在数字化时代,银行作为金融体系的核心,面临着日益严峻的网络威胁。如何加强网络韧性,确保业务连续性和数据安全,成为银行高管亟待解决的问题。
在采访中,Citizens公司的CISO Matthew Darlage讨论了加强银行网络韧性的关键策略。
他强调,遵循NIST等框架对于持续改进至关重要,而数据保护措施对于保障银行业务运营也极为关键。Darlage进一步指出,第三方风险管理和适应性安全实践对于维持韧性必不可少。
银行有效的网络韧性战略的核心支柱是什么?
我的总体观点是,一个有效的网络韧性和深度防御战略依赖于相当多的基础支柱,包括但不限于拥有坚实的传统治理、风险和合规(GRC)计划并执行强有力的风险管理实践,建立健壮且容错的安全基础设施,具备强大的事件响应能力,定期测试灾难恢复/韧性计划,实施严格的漏洞管理实践,开展意识和培训活动,以及制定全面的第三方风险管理计划。
身份和访问管理(IAM)是另一个关键领域,因为强大的访问控制支持现代化身份实践的实施,并确保员工和客户体验的安全性。新的“防火墙”就是你的身份,这个身份需要持续绑定到一种适应性安全策略上,该策略能够以分层方式保护你,并且希望配置得尽可能无摩擦。其中另一大部分内容是培养安全文化,让每个人都成为一道人为防火墙。
像NIST网络安全框架这样的全球监管框架如何影响银行对待韧性的方式?
NIST网络安全框架(CSF)和类似框架倡导了一种持续改进IT安全的方法,并鼓励组织定期评估其安全状况,识别差距,并制定措施以增强其网络韧性。总之,这些框架可以使用通用/标准化语言为组织提供一个有价值且可定制的执行模板,以增强其网络项目和整体韧性。它确保组织了解其风险,部署健壮的安全控制或能力,并持续改进其阻止、抵御和从网络事件中恢复的能力。
银行在应对网络事件时最常遇到的陷阱是什么?
我的总体经验是,应对事件(无论是安全事件还是其他事件)时的一个常见陷阱是假设你组织的所有平台都按照你认为的方式运行,或者假设你的应急预案已经更新以反映当前情况。事件响应中最重要的部分是人员。虽然技术和流程很重要,但任何组织可以做的最佳投资是招募尽可能优秀的人才。
我认为其他陷阱领域包括缺乏有效的沟通计划、缺乏适应性、假设自己永远不会受到影响,以及与组织的其他核心功能(风险、法律、合规、隐私等)缺乏紧密联系。第三方风险是一个需要大量一致、全面治理和俗语所说的细心照料和喂养的领域,特别是在存在漏洞和明显的攻击面影响时。
鉴于对第三方供应商的依赖,银行如何确保对供应链网络威胁的韧性?
我认为这是银行需要迅速适应并高度专注于持续监测和改进的关键领域。在考虑供应链和第三方风险时,合同保障措施至关重要,包括审计条款权利、服务级别协议(SLA)、共同责任等,以及对我们之前讨论的所有基础/核心支柱(数据保护、强大访问、风险管理实践等)有共同的理解。
银行还应根据风险水平、以往事件、威胁情报和监测置信度评分进行必要的尽职调查和安全审查。组织的供应商是其网络的延伸,这基本上使它们共享一个攻击面——这需要持续的高度警觉和治理。
如果你能给银行高管一条关于网络韧性的关键建议,那会是什么?
银行高管应将数据保护作为核心使命。我们在网络安全方面所做的大多数工作都应直接围绕保护组织最重要的资产——其数据——并与之紧密相连。这意味着要尽一切可能在整个数据生命周期中实施强大的数据保护保障措施。
银行以不断创新的方式参与一个庞大且高度互联的技术生态系统,因此,从支付处理系统到核心企业基础设施,你都必须将数据保护视为首要任务。全面的安全应被视为一种赋能者,因此领导者必须将其视为公司未来成功的战略投资。
