金融服务公司是网络安全漏洞的主要目标,这一点不足为奇。根据 CSHub.com 的数据,在 2019 年上半年,以下八个行业报告了数据泄露事件:
1. 医疗保健
2.零售
3.金融和保险
4.政府机构
5.信息(数据收集和分发)
有趣的是,CSHub这篇文章的作者认为,医疗保健行业一直位居数据泄露榜首的原因之一是其严格的合规性和报告准则。与金融行业的企业一样,医疗保健业务也受到相关规定的约束,要求它们在数据被泄露时通知消费者;而其他标准较宽松的企业可能不会向公众公布数据泄露情况。
在零售领域,我们看到零售/电子商务公司的数据泄露与金融行业的数据泄露有重叠之处--同样,只要有资金流动,就会有安全威胁。据 CSHub 称,刷卡系统和销售点系统是网络犯罪分子最喜欢攻击的目标,尤其是在加油站和自动取款机上。
尽管银行、金融公司和保险公司是最早采用欺诈检测和预防措施的机构之一,也拥有最高标准的在线安全系统,但由于显而易见的原因,它们仍然是网络犯罪最喜欢攻击的目标。哪里有钱,犯罪分子就去哪里。
Verizon 对安全 "事件 "和 "漏洞 "进行了研究,其中 "事件 "被定义为任何类型的安全破坏,而 "漏洞 "则是具体的数据泄露(因此,所有漏洞都是事件,但并非所有事件都是漏洞)。他们发现,在所有行业中,金融业一年内发生的外泄事件最多,而小公司报告的外泄事件数量最多,因为 "它们不像大公司那样有能力消除此类安全入侵"。
这就是为什么越来越多的中小型公司开始与像我们Empaxis这样的第三方平台即服务供应商合作。由于我们的交钥匙资产管理平台集成了多种软件程序和基于网络的解决方案,因此我们必须遵守数据安全的最高标准。我们通过了 ISO 27001 认证,并为我们的团队提供社会工程培训,这些只是我们为确保安全而采取的部分措施。
任何组织的网络安全面临的最大威胁都是人为错误。对于金融公司来说,人为漏洞不仅存在于员工身上,也存在于客户身上。您可以采取一些措施来保护客户在线数据的安全。
您上次阅读和更新数据安全政策是什么时候?我们建议您遵循美国国家标准与技术研究院(NIST)制定的网络安全框架和联邦金融机构审查委员会(FFIEC)列出的信息安全指南。
数据安全不是 IT 部门的唯一责任。从打印的每一张纸到团队成员通过键盘进行的每一次交互,数据安全都应是您所做的一切工作的一部分。
FFIEC 建议企业发展 "安全文化",即数据安全成为日常运营的一部分。拥有强大安全文化的公司可确保安全成为其生产和销售的每件产品和服务的组成部分。有效安全文化的另一个特点是让员工对遵守数据安全政策负责。
1.多因素身份验证,尤其是当员工从外部访问资产管理平台时。有些公司甚至只允许非常有限的外部人员访问后台应用程序。一些银行(如 USAA)要求客户每次登录账户时都使用多因素身份验证,即使他们从识别设备登录时也是如此。这可能会给银行客户带来些许不便,但却发出了一个明确的信息:银行正在尽最大努力保护客户最敏感的数据。
2.严格的 BYOD 政策,指员工可以将自己的移动设备带到工作场所,或使用个人设备工作。有些公司不允许员工自带设备,而有些公司则允许员工自带设备,只要员工愿意安装公司管理的防火墙、防病毒和反间谍软件技术。
3.每年或两次网络安全培训。您的 IT 团队或外包合作伙伴应能为您提供有关最新数据威胁的教育材料,以及保护客户账户的最佳实践。分享组织被勒索软件攻破后损失惨重的恐怖故事。
4.定期分享有关保护客户数据最佳实践的新闻和信息,培养安全文化。员工是防范安全事故的第一道防线,而知识就是他们的武器。
5.全天候威胁监控,就像我们在 Empaxis 所做的那样。
6. 交钥匙资产管理平台,如 TAMP1。有了安全连接,云应用程序就能以内部服务器无法做到的方式保护数据。例如,如果服务器发生火灾或其他物理损坏,那么数据可能永远无法恢复。有了安全的云端系统,无论本地存储设备是否受损,数据都能得到保护并可访问。
FFIEC 信息安全手册描述了一种分层网络安全方法。
7.预防性控制措施,如防火墙和访问控制,防止未经授权的用户访问数据
8.检测控制,如扫描和检测潜在威胁的反病毒和反恶意软件应用程序
9.纠正性控制措施,如在预防性和侦查性控制措施失效时的应急计划
随着越来越多的金融公司满足客户全天候访问其账户以及跨渠道连接的需求,保护其数据安全的挑战也随之增加。毕竟,您只能预防、检测和控制您访问范围内的内容;您无法管理客户的设备、互联网访问和网络安全实践。
我们的月度通讯提供有用的资源、文章和最佳实践,供技术提供商和投资公司使用