数字时代的金融机构网络服务安全指引
编者按:作为全球最大的管理咨询公司、技术服务供应商和外包公司,埃森哲公司(Accenture)基于其与全球金融业的合作经验,针对目前金融机构推出的新网络服务,拟写了一份信息安全白皮书,从新网络服务的发展趋势与风险、对监管部门和机构的措施建议、管理人员应当关注的问题三大方面进行阐述。
近年来,金融机构推出了许多新的网络服务,如通过iphone手机和通过社交网站“脸谱网” (Facebook)进行网上支付。与此同时,金融机构通过和移动平台的合作,将虚拟化基础设施转移到云计算服务,与传统的柜面服务开展竞争。这些创新提高了机构的效率,给客户带来了真正的价值,但也使金融机构面临更大的风险。
一、新服务的发展趋势与风险
发生在2008年的金融危机,严重影响了消费者对金融业的信任和信心。虽然经济在反弹,但不确定性仍然存在,金融机构必须在其责任范围内尽力维护已摇摇欲坠的消费者信心。网络支付安全绝对是一个需要关注的领域, 2009年,美国的金融机构有62家支付系统数据被破坏,影响到1.3亿消费者的帐户。银行面临着双重挑战,一方面客户希望他们的资金和个人身份信息必须保证安全,另一方面又希望能够随时随地访问他们的帐户。
(一)利用社交网站支付容易被植入木马。当前,社交网站已十分普遍,利用社交网站进行网上支付对于客户来说十分方
便。但社交网站也很容易被竞争对手或罪犯利用,一些犯罪份子在社会媒体网站上提供众多应用程序和游戏,专门制作恶意软件引入到用户的个人电脑中。
(二)金融机构难以控制移动支付的风险。可移动性已经成为最重要的营销和客户服务策略。作为客户,尤其是年轻的客户特别要求能在他们的移动电话和手持设备上运行银行业务。这意味着机构创建了从存款到账单付款的服务。不幸的是,新的支付自由带来了复杂性,包括遭受盗窃、恶意软件攻击的高风险水平。这些风险多数超出了机构的控制而掌握在客户手中。
(三)新型便携支付设备增加被盗风险。金融机构提供了更多的商业工具--智能手机、上网本和便携电脑,这些设备获取的数据超出了传统范围。大多数银行的目的是为客户提供可靠的装备和安全渠道,但同时也使客户处在危险境地。近期就发生一起银行一台包含客户账户信息的笔记本电脑在交易委员会办公室被盗的事件。
(四)云计算的外包服务模式存在隐患。云计算是金融服务的未来,因其新的服务模式可以有效节省成本、提高效率和创新业务。但一些金融机构缺乏对敏感数据的良好好战略,一般由外包机构提供客户机密信息的托管服务,因此数据的安全性和兼容性都将掌握在第三者手中。金融机构不能继续使用旧的交付模式,必须以新的方式降低集中在云计算上的风险。
二、对监管部门和机构的措施建议
金融机构应当在最新威胁之上发展良好做法,并实施正确的工具来降低风险。个人客户是薄弱环节,需要认识到个人数码网
络清洁的重要性。内部教育也很关键,因为员工可能会在无意中暴露了信息。此外还有很多是要同外部机构联手完成的,首席信息安全官需要与监管机构、供应商共同打造提供干净的互联网生态系统。面对新的网络服务,埃森哲公司提出六项应对措施:
(一)识别机构的IT资产。随着现在社会的网络化,流动性,IT的消费化和云计算,企业外围变得更具流动性和极易渗透性。机构需要了解他们的自身资产,哪里是关键信息?它是如何被访问?通过何种渠道,由谁而来?采取明确的步骤来确保这些资产创造富有弹性的组织。
(二)建立坚固的“安全”文化。把安全变成一种文化,从顶层的监督职责开始。机构对从信息主管到首席信息安全官的各种角色的问责制常常过于模糊而无法合法化和进行风险管理,所以一定要准确地识别“谁才是真正的老板”。事实上,文化必须渗透到企业与员工的意识里头。确保每个人都明白,该机构在数据上是高度敏感的,并且始终以一个明确的政策和共同标准统一的办法来管理跨地理区域和业务部门。
(三)密切关注应用风险。一定要把安全延伸到设备和应用上。应用已经成为一个机构内的薄弱环节。大多数系统都没有将安全纳入考虑。但是,自从应用了移动、在线和入云端。对今天不知疲倦的破坏者而言,防火墙和防病毒技术是不够的。一个值得信赖的应用开发程序,对安全的深谋远虑是必须的,因为这是衡量程序能够衡量抵抗威胁的能力。
(四)反复核实用户身份。建立可靠的身份认证。在今天,客户身份是不固定的,企业的身份同样难以捉摸。更糟的是,身
份信息不再像以前那样是个秘密。在社交网站上可以很容易地发现个人识别码,而黑客又极其精通破译密码。因此,通过身份管理和认证,致力实现一个程序,是符合成本效益及非侵入性的。
(五)确保移动设备的安全。首先要考虑流动性。这种发展趋势引入了新的设备、新的操作系统,当然还有新的安全挑战。设备很容易丢失或被盗,SIM卡可以包含大量的个人的存储数据。因此要确保员工和合作伙伴的设备安全,来保护内部信息。还要对客户进行风险教育和预防措施的培训,如查找或删除数据的技术。
(六)培养风险意识。最重要的是,要对风险防范于未然。对整个景观的风险要有清醒的认识,包括客户环境、合作伙伴网络和云基础设施。评估这些项目对业务潜在的风险,究竟是哪一项在线应用超支了?在移动应用程序上的中断会如何影响收益的?通过识别后门漏洞来采取措施管理风险,确定链接模式,扩大脆弱性的检测范围等。
三、银行网络安全管理人员应当关注的十个问题
为实现有效的网络安全,管理人员应当重点关注下列十个问题:一是每个人都应理解自己的信息安全责任;二是应对信息安全的职责进行分工;三是信息战略应能识别、跟踪和控制数据流;四是应对隐私和安全技术进行评估从而采取适当保护措施;五是员工之间应建立一致的风险意识;六是金融机构应提供相应的指导和培;七是应对内部欺诈防范于未然;八是业务合作伙伴也应关注他们自身的安全状态;九是应有制定一个移动支付和移动银行的安全策略;十是应制定与主要线路运营商协调的战略。
(资料来源: http://docs.bankinfosecurity.com/files/
whitepapers/pdf/416_BIS_Security_and_Financial_Services_Accenture.pdf)
备注:该信息为埃森哲公司发布白皮书的编译版,版权所有该公司。
数字时代的金融机构网络服务安全指引
编者按:作为全球最大的管理咨询公司、技术服务供应商和外包公司,埃森哲公司(Accenture)基于其与全球金融业的合作经验,针对目前金融机构推出的新网络服务,拟写了一份信息安全白皮书,从新网络服务的发展趋势与风险、对监管部门和机构的措施建议、管理人员应当关注的问题三大方面进行阐述。
近年来,金融机构推出了许多新的网络服务,如通过iphone手机和通过社交网站“脸谱网” (Facebook)进行网上支付。与此同时,金融机构通过和移动平台的合作,将虚拟化基础设施转移到云计算服务,与传统的柜面服务开展竞争。这些创新提高了机构的效率,给客户带来了真正的价值,但也使金融机构面临更大的风险。
一、新服务的发展趋势与风险
发生在2008年的金融危机,严重影响了消费者对金融业的信任和信心。虽然经济在反弹,但不确定性仍然存在,金融机构必须在其责任范围内尽力维护已摇摇欲坠的消费者信心。网络支付安全绝对是一个需要关注的领域, 2009年,美国的金融机构有62家支付系统数据被破坏,影响到1.3亿消费者的帐户。银行面临着双重挑战,一方面客户希望他们的资金和个人身份信息必须保证安全,另一方面又希望能够随时随地访问他们的帐户。
(一)利用社交网站支付容易被植入木马。当前,社交网站已十分普遍,利用社交网站进行网上支付对于客户来说十分方
便。但社交网站也很容易被竞争对手或罪犯利用,一些犯罪份子在社会媒体网站上提供众多应用程序和游戏,专门制作恶意软件引入到用户的个人电脑中。
(二)金融机构难以控制移动支付的风险。可移动性已经成为最重要的营销和客户服务策略。作为客户,尤其是年轻的客户特别要求能在他们的移动电话和手持设备上运行银行业务。这意味着机构创建了从存款到账单付款的服务。不幸的是,新的支付自由带来了复杂性,包括遭受盗窃、恶意软件攻击的高风险水平。这些风险多数超出了机构的控制而掌握在客户手中。
(三)新型便携支付设备增加被盗风险。金融机构提供了更多的商业工具--智能手机、上网本和便携电脑,这些设备获取的数据超出了传统范围。大多数银行的目的是为客户提供可靠的装备和安全渠道,但同时也使客户处在危险境地。近期就发生一起银行一台包含客户账户信息的笔记本电脑在交易委员会办公室被盗的事件。
(四)云计算的外包服务模式存在隐患。云计算是金融服务的未来,因其新的服务模式可以有效节省成本、提高效率和创新业务。但一些金融机构缺乏对敏感数据的良好好战略,一般由外包机构提供客户机密信息的托管服务,因此数据的安全性和兼容性都将掌握在第三者手中。金融机构不能继续使用旧的交付模式,必须以新的方式降低集中在云计算上的风险。
二、对监管部门和机构的措施建议
金融机构应当在最新威胁之上发展良好做法,并实施正确的工具来降低风险。个人客户是薄弱环节,需要认识到个人数码网
络清洁的重要性。内部教育也很关键,因为员工可能会在无意中暴露了信息。此外还有很多是要同外部机构联手完成的,首席信息安全官需要与监管机构、供应商共同打造提供干净的互联网生态系统。面对新的网络服务,埃森哲公司提出六项应对措施:
(一)识别机构的IT资产。随着现在社会的网络化,流动性,IT的消费化和云计算,企业外围变得更具流动性和极易渗透性。机构需要了解他们的自身资产,哪里是关键信息?它是如何被访问?通过何种渠道,由谁而来?采取明确的步骤来确保这些资产创造富有弹性的组织。
(二)建立坚固的“安全”文化。把安全变成一种文化,从顶层的监督职责开始。机构对从信息主管到首席信息安全官的各种角色的问责制常常过于模糊而无法合法化和进行风险管理,所以一定要准确地识别“谁才是真正的老板”。事实上,文化必须渗透到企业与员工的意识里头。确保每个人都明白,该机构在数据上是高度敏感的,并且始终以一个明确的政策和共同标准统一的办法来管理跨地理区域和业务部门。
(三)密切关注应用风险。一定要把安全延伸到设备和应用上。应用已经成为一个机构内的薄弱环节。大多数系统都没有将安全纳入考虑。但是,自从应用了移动、在线和入云端。对今天不知疲倦的破坏者而言,防火墙和防病毒技术是不够的。一个值得信赖的应用开发程序,对安全的深谋远虑是必须的,因为这是衡量程序能够衡量抵抗威胁的能力。
(四)反复核实用户身份。建立可靠的身份认证。在今天,客户身份是不固定的,企业的身份同样难以捉摸。更糟的是,身
份信息不再像以前那样是个秘密。在社交网站上可以很容易地发现个人识别码,而黑客又极其精通破译密码。因此,通过身份管理和认证,致力实现一个程序,是符合成本效益及非侵入性的。
(五)确保移动设备的安全。首先要考虑流动性。这种发展趋势引入了新的设备、新的操作系统,当然还有新的安全挑战。设备很容易丢失或被盗,SIM卡可以包含大量的个人的存储数据。因此要确保员工和合作伙伴的设备安全,来保护内部信息。还要对客户进行风险教育和预防措施的培训,如查找或删除数据的技术。
(六)培养风险意识。最重要的是,要对风险防范于未然。对整个景观的风险要有清醒的认识,包括客户环境、合作伙伴网络和云基础设施。评估这些项目对业务潜在的风险,究竟是哪一项在线应用超支了?在移动应用程序上的中断会如何影响收益的?通过识别后门漏洞来采取措施管理风险,确定链接模式,扩大脆弱性的检测范围等。
三、银行网络安全管理人员应当关注的十个问题
为实现有效的网络安全,管理人员应当重点关注下列十个问题:一是每个人都应理解自己的信息安全责任;二是应对信息安全的职责进行分工;三是信息战略应能识别、跟踪和控制数据流;四是应对隐私和安全技术进行评估从而采取适当保护措施;五是员工之间应建立一致的风险意识;六是金融机构应提供相应的指导和培;七是应对内部欺诈防范于未然;八是业务合作伙伴也应关注他们自身的安全状态;九是应有制定一个移动支付和移动银行的安全策略;十是应制定与主要线路运营商协调的战略。
(资料来源: http://docs.bankinfosecurity.com/files/
whitepapers/pdf/416_BIS_Security_and_Financial_Services_Accenture.pdf)
备注:该信息为埃森哲公司发布白皮书的编译版,版权所有该公司。