Kapag naman sa pagpanatili ng kaligtasan ng mga impormasyong pinansiyal, ang pag-encrypt ay nangunguna bilang isa sa mga pinakamahalagang kasangkapan. Umaasa nang husto ang mga institusyong pinansiyal sa mga pamantayang pang-industriya na protokol ng encryption tulad ng AES-256 para maprotektahan ang mga sensitibong datos mula sa mga hindi gustong mata habang isinasagawa ang mga paglipat. Ang mga numero naman ay nagkukwento ng isang makapangyarihang kuwento. Ayon sa pinakabagong Data Breach Report ng Verizon, halos 60% ng lahat ng paglabag ay maaring napigilan kung angkop na encryption ang ginamit. Para sa sinumang gumagawa ng mga sistema ng pinansiyal, mahalaga na maging pamilyar kung paano gumagana ang iba't ibang paraan ng encryption. Ang symmetric encryption ay mabilis na nakakaproseso ng malalaking dami ng datos, kaya kadalasang ginagamit ito ng mga bangko sa pang-araw-araw na operasyon. Sa kabilang banda, ang asymmetric encryption ay nag-aalok ng mas matibay na proteksyon ngunit mayroon itong kapalit. Mas mahaba ang tagal ng mga transaksyon kapag ginamit ang paraang ito, na naglilikha ng klasikong pagdilema sa pagitan ng paghahanap ng pinakamataas na seguridad at pangangailangan na mabilis ang mga bagay para hindi mabored ang mga customer.
Talagang mahalaga ang paglalagay ng multi-layer access controls para pigilan ang mga taong hindi pinahihintulutan na makapasok at mapanatili ang seguridad ng financial data. Ang pangunahing layunin dito ay ang pagsasama ng iba't ibang uri ng pagpapatunay at pahintulot upang matiyak kung sino talaga ang isang tao bago hayaang makakita ng anumang klaseng sensitibong impormasyon. Isipin na lamang ang role-based access control. Sa RBAC, ang mga tao ay nakakakuha lamang ng access na kailangan nila ayon sa kanilang posisyon sa kompanya. Ito ay nagpapababa sa posibilidad ng aksidental o sinasadyang pagmamalinis dahil hindi nakakapunta ang mga tao kung saan-saan na may access na hindi naman kailangan. Sa katunayan, dapat magawa ng mga kompanya ang mga regular na pagsusuri kung sino ang may access sa ano. Ang mga audit na ito ay nakakatuklas ng mga problema tulad ng privilege escalation, kung saan nakakakuha ang isang tao ng masyadong sobrang access na hindi dapat nararapat sa kanya. Marami nang nangyaring ganito kung saan ang mga junior staff ay nakakatanggap ng admin-level na pribilehiyo dahil lamang sa walang nagsusuri nang maayos sa access rights. Ang regular na pag-audit ay hindi lamang pagpupuno ng papeles, ito ay isa sa pinakamahusay na paraan para mapanatili ang seguridad ng mga sistema at upang matiyak na ang bawat isa ay nakakakita lamang ng kung ano ang talagang kailangan nila para maisakatuparan ang kanilang trabaho.
Dahil sa maraming tao na bumibili nang online ngayon-a-daan, ang real-time na pagtuklas ng pandaraya ay naging mahalaga na para mapanatili ang kaligtasan ng pera habang nagkakaroon ng transaksyon. Kapag nahuli agad ang pandaraya, ang mga bangko at negosyante ay makakapigil sa mga masasamang aktor bago sila makapagdulot ng malaking pagkawala. Ayon sa pananaliksik, ang machine learning ay medyo epektibo sa pagkilala ng mga suspetsuhing ugat na maaaring nagpapahiwatig ng pandaraya, na nangangahulugan ng mas kaunting mga tunay na transaksyon ang nagiging maling natutukoy habang nakukuha pa rin ang karamihan sa mga tunay na kaso ng pandaraya. Ngunit may problema kapag sinusubukan na iugnay ang bagong teknolohiya sa pagtuklas ng pandaraya sa mga lumang sistema ng pagbabayad na ginawa noong ilang dekada na ang nakalipas. Maraming kompanya ang nahihirapan sa isyung ito ng pagkakatugma. Sa biyaya naman, ang mga bagong paraan tulad ng paggamit ng API para iugnay ang iba't ibang sistema at pagbuo ng software sa mas maliit, mapapalitan na bahagi ay tumutulong upang malutasan ang problema. Ang mga pamamaraang ito ay nagpapahintulot sa mga negosyo na mapabuti ang kanilang seguridad nang hindi kailangang ganap na palitan ang lahat ng kanilang umiiral na imprastraktura, na nagse-save ng oras at pera sa kabuuan.
Tetaposan na mahalaga ang maayos na pagkakatukoy sa mga desktop at server upang maprotektahan ang datos ng pinansiyal laban sa hindi pinahihintulutang pag-access. Dapat tanggalin ng mga institusyon pangpinansiyal ang hindi nagagamit na mga serbisyo na tumatakbo sa background, panatilihing naa-update ang software nang regular sa pamamagitan ng mga patch, at isagawa ang mga pamantayan sa seguridad na partikular na idinisenyo para sa mga kapaligiran sa pagbabangko. Nagpapakita ang mga tunay na insidente kung paano ang mahinang mga pagtutuos ay maaaring lumikha ng malaking butas sa seguridad. Isa sa mga kilalang insidente ay kinasasangkutan ng isang bangko kung saan ang mga setting ng server ay pinabayaang bukas, na nagbigay-daan sa mga hacker na magnakaw ng mga sensitibong tala ng customer na nagkakahalaga ng milyones. Ang mga ganitong uri ng pagkakamali ay nagpapakita kung bakit ang mahigpit na mga hakbang sa seguridad ay hindi maaring hindi isagawa. Kapag nakuha ng mga organisasyon ang tama sa kanilang mga pagtutuos mula pa sa unang araw, hindi lamang nila pinoprotektahan ang mga indibidwal na makina kundi pinapalakas din nila ang kabuuang postura ng kanilang cybersecurity sa lahat ng operasyon.
Ang Cybersecurity Framework ng NIST ay nagsisilbing mahalagang gabay para sa mga kumpanya na sinusubukan ang kanilang pagtuklas, pangangasiwa, at pagbawas ng mga cyber na banta. Kapag maayos na isinagawa sa loob ng isang organisasyon, ito ay nagpapahusay sa kabuuang pagtutol sa mga pag-atake, isang aspeto na lubos na mahalaga sa mga CFO na tuwing araw-araw ay kinikita ang pamamahala ng panganib. Ang isang sistematikong diskarte sa seguridad ay makatutulong upang maprotektahan ang sensitibong impormasyong pinansiyal mula sa patuloy na paglitaw ng mga bagong uri ng banta. Syempre, hindi madali ang pagsasagawa ng balangkas na ito. Maraming organisasyon ang nahihirapan sa wastong paglalaan ng sapat na mapagkukunan at pag-unawa sa mga teknikal na detalye nito. Maaari lamang malampasan ang mga balakid na ito sa pamamagitan ng angkop na mga programa sa pagsasanay sa mga kawani at matalinong pangmatagalang estratehiya sa pagpaplano na naaayon sa natatanging pangangailangan ng bawat negosyo.
Mahalaga ang pag-unawa sa mga alituntunin ng GDPR at CCPA pagdating sa tamang pamamahala at seguridad ng datos. Kinakailangan ng mga batas na ito ang mahigpit na proteksyon sa impormasyong personal, at ang pagkabigo sa pagsunod ay maaaring magdulot ng malubhang parusa sa pananalapi. Hindi lamang ito nababatay sa lokal na mga negosyo kundi nakakaapekto rin ito sa paraan ng pagpapatakbo ng mga kumpanya nang nagbabawas ng hangganan at nakakaapekto sa paglilipat ng datos sa ibang bansa, na nagpapahirap minsan sa pagsunod. Para sa mga chief financial officers, dapat nasa mataas na prayoridad ang pagsunod sa mga alituntunin dahil ang pagkakaroon ng multa ay direktang makakaapekto sa kita. Bukod pa rito, mahalaga ang pagpapanatili ng mabuting kalagayan sa pandaigdigang merkado sa pamamagitan ng pagpapakita sa mga customer at kasosyo na sineseryoso ng kumpanya ang data privacy.
Mahigpit ang mga alituntunin ng SEC kung kailan kailangang mag-ulat ang mga kumpanya sa mga investor tungkol sa mga paglabag sa cybersecurity, na nagpapakita kung gaano kahalaga para sa mga negosyo na manatiling bukas at tapat sa kanilang kalagayan pinansyal. Para sa mga chief financial officers, ang pag-unawa sa mga regulasyong ito ay hindi lamang pagpapaperwork — ito ay bahagi ng kanilang tungkulin upang mapanatili ang tiwala ng mga shareholder sa katatagan ng kumpanya. Kung titingnan ang mga nakaraang taon, may malinaw na pagkakataon ng higit pang parusa mula sa SEC sa mga kumpanyang hindi wastong nag-ulat ng mga isyu sa seguridad. Sa nakaraang quarter lamang, tatlong malalaking korporasyon ang kinastigo dahil sa pagkaantala sa pag-uulat ng data breaches. Ang matalinong mga kumpanya ay naghahanda nang maaga sa pamamagitan ng paglikha ng matatag na estratehiya ng tugon. Ito ay nangangahulugan ng pagkakaroon ng malinaw na mga protocol para agad mailanad ang mga insidente, abisuhan ang mga kinauukulan sa loob ng ilang oras imbes na araw, at magkaroon ng transparent na komunikasyon sa buong proseso. Kapag maayos na hinawakan, ang ganitong mga sitwasyon ay hindi agad-agad nagwawasak sa reputasyon o pinansyal na kalagayan ng isang kumpanya.
Mahalaga ang pagpapahala sa mga panganib na dulot ng mga vendor upang mapanatili ang seguridad ng korporasyong data sa kabuuan ng kumplikadong mga suplay ng kadena. Marami nang mga pagkakataon ang nakita natin kung saan ang mga paglabag mula sa third-party ay nagdulot ng malaking problema sa mga negosyo, kaya naman malinaw ang dahilan kung bakit mahalaga ang tamang proseso ng pag-screen. Ang mga kompaniya ay kadalasang gumagamit ng mga kasangkapan tulad ng Security Intelligence Gathering frameworks kasama ang regular na pagsusuri sa third-party upang masuri kung gaano kalakas ang seguridad ng kanilang mga kasosyo. Ang mga pagsusuring ito ay nakakatulong upang maiwasan ang mga sitwasyon kung saan maaaring mailantad ng mga kasosyo sa labas ang mahalagang impormasyon. Para sa mga lider sa pananalapi na nakatuon sa resulta, mahalaga hindi lamang ito bilang isang mabuting gawain kundi bilang isang kinakailangang proteksyon laban sa mga potensyal na banta na nakatago sa mga ugnayan sa supplier. Sa huli, walang nais na masira ang reputasyon ng kanilang kompaniya dahil mayroong isang subcontractor na may mahinang cybersecurity habits.
Ang pag-usbong ng teknolohiyang AI ay ganap na binago ang paraan ng pagtuklas ng mga banta sa loob ng mga network, na nagbubukas ng mga bagong posibilidad para sa cybersecurity. Ginagamit na ng mga kumpanya ang machine learning at iba't ibang sistema ng AI upang mahuli ang mga problema bago ito maging malaking isyu. Ilan pang pag-aaral ay nagpapakita na ang mga pamamaraang AI ay talagang makakatuklas ng mga banta nang halos 80% na mas epektibo kaysa sa tradisyunal na mga paraan, na nagbibigay ng tunay na kalamangan sa mga grupo ng seguridad kapag pinoprotektahan ang kanilang mga sistema. Sa pagpasok ng AI sa mga umiiral na sistema ng seguridad, ang pagkuha ng magagandang resulta ay nakadepende sa pagtiyak na maayos ang pagtutugma ng lahat. Nangangahulugan ito ng pagsusuri kung gaano kahusay umaangkop ang iba't ibang mga tool ng AI sa mga umiiral nang sistema habang tinatadhan din ang mga ito upang umangkop sa partikular na pangangailangan ng negosyo. Maraming organisasyon ang nakakatuklas na ang paglaan ng oras upang lubos na maunawaan ang kanilang natatanging mga pangangailangan ay humahantong sa mas magagandang resulta sa hinaharap.
Nagdudulot ang blockchain tech ng isang talagang kakaiba sa pagpapanatili ng mga transaksyon na tapat at bukas. Ang nagpapahusay dito ay kung paano naisasaayos ang impormasyon, walang makakapagbago nito sa bandang huli, na lumilikha ng isang audit trail na gumagana mismo nang automatiko. Ang mga negosyo na nakikitungo sa mga sensitibong data transfer ay nakakakita ng malaking tulong dito. Kumuha ng IBM bilang isang halimbawa, kanilang ginamit ang blockchain sa kanilang mga proseso ng pag-audit at nakita ang mas mahusay na resulta sa seguridad at mas kaunting pagkakamali sa datos. Gayunpaman, mayroon pa ring mga balakid sa harap. Maraming tao pa rin ang naniniwala na hindi magagawa ng blockchain ang tamang sukat o sobrang komplikado ito para intindihin. Ang pagtagumpayan ang mga maling paniniwalang ito ay maglalayo sa pagpapakita kung ano ang magagawa ng blockchain para sa mga audit. Kailangan natin ng higit pang edukasyon tungkol sa kung paano talaga ito gumagana at patuloy na mga pagpapabuti sa mismong teknolohiya upang maging mas maayos ang lahat para sa lahat ng kasali.
Ang zero trust architecture ay napatunayang mahalaga para mapanatiling secure ang hybrid workplaces, lalo na simula nang magsimulang bumalik ang mga kumpanya pagkatapos ng pandemyang lockdowns. Ang pangunahing ideya dito ay simple ngunit makapangyarihan: i-verify ang lahat sa bawat punto ng pag-access imbes na ipagpalagay na ang internal networks ay mga ligtas na lugar. Ang mga kumpanya na sumunod sa diskarteng ito ay nakakita ng ilang nakakaimpresyon na resulta ayon sa mga kamakailang pag-aaral na nagpapakita ng halos kalahating bilang ng mga insidente sa seguridad kumpara sa mga gumagamit pa rin ng tradisyonal na pamamaraan. Ang paglalapat ng zero trust sa kasanayan ay nangangahulugan ng pagpili ng tamang mga kasangkapan sa teknolohiya. Ang mga system ng identity management at multi-factor authentication ay kailangan sa karamihan ng mga implementasyon. Ang pinakamagandang gumagana ay talagang nakadepende sa uri ng negosyo na pinag-uusapan. Kailangan ng iba't ibang proteksyon ang isang manufacturing plant kaysa sa isang online service provider. Upang gawin ito nang tama ay kailangan ng oras at kasali ang pag-mapa nang eksakto kung saan dumadaloy ang sensitibong datos sa loob ng organisasyon bago pa man itatayo ang anumang tunay na depensa laban sa cyber attacks.
Ang quantum computing ay patuloy na nag-uunlad nang mabilis, at ito ay nangangahulugan na ang ating mga kasalukuyang pamamaraan ng encryption ay nasa panganib na. Kailangan nating simulan nang maaga ang pagbuo ng mga solusyon na makakatindig laban sa mga pag-atake na quantum. Ang mga eksperto sa cybersecurity ay nagbabala sa atin nang ilang taon na ang mga banta mula sa quantum ay maaaring maging isang tunay na problema sa loob lamang ng sampung taon o mas mababa pa. Ang paghahanda para sa darating ay nangangailangan ng pagtingin sa iba't ibang mga proyekto ng pananaliksik na kasalukuyang isinasagawa sa buong mundo. Isang halimbawa ay ang National Institute of Standards and Technology na nangunguna nang aktibo sa pag-unlad ng mga bagong pamantayan sa encryption upang maprotektahan ang mahahalagang impormasyon kahit pa gamitin na ang mga quantum computer. Ang mga kumpanya na nais manatiling nangunguna ay dapat nang magsimulang mag-isip kung paano nila mapapamahalaan ang kanilang mga sistema ng encryption sa hinaharap. Sa huli, walang sino man ang nais magising isang araw at malaman na hindi na ligtas ang kanilang mga datos dahil may nagawa ang isang mas mahusay na computer.
Para sa mga CFO na kinakapitan ang kumplikadong operasyon ng modernong negosyo, ang cyber insurance ay hindi lamang isa pang item sa listahan kundi isang mahalagang bahagi ng kanilang diskarte sa pamamahala ng panganib. Ang data breaches ay mahal na gawain sa mga araw na ito, at kadalasang nagkakahalaga ng ilang milyong dolyar sa mga kumpanya depende sa kalubhaan. Isaisip ang natuklasan ng IBM noong 2021 kung saan ang average na breach ay umaabot sa humigit-kumulang $4.24 milyon. Ang cyber insurance ay tumutulong sa pagtakip sa mga hindi inaasahang gastos tulad ng pagbabayad sa mga abogado, pagkumpuni ng mga nasirang sistema, at pagharap sa mga parusang pang-regulasyon na maaaring lumitaw pagkatapos ng isang pag-atake. Kapag sinusuri kung magkano ang dapat gastusin para sa ganitong klase ng proteksyon, kailangang bigyang-pansin ng mga lider sa pananalapi ang halaga ng natatanggap na benepisyo kumpara sa iba pang mga gastos sa seguridad. Bagama't ang pagkakaroon ng insurance ay nagbibigay-proteksyon laban sa pinakamasamang senaryo, matalinong naglalaan din ng pondo ang mga negosyo para sa mga hakbang na pang-iwas upang hindi sila makaranas ng sitwasyon kung saan kailangan nila ang tulong sa mga claim. Sa huli, mas mainam pa rin na mapigilan ang mga problema bago pa ito magsimula kaysa harapin ang paglilinis pagkatapos mangyari.
Ang pagsasanay sa kamulatan sa seguridad ay talagang makapagbabago sa ugali ng mga empleyado at makatutulong upang mabawasan ang mga problema sa seguridad. Ang mga kompanya na nagpapatupad ng ganitong mga programa ay kadalasang nakakakita ng malaking pagbaba sa mga insidente, na nagpapakita na sulit ang pamumuhunan. Halimbawa, ayon sa pananaliksik ng KnowBe4, nakita nila na ang mga phishing attempts ay bumaba ng halos 90% matapos makaranasan ng mga tao ang kanilang programa sa pagsasanay. Ang mga opisyales na pinansiyal na sinusuri kung gaano kahusay ang mga ito ay dapat tumingin sa ilang mga bagay tulad ng bilang ng mga insidente sa loob ng isang panahon, kung gaano kabilis ang mga grupo tumugon sa mga nangyaring problema, at kung gaano kasali ang mga empleyado sa mismong sesyon ng pagsasanay. Isa pang mabuting paraan upang masukat ang tagumpay ay ang pagtingin lamang kung gaano karaming pera ang naiipon dahil nabawasan ang mga actual na paglabag sa seguridad sa buong kompanya.
Kapag naman sa pag-uulat tungkol sa cyber risk para sa mga board, mahalaga talaga na bukas ang pag-uusapan ang mga isyung ito kung nais ng mga kompanya na gumawa ng matalinong mahabang panahon na mga desisyon. Ang magagandang ulat ay kinukuha ang lahat ng mga kumplikadong problema sa teknolohiya at binabago ito sa isang bagay na talagang magagamit ng mga tagapamahala. Ilan sa mga pangunahing payo? Panatilihing simple ang wika, unahin ang mga panganib na pinakamahalaga, at huwag kalimutan na imungkahi kung ano ang susunod na dapat gawin. Isipin ang Microsoft, halimbawa. Nasa harap sila ng larangan sa kanilang mga ulat sa board, sa paggawa ng mga dashboard na nagpapakita nang eksakto kung anu-anong mga banta sa seguridad ang nangyayari ngayon at kung paano sila tumutugon. Ang ganitong uri ng pagiging bukas ay nakatutulong sa mga lider na kumilos bago pa lumala ang mga bagay, at pati na rin sa pagpapakita sa mga investor at customer na sineseryoso ng kompanya ang pangangalaga sa kanilang mga gamit. Sa huli, walang sino man ang nais mamuhunan sa isang negosyo na nagtatago sa mga kahinaan nito.
Kapag isinama ng mga negosyo ang analytics ng computer monitor sa kanilang mga plano sa cybersecurity, mas nakakapansin sila nang maaga ng mga banta. Ang pagtingin kung paano nakikipag-ugnayan ang mga user sa mga sistema at nakakakita ng kakaibang mga pattern sa screen ay nakakatulong upang mahuli ang mga problema bago ito maging buong pag-atake. Minsan, umaasa ang mga security team sa mga tool tulad ng mga sistema ng SIEM upang makolekta ang lahat ng data ng aktibidad sa screen at i-flag ang anumang kahina-hinala. Halimbawa, napansin ng ilang kumpanya na mas mabilis silang nakakatugon sa posibleng pagpasok ng hanggang 40% pagkatapos isagawa ang pagsusuri ng monitor. Habang walang sistema na perpekto, maraming IT manager ang nagsasabi na mas tiwala sila sa kanilang depensa kapag talagang nakikita nila kung ano ang nangyayari sa kanilang mga network sa tunay na oras.
Transisyonal na Pangungusap Para sa Susunod na Seksyon: Matapos alamin ang maraming paraan ng operationalizing security sa pamamagitan ng liderato ng CFO, tayo naman ay lal deep dive sa mga bagong teknolohiya na nagbabago sa computer security features, at sasalakayin kung paano ang AI, blockchain, at iba pang inobasyon ay nagbabago sa larawan.
EN
AR
BG
HR
CS
DA
NL
FR
DE
EL
HI
IT
JA
KO
NO
PL
PT
RO
RU
ES
SV
TL
IW
ID
SR
SK
VI
HU
TH
TR
FA
AF
MS
SW
UR
BN
HA
KM
MN
UZ
