än dagar och kommunicera öppet under hela processen. Om situationen hanteras korrekt behöver den inte nödvändigtvis förstöra ett företags rykte eller ekonomiska resultat.
Att hantera leverantörsrisker är avgörande för att skydda företagsdata i komplexa leveranskedjor. Vi har sett många fall där säkerhetsincidenter hos tredjepart orsakat stora problem för företag, vilket visar hur viktigt det är med ordentlig granskning. Företag använder ofta verktyg som ramverk för säkerhetsinformationssamling tillsammans med regelbundna kontroller av tredjepart för att bedöma hur säkra deras partners är. Dessa utvärderingar hjälper till att förhindra situationer där externa samarbetspartners kan avslöja sekretessbelagd information. För ekonomichefer som fokuserar på resultatet är det inte bara en god praxis att lägga tid på noggrann leverantörsgranskning utan också en nödvändig skyddsmetod mot potentiella hot som lurar i leverantörsrelationer. I slutet av dagen vill ju ingen att deras företags rykte ska skadas för att någon underleverantör hade dåliga cybersäkerhetsvanor.
Uppkomsten av AI-teknik har helt förändrat hur vi upptäcker hot inom nätverk och öppnat upp helt nya möjligheter för cybersäkerhet. Företag använder nu maskininlärning och olika AI-system för att upptäcka problem innan de blir större problem. Vissa studier visar att dessa AI-metoder faktiskt kan upptäcka hot cirka 80 % bättre än traditionella metoder, vilket ger säkerhetsteam en verklig fördel när de skyddar sina system. När AI implementeras i befintliga säkerhetssystem beror goda resultat på att allt fungerar smidigt tillsammans. Det innebär att utvärdera hur väl olika AI-verktyg passar in med det som redan finns på plats samt justera dem för att matcha vad särskilda företag behöver. Många organisationer upptäcker att det att ta tid att förstå sina unika krav leder till mycket bättre resultat på lång sikt.
Blockchain-teknik erbjuder något unikt när det gäller att hålla transaktioner ärliga och öppna. Det som gör den speciell är att när information väl har registrerats kan ingen ändra den efteråt, vilket skapar en revisionshistorik som i grunden ordnar sig själv. Företag som hanterar känsliga dataöverföringar finner detta särskilt användbart. Ta till exempel IBM, som faktiskt använt blockchain i sina revisionsprocesser och uppnått bättre säkerhetsresultat samt färre datafel. Ändå finns det utmaningar framför sig. Många tror fortfarande att blockchain inte kan skalas ordentligt eller att det är alldeles för komplicerat att förstå. Att överkomma dessa missförstånd skulle avsevärt hjälpa till att visa vad blockchain kan göra för revision. Vi behöver mer utbildning kring hur den faktiskt fungerar och fortsatta förbättringar i tekniken själv för att göra processerna smidigare för alla inblandade.
Zero Trust-arkitektur har visat sig vara avgörande för att upprätthålla säkerhet i hybridarbetsplatser, särskilt sedan företag började återvända efter pandemins nedstängningar. Den centrala idén här är enkel men kraftfull: verifiera allt vid varje åtkomstpunkt istället för att anta att interna nätverk är säkra zoner. Företag som har tillämpat detta har uppnått imponerande resultat enligt nyliga studier som visar cirka hälften så många säkerhetsincidenter jämfört med de som fortfarande använder traditionella metoder. Att sätta Zero Trust i praktiken innebär att välja rätt tekniska verktyg. Identitetshanteringssystem och autentisering i flera steg är nödvändigheter för de flesta implementeringar. Vad som fungerar bäst beror verkligen på vilken typ av företag det är. En tillverkningsanläggning behöver andra skydd än en online-tjänsteleverantör. Att få detta att fungera kräver tid och innebär att man kartlägger exakt var känsliga data flödar inom organisationen innan man bygger egentliga försvar mot cyberattacker.
Kvantberäkning fortskrider snabbt, och det innebär att våra nuvarande krypteringsmetoder nu är i riskzonen. Vi måste verkligen börja arbeta på lösningar som kan stå emot kvantattacker. Säkerhetsexperter har varnat oss i åratal för att dessa kvanthot faktiskt kan bli ett problem inom ungefär tio år. Att förbereda sig för framtiden innebär att ta del av olika forskningsprojekt som just nu pågår runt om i världen. Ta National Institute of Standards and Technology till exempel, som lett arbetet med att utveckla nya krypteringsstandarder som kommer att skydda viktig information även när kvantdatorer blir verklighet. Företag som vill ligga steget före bör definitivt börja fundera på hur de ska hantera sina krypteringssystem i framtiden. Det är ju ingen som vill vakna upp en dag och upptäcka att deras data inte längre är säker för att någon byggt en bättre dator.
För CFO:er som hanterar komplexa moderna affärsoperationer är cyförsäkring inte bara en tilläggspost utan en nödvändig del av deras riskhanteringsstrategi. Dataintrång är dyra händelser dessa dagar och kostar ofta företag flera miljoner dollar när allt är klart. Ta IBM:s resultat från 2021 som anger att genomsnittskostnaden för ett intrång låg på cirka 4,24 miljoner dollar. Cyförsäkring hjälper till att täcka de oväntade kostnaderna, såsom betalt till advokater, reparation av skadade system och hantering av regulatoriska påföljder som uppstår efter en attack. När man bedömer hur mycket man bör investera i en sådan försäkring måste finanschefer väga kostnaden mot andra säkerhetsrelaterade utgifter. Även om försäkring skyddar mot värsta scenariot, bör företag också lägga resurser på förebyggande åtgärder för att undvika att behöva använda försäkringen från början. I slutändan är det bättre att stoppa problem innan de uppstår än att försöka sanera dem efteråt.
Säkerhetsmedvetenhetsträning gör verkligen en skillnad när det gäller att förändra hur anställda beter sig och minska säkerhetsproblem. Företag som inför sådana program ser ofta en stor minskning av incidenter, vilket visar att det är värt den pengar som investeras. Ta KnowBe4:s forskning till exempel, de fann att antalet phishingförsök minskade med cirka 90 % efter att personer gått igenom deras träningsprogram. Ekonomicher som utvärderar om dessa insatser fungerar bör titta på flera faktorer, inklusive hur många incidenter som sker över tid, hur snabbt teamen reagerar när något går fel och hur engagerade medarbetarna faktiskt är under träningssessionerna. Ett annat bra sätt att mäta framgång är att helt enkelt titta på hur mycket pengar som sparas eftersom det blir färre faktiska säkerhetsincidenter i företaget.
När det gäller rapportering av cyberrisker till styrelser spelar det stor roll att vara öppen om dessa frågor om företag vill göra kloka långsiktiga val. Bra rapporter omvandlar alla dessa komplicerade tekniska problem till något som chefer kan arbeta med. Några grundläggande tips? Håll språket enkelt, fokusera först på de risker som är viktigast, och glöm inte att föreslå vad som behöver göras härnäst. Ta Microsoft som exempel. De har varit långt framme i spelet med sina styrelserapporter, där de skapat dashboards som visar exakt vilka säkerhot som uppstår just nu och hur de bemöter dem. En sådan öppenhet hjälper chefer att agera innan saker och ting förvärras, och visar dessutom både investerare och kunder att företaget tar skyddandet av sin verksamhet på allvar. I slutändan vill ju ingen investera i ett företag som döljer sina sårbarheter.
När företag integrerar analys av datorskärmar i sina cybersäkerhetsplaner blir de faktiskt bättre på att upptäcka hot i ett tidigt skede. Att titta på hur användare interagerar med systemen och upptäcka ovanliga mönster på skärmarna hjälper till att identifiera problem innan de utvecklas till fullskaliga attacker. Säkerhetsteam förlitar sig ofta på verktyg som SIEM-system för att samla in all denna skärmdataversion och markera något som misstänkt. Till exempel märkte vissa företag att de kunde reagera på potentiella intrång upp till 40 % snabbare efter att ha implementerat skärmövervakning. Även om inget system är fullständigt felfritt rapporterar många IT-chefer att de känner större säkerhet i sina försvarsmekanismer när de bokstavligen kan se vad som sker i sina nätverk i realtid.
Inledande mening till nästa avsnitt: Efter att ha undersökt den mångfacetterade strategin för att operationalisera säkerhet genom CFO-ledarskap, ska vi nu gå djupare in på de tekniker som omdefinierar datorsäkerhetsfunktioner och detaljera hur AI, blockchain och andra innovationer förändrar landskapet.
EN
AR
BG
HR
CS
DA
NL
FR
DE
EL
HI
IT
JA
KO
NO
PL
PT
RO
RU
ES
SV
TL
IW
ID
SR
SK
VI
HU
TH
TR
FA
AF
MS
SW
UR
BN
HA
KM
MN
UZ
