你能描述一下銀行業中的“網絡安全文化”是什么意思嗎?它與僅僅實施安全技術和協議有什么不同?
由于銀行業還存在額外的監管和欺詐方面,這些超出了網絡安全的范疇,需要整體提高報告水平,因此它與其他行業存在顯著差異。
為了簡化員工的報告流程,避免他們需要做“即時”決策,并避免因問題被發送到錯誤部門而可能造成的延誤,我們為員工啟用了一個統一的通用界面進行報告。根據他們選擇的主題,如網絡安全、欺詐、洗錢、實體安全等,報告機制會自動將提交的內容路由到正確的團隊。
從員工到分析師,再回到員工,針對潛在安全事件的報告循環——無論是釣魚嘗試、支持人員留在打印機中的U盤,還是其他惡意行為——對于緩解風險和教育員工都至關重要。成功的事件報告是我們衡量成功與否的一項指標。
此外,我們的人力資源管理(HRM)團隊通過內部新聞文章、內部網橫幅和內部網絡安全協作聊天空間,在員工中大力宣傳網絡安全。聊天空間對我們來說是一個巨大的成功。當我們看到員工在聊天空間中自發分享關于新詐騙或網絡安全問題的文章時,我們可以切實看到安全文化在成員之間逐漸生根發芽。
這些互動是我們安全文化的基石,而且我們的安全文化超越了“網絡安全”的范疇。銀行所有員工都意識到保護組織是每個人的責任,而不僅僅是安全和IT團隊的責任,這正在成為常態。我們HRM團隊的目標是影響員工的日常行為,為他們提供安全實施業務流程或做出業務決策所需的知識,而員工則利用這些知識向我們報告潛在事件,這就是我們的文化在發揮作用。
在銀行業建立網絡安全文化中,領導力的作用有多重要?你能分享一些領導者如何為這一努力定下基調的例子嗎?
銀行內部的領導層支持至關重要。我們的監管機構提出的一項關鍵要求就強調了領導層對網絡安全培訓及其支持的重要性。我們的領導層為實施所需的培訓以及為那些培訓滯后的員工提供下一步支持提供了充足的支持。
安全培訓涵蓋從全員的一般意識到基于訪問和事件觸發的針對性補救培訓(例如,對持續點擊釣魚測試的人員進行培訓)。每年10月,在網絡安全意識月期間,我們會選擇不同的領導者與我們的HRM團隊合作制作宣傳視頻,激勵員工參與其中并了解自己的責任。
銀行如何在各部門之間平衡網絡安全實踐的責任,同時避免培養一種相互指責的文化?
關鍵在于讓員工將實踐良好的網絡安全習慣視為一種積極體驗。我們經常會邀請報告潛在網絡安全事件的員工參觀我們的融合中心,并與團隊進行交流。這有助于在安全團隊和銀行其他員工之間培養一種共同責任感。
此外,我們還會對報告釣魚行為的員工進行積極表揚,甚至發表文章介紹他們及其產生的影響。我們的理念是,我們寧愿員工過度報告,也不愿他們少報告可疑的釣魚鏈接。
我們目前正在開發兩項報告獎勵。Awesome Angler獎用于獎勵經常報告釣魚行為的員工。成功預防威脅獎(SPOT獎)將授予那些報告可疑情況并導致事件得到真正緩解的員工。
在發現網絡安全缺陷時,需要注意的一點是,當你報告事件或事故時,有些人可能會出于情緒反應而試圖歸咎于他人。除非明確知道動機,否則你必須將對話的焦點從動機上轉移開,而集中關注發生了什么、如何補救以及如何防止再次發生。
銀行可以使用哪些指標或指示器來衡量其網絡安全措施的有效性?
網絡安全涉及的范圍非常廣泛,我認為它因領域而異。例如,為身份領域設定的指標可能不適用于應用安全領域。與你的業務合作伙伴和領導層合作,制定對他們有意義的指標。什么能激勵你的產品或支持團隊對發現的問題進行補救?對你的C級高管來說,最重要的是什么?
以能引起受眾共鳴并講述故事的方式來闡述信息可能具有挑戰性,但當你獲得必要的關注時,這是值得的。這樣,就不僅僅是信息安全部門要求IT部門確保安全,業務部門也開始看到風險以及潛在的金錢成本,并開始提出要求。
另一個關鍵原則是讓業務部門看到風險,這樣他們不僅能理解風險,還能理解不采取行動或延遲安全實施可能帶來的潛在影響。在向業務部門報告風險時,務必不要夸大其詞,因為如果風險被認為不成比例,你的信息技術同行就會消除恐懼、不確定性和懷疑(FUD),因此,始終要以數據為依據。
你對于將網絡安全融入創新工作(如數字銀行服務和金融科技合作)有什么策略建議?
第一步是制定明確的風險偏好和網絡安全治理、風險和合規(GRC)計劃。這兩項內容以及公司對創新的承諾可以讓你了解企業愿意接受的風險水平。你的網絡安全GRC計劃在監測和報告創新工作所帶來的風險水平方面發揮著關鍵作用,這樣你和你的董事會就可以做出適當的風險緩解決策。
其次,在內部開發類似OWASP的威脅和保障矩陣(TaSM)的東西,有助于在你和董事會定義風險容忍度水平時,識別出不可或缺的保障措施。美國網絡安全和基礎設施安全局(CISA)的“安全設計”等框架在軟件開發安全性的討論中是一個巨大的進步。
請記住,許多金融科技公司不知道如何向受監管的行業(如銀行業)銷售產品或了解所涉及的所有步驟,因此,如果你是金融科技產品的早期采用者,則需要提供一些幫助。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號