Net güvenlik röportajında, Arvest Bank’taki CISO Mike Calvi, bankacılık sektöründe güçlü bir siber güvenlik kültürü oluşturmayı tartışıyor. Ortaklarla liderlik, etkili raporlama ve proaktif katılımların güvenliği güçlendirmede nasıl anahtar olduğunu açıklıyor. Calvi ayrıca, işbirlikçi bir ortamı geliştirirken bankaların başarıyı nasıl ölçebileceğini ve hesap verebilirliği nasıl dengeleyebileceğine de değiniyor.
Bankacılıkta “siber güvenlik kültürünün” ne anlama geldiğini anlatabilir misiniz? Sadece güvenlik teknolojilerini ve protokollerini uygulamaktan nasıl farklı?
Siber ötesine uzanan ve genel olarak artan bir raporlama seviyesi gerektiren ek düzenleyici ve dolandırıcılık yönleri nedeniyle diğer endüstrilerden önemli ölçüde farklıdır.
Ortaklar için raporlamayı basitleştirmek için, ‘anda’ bir karar vermeleri ve yanlış departmana gönderilen sorunlardan kaynaklanan olası gecikmelerden kaçınmalarını önlemek için, ortakların rapor vermesi için tekil bir ortak arayüz sağladık. Siber güvenlik, sosyal mühendislik, sahtekarlık, kara para aklama, fiziksel güvenlik vb.
Ortaklardan analistlere raporlama döngüsü ve potansiyel güvenlik etkinlikleri için – kimlik avı denemeleri, ister destek personeli tarafından yazıcılarda bırakılan USB sürücüleri veya kötü niyetli bir şey için geri döner – hafifletme ve bir eğitim noktası olarak zorunludur. Başarılı olay raporlaması, başarımızı ölçtüğümüz bir metriktir.
Ayrıca, İnsan Risk Yönetimi (HRM) ekibimiz, siber güvenlik işbirliği için dahili haber makaleleri, intranet afişleri ve iç sohbet alanları aracılığıyla siber güvenlik ön ve merkezini ön ve merkezde tutmak için harika bir iş çıkarıyor. Sohbet alanı bizim için büyük bir kazanç. Ortakların sohbet alanında yeni dolandırıcılık veya siber güvenlik sorunları ile ilgili makaleler paylaştığını gördüğümüzde, ekibimiz tarafından zorlanmamış olarak, Güvenlik Kültürü Büyüyen Üyesini tam anlamıyla üye tarafından görebiliriz.
Bu etkileşimler, güvenlik kültürümüzde ‘siber güvenlik’ ötesine uzattığımız zımba. Bankadaki tüm ortaklar tarafından paylaşılan, kuruluşun korunmasının sadece güvenlik ve BT ekipleri değil, herkesin sorumluluğudur. HRM ekibimizin ortaklarımızın günlük davranışlarını etkileme ve onlara iş süreçlerini güvenli bir şekilde uygulamak veya iş kararları vermek için gereken bilgileri sağlama hedefi ve ortaklar bu bilgiyi potansiyel olaylar hakkında bilgi vermek için kullanıyor, işyerindeki kültür.
Bankacılıkta bir siber güvenlik kültürü oluşturmada liderliğin rolü ne kadar önemlidir? Liderlerin bu çabanın tonu nasıl belirleyebileceğine dair örnekler paylaşabilir misiniz?
Banka genelinde liderlik alımı esastır. Düzenleyicilerimizin temel gereksinimlerinden biri, siber güvenlik eğitimine ve etkinliğine yönelik liderlik bağlılığının öneminden bahsetmektedir. Liderliğimiz, gerekli eğitimi uygulamak için geniş bir destek ve eğitimde gecikenler için sonraki adımlar sağlamıştır.
Güvenlik eğitimi, herkes için genel farkındalıktan hedeflenen erişim tabanlı ve olayla tetiklenen iyileştirme eğitimine (örneğin, kalıcı Phish test tıklamaları) kadar uzanmaktadır. Her Ekim ayında, Siber Güvenlik Farkındalık Ayı sırasında, HRM ekibimizle birlikte bir promosyon videosu oluşturmak için farklı liderler seçilir ve ortakları dahil olmaya ve sorumluluklarını bilmeye motive eder.
Bankalar, bir suç kültürü geliştirmeden tüm departmanlardaki siber güvenlik uygulamaları için hesap verebilirliği nasıl dengeleyebilir?
Buradaki anahtar, ortağın iyi siber güvenlik hijyeni uygulamasını olumlu bir deneyim haline getirmektir. Rutin olarak potansiyel siber güvenlik etkinliklerini bir tur ve ekiple konuşmak için Fusion Center’a bildiren ortakları getiriyoruz. Bu, güvenlik ekibi ile banka ortaklarının geri kalanı arasında ortak bir sorumluluk duygusu geliştirir.
Buna ek olarak, kimlik avını olumlu bir mesajla bildiren ortaklara, hatta onlar hakkında makaleler ve yaptıkları etki hakkında teşekkür etmek için çalışıyoruz. Mantra’mız, ortakların aşırı rapor vermeleri ve şüpheli kimlik avı bağlantılarına karşı rapor etmeyi tercih edeceğimizdir.
Şu anda iki raporlama ödülü geliştirme sürecindeyiz. Müthiş Angler Ödülü, kimlik avı rutin olarak rapor eden ortaklar içindir. Bir olayın gerçek hafifletilmesine yol açan şüpheli bir şey bildirenlere tehdit ödülü veya spot ödülü başarılı bir şekilde verilecektir.
Siber güvenlik eksiklikleri bulunduğundan, farkında olması gereken bir şey, bazı insanlar olaylar veya olaylar hakkında rapor verdiğinizde suçu duygusal bir tepki olarak atamaya çalışabilir. Açıkça bilinmedikçe konuşmayı güdüden uzaklaştırmalısınız ve neler olduğu, nasıl iyileştirildiğine ve nasıl tekrar gerçekleşmesinin önlenebileceğine odaklanmalısınız.
Bankalar siber güvenlik girişimlerinin etkinliğini ölçmek için hangi metrikler veya göstergeler kullanabilir?
Siber güvenlik o kadar geniştir ki bence alana göre değişir. Örneğin, kimlik için belirlenen metrikler App Sec. Onlara mantıklı gelen metrikler geliştirmek için iş ortaklarınız ve liderliğinizle birlikte çalışın. Bulguları iyileştirmek için ürün veya destek ekiplerinizi ne teşvik edecek? C-suite için en önemli olan nedir?
Mesajı kitlenizle rezonansa sokan ve bir hikaye anlatan terimlerle çerçevelemek zor olabilir, ancak gerekli çekişi elde ettiğinizde değerli olabilir. O zaman, sadece bilgi güvenliği istemiyor; İş, risk ve potansiyel parasal maliyetleri görmeye başlar ve aynı zamanda sormaya başlar.
Bir diğer önemli ilke, riski iş için görünür kılmaktır, bu nedenle sadece riski değil, eylem eksikliğinden veya gecikmiş güvenlik uygulamalarının potansiyel etkisini anlarlar. Riskler orantısız olarak kabul edilirse, bilgi teknolojisi muadilleriniz FUD’yi ortadan kaldırabileceğinden, iş için riskleri aşırı abartarak Wolf’u ağlamamanızdan emin olun, bu nedenle her zaman verilerle yol açın.
Siber güvenliği dijital bankacılık hizmetleri ve fintech ortaklıkları gibi inovasyon çabalarına entegre etmek için ne gibi stratejiler önerirsiniz?
İlk adım, iyi eklemli bir risk iştahı ve siber GRC programına sahip olmaktır. Bu iki madde ve şirketin inovasyona olan bağlılığı, işin kabul etmeye istekli olduğu risk seviyesi hakkında bir fikir verebilir. Siber GRC programınız, inovasyon çabalarıyla risk seviyesini izlemede ve raporlamada etkilidir, böylece siz ve yönetim kurulunuz uygun risk azaltma kararları verebilirsiniz.
İkincisi, Owasp’ın tehdidi ve koruma matrisi (TASM) gibi bir şey geliştirmek, siz ve yönetim kurulu risk tolerans seviyelerini tanımlarken, pazarlık edilemeyen önlemlerin belirlenmesine yardımcı olur. CISA’nın Güvenli Design gibi çerçeveler, yazılım geliştirme güvenliği konusundaki tartışmalarda ileriye doğru büyük bir adım oldu.
Unutmayın, birçok fintech, bankacılık gibi düzenlenmiş bir sektöre veya ilgili tüm adımlara nasıl satılacağını bilmiyor, bu nedenle bir fintech ürününün erken benimseyenlerseniz biraz yardıma ihtiyaç var.