找回密码
 注册
搜索
查看: 188|回复: 0

[时评] 网络安全的目标并非合规

[复制链接]
发表于 2017-12-18 08:03 AM | 显示全部楼层 |阅读模式


上周三出席《华尔街日报》专业网络安全大会论坛活动的专家称,金融机构的网络安全措施若仅聚焦监管合规,则未必能很好地保护公司不受网络侵袭。


10.jpg
12月13日,纽约,CrowdStrike联合创始人兼首席执行长George Kurtz(左二)、巴克莱银行集团安全部门首席信息长Elena Kvochko(中)以及纽约联邦储备银行科技事业部副总裁兼首席信息安全长Joe Leonard出席《华尔街日报》专业网络安全大会论坛活动。 图片来源:BEN DIPIETRO/THE WALL STREET JOURNAL
BEN DIPIETRO
华尔街日报  2017年 12月 18日 12:03

上周三出席《华尔街日报》专业网络安全大会(WSJ Pro Cybersecurity Conference)论坛活动的专家称,金融机构的网络安全措施若仅聚焦监管合规,则未必能很好地保护公司不受网络侵袭。

纽约联邦储备银行(Federal Reserve Bank of New York)科技事业部副总裁兼首席信息安全长Joe Leonard称,合规与安全二者无法兼得。

网络安全公司CrowdStrike Inc.联合创始人兼首席执行长George Kurtz称,以之前信用卡信息遭入侵的情况为例,所有遭入侵的机构都遵守了支付卡行业数据安全标准(Payment Card Industry Data Security Standard),但仍然未能幸免,而数据遭窃导致的信任损失则难以挽回。

巴克莱银行(Barclays Bank)集团安全部门首席信息长Elena Kvochko称,银行应该从更加全盘的视角来看待信息安全,在不同业务之间打破藩篱,这样一来,当发现组织中某一部分出现异常时,可以发现是否有其它反常情况发生。

她表示﹐因此才有必要在一家组织内部推动相关文化,并给予足够时间让变革生根,因为让流程的改变成为习惯通常需要三个月到一年时间。她表示﹐在改进安全计划时﹐需要把这个时间考虑在内。

这三位在论坛发言的小组专家强调的一个领域就是﹐检测到信息泄露之前﹐先要制定一项计划。以Equifax Inc. (EFX)遭黑客入侵事件为例﹐小组成员表示﹐在这起事件被公之于众时﹐该公司如果提前知道谁该说什么,就可能会达到更好的效果。Kurtz表示﹐如果事前就已经有了这样一个团队﹐那么只需照计划执行就好了。

Kurtz表示﹐金融机构降低攻击风险的一个办法就是提高黑客入侵网络、窃取信息、把到手信息带走然后从中谋利的成本。要做到这一点﹐可以对暗网进行监控﹐看看信息何时被挂出出售﹐然后关闭这些与供出售遭窃信用卡信息相关的账户。

他表示﹐这么做可以降低这些信息的价值﹐如果黑客知道公司正进行监控并将快速做出响应﹐他们试图窃取信息的可能性会降低。

此外,Kvochko称,公司需要将安全深植于各个方面。她称,举个例子,当一家银行推出一款新产品时,该行应确保从设计阶段到整个开发过程都充分考虑到安全问题。

她说,产品测试也是测试安全和产品适宜推出时间的时候,以确保员工和零售商接受该产品的安全性能培训。

Leonard称,赢得董事会和公司高层对网络安全的认可和资金支持的最佳方法是,在介绍网络安全问题的时候,将其与企业利益和收入挂钩。他说,不要兜售技术解决方案。他还说,最好是先谈保护企业流程和利润,然后回过头来说,如何做可减轻这一威胁。他说,最好不要说,有一项威胁需要我们花费数百万美元进行防范。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

手机版|小黑屋|www.hutong9.net

GMT-5, 2025-2-26 07:18 PM , Processed in 0.044203 second(s), 18 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表