隨著監(jiān)管機(jī)構(gòu)、云服務(wù)提供商和銀行對(duì)云可以為銀行提供的控制和安全性變得更加滿意，云的加速已經(jīng)建立了幾年。

云為銀行業(yè)帶來了多項(xiàng)好處，包括成本節(jié)約、改進(jìn)的安全遙測(cè)以及通過使用其他工具提高數(shù)據(jù)安全性。

然而，埃森哲的一項(xiàng)調(diào)查發(fā)現(xiàn)，隨著金融行業(yè)公司推進(jìn)現(xiàn)代化進(jìn)程，難以找到人才成為潛在的安全風(fēng)險(xiǎn)。

一個(gè)成功的云遷移項(xiàng)目不僅需要云專家和云安全專家，還需要 DevOps 工程師、業(yè)務(wù)分析師和項(xiàng)目經(jīng)理的參與。

建立具有廣泛技能的團(tuán)隊(duì)

“通過擁有一支具備這些技能并了解云的團(tuán)隊(duì)，組織可以確保有效且高效地完成云遷移，并且不會(huì)引入額外的網(wǎng)絡(luò)和隱私風(fēng)險(xiǎn)，”數(shù)據(jù)安全首席布道師克勞德曼迪解釋道。對(duì)稱系統(tǒng)。

他指出，銀行和金融機(jī)構(gòu)屬于監(jiān)管最嚴(yán)格的行業(yè)之一，具體法規(guī)側(cè)重于數(shù)據(jù)安全和隱私。由于它們作為關(guān)鍵基礎(chǔ)設(shè)施的角色，對(duì)客戶的可用性和第三方的使用也受到嚴(yán)格監(jiān)管。

“他們也是網(wǎng)絡(luò)犯罪分子最有針對(duì)性的行業(yè)之一，”曼迪說。“不僅是多汁的關(guān)鍵基礎(chǔ)設(shè)施目標(biāo)，而且是一個(gè)妥協(xié)可以直接轉(zhuǎn)化為攻擊者經(jīng)濟(jì)利益的行業(yè)，而無需勒索或出售數(shù)據(jù)。”

這些加劇的網(wǎng)絡(luò)安全問題直接轉(zhuǎn)化為云，因?yàn)闄C(jī)構(gòu)專注于確保其數(shù)據(jù)安全，其云服務(wù)提供商安全、合規(guī)，并且其服務(wù)具有彈性以滿足這些監(jiān)管需求。

新環(huán)境需要足夠的專業(yè)知識(shí)

XM Cyber?? 客戶成功副總裁 Shay Siksik 表示，云對(duì)于銀行來說是新事物，而且 IT 人員通常沒有接受過構(gòu)建和配置云的培訓(xùn)或技能，這可能會(huì)造成安全漏洞。

“雖然云看起來像是一項(xiàng)非常簡單的技術(shù)，但事實(shí)并非如此，”他說。“不知道應(yīng)該針對(duì)它采取的云默認(rèn)配置和對(duì)策可能會(huì)使您的應(yīng)用程序保持開放狀態(tài)。”

Siksik 補(bǔ)充說，云中的變化也發(fā)生得相當(dāng)頻繁，而且對(duì)變化的控制程度低于銀行通常的水平。

“云對(duì)許多開發(fā)人員和 DevOps 開放，這可能會(huì)在沒有適當(dāng)?shù)淖兏鞒痰那闆r下推動(dòng)變更，因?yàn)槭虑楦觿?dòng)態(tài)，”他解釋道。“這種心態(tài)對(duì)銀行來說是新的，通常你會(huì)有嚴(yán)格而漫長的變革過程。”

KnowBe4 的安全意識(shí)倡導(dǎo)者 James McQuiggan 解釋說，云架構(gòu)師設(shè)計(jì)和監(jiān)督銀行的云基礎(chǔ)設(shè)施實(shí)施，需要云計(jì)算平臺(tái)方面的經(jīng)驗(yàn)以及網(wǎng)絡(luò)架構(gòu)、安全性和合規(guī)性方面的知識(shí)。

“安全專家將確保銀行的云環(huán)境安全并符合任何適用的監(jiān)管要求，”他補(bǔ)充道。“所需的技能是云安全、威脅檢測(cè)和響應(yīng)，以及對(duì)法規(guī)和合規(guī)性的深刻理解。”

同時(shí)，DevOps 工程師將管理云基礎(chǔ)設(shè)施并開發(fā)和管理銀行的應(yīng)用程序，并且必須了解云基礎(chǔ)設(shè)施自動(dòng)化和應(yīng)用程序部署。

“所有員工都可以從行業(yè)活動(dòng)和會(huì)議中獲得額外的技能，”McQuiggan 說。“銀行可以考慮額外的培訓(xùn)和認(rèn)證，以確保他們擁有合適的技能。”

董事會(huì)提供指導(dǎo)和監(jiān)督

在規(guī)劃和遷移到安全的云基礎(chǔ)設(shè)施時(shí)，金融機(jī)構(gòu)必須讓許多利益相關(guān)者參與進(jìn)來。

一些主要利益相關(guān)者包括董事會(huì)，他們將提供監(jiān)督、指導(dǎo)和戰(zhàn)略。他們將負(fù)責(zé)批準(zhǔn)戰(zhàn)略和預(yù)算，以確保過渡符合銀行的需求和愿景。

Mandy 說，其他利益相關(guān)者可能會(huì)有所不同，具體取決于組織的地理覆蓋范圍、遷移目標(biāo)和所用數(shù)據(jù)的敏感性。

“鑒于對(duì)云服務(wù)提供商的依賴，采購和總法律顧問也應(yīng)該是確保充分的合同保護(hù)和定價(jià)的關(guān)鍵利益相關(guān)者，”他說。

云的規(guī)模和復(fù)雜性是難以應(yīng)對(duì)的挑戰(zhàn)，因此可觀察性是確保其按預(yù)期運(yùn)行以及保護(hù)金融機(jī)構(gòu)核心數(shù)據(jù)免遭未經(jīng)授權(quán)訪問、破壞和/或更改的關(guān)鍵.

Mandy 指出解決規(guī)模和復(fù)雜性問題并不簡單，而是從可見性開始，如果要滿足合規(guī)性要求，這種可見性需要擴(kuò)展到最精確的數(shù)據(jù)級(jí)別。

“在金融機(jī)構(gòu)，考慮到潛在影響，這變得更加重要，一個(gè)單一的未經(jīng)授權(quán)的數(shù)據(jù)更改可能會(huì)產(chǎn)生影響，”他說。

緩和對(duì)云提供商的安全依賴

Contrast Security 網(wǎng)絡(luò)戰(zhàn)略高級(jí)副總裁 Tom Kellermann 警告說，金融機(jī)構(gòu)過度依賴云提供商的安全功能，并且多次忽視應(yīng)用程序和 API 安全性。

“許多人使用多云，因此他們的工作負(fù)載在云之間可能沒有相同級(jí)別的安全性，”他補(bǔ)充道。“分布式多云工作負(fù)載安全勢(shì)在必行。如果我們從持續(xù)的攻擊中學(xué)到了什么，那就是網(wǎng)絡(luò)安全是開展業(yè)務(wù)的一項(xiàng)功能，而不是一項(xiàng)費(fèi)用。”

金融機(jī)構(gòu)需要的關(guān)鍵 IT 專家包括應(yīng)用程序安全專家、云工作負(fù)載安全專家和威脅獵手。

“除了網(wǎng)絡(luò)安全專家，我們還將看到金融機(jī)構(gòu)開始將網(wǎng)絡(luò)安全專家引入其董事會(huì)，”Kellermann 說。

他指出，這符合美國證券交易委員會(huì)的一項(xiàng)擬議規(guī)則，該規(guī)則要求上市公司披露其董事會(huì)是否有具有網(wǎng)絡(luò)安全專業(yè)知識(shí)的成員。