Net güvenlik röportajında, Finansal Hizmetler Discover Ciso Sunil Mallik, finansal kurumlar için siber güvenlik tehditlerini tartışıyor. Ayrıca çevikliğe uyum, düzenleyici denetimlerden alınan dersler ve Discover’ın risk yönetimi ve işgücü gelişimine yaklaşımına ilişkin bilgiler paylaşıyor.
Kredi kartı ve dijital bankacılık platformlarının karşılaştığı en acil güvenlik tehditleri nelerdir ve kuruluşlar savunmaları bunlara karşı koymak için nasıl uyarlamalıdır?
Kredi kartı şirketlerinin ve dijital bankacılık platformlarının karşılaştığı en acil güvenlik tehditleri arasında sofistike sosyal mühendislik saldırıları, ödeme sahtekarlığı ve hesap devralma (ATO) sahtekarlığı yer alıyor. Bu tehditlere karşı koymak için, finansal hizmetler kuruluşları gelişmiş tehdit algılama sistemleri uygulamalı, düzenli güvenlik değerlendirmeleri yapmalı ve müşterileri potansiyel dolandırıcılıklar hakkında eğitmelidir. Discover olarak, gizliliği korumak ve endüstri düzenlemelerine uymak için tanımlanabilir bilgilerin kaldırılmasını veya değiştirilmesini içeren müşteri verileri gibi güvenlik protokollerini kullanıyoruz. Tanımlamadan kaçınan müşteri verileri, verilerin iş amaçlı kilidini açarken veri ihlalleri ve kötüye kullanım riskini azaltmaya yardımcı olur.
Saldırganlar için potansiyel giriş noktalarını en aza indirerek ve varsayılan olarak hiçbir kullanıcı veya cihaz güvenini almayan bir mimariyi uygulayarak kuruluşun saldırı yüzeyini azaltmak da önemlidir. Bu yaklaşım kimlik doğrulamasını güçlendirir ve veri ihlali riskini azaltır. Son olarak, çalışanlar ve tüketiciler için sürekli eğitim ve farkındalık programları, müşteri verilerinin korunmasında, güvenin korunması ve insan savunma katmanını güçlendirmede hayati önem taşır. Benim görüşüme göre, bu birleşik çabalar şirketlerin ortaya çıkan tehditlerin önünde kalmasına ve dijital bankacılık platformlarının güvenliğini sağlamalarına yardımcı olabilir.
Finansal kurumlar için geleneksel risk yönetimi yaklaşımlarındaki en büyük boşluklar nelerdir ve kuruluşlar bunları nasıl ele almalıdır?
Geleneksel risk yönetimi yaklaşımları genellikle hızla gelişen düzenleyici manzara, ortaya çıkan siber güvenlik tehditleri ve piyasa oynaklığına ayak uydurmak için mücadele eder. Önemli bir boşluk, değişen bir tehdit ortamını açıklayamayabilecek statik risk değerlendirmelerine güvenmektir.
Ayrıca, geleneksel yaklaşımlar modern teknolojilerle entegrasyondan yoksun olabilir ve kuruluş genelinde bütünsel bir risk görüşü sağlayamaz. Bu boşlukları ele almak için finansal kurumlar, değişen düzenlemelere, tehdit ortamına ve iş süreçlerindeki değişime uyarlanabilen sağlam uyum çerçevelerine yatırım yapmalıdır. Ayrıca, uyum süreçlerini kolaylaştırmak ve verimliliği artırmak için teknolojiyi kullanmak esastır.
Sürekli izleme ve tehdit istihbarat paylaşımı gibi proaktif siber güvenlik önlemleri, potansiyel tehditlerin önünde kalmak için gereklidir. Discover olarak, hassas bilgilerin uygun şekilde tanımlanmasını ve korunmasını sağlamak için veri sınıflandırmamızı ve işleme standartlarımızı geliştirdik. Ayrıca, güvenlik odaklı bir uygulama başlattık, güvenliği kalkınmadan dağıtıma kadar operasyonlarımızın tüm yönlerine entegre eden ve risk yönetimine kapsamlı bir yaklaşım sağladık.
CISOS, güvenlik operasyonlarında çeviklikten ödün vermeden gelişen finansal düzenlemelerin önünde nasıl kalabilir?
Gelişen finansal düzenlemelerin önünde kalmak, operasyonel çevikliğe uyumu dengeleyen stratejik bir yaklaşım gerektirir. CISOS bunu en başından itibaren siber güvenlik stratejilerine uyum sağlayarak başarabilir. Bu, esnek olan ve önemli revizyonlara ihtiyaç duymadan yeni düzenlemelere uyum sağlayabilen güvenlik çerçevelerinin tasarlanmasını içerir. Düzenleyici izleme için yapay zeka ve makine öğreniminden yararlanmak, gerçek zamanlı değişikliklerin belirlenmesine ve bunlara yanıt vermeye yardımcı olabilir.
Düzenleyici organlarla düzenli eğitim ve işbirliği de esastır. Yaklaşan düzenleyici değişiklikler hakkında bilgi sahibi olarak ve endüstri forumlarına katılarak CISOS, yeni gereksinimleri tahmin edebilir ve hazırlayabilir. Discover olarak, ekibimiz için sürekli öğrenmeye ve yükselmeye öncelik veriyoruz, bu da sağlam güvenlik işlemlerini sürdürürken düzenleyici değişikliklere hızlı bir şekilde uyum sağlamamızı sağlıyoruz. Örneğin, Ulusal Siber Güvenlik İttifakı, Amerikan İşlem İşlemcileri Koalisyonu ve Finansal Hizmetler Bilgi Paylaşımı ve Analiz Merkezi (FS-ISAC) ile ilgileniyorum, bu da endüstri standartları ve en iyi uygulamalarla bağlantıda kalmamı, çevik ve uyumlu kalmamızı sağlıyor.
Diğer finansal cisoslar için değerli olabilecek son düzenleyici denetimlerden veya uyum değerlendirmelerinden hangi dersleri öğrendiniz?
Son düzenleyici denetimler ve uyum değerlendirmeleri, işbirliğinin ve düzenleyicilerle proaktif katılımın önemini güçlendirmiştir. Düzenleyici kurumlar ve iç paydaşlarla açık iletişim, iş ve operasyonel riskleri içerecek şekilde teknik analizin ötesine geçen kapsamlı risk değerlendirmeleri yapmanın yanı sıra esastır.
Discover olarak, güvenliğin her aşamada dikkate alınmasını sağlamak için güvenlik fonksiyonel olmayan gereksinimlerini (NFR) geliştirme süreçlerimize entegre etmeye odaklandık ve tasarıma uygunuz. Analitik ortamımızı geliştirmek de bir öncelik olmuştur, bu da potansiyel tehditleri daha iyi izlememize ve yanıtlamamıza olanak tanır. Denetim bulgularına dayanan sürekli iyileştirme, güçlü bir güvenlik duruşunun sürdürülmesinin anahtarıdır. Belirlenen boşlukları ele alarak ve önerilen değişiklikleri uygulayarak, genel güvenlik ve uyum çabalarımızı geliştirebiliriz.
Siber güvenlik yatırımlarını proaktif önlemler ve reaktif yetenekler arasındaki nasıl dengeliyorsunuz?
Siber güvenlik yatırımlarının proaktif önlemler ve reaktif yetenekler arasındaki dengelenmesi, kapsamlı bir güvenlik stratejisi için gereklidir. Tehdit avı, düzenli güvenlik açığı değerlendirmeleri ve güvenlik bilinci eğitimi gibi proaktif önlemler, saldırıların gerçekleşmeden önce önlenmesine yardımcı olur. Bu önlemler, ortaya çıkan tehditlerin önünde kalmak için araçlara, teknolojiye ve yeteneklere sürekli yatırım gerektirir.
Dayanıklılık, olay müdahale planları ve olağanüstü durum kurtarma stratejileri gibi reaktif yetenekler, olayların meydana geldiği gibi hasarı en aza indirmek için eşit derecede önemlidir. Sağlam olay müdahale ekiplerine yatırım yapmak ve gerekli kaynaklara ve eğitime sahip olmalarını sağlamak kritiktir. Yetenek de stratejinizin önü ve merkezidir. Discover’da, hem proaktif hem de reaktif siber güvenlik çabalarının anahtarı olan en iyi yetenek geliştirmeyi ve elde tutmayı vurguluyoruz. Stratejimiz, ekibimizin her zaman zorluklara hazır olmasını sağlamak için sürekli öğrenme ve yükselme fırsatları sunmayı içerir. Çalışan geliştirme için dahili olarak inşa edilmiş profesyonel bir sertifika sunuyoruz. Proaktif ve reaktif yatırımlar arasında bir dengeyi koruyarak, müşterilerimizin verilerini etkili bir şekilde koruyabilir ve güvenlerini koruyabiliriz.