金融服務公司成為在線安全漏洞的主要目標也就不足為奇了。根據 CSHub.com,在2019年上半年,這些是報告數據洩露的前八大行業:
1. 衛生保健
2. 零售
3. 金融和保險
4. 政府機構
5. 資訊(資料收集和分發)
有趣的是, CSHub 文章的作者認為,醫療保健繼續在洩露數據清單中名列前茅的原因之一是因為他們嚴格的合規性和報告準則。與金融部門的企業一樣,醫療保健業務也受到規則的約束,這些規則要求他們在數據被洩露時通知消費者;其他標準較寬鬆的企業可能不會向公眾公佈數據洩露事件。
在零售領域,我們看到零售/商業公司和金融部門之間的數據洩露之間存在重疊——同樣,無論資金易手在哪裡,您都會發現安全威脅。據CSHub稱,刷卡和銷售點系統是網路犯罪分子最喜歡的目標,尤其是在加油站和ATM機上。
儘管銀行、金融公司和保險公司是最早採用欺詐檢測和預防的公司之一,並且在網路安全方面也有一些最高標準,但由於顯而易見的原因,銀行、金融公司和保險公司仍然是網路犯罪的最愛目標。犯罪分子去錢的地方。
Verizon研究了安全“事件”和“漏洞”,其中事件被定義為任何類型的安全中斷,而漏洞是特定的數據洩漏(因此,所有漏洞都是事件,但並非所有事件都是漏洞)。他們發現,在所有行業中,金融業在一年內發生的違規行為最多,而小公司報告的違規行為數量最多,因為“他們不像大公司那樣有能力消除這種安全入侵,” 根據一份政府報告。
這就是為什麼越來越多的中小型公司與像我們這樣的第三方平臺即服務提供者合作的原因,在Empaxis。由於我們的 交鑰匙資產管理平臺 與各種軟體程式和基於網路的解決方案集成,因此我們必須遵守數據安全的最高標準。認證我們符合 ISO 27001 標準並為我們的團隊提供社會工程培訓只是為確保安全而採取的一些措施。
對任何組織網路安全的最大威脅是人為錯誤。對於金融公司來說,人類的脆弱性不僅體現在你的員工身上,還體現在你的客戶身上。您可以採取一些措施來保護客戶的在線數據。
您上一次閱讀和更新數據安全政策是什麼時候?我們建議您遵循美國國家標準與技術研究院 (NIST) 制定的 網路安全框架 和聯邦金融機構審查委員會 (FFIEC) 列出的 資訊安全指南 。
數據安全不是IT部門的唯一責任。數據安全應該是您所做的一切的一部分,從您列印的每一張紙到您的團隊成員通過鍵盤進行的每一次互動。
FFIEC 建議組織發展一種「安全文化」,這意味著數據安全成為您日常運營的一部分。擁有強大安全文化的公司確保安全是他們生產和銷售的每種產品和服務不可或缺的一部分。有效的安全文化的另一個特點是讓員工對遵守您的數據安全策略負責。
1. 多因素身份驗證, 尤其是當員工從您的物理牆外訪問您的資產管理平臺時。一些公司甚至只允許對後端應用程式進行非常有限的外部訪問。一些銀行,如USAA,要求他們的客戶每次登錄他們的帳戶時都使用多因素身份驗證,即使他們從公認的設備登錄。這可能給銀行的客戶帶來一點不便,但它發出了一個明確的資訊,即銀行正在盡最大努力保護客戶最敏感的數據。
2. 嚴格的BYOD政策,是指員工能夠將自己的行動裝置帶到工作場所,或使用個人設備進行工作。一些公司不允許員工攜帶自己的設備,而另一些公司則允許員工攜帶公司管理的防火牆、防病毒和反間諜軟體技術。
3. 每年或每年兩次的網路安全培訓。您的 IT 團隊或外包合作夥伴應該能夠為您提供有關最新數據威脅的教育材料,以及保護客戶帳戶的最佳實踐。分享恐怖故事,說明組織在被勒索軟體入侵時要付出多少代價。
4. 通過定期分享有關保護客戶數據的最佳實踐的新聞和資訊來 培養安全文化 。員工是防範安全事件的第一道防線,知識是他們的武器。
5. 24/7 威脅監控,就像我們在 Empaxis 所做的那樣。
6. 交鑰匙資產管理平臺,如TAMP1。有了安全連接,基於雲的應用程式可以以內部伺服器無法做到的方式保護數據。例如,如果伺服器發生火災或其他物理損壞,則該數據可能永遠無法恢復。借助基於雲的安全系統,無論本地存儲的設備是否損壞,數據都可以受到保護和訪問。
FFIEC 資訊安全手冊描述了一種分層的網路安全方法。
7. 預防性控制 ,例如防火牆和訪問控制,可防止未經授權的使用者訪問數據
8. 檢測控制, 例如掃描和檢測潛在威脅的防病毒和反惡意軟體應用程式
9. 糾正性控制措施, 例如預防性和檢測性控制失敗時的應急響應計劃
隨著越來越多的金融公司回應客戶對其帳戶的 24/7 全天候訪問需求以及跨管道連接,保護其數據的挑戰也在增加。畢竟,您只能預防、檢測和控制您訪問範圍內的內容;您無法管理客戶的設備、互聯網訪問和網路安全實踐。
我們的月度時事通訊提供有用的資源、文章和最佳實踐,供技術供應商和投資公司實施
