在采訪中,Citizens公司的CISO Matthew Darlage討論了加強銀行網絡韌性的關鍵策略。
他強調,遵循NIST等框架對于持續改進至關重要,而數據保護措施對于保障銀行業務運營也極為關鍵。Darlage進一步指出,第三方風險管理和適應性安全實踐對于維持韌性必不可少。
銀行有效的網絡韌性戰略的核心支柱是什么?
我的總體觀點是,一個有效的網絡韌性和深度防御戰略依賴于相當多的基礎支柱,包括但不限于擁有堅實的傳統治理、風險和合規(GRC)計劃并執行強有力的風險管理實踐,建立健壯且容錯的安全基礎設施,具備強大的事件響應能力,定期測試災難恢復/韌性計劃,實施嚴格的漏洞管理實踐,開展意識和培訓活動,以及制定全面的第三方風險管理計劃。
身份和訪問管理(IAM)是另一個關鍵領域,因為強大的訪問控制支持現代化身份實踐的實施,并確保員工和客戶體驗的安全性。新的“防火墻”就是你的身份,這個身份需要持續綁定到一種適應性安全策略上,該策略能夠以分層方式保護你,并且希望配置得盡可能無摩擦。其中另一大部分內容是培養安全文化,讓每個人都成為一道人為防火墻。
像NIST網絡安全框架這樣的全球監管框架如何影響銀行對待韌性的方式?
NIST網絡安全框架(CSF)和類似框架倡導了一種持續改進IT安全的方法,并鼓勵組織定期評估其安全狀況,識別差距,并制定措施以增強其網絡韌性。總之,這些框架可以使用通用/標準化語言為組織提供一個有價值且可定制的執行模板,以增強其網絡項目和整體韌性。它確保組織了解其風險,部署健壯的安全控制或能力,并持續改進其阻止、抵御和從網絡事件中恢復的能力。
銀行在應對網絡事件時最常遇到的陷阱是什么?
我的總體經驗是,應對事件(無論是安全事件還是其他事件)時的一個常見陷阱是假設你組織的所有平臺都按照你認為的方式運行,或者假設你的應急預案已經更新以反映當前情況。事件響應中最重要的部分是人員。雖然技術和流程很重要,但任何組織可以做的最佳投資是招募盡可能優秀的人才。
我認為其他陷阱領域包括缺乏有效的溝通計劃、缺乏適應性、假設自己永遠不會受到影響,以及與組織的其他核心功能(風險、法律、合規、隱私等)缺乏緊密聯系。第三方風險是一個需要大量一致、全面治理和俗語所說的細心照料和喂養的領域,特別是在存在漏洞和明顯的攻擊面影響時。
鑒于對第三方供應商的依賴,銀行如何確保對供應鏈網絡威脅的韌性?
我認為這是銀行需要迅速適應并高度專注于持續監測和改進的關鍵領域。在考慮供應鏈和第三方風險時,合同保障措施至關重要,包括審計條款權利、服務級別協議(SLA)、共同責任等,以及對我們之前討論的所有基礎/核心支柱(數據保護、強大訪問、風險管理實踐等)有共同的理解。
銀行還應根據風險水平、以往事件、威脅情報和監測置信度評分進行必要的盡職調查和安全審查。組織的供應商是其網絡的延伸,這基本上使它們共享一個攻擊面——這需要持續的高度警覺和治理。
如果你能給銀行高管一條關于網絡韌性的關鍵建議,那會是什么?
銀行高管應將數據保護作為核心使命。我們在網絡安全方面所做的大多數工作都應直接圍繞保護組織最重要的資產——其數據——并與之緊密相連。這意味著要盡一切可能在整個數據生命周期中實施強大的數據保護保障措施。
銀行以不斷創新的方式參與一個龐大且高度互聯的技術生態系統,因此,從支付處理系統到核心企業基礎設施,你都必須將數據保護視為首要任務。全面的安全應被視為一種賦能者,因此領導者必須將其視為公司未來成功的戰略投資。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。