Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Beoordeling van de volwassenheid van privacy en naleving bij communicatie van gevoelige inhoud in de financiële sector
Beoordeling van de volwassenheid van privacy en naleving bij communicatie van gevoelige inhoud in de financiële sector

Beoordeling van de volwassenheid van privacy en naleving bij communicatie van gevoelige inhoud in de financiële sector

by Patrick Spencer updated augustus 23, 2022 Risico van derden
Reading Time: 9 minutes

Elke organisatie die vertrouwelijke klantgegevens verzamelt, is verplicht deze te beveiligen en de privacy ervan te waarborgen. Als het gaat om het verzamelen, opslaan, verwerken en delen van persoonlijk identificeerbare informatie (PII), staat de financiële sector bovenaan de lijst. PII is essentieel voor de dagelijkse activiteiten van vrijwel elk bedrijf in de financiële sector.

Naast het delen en verzenden via diverse interne systemen, netwerken en applicaties, wordt PII ook verzonden en gedeeld met talloze derden. Zowel interne als externe digitale communicatie van gevoelige inhoud kan serieuze risico’s veroorzaken, en organisaties in de financiële sector moeten ervoor zorgen dat ze de juiste strategieën voor risicobeheer cyberbeveiliging hebben om deze aan te pakken. Om te voorkomen dat PII door een ongeluk of een kwaadwillende hack wordt gelekt, hebben de financiële sector en overheidsinstanties regelgeving voor naleving ingesteld om de digitale uitwisseling van informatie te reguleren.

De financiële sector is een brede branche die bestaat uit commerciële en wholesale banken, retailbanken, verzekeringen en vermogensbeheer. De use cases zijn divers. Enkele voorbeelden zijn:

  • Beveiligde verwerking van bedrijfsloonadministratie, creditcardtransacties en vermogensbeheertransacties
  • Veilig delen van financiële klantinformatie met andere banken voor het syndikeren van grote zakelijke leningen
  • Beschermen en auditen van inhoudsoverdrachten bij het verstrekken van afschriften en aanvraagdocumenten van klanten
  • Beschermen van PII die naar uitbestede bedrijven wordt gestuurd voor niet-kernactiviteiten zoals hypotheekbeheer of incasso
  • Consolideren van SFTP-communicatie in een veilige, schaalbare inzet met uniforme governance en toegangsbeheer
  • Creëren en beheren van klachten, geautomatiseerde workflows zoals AML-rapportages naar toezichthouders en afschriften naar klanten

Aantonen van naleving van regelgeving en het beschermen van uw data wordt steeds moeilijker door de toenemende complexiteit en hoeveelheid cyberaanvallen door buitenlandse staten, georganiseerde cybercriminele netwerken, individuele kwaadwillenden en andere dreigingsactoren. Zij begrijpen allemaal de waarde van de data die financiële instellingen delen en beheren.

Vanwege het risico moeten bedrijven in de financiële sector ervoor zorgen dat ze mechanismen hebben om de volwassenheid van hun governancecontroles en beveiligingsstrategieën te benchmarken. Deze Blog Post onderzoekt het bredere plaatje van privacy en naleving van digitale communicatie in de financiële sector en geeft aanbevelingen over wat financiële instellingen kunnen doen om de gaten te dichten. Ook wordt gekeken naar de verstoring door FinTech-bedrijven en hoe dit nieuwe cyberrisico’s introduceert die financiële organisaties in hun risicobeheer cyberbeveiliging moeten aanpakken.

Voorkomen van Derden in de Financiële Sector 

De toeleveringsketen voor financiële diensten bestaat vaak uit honderden organisaties en duizenden gebruikers. Er zijn veel diverse derde partijen in de financiële sector, wat uiteindelijk het cyberbeveiligingsrisico vergroot en naleving lastiger maakt. Deze derden omvatten softwareleveranciers, IT-bedrijven, juridische kantoren, accountantskantoren en HR-bedrijven, onder andere.

Sommige derde partijen die cruciaal zijn voor het financiële systeem zijn geen financiële instellingen en vallen buiten veel financiële regelgevingskaders. Toch zijn deze derden, vanwege de aard van hun diensten of oplossingen, van essentieel belang voor veel bedrijven in de financiële sector.

Deze derden leveren essentiële oplossingen die de efficiëntie van bedrijfsvoering verhogen. Het uitbesteden van bepaalde diensten aan een derde partij betekent echter vaak dat zij toegang nodig hebben tot gevoelige gegevens die u beheert. Zelfs als u een contract met hen sluit, blijft de verantwoordelijkheid voor het beschermen van deze data bij uw organisatie liggen. In deze gevallen moeten organisaties strategieën voor risicobeheer door derden (TPRM) implementeren.

Het delen van gevoelige data met deze derden creëert grote gaten voor kwaadwillende dreigingsactoren om te misbruiken. Volgens het meest recente Verizon Data Breach Investigations Report (DBIR) was 62% van de datalekken het afgelopen jaar gerelateerd aan de toeleveringsketen. Een reden hiervoor is dat derde partijen vaak niet zo robuuste beveiligingsmaatregelen hebben als hun klanten.

Zelfs als de kwaadwillende geen toegang krijgt tot de toeleveringsketen van een organisatie en geen downstream data kan misbruiken, kunnen verstoringen in de operaties van een derde partij die leiden tot downtime een negatieve impact hebben op honderden, duizenden of zelfs tienduizenden klanten van die derde partij. Dit kan op zijn beurt financiële gevolgen hebben. Organisaties moeten daarom de juiste aanpak voor risicobeheer toeleveringsketen hanteren.

Nalevingsvereisten voor veel organisaties strekken zich uit tot hun toeleveringsketen. De tools die zij in hun toeleveringsketen gebruiken, moeten voldoen aan regelgeving. Een bank die bijvoorbeeld persoonlijk identificeerbare informatie (PII) van werknemers deelt met een externe salarisverwerker, moet dit doen via een oplossing voor bestandsoverdracht die voldoet aan de FIPS (Federal Information Processing Standards) 140-2. Het niet naleven hiervan kan leiden tot boetes en/of sancties, en kan zelfs een negatieve impact hebben op het imago van de organisatie.

Risicobeheer van Gevoelige Inhoudscommunicatie met Derden

Voordat een derde partij wordt ingeschakeld, is het verstandig dat een financiële organisatie haar beveiligingsinfrastructuur auditeert om enig vertrouwen te krijgen dat de beveiligingsstatus adequaat is. Maar ook na het onboarden is voortdurende zorgvuldigheid een goede praktijk voor alle leveranciers van een organisatie.

Zorgvuldigheid is bedoeld om snel eventuele gaten te signaleren die kwaadwillende dreigingsactoren kunnen misbruiken en deze vooraf te herstellen. Volgens het meest recente IBM en Ponemon Institute “Cost of a Data Breach Report” bedroegen de gemiddelde kosten van een datalek in de financiële sector vorig jaar $5,97 miljoen, het op één na hoogste van alle sectoren (alleen de zorgsector is hoger).

Een cruciale stap in een protocol voor risicobeheer door derden is een volledige leveranciersinventarisatie om al uw derde partijen correct te identificeren. Deze lijst moet altijd actueel worden gehouden om te helpen bij risicobeoordeling.

De uitdaging waar veel organisaties mee te maken hebben bij het waarborgen van naleving van regelgeving rond processen met derden, is de gefragmenteerde aard van hun risicobeoordelingsinspanningen. Sommige organisaties investeren in technologische oplossingen om hun processen te consolideren en te automatiseren.

Hoe FinTech-verstoring Nieuwe Cyberdoelen Creëert

FinTech-bedrijven hebben zich de afgelopen jaren snel ontwikkeld, waardoor er nieuwe doelen voor cybercriminelen zijn ontstaan buiten de traditionele financiële instellingen. Hoewel deze verstoring nieuwe kansen biedt, brengt het ook nieuwe risico’s met zich mee.

64% van de consumenten geeft aan het afgelopen jaar twee of meer FinTech-platforms te hebben gebruikt. Deze penetratie veroorzaakt verstoring in de hele financiële sector: 22% van de verzekerings-, asset- en vermogensbeheerbedrijven en 28% van de banken en betaaldienstverleners lopen het risico te worden verstoord en omzet te verliezen.

Deze trend is zichtbaar in het financieringslandschap, waar $1 van elke $5 aan durfkapitaal over alle sectoren naar FinTech gaat. Hoewel er veel kansen zijn voor organisaties in de financiële sector om efficiëntie te verbeteren, kosten te verlagen en de klantenservice te versterken, zijn er ook risico’s op het gebied van cyberdreigingen. Volgens één rapport zijn 98 van de top 100 wereldwijde FinTech-bedrijven momenteel kwetsbaar voor cyberaanvallen.

Regelgeving en standaarden houden geen gelijke tred met deze nieuwe disruptieve technologieën. Dit creëert een vruchtbare voedingsbodem voor dreigingsactoren om FinTech-bedrijven die gevoelige data verwerken aan te vallen. Als reactie zoeken toezichthouders naar manieren om nieuwe standaarden in te voeren die organisaties verplichten om passende tracking en controles voor gegevensprivacy te implementeren.

Privacy en Naleving van Gevoelige Inhoudscommunicatie in de Financiële Sector

Met deze achtergrond in gedachten komen er enkele belangrijke vragen naar voren.

  • Hoe gaan de financiële sector en FinTech-sectoren om met cyberbeveiligingsdreigingen?
  • Hoe waarborgen zij naleving?
  • Hoe reageren zij op de cyberrisico’s die derden veroorzaken?

Om deze en andere vragen te beantwoorden, stel ik voor dat we de “2022 Sensitive Content Communications Privacy and Compliance Report” van Kiteworks raadplegen om de volwassenheid van privacy en naleving van digitale communicatie in de financiële sector te onderzoeken.

Data staat centraal bij elke financiële instelling en FinTech-bedrijf. Hun businessmodellen zijn sterk afhankelijk van het vastleggen, delen, overdragen en opslaan van PII van klanten en financiële gegevens voor dagelijkse operaties en langetermijninnovatie.

Al deze activiteiten en processen worden gereguleerd door strikte beveiligings- en nalevingsstandaarden. Privacywetgeving, zoals de EU’s General Data Protection Regulation (GDPR), de Health Insurance Portability and Accountability Act (HIPAA) en de California Consumer Privacy Act (CCPA), bepalen hoe persoonlijk identificeerbare informatie (PII) en beschermde gezondheidsinformatie (PHI) worden vastgelegd, gedeeld, gebruikt en opgeslagen.

Het feit dat financiële instellingen veel klantinformatie met elkaar delen, betekent dat naleving ook een rol speelt wanneer data wordt overgedragen en gedeeld. TPRM is een cruciaal onderdeel van de financiële sector als het gaat om gegevensbeveiliging, privacy en naleving.

Dit waarborgen is geen eenvoudige opgave, blijkt uit de bevindingen in het Kiteworks-rapport. Niet verrassend was de grootste uitdaging het delen en overdragen van data met derden. 51% van de respondenten gaf aan onvoldoende beschermd te zijn tegen risico’s op het gebied van beveiliging en naleving bij gevoelige inhoudscommunicatie met derden, terwijl slechts 53% alle gevoelige inhoudscommunicatie met derden versleutelt.

Aangezien 57,5% van de respondenten uit de financiële sector privé-informatie deelt met meer dan 1.000 derde partijen en 58% geen controles heeft geïmplementeerd om risico’s van derden te meten, ontstaat er een duidelijk beeld van de uitdagingen waarmee deze sector wordt geconfronteerd op het gebied van naleving van relevante regelgeving en bescherming van gevoelige data tegen kwaadwillende dreigingsactoren.

Top priorities around third-party sensitive content communications in financial services.

Tabel 1. Topprioriteiten rond gevoelige inhoudscommunicatie met derden in de financiële sector.

Bestuur, Risicobeheer en Naleving in de Financiële Sector

Gevraagd naar hun prioriteiten, stond het beheer van gevoelige inhoudscommunicatie bovenaan de lijst. Zo gaf 22,5% van de respondenten uit de financiële sector aan dat het unificeren van beheer, beleidstracering en rapportage van digitale communicatie van inhoud hun hoogste prioriteit had. Daarna volgde 17% die aangaf dat het automatiseren van encryptie, bestandsoverdracht, rapportage en andere processen hun topprioriteit was.

Deze zijn afhankelijk van een robuuste aanpak van bestuur, risicobeheer en naleving:

Bestuur in de Financiële Sector

Organisaties wereldwijd moeten uitgebreide governance-tracking en controles hebben om naleving van alle geldende privacywetgeving te bereiken en aan te tonen. Als het gaat om financiële diensten en gegevensprivacy is de financiële sector de meest gereguleerde industrie ter wereld. Uit een enquête in landen wereldwijd bleek bijvoorbeeld dat 86% van de landen wetten en regels heeft met betrekking tot de beveiliging en overdracht van data, 87% heeft regelgeving of regels rond cyberbeveiliging, 78% heeft regelgeving rond het delen van klantgegevens en 65% heeft digitale ID-systemen en regelgeving rond elektronische PII-ID.

Een andere belangrijke vraag over financiële diensten uit het Kiteworks-rapport “2022 Sensitive Content Communications Privacy and Compliance Report” betreft de vraag of de huidige privacy- en nalevingsaanpak de groei belemmert. Bijna een derde van de respondenten uit de financiële sector vindt dat het beheer en de bescherming van inhoudscommunicatie met derden een nieuwe aanpak of aanzienlijke verbetering vereist. Zeven van de tien respondenten geven aan vier of meer systemen te gebruiken voor het traceren, controleren en beveiligen van gevoelige gegevenscommunicatie met derden. Deze opsplitsing van tools voor digitale inhoudscommunicatie maakt het lastig om één set beleid te implementeren voor gestandaardiseerd bestuur over elk kanaal—e-mail, bestandsoverdracht, geautomatiseerde bestandsoverdracht, webformulieren en API’s. Het is dan ook geen verrassing dat slechts 35% technologieën en processen heeft om risico’s van inhoudscommunicatie met derden te meten (zie Tabel 1).

Risicobeheer in de Financiële Sector

Het beheren van risico’s rond gevoelige inhoudscommunicatie is een uitdaging voor organisaties in de financiële sector. Het rapport liet aanzienlijke gaten zien:

  • Slechts iets meer dan de helft (52%) gebruikt antivirus en antispamtechnologieën om inkomende gegevenscommunicatie van derden te verifiëren (hoewel het de meest volwassen sector is).
  • Vier op de tien organisaties gebruiken geen Preventie van gegevensverlies (DLP) voor bestandsoverdracht en delen met derden (ook hier de meest volwassen sector; 33% hoger dan de volgende sector).
  • Slechts iets meer dan de helft versleutelt hun inhoudscommunicatie met derden.
  • Bijna de helft beheert of monitort geen of slechts een deel van de inhoudscommunicatie in de cloud.

Gezien deze tekortkomingen hebben respondenten weinig vertrouwen in hun risicobeheer. Meer dan vier op de tien gaven aan dat hun beveiliging van risicobeheer voor inhoudscommunicatie met derden een nieuwe aanpak of aanzienlijke verbetering vereist. De helft gaf toe dat hun organisaties niet goed beschermd zijn tegen risico’s van inhoudscommunicatie met derden.

Naleving in de Financiële Sector

Organisaties in de financiële sector besteden steeds meer tijd en middelen aan het beheren van nalevingsregels. Respondenten gaven aan dat ze jaarlijks meer dan zeven nalevingsrapporten moeten opstellen. Meer dan de helft zei dat elk rapport meer dan 40 uur kost om te genereren. Ondanks deze inspanningen gelooft slechts 20% van de respondenten dat deze rapporten accuraat zijn en nog eens 18,5% gaf aan dat ze slechts op diverse punten enigszins accuraat of onnauwkeurig zijn.

Financiële Sector Stapt Over op Door Kiteworks Mogelijk Gemaakt Private Content Network

Zoals het jaarlijkse IBM en Ponemon Institute “Cost of a Data Breach Report” laat zien, kan het niet traceren, controleren en beveiligen van gevoelige gegevenscommunicatie leiden tot schadelijke gevolgen, waaronder financiële sancties, merkschade en verlies van intellectueel eigendom. En in het geval van ransomware-aanvallen komen daar de kosten van losgeld bij.

Als reactie hierop hebben bedrijven in de financiële sector behoefte aan een uniforme aanpak van gevoelige inhoudscommunicatie. Dit vereist Private Content Networks die content-gedefinieerde zero trust hanteren omdat inhoud tegenwoordig niet in “gecontroleerde” applicaties en workloads blijft. Dit betekent dat alle gebruikers standaard niet worden vertrouwd, alle inhoud standaard niet wordt vertrouwd en dat het principe van minimale privileges wordt gehandhaafd. Zo kunnen financiële instellingen ervoor zorgen dat privé-PII, intellectueel eigendom, financiële klantgegevens, verzekeringsclaims en meer privé blijven en voldoen aan wereldwijde regelgeving.

Veelgestelde Vragen

Risicobeheer door derden is een strategie die organisaties implementeren om risico’s te identificeren, beoordelen en beperken die samenhangen met hun interacties met externe leveranciers, leveranciers of partners. Deze risico’s kunnen variëren van datalekken en beveiligingsdreigingen tot nalevingsproblemen en operationele verstoringen. Het proces omvat doorgaans het uitvoeren van zorgvuldigheid voorafgaand aan samenwerking met een derde partij, het continu monitoren van de activiteiten en prestaties van de derde partij en het implementeren van controles om geïdentificeerde risico’s te beheren. Het doel is ervoor te zorgen dat de acties of tekortkomingen van de derde partij geen negatieve impact hebben op de bedrijfsvoering, reputatie of wettelijke verplichtingen van de organisatie.

Risicobeheer door derden is cruciaal omdat het helpt risico’s te identificeren, beoordelen en beperken die samenhangen met relaties met derden. Dit kan cyberbeveiligingsdreigingen, nalevingsproblemen, operationele risico’s en reputatieschade omvatten.

Beleidscontroles zijn essentieel in risicobeheer door derden omdat ze duidelijke verwachtingen scheppen voor het gedrag van derden, gegevensverwerking en beveiligingspraktijken. Ze helpen het risico op beveiligingsincidenten te beperken door acceptabele handelingen te definiëren en zorgen ervoor dat derden voldoen aan relevante wetten, regelgeving en industrienormen. Daarnaast vormen beleidscontroles de basis voor het monitoren van activiteiten van derden en het afdwingen van naleving, waardoor de organisatie passende maatregelen kan nemen bij beleidsinbreuken. Beleidscontroles vormen dus een cruciaal kader voor effectief risicobeheer door derden.

Audittrail is onmisbaar voor risicobeheer door derden omdat het een volledig overzicht biedt van alle activiteiten van derden binnen uw systemen. Ze helpen bij het identificeren van potentiële risico’s door ongebruikelijke of verdachte activiteiten te signaleren, dienen als belangrijke bron tijdens incidentrespons en forensisch onderzoek, en ondersteunen naleving van regelgeving door bewijs te leveren van effectieve beveiligingsmaatregelen en monitoring van derden. Bovendien bevorderen audittrails een cultuur van verantwoordelijkheid en transparantie bij derden, ontmoedigen ze kwaadwillende activiteiten en stimuleren ze naleving van beveiligingsbeleid.

Kiteworks helpt bij risicobeheer door derden door een veilig platform te bieden voor het delen en beheren van gevoelige inhoud. Het platform is ontworpen om gevoelige inhoud die binnen, in en uit een organisatie beweegt te controleren, traceren en beveiligen, wat het risicobeheer aanzienlijk verbetert. Kiteworks biedt ook twee niveaus van e-mailencryptie, Enterprise en Email Protection Gateway (EPG), om gevoelige e-mailcommunicatie te beveiligen. Dit helpt beschermen tegen risico’s van derden die samenhangen met e-mailcommunicatie.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks