James M.Ashfield David Shroyer

银行的安全管理将如何建设?美洲银行开发出一套合理的安全发展路线图,将为你指明方向。

银行在安全管理方面所面临的挑战是极其严峻的。随着国内外用户人数的增加,以及各种应用程序数量的增多,银行开发新的安全工具的需求更是呈指数级增长,它们需要新一代的安全工具帮助其遵从规则、控制机密数据的访问并限制身份假冒。同时,银行还必须建立起安全有效的方法,为用户提供良好的安全性与使用和控制的便利性——而两者通常还是相互矛盾的。

安全管理挑战

安全管理经常变更也是对银行的一大挑战。用户往往想要更多的功能,而为了提供良好的安全措施有时又不得不牺牲一些新功能以控制风险。

最后,最大的安全管理挑战也是最难控制的。正如Deloitte Touche Tohmatsu的全球安全调查所说:“导致外部破坏的最根本原因还是人为因素。”换句话说,银行需要不断地教育和帮助客户,让他们形成保护在线安全性的意识。然而,客户教育是非常困难的,因为那些容易上当的客户,往往也是那些不会积极接受防骗教育的人。

真正有效的安全管理需要将关注人、流程、技术和风险的各种解决方案进行分层处理。当所有的层面结合在一起,它就能发挥出强大的作用,让银行能够有效地管理其安全挑战。

安全策略是成功关键

在过去的10年时间里,随着新的在线银行产品与通信方式的不断引入,欺诈行为也不断增多。

任何银行都无法承受其财务数据被破坏的后果。我们在不断地寻找有效的方法来加强我们的系统安全,从而加强客户对银行的信心。开发和维护一个顶级的认证和安全策略是成功的关键。

从本质上讲,安全策略可以说是继遵从法律、法规、契约和内部开发需求之后,向防御风险发展的路线图。其基础包括定义控件目标,识别并评估满足目标的方法,测试与实现,以及执行后续维护。其最终目标是要增加客户在网上交易的机密性,并减少因为欺诈和身份假冒引起的损失。

像其他许多大型银行一样,美洲银行开发了一套合理的安全发展路线图。包括以下几大要素:

使用分层的方法

为了有效地管理安全,银行需要开发一套易于使用、分层的系统,使其能够在整个企业中使用。这可以通过创建一套包含必选和可选通道的认证系统来实现。

1. 通道认证

通道认证包括对每个用户的身份识别和对系统相关权限的访问控制。很多银行都使用身份管理软件来自动化实现这样的管理任务,并让客户能够重置自己的密码以节约成本,因为很多服务台的电话都是和密码相关的。并且,密码可以实现联动,在一个地方修改的密码就可以在其他系统中立即使用。

有的认证应该是必选的,而其他则是可选。在美洲银行,我们使用的必选认证技术是SiteKey。当访问在线应用程序时,SiteKey执行一个两步的处理,既做客户端的验证,又会验证银行方的真实性。首先,银行能够识别客户使用的设备,如果客户的设备不可识别,就会提示客户进行额外的安全认证步骤(例如回答安全问题)。一旦银行确定了客户的身份,它就会发送一个客户图像,并在一段时间内向访问者提供客户数据。

使用类似SiteKey的工具,可以让客户更积极地参与身份假冒的识别。在很多情况下,如果客户不认识自己的SiteKey图像,他们就会与我们联系报告这一情况。然后我们就能够采取必要的措施来应对这种紧急的情况,并向其他客户发出警告。有效的客户参与帮助我们更好地进行身份验证,并可以很好地防止身份假冒。

美洲银行还为客户提供了第二层的验证——这通常是可选的,并与额外的行为有关。首先是SafePass,它在传送敏感数据时,会触发一个6位的一次性的密码发送到客户手机上,客户必须使用这个密码才能完成他们的动作。银行还使用电子邮件和/或手机短信为客户提供自动和账户安全的告警。当客户数据变更可能存在潜在威胁时,系统会发出自动告警。账户安全告警通知则是关于可疑的信用额度、支付和交易活动的。

2. 转变基于风险的认证

基于风险的认证意味着根据客户活动的风险分析调整认证。简而言之,我们根据设备使用、所做交易和客户行为的风险来调整认证的等级。一旦确定了风险等级,我们就会判断哪种认证方式最合适,以及应该如何部署。同时,我们还在选择的认证和客户在线体验之间力求达到很好的平衡。

跨通道整合

为了体现多层安全方法的好处,理论上的下一步动作就是要进行跨通道的扩展与整合。银行需要在多个等级表现其努力,以提供标准化的认证与授权体验。很强的安全性要求技术上可以方便地实现整合。当企业为了满足不同的业务需求而使用大量不同种类的硬件和软件时,这并不是一件简单的事。

在选择安全系统时,整合应该是要考虑的一个关键因素。在美洲银行,我们在设计系统时就考虑将它们在一个综合环境中进行整合,以便能够创建一个通用的运行图,在需要时既方便又快捷地访问到需要的信息。我们力求选择和部署正确的系统,不仅让它们能够完成任务,而且还要在一起无缝地协调工作。这样,包括节约成本、改善业务流程和可扩展性的、综合的企业体系架构等优点都逐渐在我们公司显现出来了。

教育和帮助客户

正如我们在前面所说的,也许银行保护客户的最好方法就是为他们提供安全教育。银行应该不断地提醒客户可能处于潜在的风险中,同时提供不断进步的认证手段、个人化和定制化的安全体验。给予更好防护的告警、电子邮件或者小贴士等手段,能够让这个过程变得更轻松。

加快响应速度

银行所面临的最大挑战之一,就是要尽量快地对日新月异的欺诈行为做出反映。一种方法是要关注市场上的各种威胁来源(也就是攻击的潜在路径),并提前对不法分子要采取的攻击行动做出反应。快速反应对于打击组织欺诈行为至关重要,这也是美洲银行希望与客户建立良好合作关系的重要原因之一。我们越早收到欺诈行为的告警,我们就能够越快地处理这些威胁。

保持良好的风险管理与一致性

有力的安全策略具有几道防线——从每个业务点的个人到负责整个企业的高管。所有人和系统都必须参与到风险管理过程,所有人都需要参与相关风险的评估。只有通过所有人的不懈努力才能达成良好的一致性。

在美洲银行,我们在产品生命周期中将信息安全视为潜在的风险,并密切关注它们的最新开发情况,以便能够在必要时调整安全措施。同时,我们还会监控正在推进的活动,以确保流程和策略都在正确地执行。

良好的政策是安全策略的基础。它指引用户、管理者和管理员做出正确的决定,并提醒他们各自在安全方面需要担负的责任。策略还决定了具体的机制,在这些机制的指引下,才能更好地担负责任,提供成功的指南,配置和认证安全系统。

(编译自www.banktech.com)