في العام الماضي ، توصلت رئاسة مجلس الاتحاد الأوروبي والبرلمان الأوروبي إلى اتفاق مؤقت بشأن قانون المرونة التشغيلية الرقمية (DORA) لتحسين الأمن السيبراني للمؤسسات المالية في أوروبا. بمجرد اعتماد DORA من قبل دول الاتحاد الأوروبي ، ستحتاج الشركات المالية إلى ضمان قدرتها على مواجهة جميع أنواع الاضطرابات والتهديدات المتعلقة بتكنولوجيا المعلومات والاتصالات (ICT) والاستجابة لها والتعافي منها ، بهدف نهائي هو منع التهديدات السيبرانية والتخفيف من حدتها. يأخذ التنظيم نهجًا مختلفًا لتنظيم الكيانات الصغيرة والمتناهية الصغر والمترابطة.
اختبار المرونة
تقوم السلطات الإشرافية الأوروبية (ESAs) ، وهي الهيئة المصرفية الأوروبية (EBA) ، وهيئة الأوراق المالية والأسواق الأوروبية (ESMA) ، وهيئة التأمين والمعاشات المهنية الأوروبية (EIOPA) - بتطوير "معايير فنية يجب على جميع مؤسسات الخدمات المالية" الامتثال ل". بالإضافة إلى ذلك ، سيحتاج مقدمو خدمات تكنولوجيا المعلومات والاتصالات من الأطراف الثالثة المهمين ، وخاصة مزودي الخدمات السحابية للمؤسسات المالية في الاتحاد الأوروبي ، إلى إنشاء شركة تابعة داخل الاتحاد الأوروبي للإشراف المناسب ، وسيشارك المدققون في المراجعات المستقبلية للوائح.
القانون الجديد سيجبر شركات FSI في الاتحاد الأوروبي على اختبار مرونة مؤسساتها ؛ أي أنهم سيحتاجون بشكل أساسي إلى إدارة المخاطر واستخدام إطار حوكمة المخاطر لتلبية متطلبات DORA. لذلك ، يوصى بأن يفكر جميع مدراء أمن المعلومات في الصناعة المالية في العمل مع بائعي وشركاء الأمن السيبراني الذين هم على اطلاع كامل على DORA.
مزيد من التوصيات لعام 2023 للخدمات المالية CISOs
كما تم تقديم توصيات أكثر واقعية لتخطيط مؤسسات القطاع المالي لعام 2023. يتعين على CISOs (رؤساء أمن المعلومات) العاملين في صناعة الخدمات المالية أن يفهموا أن عام 2023 لن يكون مثل عام 2022 ؛ تحدث تغييرات كبيرة وتتزايد المخاطر الإلكترونية.
التحول إلى عقلية التدخل والتعافي
هناك زيادة في فيروسات الفدية ، وهذه مشكلة رئيسية لجميع المؤسسات ، وليس فقط المؤسسات المالية. تقليديا ، عقلية صناعة الخدمات المالية هي: "لا ، لا نريد المخاطرة." حتى الآن ، كان الأمر كله يتعلق بالحماية والكشف. ومع ذلك ، نظرًا لطبيعة المخاطر الإلكترونية اليوم ، لم يعد هذا النهج واقعيًا.
يحتاج مدراء أمن المعلومات في الصناعة المالية إلى فهم طبيعة التهديدات المتغيرة بسرعة والتركيز على أن يكونوا أكثر مرونة. وهذا يعني أن استراتيجية مؤسسة القطاع المالي يجب أن تتحول من محاولة تجنب كل المخاطر إلى القدرة على التعافي السريع من أي هجوم. سيؤدي ذلك بطبيعة الحال إلى استثمارات في الأنظمة الأساسية التي تمكن وظائف مثل اكتشاف نقطة النهاية والاستجابة لها (EDR) ، والكشف الموسع والاستجابة (XDR) ، وتنسيق الأمان والأتمتة والاستجابة (SOAR).
المخاطر التي تأتي مع التمويل المضمّن
هناك مسألة أخرى يتعين على CISOs في المؤسسات المالية مراعاتها في عام 2023 وهي الاتجاه المتصاعد للتمويل المضمّن.
ما هو التمويل المضمّن؟
"التمويل المضمّن هو عملية دمج جميع الخدمات المالية في مكان واحد بدلاً من التعامل مع المؤسسات التقليدية. يوفر طريقة آمنة وبسيطة وفعالة لجمع جميع الخدمات التي يمكن لمتاجر التجزئة استخدامها في نموذج واحد سهل الإدارة. يمكن دمج الحلول المالية في البنية التحتية للأعمال التجارية ، مما يسهل الوصول إلى الخدمات المالية مثل الإقراض أو التأمين أو معاملات الدفع دون توجيه الأشخاص إلى جهات خارجية. وهذا يعني عددًا أقل من التطبيقات التي يمكن العبث بها ، وعددًا أقل من الأشخاص للتعامل مع الأموال ، وتقليل القلق بشأنه ، وقضاء وقت أقل في مواكبة اللوجيستيات المالية. نما الاهتمام بهذه الصناعة بسرعة خلال السنوات القليلة الماضية. بلغ حجم سوق التمويل المضمّن في الولايات المتحدة 2020 مليار دولار في عام 22,5 ومن المتوقع أن ينمو عشرة أضعاف ليصل إلى 2025 مليار دولار بحلول عام 230. " (إن سي آر ، 8 أغسطس 2022).
سيصبح التمويل أكثر انتشارًا في عالم 2023 وما بعده. على سبيل المثال ، ضع في اعتبارك التمويل المضمّن ، حيث تستخدم المنظمات غير التقليدية المنتجات المالية لمبيعات "اشتر الآن وادفع لاحقًا". تزيد هذه الطريقة من المبيعات ولكنها تزيد أيضًا من المخاطر التي تتعرض لها المؤسسات.
يتم تسهيل التمويل المضمن عن طريق الخدمات المصرفية كخدمة (BaaS) وتقنيات واجهة برمجة التطبيقات (API). من المتوقع أن تولد هذه الطريقة أكثر من 2026 مليار دولار من الإيرادات السنوية للبنوك بحلول عام 25 ، وبحلول عام 2025 ، ستحول البنوك الحالية 25 في المائة من دخل الأعمال الصغيرة والمتوسطة إلى القنوات القائمة. (التطبيقات المضمنة: الإيرادات الجديدة والمخاطر الجديدة للبنوك (garp.org)
لعام 2023 وما بعده ، يتعين على CISOs في FSI إيلاء اهتمام خاص لما يلي:
- تحتاج المنظمات إلى التأكد من أن لديها سياسات قوية للأمن السيبراني وحماية البيانات ، بما في ذلك تدابير لمنع انتهاكات البيانات والوصول غير المصرح به إلى المعلومات الحساسة.
- عندما تعمل المؤسسات مع شركاء غير ماليين قد لا يكون لديهم نفس المستوى من الخبرة أو الخبرة في الخدمات المالية ، يجب عليهم مراقبة المخاطر المحتملة لسوء استخدام البيانات أو إساءة استخدامها.
- عند دمج المنتجات والخدمات المالية في المنتجات أو المنصات غير المالية ، يجب النظر في احتمالية تضارب المصالح ويجب أن تكون المؤسسات شفافة مع العملاء بشأن شروط وأحكام تلك المنتجات والخدمات.
- من الضروري مواكبة التطورات التنظيمية المتعلقة بالتمويل المضمّن والتأكد من امتثال المنظمة لجميع القوانين واللوائح ذات الصلة.
- يجب أن تشارك المنظمة مع شركات متخصصة أو تفكر في التشاور مع خبراء في هذا المجال للتأكد من أن لديها المعرفة والموارد اللازمة لإدارة مخاطر الأمن السيبراني والخصوصية بشكل فعال في سياق التمويل المضمّن.
الوعي مهم أيضًا لأن التكنولوجيا وحدها لا تستطيع تحقيق ذلك. تحتاج المؤسسات المالية إلى بدء تدريب موظفيها على DevSecOps والذكاء الاصطناعي والتعلم الآلي وأمان واجهة برمجة التطبيقات. في هذه المرحلة ، تؤكد Fortinet التزامها بالمساعدة في سد فجوة المهارات الإلكترونية وزيادة الوعي السيبراني من خلال مبادرة TAA وبرامج المعهد التعليمي.
كن أول من يعلق