構(gòu)建銀行網(wǎng)絡(luò)彈性:專家對戰(zhàn)略、風(fēng)險和監(jiān)管的見解
在數(shù)字化時代,銀行作為金融體系的核心,面臨著日益嚴(yán)峻的網(wǎng)絡(luò)威脅。如何加強網(wǎng)絡(luò)韌性,確保業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全,成為銀行高管亟待解決的問題。
在采訪中,Citizens公司的CISO Matthew Darlage討論了加強銀行網(wǎng)絡(luò)韌性的關(guān)鍵策略。
他強調(diào),遵循NIST等框架對于持續(xù)改進至關(guān)重要,而數(shù)據(jù)保護措施對于保障銀行業(yè)務(wù)運營也極為關(guān)鍵。Darlage進一步指出,第三方風(fēng)險管理和適應(yīng)性安全實踐對于維持韌性必不可少。
銀行有效的網(wǎng)絡(luò)韌性戰(zhàn)略的核心支柱是什么?
我的總體觀點是,一個有效的網(wǎng)絡(luò)韌性和深度防御戰(zhàn)略依賴于相當(dāng)多的基礎(chǔ)支柱,包括但不限于擁有堅實的傳統(tǒng)治理、風(fēng)險和合規(guī)(GRC)計劃并執(zhí)行強有力的風(fēng)險管理實踐,建立健壯且容錯的安全基礎(chǔ)設(shè)施,具備強大的事件響應(yīng)能力,定期測試災(zāi)難恢復(fù)/韌性計劃,實施嚴(yán)格的漏洞管理實踐,開展意識和培訓(xùn)活動,以及制定全面的第三方風(fēng)險管理計劃。
身份和訪問管理(IAM)是另一個關(guān)鍵領(lǐng)域,因為強大的訪問控制支持現(xiàn)代化身份實踐的實施,并確保員工和客戶體驗的安全性。新的“防火墻”就是你的身份,這個身份需要持續(xù)綁定到一種適應(yīng)性安全策略上,該策略能夠以分層方式保護你,并且希望配置得盡可能無摩擦。其中另一大部分內(nèi)容是培養(yǎng)安全文化,讓每個人都成為一道人為防火墻。
像NIST網(wǎng)絡(luò)安全框架這樣的全球監(jiān)管框架如何影響銀行對待韌性的方式?
NIST網(wǎng)絡(luò)安全框架(CSF)和類似框架倡導(dǎo)了一種持續(xù)改進IT安全的方法,并鼓勵組織定期評估其安全狀況,識別差距,并制定措施以增強其網(wǎng)絡(luò)韌性。總之,這些框架可以使用通用/標(biāo)準(zhǔn)化語言為組織提供一個有價值且可定制的執(zhí)行模板,以增強其網(wǎng)絡(luò)項目和整體韌性。它確保組織了解其風(fēng)險,部署健壯的安全控制或能力,并持續(xù)改進其阻止、抵御和從網(wǎng)絡(luò)事件中恢復(fù)的能力。
銀行在應(yīng)對網(wǎng)絡(luò)事件時最常遇到的陷阱是什么?
我的總體經(jīng)驗是,應(yīng)對事件(無論是安全事件還是其他事件)時的一個常見陷阱是假設(shè)你組織的所有平臺都按照你認(rèn)為的方式運行,或者假設(shè)你的應(yīng)急預(yù)案已經(jīng)更新以反映當(dāng)前情況。事件響應(yīng)中最重要的部分是人員。雖然技術(shù)和流程很重要,但任何組織可以做的最佳投資是招募盡可能優(yōu)秀的人才。
我認(rèn)為其他陷阱領(lǐng)域包括缺乏有效的溝通計劃、缺乏適應(yīng)性、假設(shè)自己永遠不會受到影響,以及與組織的其他核心功能(風(fēng)險、法律、合規(guī)、隱私等)缺乏緊密聯(lián)系。第三方風(fēng)險是一個需要大量一致、全面治理和俗語所說的細心照料和喂養(yǎng)的領(lǐng)域,特別是在存在漏洞和明顯的攻擊面影響時。
鑒于對第三方供應(yīng)商的依賴,銀行如何確保對供應(yīng)鏈網(wǎng)絡(luò)威脅的韌性?
我認(rèn)為這是銀行需要迅速適應(yīng)并高度專注于持續(xù)監(jiān)測和改進的關(guān)鍵領(lǐng)域。在考慮供應(yīng)鏈和第三方風(fēng)險時,合同保障措施至關(guān)重要,包括審計條款權(quán)利、服務(wù)級別協(xié)議(SLA)、共同責(zé)任等,以及對我們之前討論的所有基礎(chǔ)/核心支柱(數(shù)據(jù)保護、強大訪問、風(fēng)險管理實踐等)有共同的理解。
銀行還應(yīng)根據(jù)風(fēng)險水平、以往事件、威脅情報和監(jiān)測置信度評分進行必要的盡職調(diào)查和安全審查。組織的供應(yīng)商是其網(wǎng)絡(luò)的延伸,這基本上使它們共享一個攻擊面——這需要持續(xù)的高度警覺和治理。
如果你能給銀行高管一條關(guān)于網(wǎng)絡(luò)韌性的關(guān)鍵建議,那會是什么?
銀行高管應(yīng)將數(shù)據(jù)保護作為核心使命。我們在網(wǎng)絡(luò)安全方面所做的大多數(shù)工作都應(yīng)直接圍繞保護組織最重要的資產(chǎn)——其數(shù)據(jù)——并與之緊密相連。這意味著要盡一切可能在整個數(shù)據(jù)生命周期中實施強大的數(shù)據(jù)保護保障措施。
銀行以不斷創(chuàng)新的方式參與一個龐大且高度互聯(lián)的技術(shù)生態(tài)系統(tǒng),因此,從支付處理系統(tǒng)到核心企業(yè)基礎(chǔ)設(shè)施,你都必須將數(shù)據(jù)保護視為首要任務(wù)。全面的安全應(yīng)被視為一種賦能者,因此領(lǐng)導(dǎo)者必須將其視為公司未來成功的戰(zhàn)略投資。
