Drie sleutels tot compliance: de cloud in de financiële dienstverlening

04 maart 2019 Banken.nl 6 min. leestijd

De algemene perceptie over ’de overstap naar de cloud‘ is meerdere malen veranderd sinds het ontstaan ervan. De cloud begon als een sprong in het duister, maar is nu een belangrijke drijver geworden voor bedrijven die willen experimenteren, innoveren en groeien. In zulke mate zelfs dat organisaties die de stap naar de cloud uitstellen, achterblijven op de rest. Aan het woord is Kamini Aisola, General Manager Benelux bij Amazon Web Services (AWS).

De zwaar gereguleerde financiële dienstverleningsbranche was langzamer in adoptie van de cloud dan sommige andere industrieën. Echter heeft de oorspronkelijke angst plaatsgemaakt voor enthousiasme, omdat de beveiliging en flexibiliteit van cloud computing zich keer op keer bewijst. Zo zijn er al verschillende vooraanstaande financiële instellingen zoals Capital One, Starling Bank en Stripe die cloud computing gebruiken en dit ook aanbevelen.

Terwijl de cloud steeds normaler wordt binnen de financiële sector, beginnen toezichthouders hun opdrachten uit te breiden om ook de cloudomgeving op te nemen. Het wordt op meerdere manieren benaderd. Sommige hebben nieuwe regels en begeleiding uitgebracht voor de cloud, terwijl andere simpelweg de bestaande richtlijnen aanpassen om ze toepasbaarder te maken voor nieuwe technologie. Ongeacht de aanpak van de toezichthouders, zorgt de wereldwijde focus op privacy en cybersecurity voor een toegenomen nauwkeurigheid in de manieren waarop financiële instellingen hun data beheren in de cloud.

Voor deze organisaties zijn er drie algemene thema’s die constant opduiken bij de toezichthouders: datamanagement, cybersecurity en risicomanagement. Deze moeten bovenaan de agenda staan voor technologie-stakeholders om een veilige overstap naar de cloud te kunnen garanderen.

Datamanagement

Financiële dienstverleners hebben te maken met immense hoeveelheden data; dat kan informatie van klanten, de markt of intern personeel zijn. Het managen van deze data is met nieuwe regelgevingen zoals de AVG steeds belangrijker geworden. Om aan te kunnen tonen dat bedrijven opereren in lijn met de regelgeving, moeten zij controles uitvoeren en veiligheidsmaatregelen implementeren om de beveiliging en vertrouwelijkheid van gegevens in de cloud te kunnen waarborgen.

De eerste stap in het managen van de alsmaar groeiende hoeveelheid data is door grip te krijgen op encryptie. Als uitgangspunt moeten bedrijven ervoor zorgen dat data kan worden overzien vanaf een centraal controlepunt. Van oudsher dragen datasilo’s niet bij aan vooruitgang en vertragen ze interne processen. De cloud heeft altijd al de oplossing voor dit probleem geboden met een duidelijk en uniform inzicht op waar data zich bevindt en een enkel punt voor databeheer is. Het is nu van belang voor stakeholders om encryptiesleutels te beheren en beleid consequent te definiëren om alle gevoelige data effectief te encrypten.

Tot slot moet datamanagement in de cloud ‘content-agnostisch’ worden benaderd. Dit houdt in dat bedrijven en cloud-providers alle klantgegevens en bijbehorende zaken als zeer vertrouwelijk behandelen door geavanceerde technische en fysieke maatregelen toe te passen om ongewenste toegang tegen te gaan. Dit beperkt op zijn beurt loopholes en omwegen, waardoor een veilige omgeving wordt geboden voor alles binnen de infrastructuur.

Cybersecurity

Financiële instellingen kunnen alles verliezen door een verkeerde keuze in cybersecurity. Niet alleen verwachten financiële toezichthouders dat deze bedrijven een sterke cybersecurity handhaven, maar kan een databreuk voor onherstelbare schade aan de reputatie van een merk zorgen, wat cybersecurity een belangrijk punt maakt voor de directie.

Een databreuk kan zorgen voor onherstelbare schade aan de reputatie van een merk. 

Volgens de 2018 halfjaarlijkse fraude-update, hebben financiële dienstverleningsorganisaties het afgelopen jaar een verhoogde hoeveelheid cyberaanvallen meegemaakt. Verontrustend genoeg worden aanvallen steeds geavanceerder en blijken ze telkens succesvoller te zijn, wat cybersecurity een belangrijk speerpunt voor deze bedrijven maakt.

Dit is waar cloud-providers financiële dienstverleners kunnen ondersteunen met een gezamenlijke verantwoordelijkheid voor de beveiliging. De cloud-provider is verantwoordelijk voor de beveiliging van de cloud en behoort de juiste bescherming te leveren, ontworpen voor de meest beveiligingsgevoelige organisaties. Financiële instellingen moeten echter wel onthouden dat zij verantwoordelijk zijn voor het beheer van de beveiliging tijdens het werken in de cloud. Van penetratietesten tot geautomatiseerde beveiligingsfuncties, het is cruciaal dat bedrijven volledig up to date en vertrouwd zijn met de nieuwste procedures, processen en hulpmiddelen om risico's te beperken.

Penetratietests, een essentiële vereiste voor financiële toezichthouders, vormen een goed voorbeeld van hoe het gedeelde verantwoordelijkheidsmodel werkt. We voeren regelmatig penetratietests uit van onze eigen infrastructuur en diensten. Klanten kunnen kwetsbaarheidsscans en penetratietests uitvoeren op hun eigen omgeving. Het is de verantwoordelijkheid van de individuele instellingen om te zorgen dat deze regelmatig worden uitgevoerd om aan alle beveiligingsregels te blijven voldoen.

Risicomanagement

Op elk IT-gebied geldt dat als je het niet kunt meten je het niet kunt beheren. Als CIO’s onvoldoende zichtbaarheid hebben over hun IT-systemen wordt het onmogelijk om handhaving te garanderen. Dit is met name van belang in financiële diensten waar regelgevers verwachten dat er krachtige risicomanagementprocessen zijn voor elk bedrijf die een cloudinfrastructuur gebruikt.    

Op elk IT-gebied geldt: wat niet te meten is, is niet te beheren. 

Het constant monitoren is van cruciaal belang om ervoor te zorgen dat gebruikers de risico’s van hun cloud-omgeving kunnen beheren en ervoor te zorgen dat zij over voldoende instrumenten beschikken. Daarom moeten bedrijven beschikken over een instrument dat end-to-end monitoring toestaat, zodat ze alle gebeurtenissen in hun cloud-omgeving kunnen monitoren, analyseren en toetsen. Wanneer dit beschikbaar is, kunnen leidinggevenden niet alleen met een gerust hart slapen maar nog veel belangrijker: een transparant beeld bieden voor toezichthouders in de sector.

Tot slot, het is aan zowel cloud-aanbieders als eindgebruikers om samen te werken en er zo voor te zorgen dat de cloud opgenomen wordt in dit streng gereguleerde gebied. Open communicatie en een centraal punt voor kwesties rond naleving en beveiliging zijn van cruciaal belang voor cloud-organisaties die financiële instellingen willen helpen bij hun stap naar de cloud. Door goed na te denken over databeheer en beveiliging in hun omgeving kunnen bedrijven de vele voordelen van de cloud omarmen terwijl ze de regels naleven en risico’s beperken.