Cyberaanvallers blijven de financiële sector aanvallen. De afgelopen tijd werden banken en kredietverenigingen van verschillende groottes getroffen door ransomware-aanvallen op software voor de overdracht van bestanden, waardoor de angst voor beveiligingsrisico’s bij financiële instellingen toeneemt wanneer ze gegevens migreren naar de cloud.
De beveiliging van de publieke cloud is al lange tijd een grote zorg voor banken – en terecht. Organisaties in de financiële dienstverlening lopen 300 keer meer kans op een aanval of inbreuk dan bedrijven in andere sectoren. “Megabreaches” waarbij meer dan 50 miljoen gegevens worden gestolen, kostten bedrijven vorig jaar in totaal ongeveer 401 miljoen dollar per incident, volgens het Ponemon Institute. En dan hebben we het nog niet eens over alle bijkomende gevolgen, zoals een hoger klantenverloop, reputatieschade en jaren van rechtszaken.
”De moderne dreigingsactor is berekend en zeer vaardig om zich te richten op specifieke functies en mogelijkheden van de publieke cloud. Ze begrijpen de cloud heel goed en vertrouwen op menselijke fouten, hun gebrek aan vaardigheden en begrip, en hun reactieve benadering van beveiliging en IT-operaties. Het zijn dezelfde oude attitudes die de meeste organisaties laten struikelen”, zegt Kearan McPherson, Client Technical Leader bij Kyndryl Nederland.
Hoewel er veel redenen zijn waarom banken worstelen met cloudbeveiliging, zijn hier vijf van de meest voorkomende – en wat ze eraan kunnen doen.
1. Kies de juiste cloudstrategie
Banken ontdekken nu dat de publieke cloud niet altijd het antwoord is. Geen enkele onderneming zal in de toekomst volledig afhankelijk zijn van slechts één hyperscaler. De kosten van het verplaatsen van gegevens, de latentie van edge services, verzonken investeringen in lokale datacenters, vereisten voor data residency en de evoluerende mogelijkheden van management platformen voor hybride clouds hebben ertoe geleid dat banken hun benadering van de cloud heroverwegen. Banken die een hybride cloud strategie implementeren, profiteren van de traditionele voordelen van cloud en kunnen ook meerdere applicaties en computeromgevingen integreren. Het is belangrijk om samen te werken met een cloud-agnostische partner die gebruik maakt van het hele technologische ecosysteem om een uniforme managementsysteem oplossing te creëren voor bedrijfsclouds, netwerken en datacenters.
2. Zoek een goede partner om de vaardigheidskloof te overbruggen
Financiële dienstverleners moeten er niet alleen voor zorgen dat hun systemen veilig en veerkrachtig zijn, maar ze moeten ook de juiste cloud architectuur bouwen, managementmodellen definiëren, bepalen welke workloads geschikt zijn voor de publieke cloud of private cloud, cloud migratie uitvoeren en de workloads en omgeving in één oogopslag beheren. Vaker wel dan niet beschikken ze niet over de juiste of voldoende interne vaardigheden om deze complexiteiten te beheren. Managed service providers kunnen helpen de kloof in vaardigheden te overbruggen.
3. Maak gebruik van automatisering
Cloud maakt het mogelijk om werklasten sneller en eenvoudiger in te schakelen, waardoor menselijke fouten in traditionele datacenters worden vermeden. Volgens een recent onderzoek van Forrester in opdracht van Kyndryl heeft 44% van de ondervraagde organisaties – waaronder financiële dienstverleners – te maken met een gebrek aan automatisering, waardoor menselijke fouten niet worden opgemerkt. En meer dan een derde merkte ook op dat ze beveiliging niet hebben ingebed in hun huidige bedrijfsmodellen, waardoor ze kwetsbaar zijn voor zwakheden die hun bedrijf kunnen verstoren.
4. Focus op compliance controles
De toenemende complexiteit als gevolg van de groei van hybride clouds, de veranderende regelgeving en de verscheidenheid aan nieuwe technologieën en IT-omgevingen die in gebruik zijn, plaatsen bedrijven voor uitdagingen op het gebied van risico’s en compliance.
Met de toegenomen wereldwijde controle over de privacy en bescherming van gegevens hebben bedrijven uitgebreide beveiligingscontroles nodig om ervoor te zorgen dat klantgegevens worden beschermd, en veel bedrijven moeten voldoen aan de groeiende wet- en regelgeving.
Cloud platforms stellen banken in staat om compliance- en security practices op beleidsniveau te verenigen voor eenvoudigere rapportage. Organisaties kunnen gebruikmaken van gespecialiseerde compliance-engines die op de hoogte blijven van regelgeving en wijzigingen en tegelijkertijd integreren met boekhoudsystemen. Cloud services kunnen ook zoeken naar mogelijke bekendmakingen van persoonlijk identificeerbare informatie en records automatisch verwijderen nadat hun verplichte bewaarperiode is afgelopen. En hun audit-engines zijn een grote hulp wanneer toezichthouders langskomen.
5. Begrijp dat beveiliging een gedeelde verantwoordelijkheid is
De fundamentele stap naar veilig werken in de cloud is begrijpen dat beveiliging een gedeelde verantwoordelijkheid is. Aanbieders van cloud platforms zorgen voor het vergrendelen van de infrastructuur, maar banken moeten klantgegevens op locatie, onderweg en in de cloud beschermen. Dat is niet anders dan de verantwoordelijkheden die ze op zich nemen in hun datacenters. Bovendien bieden de grote aanbieders van cloud infrastructuur nu allemaal platforms die specifiek zijn voor banken en die gespecialiseerde controles en beveiligingen hebben die zijn afgestemd op de behoeften van de sector.
“Beveiliging van de publieke cloud is een teamsport, waarbij proactieve maatregelen, constante zorgvuldige observatie en vooraf bepaalde reactie plannen nodig zijn om een onverbrekelijke alliantie te vormen”, zegt Kearan McPherson.
Hoewel cloud een pad naar modernisering is, moeten banken worden uitgerust met de juiste hulpmiddelen voor hun reis.
