vendredi, 24 mai 2024

Pourquoi plus de sécurité ne signifie pas une conformité plus efficace

Les banques ont toujours été une cible précieuse pour les cyberattaques. C’est en partie pourquoi les banques et les banques sont fortement gérées et ont plus d’exigences de conformité que celles de la plupart des autres marchés.

Une multitude de nouvelles règles ont été mises en place ces dernières années, développées pour mettre davantage l’accent sur la détermination continue et gérer ce danger. Pour les banques, la manière d’y parvenir ne consiste pas toujours à acheter de nouveaux outils de sécurité ; c’est en tirant davantage de valeur de la technologie existante grâce à une surveillance et une optimisation automatisées.

Dans la ligne de mire

Comme leurs pairs dans presque tous les secteurs verticaux du marché, les sociétés de services monétaires se déplacent en grand nombre vers le cloud pour améliorer la rentabilité, l’agilité de l’organisation et le développement. Le cloud est la structure sur laquelle de nouveaux services attrayants basés sur l’IA peuvent être développés, tels que des robots de service client basés sur ChatGPT, des algorithmes de détection d’escroqueries et des outils créés pour simplifier et mettre à jour les flux de travail de conformité.

Mais en même temps, ces investissements suscitent de toutes nouvelles menaces. Ils augmentent la « surface de cyberattaque » en développant de nouveaux actifs à cibler en route vers les magasins d’informations sensibles et les systèmes fonctionnels vitaux. Il peut s’agir de n’importe quoi, d’un serveur cloud au téléphone mobile d’un travailleur à domicile. Beaucoup de ces systèmes comportent des vulnérabilités qui peuvent être régulièrement exploitées. Ou alors ils sont simplement protégés par des mots de passe simples qui peuvent être rapidement hameçonnés. D’autres peuvent être mal configurés par le personnel, les exposant ainsi à des activités destructrices.

Le coût financier et de réputation pour les banques victimes d’une intrusion peut être substantiel. IBM estime que cela représente 5,9 millions de dollars par violation de données, ce qui le place juste derrière le secteur de la santé au niveau mondial en termes d’effet monétaire, et bien supérieur à la moyenne des secteurs verticaux de 4,45 millions de dollars. Au-delà du coup direct porté aux organisations touchées, il existe un danger plus grave qui rend les gouvernements et les régulateurs nerveux : une attaque grave contre le système bancaire pourrait avoir un impact débilitant sur la sécurité économique et nationale.

Les lois sont complexes.

Une partie de cette anxiété s’est en fait traduite par davantage d’actions réglementaires. La Securities and Exchange Commission (SEC) a récemment révélé l’adoption de toutes nouvelles lignes directrices sur la divulgation des cybermenaces, créées pour améliorer la transparence pour les financiers des affaires publiques. Les sociétés cotées devront divulguer les incidents graves de cybersécurité dans un délai de quatre jours et informer le marché des administrateurs compétents en matière de cybersécurité.

Dans d’autres endroits, le Département des solutions financières de la ville de New York a annoncé en juin des modifications améliorées de ses politiques de cybersécurité. Celles-ci incluent des exigences de plus en plus étendues concernant l’authentification multifacteur (MFA), la surveillance et le filtrage du trafic de courrier électronique et Web, la formation des utilisateurs, les stratégies de réaction aux événements, le contrôle des intrusions, la sécurité des applications et l’évaluation annuelle des risques.

Les organisations opérant dans l’UE devront prêter attention à la toute nouvelle loi sur la résilience opérationnelle numérique (DORA). Cela confère une forte responsabilité au conseil d’administration en matière de risque informatique et oblige toutes les sociétés monétaires concernées à définir, développer et fournir des preuves de politiques basées sur le risque pour garantir une cyber-résilience continue.

D’autre part, la loi Sarbanes-Oxley oblige toutes les sociétés ouvertes aux États-Unis et leurs filiales en propriété exclusive à adhérer aux meilleures pratiques dans des domaines tels que l’authentification et la sécurité des données.

Il y a aussi d’autres choses à venir. La technique nationale de cybersécurité des États-Unis garantit de nouvelles exigences et directives dans les mois à venir, qui contribueront à renforcer la sécurité des organisations opérant dans des secteurs d’infrastructure nationaux importants.

L’automatisation rationalise la conformité

Alors que les gens et les procédures sont très importantes pour satisfaire à ces exigences de conformité, le 3ème pilier – l’innovation – est peut-être le plus crucial. Ce sont des contrôles de sécurité tels que la détection et la réaction des points finaux (EDR) ou la prévention des pertes de données (DLP) qui garantissent que les entreprises peuvent appliquer leurs politiques de sécurité soigneusement créées, afin de mieux gérer et réduire les cyber-risques.

Compte tenu de leurs plans de dépenses en matière de cybersécurité assez sains, il pourrait être tentant pour les institutions financières de réagir aux obligations de conformité croissantes en achetant encore plus de contrôles. Pourtant, cela peut être risqué. Une étude récente de Panaseer montre que les grandes entreprises utilisent désormais environ 76 outils de sécurité distincts, soit une hausse de 19 % par rapport à 2019. Cela peut entraîner des fonctionnalités dupliquées dans certains endroits et des espaces de couverture dangereux dans d’autres.

Pire encore, plus il y a de risques. plus il y a d’outils à gérer, plus il peut être difficile de démontrer sa conformité à une mosaïque croissante de règles et de lignes directrices mondiales en matière de cybersécurité. Cela est particulièrement vrai pour une législation comme DORA, qui se concentre moins sur les contrôles technologiques faisant autorité et davantage sur la preuve des raisons pour lesquelles les politiques ont été mises en place, de la manière dont elles progressent et de la manière dont les entreprises peuvent prouver qu’elles produisent les résultats souhaités.

Il précise explicitement que les outils de sécurité et informatiques doivent être constamment surveillés et contrôlés pour réduire les menaces. Il s’agit d’une difficulté lorsque les organisations comptent sur des événements de preuve manuelle. L’étude Panaseer révèle que même si 82 % des personnes interrogées sont convaincues d’être en mesure de respecter les délais de conformité, 49 % s’appuient principalement ou exclusivement sur des audits manuels ponctuels.

Cela n’est tout simplement pas viable pour les groupes informatiques. , offraient la variété des contrôles de sécurité qu’ils devaient gérer, le volume d’informations qu’ils produisaient et des exigences de conformité constantes basées sur les risques. Ils ont besoin d’une méthode plus automatisée pour déterminer et prouver en permanence les KPI et les mesures à travers tous les contrôles de sécurité. Grâce à cette méthode, ils peuvent bien mieux identifier les lacunes en matière de contrôle, améliorer activement la posture de sécurité et offrir aux régulateurs la preuve du respect des politiques.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

xnxx sex download russianporntrends.com hardxxxpics saboten campus freehentai4u.com read manga porn rakhi sex photo ganstagirls.com nani sex video xxx indian girl video download elporno.mobi tamilauntycom bf hd video bf hd video porn555.me anyporn hd tamil beach sex erolenta.com xxx sex boy to boy bustyboobs pakistanixxxx.com nude sexy videos desi sex xvideos.com tubaka.mobi justdesi in free naked dance vegasmpegs.mobi eva grover desi ass lick eroanal.net 69 xvideo 4k xnxx thefuckingtube.com xxii roman numerals translation tamil nayanthara sex sexozavr.com indian porn videos tumblr كلبات سكس porn-arab.net نيك ف الكس y3df comics popsexy.net akhil wife hentai ahri wowhentai.net the sarashina bloodline