RSA安全报告金融服务中的信息风险管理.docVIP

金融服务中的信息风险管理 Rodney Nelsestuen 金融服务战略和IT投资 2007年8月 安全是现今全球金融服务行业所要求的健全而灵活的信息风险管理原则的核心。在业务具有特定速度和互联性的情况下，进行风险管理以确保安全已经成为许多金融服务机构（FSI）必需的核心竞争力。包括对人员、流程和技术进行全盘整合的综合风险管理，可以管理客户和业务信息的许多风险。 此白皮书旨在面向金融服务行业的高级管理人员和领导者。它解决迫切需要以全面的眼光看待信息风险管理。需要全面了解企业的信息需求和风险，构建全方位管理这信息。除了在保护信息和，安全增机构的产品和服务。行政领导必须了解和正视以下几点。 总之，信息安全技术，支持的进攻性战略。记载违规包括电脑黑客，雇员欺诈，有组织的犯罪，社会工程，甚至简单的人为错误。损失 在不久以前，关于信息安全方面的讨论通常在技术层面上进行，在很大程度上将业务领导排除在外。网络违规和恶意攻击、拒绝服务、蠕虫病毒被认为是IT职员的工作范围。FSI领导只需简单的知道企业拥有“坚如磐石”般的安全基础，并且他们的技术是“难以渗透”的。这种景象被证明为是短视的，因为它暗示着好的安全机制是保护数据和信息资产的坚固不变的保护层。但更重要的是，安全机制除了坚固之外，还必须具有足够的灵活性。它必须能够满足所开展业务和环境的需求，同时它也必须能适应新的客户群体、发布渠道，以及新危险的出现、发展和变化。 最终，业务领导开始认识到他们需要参与安全实施方案的建立过程，因为在若干不同的业务阵线上受到危险的是他们的业务数据和信息。初期所有修补潜在漏洞的努力变成了新增技术和策略的拼拼补补。所作的更改都是点对点的更改，而且这种更改并不协调一致，经常是在符合最低标准的驱动下进行，并且不能在整个机构中做到协调一致。这种安全机制中零零碎碎的方式一直被沿用下来，直到高级管理人员注意到IT成本在逐步上升，并开始质疑安全技术的投资回报为止。 为满足财政和风险管理责任制的要求，现今领先的FSI在积极的寻求一个贯穿业务和运行方面风险管理的综合方案。然而，即使在不断的协调，仍然存在着一些挑战。例如： 北美银行决定采用一个单一的入侵检测企业级解决方案，但却实行了四套不同的实施方案，每个实施方案又有不同的技术单元管理。尽管对于信用卡业务以及投资产品或储蓄等相对业务来说，技术配置应该根据需要而作出变化，但是在这个案例中，低效的管理方式导致了重复的许可费用，同时还会产生代价更为昂贵的人员成本的重复。该组织只是部分地减少了由于以前安全技术和策略的无序扩张而引起的效率低下问题。 另一个全球性的机构有17个高级执行官，而他们的任务就是管理不同领域的风险。尽管他们有非常清晰的责任分工，但是这种方式仍然导致了高昂的人员、流程和技术的重复浪费。 这些例子强调了在金融机构中整合信息风险管理的挑战性。风险可以划分成四个基本领域：战略、运营、财政和规章制度，正如图1的左部所示，它给出了FSI全面风险管理中风险的全局概念扩展图。 图1 全局整合风险管理，平衡重叠区域 注释：BPO=business process outsourcing（业务流程外包）. HR=human resources.（人力资源） 图1 BCP/DR=business continuity planning/disaster recovery（业务连续性规划/灾难恢复） 来源：TowerGroup KYC=know your customer（了解你的客户） 该图例演示了信息风险管理的许多领域。机构必须要清楚的知道信息依存的地方，在企业信息分类系统的基础之上理解信息的重要性，并安排该领域内的专家开发合适的风险管理策略和流程。考虑到许多风险分类的重叠性，没有协调一致的解决方案将会导致在某些领域发生冗余，而在其他领域出现严重的断层。所收集到的有欺诈企图的信息可能由FSI中不同的技术、不同的部门和人员来管理。而他们之间缺乏协调可能会导致风险管理中出现断层。例如，网络系统中的入侵检测信息必须要与欺诈检测和管理系统互相协调配合，才能对事件有一个清晰的视图并对它进行有效的管理。在根据规则和管理报告的需求而将数据从一个系统移动到另一个系统中时，使用不同的技术也会导致不必要的开销。 图例中左半部分所示的内部风险的四个基本类型（战略、运营、财政和规章制度）可以进一步划分成右半部分所示的八个区域。一个风险管理的整体方案能使这些领域内的专家各自发挥他们的作用，使他们的工作不会因为重复而浪费精力。这就要求有一个信息分类和管理的综合策略，能够透明的进行业务管理。 改进的风险管理的关键点 改进的风险管理中的几个关键改变 了解信息和数据存在的地方 并