De financiële dienstensector staat voor een steeds grotere noodzaak om zijn cybersecurity te versterken. Geconfronteerd met het dilemma of ze hun securityfuncties intern moeten beheren of moeten uitbesteden aan gespecialiseerde dienstverleners, kiezen veel bedrijven voor het laatste, of overwegen ze dat in ieder geval.
In het onderstaande artikel worden de belangrijkste overwegingen tegen het licht gehouden wanneer een financiële dienstverleners ervoor kiest om hun cybersecurity door externe leveranciers te laten beheren. Hoewel een combinatie van factoren, zoals een tekort aan geschoolde IT-securityprofessionals, de hoge kosten van het in dienst houden van intern talent en de toenemende complexiteit van cyberdreigingen, financiële dienstverleners ertoe kunnen aanzetten om externe cybersecurityondersteuning in te schakelen, blijft interne aandacht voor security van cruciaal belang.
Het belang van een eigen securityorganisatie voor key taken
Hoewel het uitbesteden van securitytaken een aantal grote uitdagingen kan oplossen, blijft het voor financiële instellingen van cruciaal belang om voor een aantal key taken een interne securityorganisatie op te zetten en in stand te houden. Het beschikken over sterke interne cybersecuritycapaciteiten is essentieel voor compliance, informatieverwerking en verschillende andere redenen. Ten eerste schrijven toezichthouders voor dat financiële instellingen de eindverantwoordelijkheid voor hun cybersecurity behouden. Een interne organisatie waarborgt compliance door toezicht te houden op uitbestede functies en de verantwoordingsplicht te handhaven. Samenwerken met een externe leverancier betekent niet dat je je verantwoordelijkheid afschuift.
Een eigen cybersecurityteam fungeert ook als een cruciale schakel tussen een organisatie en de door haar gekozen leverancier, door security informatie van dienstverleners te ontvangen en deze intern te verwerken. Dit omvat het escaleren van kritieke kwesties en het begrijpen van de specifieke implicaties daarvan voor de unieke activiteiten en processen van het bedrijf.
Toezicht en controle zijn andere voordelen. Een robuuste interne organisatie is essentieel voor het effectief sturen en controleren van de cybersecuritystrategie die door dienstverleners wordt geïmplementeerd. Dit omvat het stellen van duidelijke eisen, het valideren van de implementatie ervan en het waarborgen van de voortdurende doeltreffendheid van uitbestede securitymaatregelen.
Ten slotte betekent het uitbesteden van cybersecurity aan een derde partij niet dat een financiële dienstverlener de security volledig uit handen kan geven. Dienstverleners kunnen weliswaar securityproblemen signaleren, maar alleen de interne organisatie kan echt interpreteren wat deze problemen voor het bedrijf betekenen, gezien haar grondige kennis van de interne systemen en bedrijfsprocessen. Er zijn dus interne cybersecuritycapaciteiten nodig om de bevindingen van derden te vertalen naar concrete maatregelen.
De noodzaak van een duidelijke cyber sourcing-strategie
Het huidige cybersecuritylandschap onderstreept de cruciale noodzaak voor financiële dienstverleners om een duidelijke en uitgebreide cyber sourcingstrategie te ontwikkelen. Een cyber sourcing strategie bestaat uit de componenten interne en externe analyse, scope bepaling (welke diensten spreken we over), afwegingen make or buy, leverancierselectie, governance en regievoering en risicobeheer inclusief het voldoen aan wet-en regelgeving. Juist omdat er zoveel en zo snel verandert, is het belangrijk dit een levend document te houden. Kernvraag voor de organisatie is of zij invulling kan blijven geven aan deze steeds hogere eisen in de huidige marktomstandigheden. Een paar voorbeelden van deze impactvolle veranderingen:
- Nieuwe regelgevingen, zoals de Digital Operational Resilience Act (DORA) in de Europese Unie en de wet inzake cybersecurity van financiële diensten stellen strenge eisen aan financiële instellingen met betrekking tot hun operationele weerbaarheid, met name wat betreft hun afhankelijkheid van IT-diensten van derden. De regelgeving vereist bijvoorbeeld dat de cybersecurity voor kritische dienstverlening moet voldoen aan de laatste stand van de techniek. Net zoals het snel veranderende dreigingslandschap financiële dienstverleners dwingt om hun verdedigingsmechanismen (inclusief hun partners) regelmatig bij te werken, is ook de regelgeving uiterst dynamisch.
- Bovendien blijven een tekort aan talent en hoge kosten belangrijke uitdagingen. Door een aanhoudend tekort aan geschoolde cybersecurityprofessionals en stijgende salarisverwachtingen wordt het voor bedrijven steeds moeilijker en duurder om interne expertise op te bouwen en te behouden. Uit onderzoek van het World Economic Forum blijkt dat er dringend vier miljoen professionals nodig zijn om het tekort aan talent in de wereldwijde cybersecuritysector op te vangen. Hoewel bedrijven in deze competitieve markt royale salarissen kunnen bieden om cybersecuritymedewerkers aan te trekken, kan outsourcing ook een deel van de last verlichten.
- Ten slotte zijn toenemende cyberdreigingen een voortdurende zorg. De toenemende omvang en complexiteit van deze dreigingen, die nu nog worden versterkt door de vooruitgang op het gebied van AI die het uitvoeren van aanvallen vereenvoudigt, vragen om robuuste en adaptieve securitymaatregelen. Ongeveer 72% van de cybersecurityprofessionals meldt een toename van de cyberrisico’s voor hun organisatie, waarbij bijna 47% van de organisaties generatieve AI noemt als hun grootste zorg met betrekking tot de zich ontwikkelende aanvalsmethodes. Dit verhoogde dreigingslandschap, dat wordt beïnvloed door geopolitieke en maatschappelijke factoren, maakt effectieve cybersecurity absoluut essentieel.
Beveiliging uitbesteden of zelf regelen?
Het huidige cyberbeveiligingslandschap laat zien dat het superbelangrijk is voor financiële dienstverleners om een duidelijke en uitgebreide cyber sourcing-strategie te ontwikkelen. Ontdek hoe Eraneos je daarbij kan helpen.
Verder dan cyber sourcing: versterking van het securitybeleid
Hoewel samenwerking met externe dienstverleners een haalbare optie is, kunnen financiële dienstverleners hun security governance ook op andere manieren versterken. Dit omvat het opbouwen van interne cybersecuritycapaciteiten. Het ontwikkelen van interne technische capaciteiten, tools, processen en geschoold personeel blijft van fundamenteel belang.
Het is ook belangrijk om te onthouden dat het versterken van cybersecurity, zelfs in de zeer technische wereld van financiële dienstverlening, niet alleen om digitale oplossingen gaat. Menselijke factoren, zoals het cultiveren van een sterke securitycultuur, zijn ook essentieel. Het bevorderen van een alomtegenwoordig securitybewustzijn en het bijbrengen van een mentaliteit waarin security in de hele organisatie voorop staat, is cruciaal. Dit omvat het voorlichten van medewerkers over risico’s, het instellen van duidelijke waarborgen en het bevorderen van een mentaliteit waarin security ieders verantwoordelijkheid is.
Een andere reden waarom financiële dienstverleners hun interne verdediging moeten versterken, is dat het riskant is om te vertrouwen op andere leveranciers binnen hun toeleveringsketen. In een recent rapport van Forrester over risicobeheer voor ondernemingen wordt risicomanagers bijvoorbeeld geadviseerd om hun softwaretoeleveringsketens in kaart te brengen om weerbaarheid (resilience) prioriteit te geven. Dit vereist uiteraard sterke interne cybersecuritycapaciteiten om externe partijen adequaat te kunnen controleren. Omdat aanvallers vaak de toeleveringsketens als zwakke schakel zien, moeten financiële instellingen prioriteit geven aan de security van hun externe leveranciers, niet alleen voor securityaspecten, maar voor alle IT-gerelateerde diensten.
Belangrijke stappen voor veerkrachtige cybersecurity
Om cyber sourcing weerbaarder (resilient) te maken, moeten financiële dienstverleners zich richten op een aantal cruciale stappen. Ten eerste moet cloudsecurity voldoende prioriteit krijgen. Meer dan driekwart van de financiële dienstverleners geeft al aan dat ze een deel van hun diensten in de cloud hebben ondergebracht. Gezien de prevalentie van deze technologie is het van cruciaal belang om de veiligheid van cloudomgevingen en alle data die daar wordt gehost te waarborgen.
Het beheer van inloggegevens en de bescherming van digitale identiteiten zijn andere belangrijke stappen. Het implementeren van robuuste maatregelen op dit gebied, zowel intern als vanuit het perspectief van een dienstverlener, is essentieel om ongeoorloofde toegang te voorkomen. Dit is niet iets wat je eenmalig kunt aanpakken en vervolgens vergeten. Alle systemen, zowel intern als uitbesteed, moeten continu worden gecontroleerd en geauditeerd, zodat bedreigingen snel kunnen worden opgespoord en aangepakt.
Zelfs met uitbestede security is het van cruciaal belang om binnen de organisatie een hoog niveau van cyberbewustzijn en een sterke securitycultuur te handhaven. Een te grote afhankelijkheid van externe leveranciers kan onbedoeld leiden tot een afname van de interne waakzaamheid. Deze afhankelijkheid kan financiële dienstverleners ook blind maken voor de kwetsbaarheden die mogelijk verborgen zijn in de netwerken van hun gekozen cybersecuritypartners. Uitgebreide kaders voor het beheer van risico’s van derden en gedetailleerde plannen voor de veerkracht van leveranciers zijn onmisbaar voor het beheer van de risico’s die gepaard gaan met cybersecurity.
De juiste cyber sourcing-partner kiezen
Bij Eraneos begrijpen we waarom financiële dienstverleners cyber sourcing zien als een middel om hun cybersecurity te verbeteren. We waarderen de vele voordelen ervan, maar zijn ons ook bewust van de risico’s. Daarom zijn wij van mening dat cyber sourcing zorgvuldig moet worden overwogen, vooral in een sector waar zeer gevoelige informatie wordt opgeslagen en overgedragen, zoals de financiële dienstverlening.
We hebben een bewezen staat van dienst en ruime ervaring in security sourcing van strategievorming tot en met de begeleiding van de implementatie en het versterken van de iegen organisatie. Wij hebben tal van organisaties succesvol begeleid bij complexe outsourcinginitiatieven. Als onafhankelijke entiteit bieden we geen managed services, verkopen we geen software en hebben we geen banden met specifieke leveranciers. Dit maakt onpartijdige aanbevelingen mogelijk en zorgt ervoor dat we de meest geschikte dienstverleners kunnen selecteren voor de unieke behoeften van elke klant.
Ons deskundige team bestaat uit zeer ervaren professionals die meerdere keren de fijne kneepjes van cybersecurity sourcing hebben doorlopen en een breed begrip van de markt en een beproefde methodologie meebrengen naar elke opdracht.
Besteed jouw cybersecurity niet zomaar uit aan een externe leverancier. Neem contact op met Eraneos om ervoor te zorgen dat jouw cybersecurity sourcing voldoet aan de strenge compliance-eisen en klantbehoeften van de financiële dienstverlening.