Den 30 juni 2020 trädde EU:s riktlinjer avseende cybersäkerhet för finansinstitut i kraft.
Syftet är att dessa nya krav bland annat ska säkerställa att finansinstitut kan identifiera och hantera de säkerhetsrisker som finns i verksamheten.
Riktlinjerna för finansinstitut gäller mer specifikt aktörer så som betaltjänstleverantörer, kreditinstitut och värdepappersföretag.
Björn Mogren på Advenica tipsar om tre viktiga förändringar som de nya riktlinjerna innebär för finansbranschen – förändringar som är viktiga att ta på allvar!
Se till att ni är redo internt
Det är av stor vikt att den interna styrningen är på plats, samt att det finns ett tydligt kontrollramverk för risker inom säkerhet och informations- och kommunikationsteknik (IKT). Ansvarsområden och roller för att hantera bland annat IKT-funktioner och informationssäkerhet måste också fastställas. Det handlar även om att det ska finnas tillräckligt med resurser för att kunna möta de krav som ställs på verksamheten – bland annat måste personal utbildas om risker inom IKT och säkerhet. Personalstyrkan måste kunna möta de krav som nu ställs på organisationen i mån av IKT och säkerhet. Det måste också finnas en tillräcklig, tilldelad budget för att kunna möta de nya krav som ställs på verksamheten.
Identifiera och hantera risker
Att kunna identifiera och hantera de IKT- och säkerhetsrisker som finns för verksamheten är avgörande. När alla IKT- och säkerhetsrisker har bedömts måste det bestämmas hur de ska åtgärdas för att bli så låga som möjligt – alltså blir ett viktigt steg att minimera de identifierade riskerna.
För att kunna identifiera viktiga risker kan man göra en säkerhetsskyddsanalys – en sådan analys bygger en bra grund när man börjar med säkerhetsskyddsarbete. Genom att ställa dig följande frågor får du fram det som krävs:
- Vad är målet med verksamheten?
- Vilka är verksamhetens skyddsvärden?
- Vilka konsekvenser kan uppstå?
- Vad är hotet?
- Vilka sårbarheter finns?
- Vilka skyddsåtgärder ska väljas?
Här hittar du mer information om hur man gör en säkerhetsskyddsanalys!
Gör en informationssäkerhetspolicy
För att säkra verksamhetens informationssäkerhet måste en informationssäkerhetspolicy skapas där regler och principer ska definieras gällande information om finansinstitutet och dess kunder.
Informationssäkerhet handlar framför allt om att hindra information från att läcka ut, förvanskas och förstöras. Det handlar också om att rätt information ska finnas tillgänglig för rätt personer, och i rätt tid. Information ska inte kunna hamna i orätta händer och missbrukas. Informationssäkerhet gäller såväl hos enskilda personer som hos organisationer, både i näringslivet och i offentlig verksamhet. Informationssäkerhet omfattar därför hela samhället.
Det är många aspekter att tänka på när man börjar arbeta med informationssäkerhet. För att underlätta har Advenica skapat riktlinjer att följa – läs mer i vår guide!
Bristande informationssäkerhet kan få konsekvenser i form av att verksamheten inte kan bedrivas på ett ändamålsenligt och effektivt sätt, bristande skydd för den personliga integriteten samt störningar i samhällsviktig verksamhet. Därför är det så viktigt att ha en bra policy!
