Submarkten
- Banken
- Verzekeraars
- Pensioenfonds
- Financiële dienstverleners
Door NCSC-data en het MITRE ATT&CK-raamwerk weten we welke actoren zich richten op financiële organisaties en wat gangbare tactieken, technieken en procedures zijn.
Wij bieden ondersteuning bij de implementatie van cloudbeveiliging in overeenstemming met het European Banking Forum.
Als onderdeel van de eerste golf van TIBER-NL heeft Secura goed inzicht in TIBER-EU en volgen wij het MITRE ATT&CK raamwerk ter ondersteuning van verdere blue team training.
Realistisch gezien gebeurt een aanzienlijke hoeveelheid data-inbreuken echter via interne actoren (ongeveer 1/3), meestal veroorzaakt door een verkeerde configuratie of een fout. Ongeveer 2/3 van de inbreuken is afkomstig van externe actoren onder leiding van de financieel gemotiveerde georganiseerde misdaad. De meeste eerste invoer gebeurt via een web-applicatie-aanval of een eenvoudige fout in systemen (misconfiguraties). Het voorkomen van een hacker om geld van uw rekeningen over te maken, uw vertrouwelijke gegevens te stelen of grootschalige DDOS-aanvallen te overwinnen is de sleutel tot het behoud van het vertrouwen van klanten. U moet voorop blijven in uw beveiliging om u te beschermen tegen bedreigingen van binnen en buiten. Belangrijke gebieden om te winnen in de CIS-basislijnen zijn: 1) Beveiligingsbewustzijn onder medewerkers (CSC 17), 2) Grensverdediging (CSC12) en Veilige configuraties (CSC5 en CSC 11).
De financiële wereld wordt gereguleerd via overheidsinstanties en gezamenlijke organisaties. Bijvoorbeeld:
Al deze voorschriften bevatten beveiligingseisen en eisen om te controleren, testen en bewijzen dat de risico's op een acceptabel niveau zijn.
Van het testen van fysieke geldautomaten tot het creëren van geld door het aanpassen van de wisselkoersen, van het benadrukken van inzicht in al uw pensioenontvangers tot het hacken van uw mobiele app of van het doen van een TIBER-oefening bij een verzekeringsmaatschappij tot het testen van uw nieuwe cloudoplossing die gekoppeld is aan het SWIFT-netwerk, wij gaan de uitdaging graag aan! Wij kunnen u helpen het volwassenheidsniveau van de beveiliging binnen uw organisatie en de beveiliging van uw producten en diensten te verbeteren. Wij kunnen u helpen met een verscheidenheid aan (compliance) testen & audits. Dit doen we door de volgende diensten aan te bieden.
Recente gevallen van phishing en social engineering zijn het bewijs dat zelfs organisaties met Chief Information Security Officers (CISO's) en Data Protection Officers (DPO's) aan het hoofd van beveiliging, de realiteit onder ogen moeten zien dat de menselijke factor een kritieke factor blijft. Werknemers hebben toegang tot belangrijke gegevens, wisselen belangrijke bestanden uit. Al hebben ze de kennis en zijn ze op de hoogte van beveiligingsaspecten, maar om ze zich ook daadwerkelijk zo te laten gedragen, is een uitgebreid security awareness & behavior programma vereist.
Procesmatig wordt vaak een Information Security Management System (ISMS) geïmplementeerd. De meeste hiervan zijn gebaseerd op processen en controles zoals gedefinieerd in ISO 27001 of COBIT naast Best Practices van DNB en een volledige integratie van de beveiliging in de CI/CD-processen. Zekerheid over hun effectiviteit, van GRC-niveau's van organisatorische controle tot aan het operationele controleniveau, vereist state-of-the-art audit mogelijkheden met diepgaande security kennis zoals Secura die heeft.
Voor organisaties in de financiële sector is security management voor leveranciers en partners van groot belang. Dit geldt zowel voor cloud-dienstverleners als voor softwareleveranciers en bijvoorbeeld ook voor het schoonmaakbedrijf. Wanneer uw leveranciers een minder rigoureuze beveiligingsaanpak hebben, kan dit u in gevaar brengen. Beveiliging moet deel uitmaken van het leveranciersbeheer.
Met de enorme digitale voetafdruk die financiële organisaties hebben, vereist dit een continue update en patching van uw systemen om te allen tijde voorop te blijven lopen. Allerlei cloud- en mobiele app-oplossingen worden gecombineerd om klanten steeds betere diensten aan te bieden, maar ze moeten wel veilig zijn. Niet alleen moet elk van deze systemen afzonderlijk worden (pen)getest en gecontroleerd op kwetsbaarheden, vaak schuilen de echte risico's in de grijze gebieden tussen de verschillende platformen. Zelfs met gerenommeerde SIEM/SOC's zijn deze controlesystemen niet blindelings te vertrouwen. Ons Red Team beoordeelt de beveiliging grondig, terwijl onze trainingen uw team ondersteunen om te leren hoe u beveiliging zelfstandig kunt integreren.
Heeft u een vraag? Bel of email ons en we nemen binnen 24u contact met u op.
Email Ronald keyboard_arrow_rightCybersecurity is meer dan alleen techniek. Secura werkt daarom samen met partners op het gebied van compliance en risicomanagement, integrale applicatieveiligheid, privacy, IT- en internetrecht en certificering.