在采訪中,Discover金融服務(wù)的CISO蘇尼爾·馬利克(Sunil Mallik)探討了金融機(jī)構(gòu)面臨的網(wǎng)絡(luò)安全威脅。他還分享了如何在合規(guī)與敏捷性之間保持平衡、監(jiān)管審計(jì)中的經(jīng)驗(yàn)教訓(xùn)以及Discover在風(fēng)險(xiǎn)管理和人才培養(yǎng)方面的方法。
信用卡和數(shù)字銀行平臺面臨的最緊迫的安全威脅是什么,企業(yè)應(yīng)如何調(diào)整防御措施來應(yīng)對這些威脅?
信用卡公司和數(shù)字銀行平臺面臨的最緊迫的安全威脅包括復(fù)雜的社交攻擊、支付欺詐和賬戶接管(ATO)欺詐。為了應(yīng)對這些威脅,金融服務(wù)企業(yè)應(yīng)實(shí)施先進(jìn)的威脅檢測系統(tǒng),定期進(jìn)行安全評估,并教育客戶防范潛在的詐騙行為。在Discover,我們使用諸如去標(biāo)識化客戶數(shù)據(jù)等安全協(xié)議,這涉及移除或修改可識別信息以保護(hù)隱私并遵守行業(yè)規(guī)定。去標(biāo)識化客戶數(shù)據(jù)有助于降低數(shù)據(jù)泄露和濫用的風(fēng)險(xiǎn),同時(shí)仍然可以將數(shù)據(jù)用于業(yè)務(wù)目的。
此外,通過減少攻擊者的潛在入口點(diǎn)并實(shí)施一種默認(rèn)不信任任何用戶或設(shè)備的架構(gòu)來縮小企業(yè)的攻擊面,這一點(diǎn)也很重要。這種方法可以加強(qiáng)身份驗(yàn)證并降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)。最后,對員工和消費(fèi)者進(jìn)行持續(xù)的教育和宣傳計(jì)劃對于保護(hù)客戶數(shù)據(jù)、維護(hù)信任和強(qiáng)化人類防御層至關(guān)重要。在我看來,這些綜合努力可以幫助公司應(yīng)對不斷出現(xiàn)的新威脅,并確保數(shù)字銀行平臺的安全。
金融機(jī)構(gòu)傳統(tǒng)風(fēng)險(xiǎn)管理方法中存在哪些最大的缺陷,企業(yè)應(yīng)如何解決這些問題?
傳統(tǒng)風(fēng)險(xiǎn)管理方法往往難以跟上迅速變化的監(jiān)管環(huán)境、新興的網(wǎng)絡(luò)安全威脅和市場波動(dòng)。一個(gè)顯著的缺陷是依賴靜態(tài)風(fēng)險(xiǎn)評估,這可能無法考慮到不斷變化的威脅環(huán)境。
此外,傳統(tǒng)方法可能缺乏與現(xiàn)代技術(shù)的融合,無法為企業(yè)提供全面的風(fēng)險(xiǎn)視圖。為了解決這些缺陷,金融機(jī)構(gòu)必須投資于穩(wěn)健的合規(guī)框架,這些框架能夠適應(yīng)不斷變化的監(jiān)管要求、威脅環(huán)境和業(yè)務(wù)流程的變化。此外,利用技術(shù)來簡化合規(guī)流程并提高效率至關(guān)重要。
主動(dòng)網(wǎng)絡(luò)安全措施,如持續(xù)監(jiān)控和威脅情報(bào)共享,對于防范潛在威脅至關(guān)重要。在Discover,我們提高了數(shù)據(jù)分類和處理標(biāo)準(zhǔn),以確保敏感信息得到適當(dāng)識別和保護(hù)。我們還推出了一項(xiàng)以安全為重點(diǎn)的實(shí)踐,將安全融入我們運(yùn)營的各個(gè)方面,從開發(fā)到部署,確保采用全面的風(fēng)險(xiǎn)管理方法。
CISO如何在不犧牲安全運(yùn)營敏捷性的前提下緊跟不斷變化的金融監(jiān)管?
緊跟不斷變化的金融監(jiān)管需要一種戰(zhàn)略方法,在合規(guī)性和運(yùn)營敏捷性之間保持平衡。CISO可以通過從一開始就將合規(guī)性融入其網(wǎng)絡(luò)安全戰(zhàn)略來實(shí)現(xiàn)這一點(diǎn)。這涉及設(shè)計(jì)靈活的安全框架,使其能夠適應(yīng)新的法規(guī),而無需進(jìn)行重大調(diào)整。利用AI和機(jī)器學(xué)習(xí)進(jìn)行監(jiān)管監(jiān)控可以幫助實(shí)時(shí)識別和應(yīng)對變化。
定期培訓(xùn)和與監(jiān)管機(jī)構(gòu)合作也很重要。通過及時(shí)了解即將到來的監(jiān)管變化并參與行業(yè)論壇,CISO可以預(yù)見并準(zhǔn)備應(yīng)對新要求。在Discover,我們優(yōu)先考慮團(tuán)隊(duì)的持續(xù)學(xué)習(xí)和技能提升,使我們能夠快速適應(yīng)監(jiān)管變化,同時(shí)保持強(qiáng)大的安全運(yùn)營。例如,我參與了國家網(wǎng)絡(luò)安全聯(lián)盟、美國交易處理器聯(lián)盟和金融服務(wù)業(yè)信息共享與分析中心(FS-ISAC),這有助于我與行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐保持聯(lián)系,確保我們保持敏捷和合規(guī)。
你從最近的監(jiān)管審計(jì)或合規(guī)評估中學(xué)到了哪些經(jīng)驗(yàn)教訓(xùn),可能對其他金融CISO有價(jià)值?
最近的監(jiān)管審計(jì)和合規(guī)評估強(qiáng)化了與監(jiān)管機(jī)構(gòu)合作和主動(dòng)溝通的重要性。與監(jiān)管機(jī)構(gòu)和內(nèi)部利益相關(guān)者進(jìn)行清晰溝通至關(guān)重要,同時(shí)還需要進(jìn)行全面的風(fēng)險(xiǎn)評估,這些評估不僅要包括技術(shù)分析,還要包括業(yè)務(wù)和運(yùn)營風(fēng)險(xiǎn)。
在Discover,我們專注于將安全非功能性需求(NFR)融入我們的開發(fā)流程,以確保在每個(gè)階段都考慮安全性,并且我們在設(shè)計(jì)上就做到合規(guī)。增強(qiáng)我們的分析環(huán)境也是一個(gè)優(yōu)先事項(xiàng),使我們能夠更好地監(jiān)控和應(yīng)對潛在威脅。根據(jù)審計(jì)結(jié)果持續(xù)改進(jìn)是保持強(qiáng)大安全態(tài)勢的關(guān)鍵。通過解決已確定的差距并實(shí)施建議的更改,我們可以增強(qiáng)整體安全和合規(guī)工作。
你如何在主動(dòng)措施和反應(yīng)能力之間平衡網(wǎng)絡(luò)安全投資?
在主動(dòng)措施和反應(yīng)能力之間平衡網(wǎng)絡(luò)安全投資對于全面的安全戰(zhàn)略至關(guān)重要。主動(dòng)措施,如威脅搜尋、定期漏洞評估和安全培訓(xùn),有助于在攻擊發(fā)生之前進(jìn)行防范。這些措施需要持續(xù)投資于工具、技術(shù)和人才,以應(yīng)對不斷出現(xiàn)的新威脅。
同樣重要的是反應(yīng)能力,如恢復(fù)力、事件響應(yīng)計(jì)劃和災(zāi)難恢復(fù)策略,以在事件發(fā)生時(shí)最大限度地減少損害。投資于強(qiáng)大的事件響應(yīng)團(tuán)隊(duì),并確保他們擁有必要的資源和培訓(xùn)至關(guān)重要。人才也是你戰(zhàn)略的核心。在Discover,我們強(qiáng)調(diào)培養(yǎng)和留住頂尖人才,這是主動(dòng)和反應(yīng)網(wǎng)絡(luò)安全工作的關(guān)鍵。我們的戰(zhàn)略包括提供持續(xù)學(xué)習(xí)和技能提升的機(jī)會(huì),確保我們的團(tuán)隊(duì)隨時(shí)準(zhǔn)備應(yīng)對任何挑戰(zhàn)。我們?yōu)閱T工提供內(nèi)部建立的專業(yè)認(rèn)證。通過在主動(dòng)和反應(yīng)投資之間保持平衡,我們可以有效保護(hù)客戶的數(shù)據(jù)并維護(hù)他們的信任。
