在采访中,Discover金融服务的CISO苏尼尔·马利克(Sunil Mallik)探讨了金融机构面临的网络安全威胁。他还分享了如何在合规与敏捷性之间保持平衡、监管审计中的经验教训以及Discover在风险管理和人才培养方面的方法。
信用卡和数字银行平台面临的最紧迫的安全威胁是什么,企业应如何调整防御措施来应对这些威胁?
信用卡公司和数字银行平台面临的最紧迫的安全威胁包括复杂的社交攻击、支付欺诈和账户接管(ATO)欺诈。为了应对这些威胁,金融服务企业应实施先进的威胁检测系统,定期进行安全评估,并教育客户防范潜在的诈骗行为。在Discover,我们使用诸如去标识化客户数据等安全协议,这涉及移除或修改可识别信息以保护隐私并遵守行业规定。去标识化客户数据有助于降低数据泄露和滥用的风险,同时仍然可以将数据用于业务目的。
此外,通过减少攻击者的潜在入口点并实施一种默认不信任任何用户或设备的架构来缩小企业的攻击面,这一点也很重要。这种方法可以加强身份验证并降低数据泄露的风险。最后,对员工和消费者进行持续的教育和宣传计划对于保护客户数据、维护信任和强化人类防御层至关重要。在我看来,这些综合努力可以帮助公司应对不断出现的新威胁,并确保数字银行平台的安全。
金融机构传统风险管理方法中存在哪些最大的缺陷,企业应如何解决这些问题?
传统风险管理方法往往难以跟上迅速变化的监管环境、新兴的网络安全威胁和市场波动。一个显著的缺陷是依赖静态风险评估,这可能无法考虑到不断变化的威胁环境。
此外,传统方法可能缺乏与现代技术的融合,无法为企业提供全面的风险视图。为了解决这些缺陷,金融机构必须投资于稳健的合规框架,这些框架能够适应不断变化的监管要求、威胁环境和业务流程的变化。此外,利用技术来简化合规流程并提高效率至关重要。
主动网络安全措施,如持续监控和威胁情报共享,对于防范潜在威胁至关重要。在Discover,我们提高了数据分类和处理标准,以确保敏感信息得到适当识别和保护。我们还推出了一项以安全为重点的实践,将安全融入我们运营的各个方面,从开发到部署,确保采用全面的风险管理方法。
CISO如何在不牺牲安全运营敏捷性的前提下紧跟不断变化的金融监管?
紧跟不断变化的金融监管需要一种战略方法,在合规性和运营敏捷性之间保持平衡。CISO可以通过从一开始就将合规性融入其网络安全战略来实现这一点。这涉及设计灵活的安全框架,使其能够适应新的法规,而无需进行重大调整。利用AI和机器学习进行监管监控可以帮助实时识别和应对变化。
定期培训和与监管机构合作也很重要。通过及时了解即将到来的监管变化并参与行业论坛,CISO可以预见并准备应对新要求。在Discover,我们优先考虑团队的持续学习和技能提升,使我们能够快速适应监管变化,同时保持强大的安全运营。例如,我参与了国家网络安全联盟、美国交易处理器联盟和金融服务业信息共享与分析中心(FS-ISAC),这有助于我与行业标准和最佳实践保持联系,确保我们保持敏捷和合规。
你从最近的监管审计或合规评估中学到了哪些经验教训,可能对其他金融CISO有价值?
最近的监管审计和合规评估强化了与监管机构合作和主动沟通的重要性。与监管机构和内部利益相关者进行清晰沟通至关重要,同时还需要进行全面的风险评估,这些评估不仅要包括技术分析,还要包括业务和运营风险。
在Discover,我们专注于将安全非功能性需求(NFR)融入我们的开发流程,以确保在每个阶段都考虑安全性,并且我们在设计上就做到合规。增强我们的分析环境也是一个优先事项,使我们能够更好地监控和应对潜在威胁。根据审计结果持续改进是保持强大安全态势的关键。通过解决已确定的差距并实施建议的更改,我们可以增强整体安全和合规工作。
你如何在主动措施和反应能力之间平衡网络安全投资?
在主动措施和反应能力之间平衡网络安全投资对于全面的安全战略至关重要。主动措施,如威胁搜寻、定期漏洞评估和安全培训,有助于在攻击发生之前进行防范。这些措施需要持续投资于工具、技术和人才,以应对不断出现的新威胁。
同样重要的是反应能力,如恢复力、事件响应计划和灾难恢复策略,以在事件发生时最大限度地减少损害。投资于强大的事件响应团队,并确保他们拥有必要的资源和培训至关重要。人才也是你战略的核心。在Discover,我们强调培养和留住顶尖人才,这是主动和反应网络安全工作的关键。我们的战略包括提供持续学习和技能提升的机会,确保我们的团队随时准备应对任何挑战。我们为员工提供内部建立的专业认证。通过在主动和反应投资之间保持平衡,我们可以有效保护客户的数据并维护他们的信任。
