战略副总裁史蒂夫霍温&云,Telos Corporation
当我们考虑我们的财务时,我们将其视为责任 - 以确保按时提交付款的承诺,我们的信用评分是应该的。我们往往不会想到网络安全和遵守方式如何适应图片,至少超出信用卡违规或金融欺诈。
现实是,随着网络安全威胁变得越来越复杂 - 金融服务业看似更复杂 - 金融组织需要重新关注合规活动。根据 最近的研究,组织每年花费超过350万美元的合规活动。该数字增加到金融服务部门超过400万美元,可能是由于独特的 法规 和程序与反洗钱(AML),制裁等程序有关。此外,金融服务部门是最有可能的部门(58%)是报告,他们需要聘请更多员工以涵盖增加的工作量。底线是:在金融服务业,合规是一份全职工作。
合规活动通常是同义词 NIST Cybersecurity Framework.,这包括标准,指导方针和管理网络安全风险的最佳实践。虽然该框架为解决合规挑战提供了强大的基础–提供各种资源,可用于对准合规优先级–公司需要提高金融部门合规活动的方法。以下是作为金融服务组织整体合规策略的一部分,这是前4名关键因素。
第三方供应商风险管理计划
第三方风险是各行业组织之间的共同关注,因为他们委托其他承包商为他们执行某些业务活动。据最近 全球调查 conducted by Ernst & Young,58%的金融服务公司已实施集中的第三方风险管理方法。此外,41%的金融服务组织可以在未来几年内通过托管服务方法来进行第三方风险管理。与任何行业一样,管理供应商的风险是遵守金融服务部门的关键。
但不幸的是,传统的供应商评估往往不会捕捉不断发展的风险。 Gartner. 报告称,超过80%的法律和合规领导人表示初次船上和尽职调查后确定了第三方风险。在同一研究中,金融服务组织的一个首席合规官员透露,第三方正在重新定义其业务在新的数字世界中的竞争。
很明显,确保第三方供应商的风险管理计划已经到位,对于任何想要避免过度风险和潜在合规罚款的组织来说是至关重要的。 FINSERV和其他组织可以看出像共享评估的第三方风险管理(TPRM)框架,这 概述 建立此类计划时的基础和流程 - 包括外包分析,合同管理,监测等。
供应商评估
在建立第三方供应商风险管理计划之前,对于符合NIST兼任的供应商来说,金融服务组织非常重要,或者有一些合规政策,以建立他们的合作伙伴负责的安心,并没有太大的风险。
如果您需要一个启动的地方,securityscorecard 建议 设置评估范围。该过程包括确定哪个风险标准构成了最大的威胁。给出的一个例子是一个公司处理支付卡数据。这种类型的公司面临着大量的合规风险(特别是PCI DSS),因此应在其评估范围内遵守本规定。
合规证明
当您购买家庭,汽车或任何其他大型资产时,合同通常用作您是主人的证据。对于必须提供合规性证明的金融服务组织并不如此不同。
金融服务部门协调委员会(FSSCC) 解释说 轮廓s 在NIST网络安全框架内可以用作金融机构的评估工具,以证据遵守监管框架 - “普通大学申请法规遵守”,因为他们称之为。金融服务行业遵守证明尤为重要,因为 较新的领域 在游戏中必须考虑,例如面部识别检查,双因素认证,社交媒体和其他因素。这一增加的复杂性是所有原因,金融组织需要证明他们是符合要求的。
员工教育
培训是掀起员工的关键。这对于教育工作人员的金融组织作为合规性的复杂和不断变化的话题来说,这更为重要。这些组织必须确保他们遵守与合规性相关的最低安全相关要求,并建立网络感知员工将使员工更加全面的观点进入网络安全和合规性运行的方式。
金融服务信息共享和分析中心(FS-ISAC) posits. 由于成本低,回报率低,组织的首要任务是员工培训。员工越多,安全知识的金融服务员工越多,他们就可以了解如何接近某些情况并维持合规性。
虽然信用卡可能有一个限制,但在未来几年无疑将出现在行业的合规规定数量没有限制。 2018年5月25日,一般数据保护条例(GDPR)确实将欧盟的数据保护的金标准设置为欧盟,较不到两年的加利福尼亚州消费者隐私法(CCPA)。两者都以趋势为推动更多法规的趋势。通过这种现实,金融服务组织需要确保他们的合规活动在被不需要的罚款被拍打之前鼻烟。
关于作者
Steve Horvath是战略副总裁&云在Telos公司。他目前担任战略和云副总裁,专注于跨越公司的长期战略伙伴关系和解决方案’S宽度的产品。在信息安全领域拥有超过20年的实践经验,史蒂夫被视为信息技术风险和符合性的专家。他是马里兰州大学,大学公园大学毕业,并维护认证信息系统安全专业(CISSP)和项目管理专业(PMP)认证。史蒂夫可以在线到达(//www.linkedin.com/in/bigdogsteve/)和AT. //www.telos.com/
我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。