5. Regulatorische Anforderungen an die Datensicherheit für Finanzdienstleistungen

Fast jeder in der Finanzdienstleistungsbranche weiß, wie wichtig die Einhaltung von Datenschutzbestimmungen für das Geschäft ist. Doch wie viele Teams sind zuversichtlich, dass ihre Unternehmen die Einhaltung dieser Bestimmungen auch in Zukunft gewährleisten können?
Mit 91 % der Unternehmen Da Cloud-Dienste aufgrund ihrer flexiblen und unflexiblen Natur bekanntermaßen schwer abzusichern sind, würden wir vermuten, dass die Antwort niedriger ist als Sie denken. Innovationen erschweren es bereits jetzt, bestehende Compliance-Anforderungen zu erfüllen. Und während Finanzdienstleistungsunternehmen den Trend zur Cloud-Nutzung nutzen, reagieren die Regulierungsbehörden umgehend.
Ob durch Vorschriften wie die Sarbanes-Oxley-Gesetz (SOX) oder die Cybersicherheitsverordnung des New Yorker Finanzdienstleistungsministeriums (NYDFS)Gesetzgeber wetteifern darum, den Risiken für die Datensicherheit von Verbrauchern zuvorzukommen. Die Folge werden strengere Compliance-Anforderungen sein, während gleichzeitig die Datennutzung exponentiell zunimmt.
Finanzdienstleistungsunternehmen können und sollten dieser Herausforderung zuvorkommen. Dieser Blogbeitrag beschreibt fünf zentrale Herausforderungen im Bereich der Datensicherheit und Compliance, mit denen Sicherheitsteams in Finanzdienstleistungsunternehmen konfrontiert sind, und erklärt, wie Cyera bei deren Lösung hilft.
1. Schutz nicht-öffentlicher personenbezogener Daten
Persönliche Daten treiben eine Revolution in nahezu allen Bereichen voran, vom Marketing bis zur Risikobewertung. Doch das hat auch seine Schattenseiten. Je mehr persönliche Daten ein Finanzdienstleistungsunternehmen nutzt, desto schwieriger wird es für die Sicherheitsteams, den Aufsichtsbehörden nachzuweisen, wo die Daten gespeichert sind und wie sie überwacht werden.
Vergleichen Sie beispielsweise, wie der Gramm-Leach-Bliley Act (GLBA) Finanzinstitute zur Sicherung verpflichtet. nichtöffentliche personenbezogene Daten (NPI) wie Finanzdienstleistungsunternehmen dabei vorgehen.
Der Bundeshandelskommission Die Federal Trade Commission (FTC) definiert NPI als „persönlich identifizierbare Finanzinformationen“, die von einem Finanzinstitut im Zusammenhang mit der Bereitstellung eines Finanzprodukts oder einer Finanzdienstleistung erhoben werden, es sei denn, diese Informationen sind anderweitig „öffentlich zugänglich“. Beispiele für NPI sind Namen, Adressen, Telefonnummern, Kontoauszüge, Sozialversicherungsnummern und Kredithistorie.
Das GLBA erfordert spezifische Sicherheitsvorkehrungen rund um Zugriffskontrollen, Anlageninventar, Und VerschlüsselungDie Prozesse, mit denen Finanzdienstleistungsunternehmen die Kontrollanforderungen erfüllen, müssen Schritt halten. Doch selbst während Finanzdienstleistungsunternehmen zunehmend Cloud-Umgebungen und DevOps einführen, setzen viele weiterhin auf unzusammenhängende Tools und manuelle Prozesse.
Lösung: Kontinuierliche Erkennung
Selbst in weitläufigen Cloud-Umgebungen kann Cyera kontinuierlich nicht-personenbezogene Daten (NPI) in Ihren Datenspeichern erkennen, um ein vollständiges NPI-Inventar zu erstellen und Ihre Sicherheitsteams über Compliance-Verstöße zu informieren. Beispielsweise kann Cyera Ihrem Unternehmen helfen, zu erkennen, wenn Benutzern in einem Datenspeicher, der NPI enthält, zu weitreichende Zugriffsrechte gewährt werden.
2. Kontinuierliche Überwachung
Die punktuelle Überwachung kann mit dem Datennutzungsverhalten von Finanzdienstleistungsunternehmen nicht Schritt halten. Die Aufsichtsbehörden wissen das und bestehen darauf, dass die Unternehmen eine kontinuierliche Überwachung mithilfe von Rahmenwerken wie dem Nationales Institut für Standards und Technologie und Cyber Security Framework (NIST CSF).
Das NIST CSF umfasst fünf Kernfunktionen: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. Da die NIST-Kontrollen grundlegend für andere regulatorische Anforderungen sind, ist ihre Einhaltung für viele Finanzdienstleistungsunternehmen sinnvoll.
Viele Finanzdienstleistungsunternehmen haben Schwierigkeiten mit dem NIST CSF, da ihre Datensicherheitsbewertungen nur punktuell sind.
Lösung: Überwachung ohne Unterbrechung
Cyera bietet Ihrem Unternehmen eine kontinuierliche Überwachung der Offenlegung sensibler Daten und benachrichtigt Sie umgehend über auftretende Probleme in Multi-Cloud-Umgebungen. Datenerkennung und -reaktion (DDR)Cyera kann dabei helfen, die Datenklassen eines Finanzdienstleistungsunternehmens zu identifizieren, festzustellen, ob es sich um sensible Daten handelt und welches Risiko damit verbunden ist.
3. Durchführung von Risikobewertungen und Verschlüsselung von Daten
Um Cyberbedrohungen zu bekämpfen, die Lücken in der Datensicherheit und der Durchsetzung von Verschlüsselungsvorschriften ausnutzen, fordern Aufsichtsbehörden zunehmend von Finanzdienstleistungsunternehmen die Durchführung von Risikobewertungen. Beispielsweise befindet sich das New York State Department of Financial Services (NYDFS) derzeit in der Phase der Prozess der Mandatierung „Regelmäßige Risikobewertungen“ und Resilienztests.
Obwohl die Bewertung von Datenrisiken und der Aufbau von Resilienz für Finanzdienstleistungsunternehmen eindeutig von Vorteil sind, stellt die Umsetzung dieser Maßnahmen in Zeiten der rasanten digitalen Transformation eine erhebliche Herausforderung dar. Eine Deloitte-Studie zum Reifegrad der Cybersicherheit im Finanzsektor ergab Folgendes: nur die Hälfte der Befragten waren zuversichtlich, dass sie im Umgang mit Kundendaten über eine hohe Belastbarkeit verfügen.
Lösung: Datenrisikobewertung
Um die Bemühungen zur Stärkung der Resilienz zu unterstützen, kann Cyera helfen Ihnen, vollständige Transparenz über Ihre Daten zu erlangenErmitteln Sie, ob Sicherheitslücken bestehen, und beheben Sie wesentliche Sicherheitsprobleme schnell. Darüber hinaus bietet Cyera Unterstützung bei der Behebung von Problemen, damit Sie diese zügig lösen können.
4. Prüfungen
Wenn es um PrüfungenSicherheitsteams stehen vor einem Teufelskreis. Je mehr Daten sie nutzen, desto mehr Vorschriften und Governance-Anforderungen unterliegen sie und desto häufiger müssen sie Audits durchführen. Hinzu kommt die Herausforderung, sensible Daten in isolierten Systemen zu identifizieren und zu verstehen. Dies führt zu Verzögerungen bei der Bereitstellung der für ein Audit benötigten Informationen.
Da die Teams lediglich auf bruchstückhafte Informationen aus (meist) veralteten Inventarlisten und reaktiven Scans, Umfragen und Bestätigungen aus dem gesamten Unternehmen zurückgreifen können, fehlt ihnen die Gewissheit, dass ihre Auditantworten umfassend sind. Versuchen sie, dies zu beheben und die Informationen zusammenzutragen, sind diese bereits veraltet. Und wenn die Auditantwort innerhalb einer bestimmten Frist fällig ist, führt dieser zusätzliche manuelle Aufwand häufig zu Verspätungsgebühren.
Lösung: Dynamische Datenspeicherinventur
Cyera verkürzt die Audit-Dauer durch die dynamische Verwaltung Ihres Datenspeicherinventars und die automatische Klassifizierung und Kontextualisierung Ihrer Daten. Cyera zeigt Ihnen genau, welche Daten vorhanden sind, wo sie gespeichert sind und behebt Schwachstellen, die zu Sicherheits-, Datenschutz- oder Compliance-Verstößen führen könnten. So können Sie im Auditfall sicher sein, dass Sie aktiv die Einhaltung der Vorschriften gewährleisten und die Anforderungen schnell erfüllen.
5. Aufrechterhaltung der Funktionstrennung
Ein zentrales Prinzip von Regulierungen wie dem Sarbanes-Oxley Act (SOX) ist die Funktionstrennung (Separation of Duties, SOD), die die zentrale Kontrolle über Prozesse und Daten reduziert. Aus Sicht der Datensicherheit bedeutet SOD, dass niemand sensible Daten exfiltrieren können sollte.
Obwohl das Konzept relativ einfach ist, kann die Datensicherung mittels SOD (Security of Data) in großem Umfang für Finanzdienstleistungsunternehmen recht komplex sein. Daher stellt sie häufig einen Verstoß gegen den Sarbanes-Oxley Act (SOX) dar. In der Praxis erfolgt die SOD oft durch umfangreiche manuelle Prüfungen der Zugriffsrechte.
Lösung: Ein unternehmensweites System zur Sicherstellung der SOD-Konformität
Cyera unterstützt Sie bei der Einhaltung der Security Operations Guideline (SOD), indem es Ihnen anzeigt, welche Benutzer Zugriff auf bestimmte Datenspeicher oder Datenklassen haben. Cyera kann Ihnen beispielsweise mitteilen, ob der Zugriff auf bestimmte Mitarbeiter oder auf alle Personen mit Internetanschluss beschränkt ist. Cyera überwindet Datensilos und deckt auf, wo sich sensible Daten befinden und wer die Dateneigentümer in SaaS-, IaaS- und PaaS-Umgebungen sind – sowohl für strukturierte als auch für unstrukturierte Daten.
Cyera zeigt Ihnen an, welche Berechtigungen aktiviert sind und ob Benutzer Daten lesen, schreiben, kopieren oder löschen können. Sollten Benutzer aufgrund veralteter Konten, schwacher Passwörter oder einer Kombination daraus sowie des Zugriffs auf vertrauliche Informationen ein unvertretbares Risiko darstellen, hebt Cyera diese Probleme hervor.
Zukunftssichere Compliance mit Cyera
Die regulatorischen Vorgaben haben sich insgesamt positiv auf Finanzdienstleistungsunternehmen ausgewirkt, da sie den Schutz sensibler Daten verbessert und das Vertrauen der Verbraucher gestärkt haben. Die Aufsichtsbehörden fordern weiterhin von diesen Unternehmen, dass sie ihre wachsende Datenmenge in der Cloud verstehen und strengere Kontrollen anwenden. Folglich müssen veraltete Systeme zur Einhaltung der Datensicherheitsbestimmungen aktualisiert werden.
Cyeras Datensicherheitsplattform bietet einen umfassenden Kontext für Ihre Daten und wendet korrekte, kontinuierliche Kontrollen an, um Cybersicherheit und Compliance zu gewährleisten.
Cyera verfolgt einen datenzentrierten Sicherheitsansatz, indem es die Gefährdung Ihrer ruhenden und genutzten Daten analysiert und mehrere Verteidigungsebenen implementiert. Da Cyera den Datenkontext ganzheitlich auf Ihre gesamte Datenlandschaft ausweitet, sind wir die einzige Lösung, die Sicherheitsteams in die Lage versetzt, den Speicherort ihrer Daten zu kennen, Risiken zu erkennen und umgehend Maßnahmen zur Behebung von Schwachstellen und zur Sicherstellung der Compliance zu ergreifen, ohne den Geschäftsbetrieb zu beeinträchtigen.
Gewinnen Sie Transparenz und Kontrolle über Ihre sensiblen Daten, indem Sie Demo vereinbaren Heute.


