在數(shù)字化時(shí)代，銀行作為金融體系的核心，面臨著日益嚴(yán)峻的網(wǎng)絡(luò)威脅。如何加強(qiáng)網(wǎng)絡(luò)韌性，確保業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全，成為銀行高管亟待解決的問(wèn)題。

在采訪中，Citizens公司的CISO Matthew Darlage討論了加強(qiáng)銀行網(wǎng)絡(luò)韌性的關(guān)鍵策略。

他強(qiáng)調(diào)，遵循NIST等框架對(duì)于持續(xù)改進(jìn)至關(guān)重要，而數(shù)據(jù)保護(hù)措施對(duì)于保障銀行業(yè)務(wù)運(yùn)營(yíng)也極為關(guān)鍵。Darlage進(jìn)一步指出，第三方風(fēng)險(xiǎn)管理和適應(yīng)性安全實(shí)踐對(duì)于維持韌性必不可少。

銀行有效的網(wǎng)絡(luò)韌性戰(zhàn)略的核心支柱是什么?

我的總體觀點(diǎn)是，一個(gè)有效的網(wǎng)絡(luò)韌性和深度防御戰(zhàn)略依賴于相當(dāng)多的基礎(chǔ)支柱，包括但不限于擁有堅(jiān)實(shí)的傳統(tǒng)治理、風(fēng)險(xiǎn)和合規(guī)(GRC)計(jì)劃并執(zhí)行強(qiáng)有力的風(fēng)險(xiǎn)管理實(shí)踐，建立健壯且容錯(cuò)的安全基礎(chǔ)設(shè)施，具備強(qiáng)大的事件響應(yīng)能力，定期測(cè)試災(zāi)難恢復(fù)/韌性計(jì)劃，實(shí)施嚴(yán)格的漏洞管理實(shí)踐，開(kāi)展意識(shí)和培訓(xùn)活動(dòng)，以及制定全面的第三方風(fēng)險(xiǎn)管理計(jì)劃。

身份和訪問(wèn)管理(IAM)是另一個(gè)關(guān)鍵領(lǐng)域，因?yàn)閺?qiáng)大的訪問(wèn)控制支持現(xiàn)代化身份實(shí)踐的實(shí)施，并確保員工和客戶體驗(yàn)的安全性。新的“防火墻”就是你的身份，這個(gè)身份需要持續(xù)綁定到一種適應(yīng)性安全策略上，該策略能夠以分層方式保護(hù)你，并且希望配置得盡可能無(wú)摩擦。其中另一大部分內(nèi)容是培養(yǎng)安全文化，讓每個(gè)人都成為一道人為防火墻。

像NIST網(wǎng)絡(luò)安全框架這樣的全球監(jiān)管框架如何影響銀行對(duì)待韌性的方式?

NIST網(wǎng)絡(luò)安全框架(CSF)和類似框架倡導(dǎo)了一種持續(xù)改進(jìn)IT安全的方法，并鼓勵(lì)組織定期評(píng)估其安全狀況，識(shí)別差距，并制定措施以增強(qiáng)其網(wǎng)絡(luò)韌性?？傊?，這些框架可以使用通用/標(biāo)準(zhǔn)化語(yǔ)言為組織提供一個(gè)有價(jià)值且可定制的執(zhí)行模板，以增強(qiáng)其網(wǎng)絡(luò)項(xiàng)目和整體韌性。它確保組織了解其風(fēng)險(xiǎn)，部署健壯的安全控制或能力，并持續(xù)改進(jìn)其阻止、抵御和從網(wǎng)絡(luò)事件中恢復(fù)的能力。

銀行在應(yīng)對(duì)網(wǎng)絡(luò)事件時(shí)最常遇到的陷阱是什么?

我的總體經(jīng)驗(yàn)是，應(yīng)對(duì)事件(無(wú)論是安全事件還是其他事件)時(shí)的一個(gè)常見(jiàn)陷阱是假設(shè)你組織的所有平臺(tái)都按照你認(rèn)為的方式運(yùn)行，或者假設(shè)你的應(yīng)急預(yù)案已經(jīng)更新以反映當(dāng)前情況。事件響應(yīng)中最重要的部分是人員。雖然技術(shù)和流程很重要，但任何組織可以做的最佳投資是招募盡可能優(yōu)秀的人才。

我認(rèn)為其他陷阱領(lǐng)域包括缺乏有效的溝通計(jì)劃、缺乏適應(yīng)性、假設(shè)自己永遠(yuǎn)不會(huì)受到影響，以及與組織的其他核心功能(風(fēng)險(xiǎn)、法律、合規(guī)、隱私等)缺乏緊密聯(lián)系。第三方風(fēng)險(xiǎn)是一個(gè)需要大量一致、全面治理和俗語(yǔ)所說(shuō)的細(xì)心照料和喂養(yǎng)的領(lǐng)域，特別是在存在漏洞和明顯的攻擊面影響時(shí)。

鑒于對(duì)第三方供應(yīng)商的依賴，銀行如何確保對(duì)供應(yīng)鏈網(wǎng)絡(luò)威脅的韌性?

我認(rèn)為這是銀行需要迅速適應(yīng)并高度專注于持續(xù)監(jiān)測(cè)和改進(jìn)的關(guān)鍵領(lǐng)域。在考慮供應(yīng)鏈和第三方風(fēng)險(xiǎn)時(shí)，合同保障措施至關(guān)重要，包括審計(jì)條款權(quán)利、服務(wù)級(jí)別協(xié)議(SLA)、共同責(zé)任等，以及對(duì)我們之前討論的所有基礎(chǔ)/核心支柱(數(shù)據(jù)保護(hù)、強(qiáng)大訪問(wèn)、風(fēng)險(xiǎn)管理實(shí)踐等)有共同的理解。

銀行還應(yīng)根據(jù)風(fēng)險(xiǎn)水平、以往事件、威脅情報(bào)和監(jiān)測(cè)置信度評(píng)分進(jìn)行必要的盡職調(diào)查和安全審查。組織的供應(yīng)商是其網(wǎng)絡(luò)的延伸，這基本上使它們共享一個(gè)攻擊面——這需要持續(xù)的高度警覺(jué)和治理。

如果你能給銀行高管一條關(guān)于網(wǎng)絡(luò)韌性的關(guān)鍵建議，那會(huì)是什么?

銀行高管應(yīng)將數(shù)據(jù)保護(hù)作為核心使命。我們?cè)诰W(wǎng)絡(luò)安全方面所做的大多數(shù)工作都應(yīng)直接圍繞保護(hù)組織最重要的資產(chǎn)——其數(shù)據(jù)——并與之緊密相連。這意味著要盡一切可能在整個(gè)數(shù)據(jù)生命周期中實(shí)施強(qiáng)大的數(shù)據(jù)保護(hù)保障措施。

銀行以不斷創(chuàng)新的方式參與一個(gè)龐大且高度互聯(lián)的技術(shù)生態(tài)系統(tǒng)，因此，從支付處理系統(tǒng)到核心企業(yè)基礎(chǔ)設(shè)施，你都必須將數(shù)據(jù)保護(hù)視為首要任務(wù)。全面的安全應(yīng)被視為一種賦能者，因此領(lǐng)導(dǎo)者必須將其視為公司未來(lái)成功的戰(zhàn)略投資。