在數(shù)字化時代，銀行作為金融體系的核心，面臨著日益嚴峻的網絡威脅。如何加強網絡韌性，確保業(yè)務連續(xù)性和數(shù)據安全，成為銀行高管亟待解決的問題。

在采訪中，Citizens公司的CISO Matthew Darlage討論了加強銀行網絡韌性的關鍵策略。

他強調，遵循NIST等框架對于持續(xù)改進至關重要，而數(shù)據保護措施對于保障銀行業(yè)務運營也極為關鍵。Darlage進一步指出，第三方風險管理和適應性安全實踐對于維持韌性必不可少。

銀行有效的網絡韌性戰(zhàn)略的核心支柱是什么?

我的總體觀點是，一個有效的網絡韌性和深度防御戰(zhàn)略依賴于相當多的基礎支柱，包括但不限于擁有堅實的傳統(tǒng)治理、風險和合規(guī)(GRC)計劃并執(zhí)行強有力的風險管理實踐，建立健壯且容錯的安全基礎設施，具備強大的事件響應能力，定期測試災難恢復/韌性計劃，實施嚴格的漏洞管理實踐，開展意識和培訓活動，以及制定全面的第三方風險管理計劃。

身份和訪問管理(IAM)是另一個關鍵領域，因為強大的訪問控制支持現(xiàn)代化身份實踐的實施，并確保員工和客戶體驗的安全性。新的“防火墻”就是你的身份，這個身份需要持續(xù)綁定到一種適應性安全策略上，該策略能夠以分層方式保護你，并且希望配置得盡可能無摩擦。其中另一大部分內容是培養(yǎng)安全文化，讓每個人都成為一道人為防火墻。

像NIST網絡安全框架這樣的全球監(jiān)管框架如何影響銀行對待韌性的方式?

NIST網絡安全框架(CSF)和類似框架倡導了一種持續(xù)改進IT安全的方法，并鼓勵組織定期評估其安全狀況，識別差距，并制定措施以增強其網絡韌性。總之，這些框架可以使用通用/標準化語言為組織提供一個有價值且可定制的執(zhí)行模板，以增強其網絡項目和整體韌性。它確保組織了解其風險，部署健壯的安全控制或能力，并持續(xù)改進其阻止、抵御和從網絡事件中恢復的能力。

銀行在應對網絡事件時最常遇到的陷阱是什么?

我的總體經驗是，應對事件(無論是安全事件還是其他事件)時的一個常見陷阱是假設你組織的所有平臺都按照你認為的方式運行，或者假設你的應急預案已經更新以反映當前情況。事件響應中最重要的部分是人員。雖然技術和流程很重要，但任何組織可以做的最佳投資是招募盡可能優(yōu)秀的人才。

我認為其他陷阱領域包括缺乏有效的溝通計劃、缺乏適應性、假設自己永遠不會受到影響，以及與組織的其他核心功能(風險、法律、合規(guī)、隱私等)缺乏緊密聯(lián)系。第三方風險是一個需要大量一致、全面治理和俗語所說的細心照料和喂養(yǎng)的領域，特別是在存在漏洞和明顯的攻擊面影響時。

鑒于對第三方供應商的依賴，銀行如何確保對供應鏈網絡威脅的韌性?

我認為這是銀行需要迅速適應并高度專注于持續(xù)監(jiān)測和改進的關鍵領域。在考慮供應鏈和第三方風險時，合同保障措施至關重要，包括審計條款權利、服務級別協(xié)議(SLA)、共同責任等，以及對我們之前討論的所有基礎/核心支柱(數(shù)據保護、強大訪問、風險管理實踐等)有共同的理解。

銀行還應根據風險水平、以往事件、威脅情報和監(jiān)測置信度評分進行必要的盡職調查和安全審查。組織的供應商是其網絡的延伸，這基本上使它們共享一個攻擊面——這需要持續(xù)的高度警覺和治理。

如果你能給銀行高管一條關于網絡韌性的關鍵建議，那會是什么?

銀行高管應將數(shù)據保護作為核心使命。我們在網絡安全方面所做的大多數(shù)工作都應直接圍繞保護組織最重要的資產——其數(shù)據——并與之緊密相連。這意味著要盡一切可能在整個數(shù)據生命周期中實施強大的數(shù)據保護保障措施。

銀行以不斷創(chuàng)新的方式參與一個龐大且高度互聯(lián)的技術生態(tài)系統(tǒng)，因此，從支付處理系統(tǒng)到核心企業(yè)基礎設施，你都必須將數(shù)據保護視為首要任務。全面的安全應被視為一種賦能者，因此領導者必須將其視為公司未來成功的戰(zhàn)略投資。