Banken en kredietverenigingen van uiteenlopende groottes zien zich geconfronteerd met ransomware-aanvallen op software voor de overdracht van bestanden. Daardoor neemt de angst voor beveiligingsrisico's bij financiële instellingen toe wanneer ze gegevens migreren naar de cloud.
De beveiliging van de publieke cloud is een grote zorg voor banken, en terecht. Organisaties in de financiële dienstverlening lopen driehonderd keer meer kans op een aanval of inbreuk dan bedrijven in andere sectoren. Megabreaches, waarbij meer dan vijftig miljoen gegevens worden gestolen, kostten bedrijven vorig jaar ongeveer vierhonderd miljoen dollar per incident, volgens het Ponemon Institute. En dan hebben we het nog niet eens over alle bijkomende gevolgen, zoals een hoger klantenverloop, reputatieschade en jaren van rechtszaken.
De moderne dreigingsactor is berekend en vaardig om zich te richten op specifieke functies en mogelijkheden van de publieke cloud. Ze begrijpen de cloud goed en vertrouwen op menselijke fouten, hun gebrek aan vaardigheden en begrip, en hun reactieve benadering van beveiliging en it-operaties. Het zijn dezelfde oude attitudes die de meeste organisaties laten struikelen.
Vijf redenen
Hoewel er veel redenen zijn waarom banken worstelen met cloudbeveiliging, zijn hier vijf van de meest voorkomende – en wat ze eraan kunnen doen.
- Kies juiste cloudstrategie
Banken ontdekken dat de publieke cloud niet altijd het antwoord is. Geen enkele onderneming zal in de toekomst volledig afhankelijk zijn van slechts één hyperscaler. De kosten van het verplaatsen van gegevens, de latentie van edge-services, verzonken investeringen in lokale datacenters, vereisten voor data-residency en de evoluerende mogelijkheden van managementplatformen voor hybride clouds hebben ertoe geleid dat banken hun benadering van de cloud heroverwegen. Banken die een hybride-cloudstrategie implementeren, profiteren van de traditionele voordelen van cloud en kunnen ook meerdere applicaties en computeromgevingen integreren. Het is belangrijk om samen te werken met een cloud-agnostische partner die gebruik maakt van het hele technologische ecosysteem om een uniforme managementsysteem oplossing te creëren voor bedrijfsclouds, netwerken en datacenters.
- Zoek goede partner om vaardigheidskloof te overbruggen
Financiële dienstverleners moeten er niet alleen voor zorgen dat hun systemen veilig en veerkrachtig zijn, ze moeten ook de juiste cloud-architectuur bouwen, managementmodellen definiëren, bepalen welke workloads geschikt zijn voor de publieke cloud of private cloud, cloudmigratie uitvoeren en de workloads en omgeving in één oogopslag beheren. Vaker wel dan niet beschikken ze niet over de juiste of voldoende interne vaardigheden om deze complexiteiten te beheren. Managed service providers kunnen helpen de kloof in vaardigheden te overbruggen.
- Maak gebruik van automatisering
Cloud maakt het mogelijk om werklasten sneller en eenvoudiger in te schakelen, waardoor menselijke fouten in traditionele datacenters worden vermeden. Volgens een onderzoek van Forrester in opdracht van Kyndryl heeft 44 procent van de ondervraagde organisaties – waaronder financiële dienstverleners – te maken met een gebrek aan automatisering, waardoor menselijke fouten niet worden opgemerkt. En meer dan een derde merkte ook op dat ze beveiliging niet hebben ingebed in hun huidige bedrijfsmodellen, waardoor ze kwetsbaar zijn voor zwakheden die hun bedrijf kunnen verstoren.
- Focus op compliance-controles
De toenemende complexiteit als gevolg van de groei van hybride clouds, de veranderende regelgeving en de verscheidenheid aan nieuwe technologieën en it-omgevingen die in gebruik zijn, plaatsen bedrijven voor uitdagingen op het gebied van risico’s en compliance.
Met de toegenomen wereldwijde controle over de privacy en bescherming van gegevens hebben bedrijven uitgebreide beveiligingscontroles nodig om ervoor te zorgen dat klantgegevens worden beschermd, en veel bedrijven moeten voldoen aan de groeiende wet- en regelgeving.
Cloudplatforms stellen banken in staat om compliance- en security practices op beleidsniveau te verenigen voor eenvoudigere rapportage. Organisaties kunnen gebruikmaken van gespecialiseerde compliance-engines die op de hoogte blijven van regelgeving en wijzigingen en tegelijkertijd integreren met boekhoudsystemen. Cloudservices kunnen ook zoeken naar mogelijke bekendmakingen van persoonlijk identificeerbare informatie en records automatisch verwijderen nadat hun verplichte bewaarperiode is afgelopen. En hun audit-engines zijn een grote hulp wanneer toezichthouders langskomen.
- Begrijp dat beveiliging gedeelde verantwoordelijkheid is
De fundamentele stap naar veilig werken in de cloud is begrijpen dat beveiliging een gedeelde verantwoordelijkheid is. Aanbieders van cloudplatforms zorgen voor het vergrendelen van de infrastructuur, maar banken moeten klantgegevens op locatie, onderweg en in de cloud beschermen. Dat is niet anders dan de verantwoordelijkheden die ze op zich nemen in hun datacenters. Bovendien bieden de grote aanbieders van cloud-infrastructuur nu allemaal platforms die specifiek zijn voor banken en die gespecialiseerde controles en beveiligingen hebben die zijn afgestemd op de behoeften van de sector.
Teamsport
Beveiliging van de publieke cloud is een teamsport, waarbij proactieve maatregelen, constante zorgvuldige observatie en vooraf bepaalde reactie plannen nodig zijn om een onverbrekelijke alliantie te vormen. Hoewel cloud een pad naar modernisering is, moeten banken worden uitgerust met de juiste hulpmiddelen voor hun reis.
(Auteur Kearan McPherson is client technical leader bij Kyndryl Nederland.)