金融机构需要关注弹性和共享的信息网络安全,应该认真对待在美国的国防,专家和监管机构说证券业和金融市场协会的年度会议在华盛顿特区周二,。
“我们需要国防优先网络安全”,正如核防御,因为没有公司预算主权国家发动网络攻击,董事长兼首席执行官罗纳德•Kruszewski说Stifel金融。
摩根士丹利(Morgan Stanley)首席运营官吉姆·罗森塔尔建议预备役军官的培训队,或者参加后备役军官训练军团,可以培养学生对职业网络安全有助于弥补美国的人才缺口。
财政部长杰克·卢和证券交易委员会(sec)主席玛丽·乔·怀特重申公司需要分享breach-related彼此之间和与政府的信息。这样做将帮助其他公司检测广泛的模式和抵御各种违反其他组织发生,卢说。
公司面临着“共享信息的使用最佳实践的挑战,所以我们可以有我们的安全措施是在最高级别,并保持领先。…每天,发展和变化的威胁,”他说。
在未来一年,组织可能会看到进一步出现ransomware和破坏性的恶意软件,要求他们守卫“周长”的超越考虑cyberhygiene和数据恢复措施,马修Chung说,董事总经理兼首席信息官在摩根士丹利(Morgan Stanley)技术和信息风险。
在许多情况下,攻击者利用“尴尬微不足道的“安全漏洞带来的缺点基本卫生,旋律Hildebrandt说Palantir科技网络安全主管。
同时,数据泄露的目标从帐户信息转向姓名、地址和其他个人身份信息,或者PII——“更致命的威胁,”她说。
肖恩·亨利,总裁兼首席安全官CrowdStrike服务,说一个更大的担忧比从网络攻击声誉风险是操作风险的情况下消除数据和公司无法处理工资等基本功能。
“我认为这是至关重要的组织理解政府不在位置”停止这样的攻击,他说。
加强媒体关注的网络攻击,然而,意味着监管机构更感兴趣的问题,和公司必须确保如果他们与政府建立合作伙伴关系,有效的,主任Gregory Rattray说摩根大通全球网络合作伙伴和政府策略。
事件还讨论了专家资源如联邦金融机构检查委员会金博宝188网络安全评估工具;被金融服务信息共享和分析中心,或FS-ISAC;和cyberinsurance的积极方面和局限性进行了探讨。
钟说FFIEC背后的战略工具值得支持,但其实现的缺陷,部分原因是这个工具确实太少占剩余风险,需要反应太二进制。
关于cyberinsurance,专家说,需要更多的清晰如何承销风险和不同类型的事件和行为是如何定义的。
钟说自己是cyberinsurance的“粉丝”,但说其局限性包括政策只覆盖的钱参与管理网络攻击本身,而不是法律费用等额外费用和取证。
同时,承销往往涉及清单”你怎么有效地建造城堡的墙,”但组织的反应能力,而重要,仍然很难确定,寻求资助。
