Robuuste technologie vormt basis voor goede cybersecurity

18/03/19

Om optimaal te presteren op het gebied van cybersecurity moeten organisaties zich niet alleen concentreren op hun mensen en processen, maar ook op de robuustheid van hun technologie. Dat geldt zeker voor financiële instellingen, die met grote hoeveelheden data werken.

‘Het levensbloed van de digitale economie is data en de essentie daarvan is digitaal vertrouwen’, zegt Sergio Hernando, die verantwoordelijk is voor cyber bij PwC’s Financial Services Group.

Waarom is technologie belangrijk als het gaat om cybersecurity?

Sergio Hernando: ‘In de nieuwe cyberwereld is technologische robuustheid cruciaal om continu te kunnen innoveren. Bij financiële instellingen leidt nieuwe technologie tot grote veranderingen. Bijna dagelijks komen er nieuwe toepassingen op de markt met de potentie om het speelveld te ontregelen. Dus als financiële organisaties veilig willen zijn, moeten ze hun eigen technologische robuustheid serieus nemen. Financiële organisaties kunnen het zich niet permitteren om goede mensen en gestroomlijnde processen te hebben, en tegelijkertijd te werken met verouderde, onbeschermde of onbetrouwbare systemen en technologie. Op die manier kunnen zij niet betrouwbaar zijn.’

Waar moeten cybersecurity-specialisten op letten als het gaat om technologie?

‘Je kunt je organisatie alleen goed beveiligen als je de technologie van je bedrijf door en door kent. Dat moeten cyberspecialisten allereerst beseffen. Hoe ondersteunt de technologie de business? Hoe zijn de systemen beveiligd en wat moet er op dat gebied worden verbeterd? Daarnaast moeten ze goed op de hoogte zijn van nieuwe technologieën en welke innovaties in ontwikkeling zijn. Op die manier kunnen zij zich goed voorbereiden op wat er op hun organisatie afkomt. Door een goed beeld te hebben van de innovaties en oplossingen die op de markt komen, kunnen cyberspecialisten de beste aanpak voor hun cybersecurity kiezen.’

Hoe kunnen financiële organisaties op de hoogte blijven van technologische innovaties?

‘Wij raden onze klanten aan een “uitkijkpost” op te zetten, een soort observatorium. Dat bestaat uit specialisten die continu de markt verkennen en inventariseren wat er gaande is. Ze monitoren wat er wordt gepubliceerd en wat het belang daarvan is voor de business en voor de eigen cybersecurity. De cyberspecialisten van de onderneming moeten ook in de gaten houden of er start-ups zijn die van waarde kunnen zijn voor de organisatie.'

'In de cyberwereld vinden innovaties meestal plaats binnen start-ups. Daar draait het om uitproberen en experimenteren, om observeren en concluderen. Door te experimenteren ontstaat inzicht in de bruikbaarheid van nieuwe toepassingen, kan daarmee ervaring worden opgedaan en kunnen de beste beslissingen worden genomen om een maximale kostenefficiëntie te realiseren. Op dit moment zien we allerlei start-ups met innovatieve oplossingen die interessant zijn voor financiële organisaties en verzekeraars. Dus ik zeg: blijf de ontwikkelingen goed volgen.’

Hoe wordt de raad van bestuur hierbij betrokken?

‘Het is belangrijk dat de cyberspecialisten de ontwikkelingen regelmatig met de raad van bestuur bespreken. Daarbij moeten de specialisten adviezen zo formuleren dat het topmanagement begrijpt wat er gezegd wordt. Dus geen technische verhalen, maar in plaats daarvan duidelijke boodschappen over de relevantie van bepaalde ontwikkelingen voor de cybersecurity, voor het bouwen aan vertrouwen, en voor de zakelijke risico’s van de organisatie.’

'Door te experimenteren ontstaat inzicht in de bruikbaarheid van nieuwe toepassingen, kan daarmee ervaring worden opgedaan en kunnen de beste beslissingen worden genomen om een maximale kostenefficiëntie te realiseren.'

Sergio Hernando, verantwoordelijk voor cyber bij PwC’s Financial Services Group

Als een organisatie met nieuwe technologie aan de slag wil, wat is dan een goede aanpak?

‘Het is belangrijk dat dit niet wordt gedaan op een manier waardoor er nieuwe risico’s ontstaan, of waardoor de stabiliteit en continuïteit van de activiteiten in gevaar komt. Het moet worden gedaan op een manier waardoor de cyberrobuustheid wordt versterkt. Als financiële organisatie wil je niet te maken krijgen met mobiele websites of e-bankingapplicaties die niet werken. Alles moet soepel functioneren en een plezierige ervaring opleveren voor de klanten. Tegelijkertijd moet de veiligheid van de data en van de privacy gewaarborgd zijn.’

Ligt dat allemaal niet erg voor de hand?

‘Dat zou je inderdaad denken, maar wat vaak over het hoofd wordt gezien, is dat cybersecurity en cyberrobuustheid niet alleen maar gaan over cybercriminaliteit. Een verstorende gebeurtenis kan ook worden veroorzaakt door fouten van werknemers of problemen met derde partijen. Nog niet zo lang geleden was er een calamiteit met een provider van een mobiel netwerk. Een certificaat van deze provider verliep. Het vernieuwingsproces van het certificaat ging mis, waardoor het hele netwerk vastliep en meer dan dertig miljoen mensen in het Verenigd Koninkrijk en Azië onbereikbaar waren. Het is een typisch voorbeeld van een zeer verstorende gebeurtenis die niet is veroorzaakt door cybercriminelen, maar door de eigen medewerkers. Het laat zien hoe belangrijk het is dat organisaties ervoor zorgen dat hun technologie tegen een stootje kan en absoluut betrouwbaar is.’

Dit is het laatste artikel in een serie van drie over cybersecurity bij financiële instellingen. De twee eerdere artikelen vindt u bij gerelateerde content.