Accenture wijst banken op risico’s die elke administratieve organisatie loopt
Accenture waarschuwt dat banken hoognodig hun silo-aanpak van verschillende soorten risico’s moeten opgeven en vervangen door één integraal beleid. Die waarschuwing kunnen ook andere organisaties ter harte nemen.
Vanouds waren (zijn) bij banken meerdere afdelingen belast met het bewaken van risico’s en het mitigeren van de gevolgen daarvan.
Zo waren (zijn) er dedicated teams voor hypotheekfraude, voor credit card fraude, voor fraude met gestolen of gekopieerde debit-cards, voor cyberaanvallen en zelfs voor maatregelen tegen plofkraken. Slechts zeer zelden is er sprake van coördinatie, laat staan van wederzijdse gegevensuitwisseling en –deling. Meestal rapporteren de teams ook weer aan verschillende hoofden-van-dienst.
Uiteindelijk zou er aan de top van die paraplu-piramide een CRO, een Chief Risk Officer moeten staan. Helaas komt het maar al te vaak voor dat ICT-gerelateerde risico’s, zoals bijvoorbeeld het gevaar van ongeautoriseerde toegang tot gegevens en systemen, juist weer exclusief onder het regime van de CIO vallen.
Inmiddels wordt wel duidelijk dat ‘industriële’ cyber-aanvallers, zich niet houden aan die silo-organisatie – integendeel, ze maken er bewust gebruik van. Bijvoorbeeld door via meerdere kanalen tegelijk aan te vallen, in het volle besef dat de bankorganisatie niet in de positie is om patronen op te merken, laat staan te herkennen in dergelijke pogingen op meerdere fronten tegelijk. Er ontbreekt een holistische blik op wat er voor en onder de muren van het zo goed beveiligde bankfort gebeurt.
Die holistische blik ontbreekt zeker ‘real time’. Losse stukjes informatie uit ‘legacy’ systemen, zoals event log management en software om fraude te detecteren vormen nog steeds de uiterst fragiele ruggengraat van de beveiligingsarchitectuur en kunnen hoogstens achteraf een audit trail construeren die indicaties geeft wat en hoe er is gebeurd.
Herkent u dat beeld ook buiten de banken? Vergelijk de situatie waarvoor u verantwoording draagt eens met de schets die Accenture geeft van de gemiddelde bankorganisatie.