Bezpieczeństwo w czasie digitalizacji sektora finansowego
Ich zadowolenie dla instytucji finansowych może oznaczać zarówno większe udziały w rynku oraz przewagę konkurencyjną, jednak jej osiągniecie wiąże się z określonymi wyzwaniami a na ich czele jest zapewnienie odpowiedniego bezpieczeństwa. Aplikacje finansowe są szczególnie atrakcyjne dla cyberprzestępców i mogą stanowić cel potencjalnych ataków, gdyż przetwarzają wiele wrażliwych informacji.
W przeprowadzonym pod koniec 2016 roku przez Forrester Research badaniu[1] 134 managerów IT w sektora finansowego i ubezpieczeniowego ponad połowa przyznała, że miała do czynienia z próbą naruszenia bezpieczeństwa w ciągu ostatnich 12 miesięcy a 42 procent z nich potwierdziło trzy lub więcej takich prób naruszeń w ciągu ostatniego roku. Trzy główne metody naruszeń bezpieczeństwa opierały się na interakcji z użytkownikiem, wykorzystaniu podatnego na ataki oprogramowania oraz kradzieży poświadczeń.
[1] (Forrester Data, Global Business Technographics® Security Survey, 2016)
Poszerzanie kanałów dotarcia i interakcji z klientami o cyfrowe usługi, realizowane w różnych obszarach takich jak np. mobilność czy Internet Rzeczy wymaga od instytucji finansowych większej uwagi. Konieczność zapewnienia odpowiedniego bezpieczeństwa staje się jeszcze bardziej realna, ze względu na zwiększoną liczbę potencjalnych punktów dostępu, które mogą posłużyć do naruszenia danych. Zachowanie prywatności klientów i własności intelektualnej dla wielu managerów IT jest kluczowe, jednak aby to osiągnąć, należy stosować technologie, które pomogą w:
- Zabezpieczeniu wrażliwych finansowych aplikacji i danych.
Wirtualizacja aplikacji finansowych wraz z ujednoliconym i ścisłym mechanizmem kontroli dostępu pozwala, by wszystkie zasoby pozostały chronione w centrum danych organizacji a nie na różnych punktach końcowych (np. na urządzeniach mobilnych, które zawsze mogą zostać skradzione lub zagubione). W takim wypadku również dane finansowe przesyłane do takich punktów w trybie offline pozostają szyfrowane.
- Zmniejszeniu ryzyka utraty danych finansowych
Scentralizowane mechanizmy zabezpieczeń, takie jak granulacja polityk korzystania z aplikacji, umożliwia określanie i zarządzanie zasadami dostępu, dzięki czemu może on być przydzielany na podstawie ról czy urządzeń. Zapewnia to ochronę danych bez uszczerbku na bezpieczeństwie dla użytkownika. Odpowiednie zabezpieczenie sieci chroni aplikacje www przed zagrożeniami, a także zmniejsza potencjalne luki w bezpieczeństwie, które mogą być wykorzystane do ewentualnych ataków.
- Zabezpieczeniu zgodności z właściwymi regulacjami i ułatwieniu ich egzekwowania
Centralizacja wrażliwych zasobów w centrum danych, a nie na urządzeniach końcowych, skraca ścieżkę ich monitorowania, co jest dostosowane do przepisów branżowych i rządowych. Przepisy w zakresie zgodności mogą być dodatkowo egzekwowane za pomocą szyfrowania danych w ruchu i danych w spoczynku; stosowaniu mechanizmów konteneryzacji danych, a także opcji zdalnego czyszczenia urządzeń mobilnych.
Poza samą technologią warto wprowadzić do organizacji dobre praktyki, które pozwolą nie tylko dbać o bezpieczeństwo, ale także spełniają ważną rolę w edukacji użytkowników.
Zaliczyć do nich można:
- Opracowanie strategii bezpieczeństwa i zgodności z przepisami.
Spisanie założeń bezpieczeństwa w spójną strategię ma zasadnicze znaczenie dla przystosowania firmy do przestrzegania określonych regulacji. Wcześniej wspomniane badanie Forrester pokazało, że jedynie 15 procent instytucji finansowych nie posiada udokumentowanej strategii w tym zakresie. Mimo, że w działalności firmy mogą istnieć też inne priorytety, to sporządzenie dokumentu z zasadami może w wyraźny sposób pomóc ulepszyć bezpieczeństwo na przyszłość np. wtedy, gdy organizacja będzie musiała spełnić nowe wymogi np. w ramach przeprowadzanego audytu.
- Zrównoważenie wymogów bezpieczeństwa z potrzebami użytkowników w zakresie łatwości korzystania z usług czy aplikacji.
Bezpieczeństwo jest potrzebne zarówno do ochrony własności intelektualnej instytucji finansowych, jak i danych konsumentów. Integracja zabezpieczeń w kanałach komunikacji i w sieciach w celu spełnienia wymagań klientów i zapewnienia bezpiecznego, spójnego działania użytkownika powoduje, że wykorzystywane urządzenia końcowe są bezpieczne.
- Wspieranie kultury świadomości bezpieczeństwa.
Opracowanie i opisanie strategii bezpieczeństwa jest mało efektywne jeśli nie zostanie odpowiednio przyjęte przez pracowników. Ci, w zależności od swoich kompetencji powinni być odpowiednio przeszkoleni, by mogli zrozumieć ryzyko i konsekwencje wynikające z niewłaściwego korzystania z firmowych zasobów, ale także by mogli poznać i utrwalić właściwe scenariusze zachowań w tym np. w jaki sposób mogą bezpiecznie przechowywać, dzielić się czy przesyłać ważne informacje.
Dla osób odpowiedzialnych za bezpieczeństwo IT w sektorze finansowym odpowiednia ochrona informacji i zasobów jest priorytetem. W ubiegłym roku, 25 procent budżetów IT badanych przez Forrester instytucji przeznaczono na pilne wydatki w zakresie zapewnienia bezpieczeństwa. Jak wynika z tego samego badania w 2017 roku jedna trzecia badanych organizacji utrzyma budżety na tym samym poziomie, ale aż 58 procent je zwiększy. Te dane jedynie potwierdzają istotność bezpieczeństwa informatycznego w tym sektorze.
Jeśli pozytywne wrażenie klienta jest kluczem do rozwoju firmy, to jej bezpieczeństwo łączy wszystkie elementy w jedną całość. Bez właściwych rozwiązań i praktyk nawet najlepsza obsługa klienta okaże się ostatecznie nieskuteczna w osiągnięciu sukcesu organizacji. Cyfrowe technologie z pewnością umożliwiają lepszą interakcję organizacji z klientami, ale by w pełni spełniały swoją rolę warto zadbać, aby ta relacja była bezpieczna dla obydwu stron.
Sebastian Kisiel
Citrix Systems