Cybersäkerhet handlar inte bara om IT. Det handlar om hur människor, teknik och samhälle samverkar. Om hur organisationer kan skala, nå nya målgrupper och reducera risk per investerad krona. Förutsättningen är att säkerhetsarbetet drivs systematiskt i hela organisationen och inte isoleras till IT-avdelningen.
Cybersäkerhet i finansbranschen, DORA höjer lägstanivån
Inom bank-, finans- och försäkringsbranschen är säkerhetsfrågor påtagligt intressant just nu, eftersom lagstiftning fortsätter att tvinga fram en hög säkerhetsnivå. Inte minst med EU-förordningen DORA (Digital Operational Resilience Act) som har höjt ribban för hela finanssektorn. Syftet är att stärka den digitala motståndskraften. Finansinspektionen (FI) ansvarar för tillsyn och ger löpande vägledning kring hur regelverket ska implementeras.
DORA innebär bland annat krav på:
- Förbättrad riskhantering
- Incidentrapportering
- Testning av digital motståndskraft
- Tredjepartsriskhantering
- Stärkt styrning och ansvar på ledningsnivå
Compliance är ofta det som får organisationer att agera. Tyvärr borde drivkraften vara att bli bättre på att hantera sina risker, inte att undvika böter, säger Kim Elman på Northwave Cyber Security.
Kim Elman, på Northwave Cyber Security
Vi träffar Kim Elman, General Manager på Northwave Cyber Security, som menar att många organisationer fortfarande drivs av piskan, inte av insikten om affärsnyttan.
Han lyfter att många organisationer ligger efter i att hantera legacy-system, har sårbarheter i sina miljöer, saknar överblick över sitt säkerhetsgap och är dåliga på att mäta och kvantifiera cyberrisk.
Men det största problemet enligt Kim Elman är bristen på metodik för att koppla cyberrisker till affärsmål. När risk inte översätts till affärspåverkan blir det svårt att agera proaktivt. Hans råd är att identifiera och mäta risker systematiskt. Att koppla dem till affärsmål, KPI:er och strategiska prioriteringar.
Fyra utmaningar kopplat till cybersäkerhet inom finansbranschen
En tydlig utmaning kopplat till cybersäkerhet inom finansbranschen är ökade compliance-krav. Regelverken blir fler och mer komplexa, och organisationer måste möta krav från lagstiftare, kunder och partners.
En annan utmaning är en förändrad hotbild och geopolitik. Med makrotrender som geopolitisk oro och AI-driven cyberbrottslighet skapas nya hotbilder att ta hänsyn till för branschen.
Molnmigrering och integration mellan system skapar effektivitet och skalbarhet, men också nya risker. De största riskerna handlar inte enbart om teknik, utan om processer. Något som Kim Elman också lyfter i podcast intervjun.
Med bristande riskidentifiering, där många organisationer saknar strukturerade processer för att identifiera risker, mäta riskexponering, prioritera åtgärder och koppla risker till affärsstrategi, riskerar man att agera först när något redan inträffat - istället för att arbeta proaktivt.
När system kopplas ihop ökar attackytan. Utan tydliga processer för riskhantering och styrning kan sårbarheter spridas snabbt mellan miljöer, menar Kim Elman.
Så bör svenska bolag inom kapitalförvaltning arbeta med cybersäkerhet
För att lyckas krävs ett helhetsgrepp. Integrera säkerhet i hela organisationen. Att säkerställa bra processer för hur man ska arbete med, hantera och förstå risknivåer. Om man ser cybersäkerhet som värdeskapande kan det stötta att skala verksamheten tryggt, öka kundförtroende, minska rikskostnader och skapa konkurrensfördelar.
Organisationer som angriper cybersäkerhet strategiskt och inte enbart reaktivt, kan skapa betydande värde. Men det kräver att frågan drivs som en del av affärsstrategin.