如何通過三個(gè)步驟增強(qiáng)金融服務(wù)的運(yùn)營彈性

責(zé)任編輯:cres

作者:Pete Bowers

2022-07-27 14:05:52

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

隨著金融服務(wù)機(jī)構(gòu)向客戶、合作伙伴和監(jiān)管機(jī)構(gòu)展示其網(wǎng)絡(luò)應(yīng)變能力的需求越來越緊迫,他們應(yīng)重點(diǎn)關(guān)注三個(gè)領(lǐng)域,以奠定成功的基礎(chǔ)。

調(diào)查表明,英國監(jiān)管機(jī)構(gòu)最新發(fā)布的運(yùn)營彈性規(guī)則和指南于2022年3月31日生效后,英國金融服務(wù)業(yè)正在發(fā)生巨大變化。這些規(guī)則和指南規(guī)定企業(yè)必須采取的行動(dòng),對(duì)災(zāi)難進(jìn)行預(yù)防、適應(yīng)、應(yīng)對(duì)、恢復(fù),以及從各種形式的運(yùn)營中斷中吸取教訓(xùn),并要求企業(yè)能夠在2025年3月之前在其“影響限度”內(nèi)運(yùn)營。
 
至關(guān)重要的是,正如英格蘭銀行(BoE)和英國金融行為監(jiān)管局(FCA)所指出的那樣,運(yùn)營彈性現(xiàn)在已經(jīng)從簡單的業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)擴(kuò)展到網(wǎng)絡(luò)安全領(lǐng)域。
 
增強(qiáng)網(wǎng)絡(luò)彈性的三個(gè)支柱和步驟
 
網(wǎng)絡(luò)攻擊是對(duì)業(yè)務(wù)運(yùn)營造成的最嚴(yán)重破壞之一,而出人意料的網(wǎng)絡(luò)攻擊給那些準(zhǔn)備不足的受害者帶來毀滅性的后果。根據(jù)調(diào)查,僅在2020年,全球金融行業(yè)遭受的網(wǎng)絡(luò)攻擊數(shù)量就飆升了200%,而且此后攻擊數(shù)量一直在增加。
 
保持對(duì)這些風(fēng)險(xiǎn)的足夠彈性是采用有效網(wǎng)絡(luò)安全戰(zhàn)略的三大支柱,只有將這三者結(jié)合起來,企業(yè)才能保持健全的結(jié)構(gòu)。
 
(1)人員是資產(chǎn),而不是薄弱環(huán)節(jié)
 
當(dāng)人們從網(wǎng)絡(luò)安全的角度考慮潛在的薄弱環(huán)節(jié)時(shí),這些薄弱環(huán)節(jié)往往是企業(yè)的內(nèi)部人員,而他們通常缺乏關(guān)于如何避免陷阱或報(bào)告可疑事件的知識(shí)。例如,根據(jù)英國政府的2022年網(wǎng)絡(luò)安全漏洞調(diào)查,在2022年遭到網(wǎng)絡(luò)攻擊的企業(yè)中,有83%的企業(yè)表示網(wǎng)絡(luò)釣魚嘗試是最常見的威脅媒介。
 
眾所周知,網(wǎng)絡(luò)釣魚攻擊利用了“人為因素”——人們通常會(huì)信任熟悉事物和應(yīng)對(duì)壓力的自然本能。因此,擁有能夠識(shí)別網(wǎng)絡(luò)釣魚企圖的員工是金融服務(wù)組織如今可以擁有的最大資產(chǎn)之一。確保這一點(diǎn)的最佳方法是為他們提供安全培訓(xùn),并在模擬網(wǎng)絡(luò)釣魚攻擊練習(xí)中測試他們掌握的知識(shí),并定期進(jìn)行測試,以便始終保持高度警惕。這樣,如果員工成為網(wǎng)絡(luò)釣魚電子郵件的目標(biāo),他們將知道如何識(shí)別,并采取必要措施消除威脅。
 
由于網(wǎng)絡(luò)釣魚對(duì)于惡意行為者來說仍然是一種方便且有利可圖的行為,因此企業(yè)別無選擇,只能用知識(shí)和信心武裝員工來應(yīng)對(duì)挑戰(zhàn)。
 
(2)適當(dāng)?shù)牧鞒炭梢苑乐构?/div>
 
其次,必須制定流程以確保決策者準(zhǔn)確地知道在面臨威脅時(shí)該做什么。然而,這樣的過程很難單獨(dú)定義。幸運(yùn)的是,英國國家網(wǎng)絡(luò)安全中心(NCSC)提供了包括Cyber ??Essentials和Cyber?? Essentials Plus在內(nèi)的認(rèn)證,重點(diǎn)關(guān)注網(wǎng)絡(luò)彈性的主要領(lǐng)域。這其中包括管理防火墻、安全配置、訪問控制和惡意軟件防護(hù)。如果成功實(shí)施這些流程,英國國家網(wǎng)絡(luò)安全中心(NCSC)估計(jì)可以防止多達(dá)80%的網(wǎng)絡(luò)攻擊。
 
此外,諸如ISO27001之類的認(rèn)證可以幫助覆蓋Cyber?? Essentials所沒有的范圍。例如,Cyber ??Essentials往往側(cè)重于設(shè)備、網(wǎng)絡(luò)和企業(yè)IT基礎(chǔ)設(shè)施的其他部分上持有的數(shù)據(jù)和程序,ISO27001認(rèn)證關(guān)注的是企業(yè)持有的所有數(shù)據(jù),無論是紙質(zhì)數(shù)據(jù)還是數(shù)字形式。
 
除了預(yù)防之外,還必須制定流程來處理數(shù)據(jù)泄露或網(wǎng)絡(luò)攻擊的后果。在這些情況下,僅依靠認(rèn)證并不能避免運(yùn)營中斷和潛在的GDPR處罰。必須采取適當(dāng)?shù)牟僮鞔胧?,以便合適的人可以決定適當(dāng)?shù)男袆?dòng)方案,其措施從通知英國信息專員辦公室(ICO到提醒客戶和合作伙伴,具體做法因情況而異。
 
(3)采用正確的技術(shù)和工具
 
最后,正確的工具將在確保網(wǎng)絡(luò)和運(yùn)營彈性方面發(fā)揮關(guān)鍵作用。研究機(jī)構(gòu)Gartner公司預(yù)測,到2023年,全球信息安全支出將增長11.1%,達(dá)到1870億美元,其中大部分將用于采用正確的技術(shù)。所有這些投資都假設(shè)企業(yè)擁有大量熟練和敬業(yè)的員工來操作此類技術(shù)。然而,情況并非總是如此,尤其是在硬件和可用員工短缺的情況下。
 
許多企業(yè)根本沒有資源來購買新技術(shù)或?yàn)樗麄兊陌踩\(yùn)營中心(SOC)聘請(qǐng)新員工。事實(shí)上,只有44%的企業(yè)擁有監(jiān)控或記錄違規(guī)事件的工具。因此,四分之一的企業(yè)正在轉(zhuǎn)向?qū)で笸獠烤W(wǎng)絡(luò)安全提供商的幫助來滿足他們的需求。
 
不是是否而是何時(shí)發(fā)生網(wǎng)絡(luò)攻擊
 
事實(shí)證明,網(wǎng)絡(luò)攻擊事件并不是能否發(fā)生,而是何時(shí)發(fā)生,因此對(duì)此視而不見并不是一種很好的選擇。與其相反,企業(yè)必須實(shí)施全面的技術(shù)控制、加強(qiáng)員工網(wǎng)絡(luò)安全意識(shí)以及采用適當(dāng)?shù)牟僮鞒绦?。通過讓網(wǎng)絡(luò)彈性的所有三個(gè)支柱協(xié)同工作,企業(yè)能夠確保他們的運(yùn)營彈性。
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)