Chmura w instytucjach finansowych: priorytetem bezpieczeństwo cybernetyczne i zarządzanie danymi
Upowszechnienie technologii chmury obliczeniowej w sektorze usług finansowych doprowadziło do rozszerzania kompetencji przez organy regulacyjne, tak aby obejmowały one nowe środowisko. Niektóre z nich wprowadziły nowe wytyczne, inne po prostu aktualizują istniejące normy, tak aby mogły być lepiej stosowane w nowych technologiach. Jednakże, niezależnie od wybranego podejścia organów regulacyjnych, globalna koncentracja na prywatności i bezpieczeństwie cybernetycznym doprowadziła do zwiększonej kontroli nad sposobami zarządzania danymi przechowywanymi w chmurze. Według ekspertów z Amazon Web Services, czołowego dostawcy usług chmurowych na świecie, zarządzanie danymi, bezpieczeństwo cybernetyczne oraz zarządzanie ryzykiem to najistotniejsze obszary do zapewnienia zgodności z regulacjami.
Zarządzanie danymi
Przedsiębiorstwa oferujące usługi finansowe przechowują ogromne ilości danych dotyczących klientów, rynku i pracowników, które muszą być traktowane zarówno przez zainteresowane instytucje, jak i dostawców usług chmurowych jako wysoce poufne. Niezbędne jest więc wdrożenie zaawansowanych środków technicznych i fizycznych zapobiegających nieuprawnionemu do nich dostępowi.
– Pierwszym etapem zarządzania stale rosnącą pulą danych jest rozpoczęcie procesu szyfrowania. Na początku, firmy muszą zadbać o to, aby dane mogły być nadzorowane z centralnego punktu kontroli. Takie rozwiązanie zapewnia chmura obliczeniowa. Następnym etapem jest skuteczne zarządzanie kluczami szyfrowania i konsekwentne definiowanie polityki za pośrednictwem tego pojedynczego punktu kontrolnego w celu skutecznego szyfrowania wszystkich wrażliwych danych – wskazuje Tomasz Stachlewski, Principal Solutions Architect w Amazon Web Services.
Bezpieczeństwo cybernetyczne
Z przygotowanej przez UK Finance analizy dotyczącej nadużyć finansowych z pierwszego półrocza 2018 r. wynika, że instytucje finansowe doświadczają zwiększonej liczby coraz bardziej zaawansowanych ataków cybernetycznych, które, co niepokojące, są również coraz bardziej skuteczne. Aby zapewnić bezpieczeństwo cybernetyczne, dostawcy usług chmurowych wspierają swoich klientów w ramach tzw. wspólnej odpowiedzialności za bezpieczeństwo. Rozwiązania przez nich oferowane zapewniają najwyższy poziom ochrony zaprojektowany dla najbardziej wrażliwych organizacji. Jednakże, zainteresowane instytucje również powinny dbać o bezpieczeństwo cybernetyczne we własnym zakresie, np. wykonując testy penetracyjne.
– Test penetracyjny, kluczowy wymóg ze strony organów nadzoru finansowego, stanowi dobry przykład tego, jak działa model wspólnej odpowiedzialności. Regularnie przeprowadzamy testy penetracyjne naszej infrastruktury oraz świadczonych usług, ale klienci również powinni przeprowadzać skanowanie podatności i testy penetracyjne na swoich środowiskach. Przeprowadzanie regularnych testów jest obowiązkiem każdej organizacji – kontynuuje Stachlewski.
Zarządzanie ryzykiem
Organy regulacyjne oczekują wdrożenia solidnych procesów zarządzania ryzykiem przez firmy korzystające z infrastruktury chmury obliczeniowej. Aby to zrobić, niezbędna jest identyfikacja wszystkich zasobów informatycznych. Kluczowe znaczenie ma również ciągłe monitorowanie, analiza i audyt zdarzeń występujących w środowisku informatycznym. Pozwoli to nie tylko zapewnić zgodność z przepisami, ale również zapewnić solidne procesy zarządzania ryzykiem.
Aby zapewnić pomyślne przyjęcie chmury w wysoce regulowanym sektorze usług finansowych, zarówno dostawcy rozwiązań cloud computing, jak i użytkownicy końcowi, powinni ze sobą współpracować. Kluczowe znaczenie mają otwarte linie komunikacji i jeden punkt odniesienia dla kwestii związanych ze zgodnością i bezpieczeństwem. Dzięki starannemu zarządzaniu danymi i ich zabezpieczaniu w całym środowisku, firmy mogą w pełni korzystać z wielu korzyści, jakie chmura ma do zaoferowania, przy jednoczesnym zachowaniu zgodności i ograniczeniu ryzyka.