在采訪中，Discover金融服務的CISO蘇尼爾·馬利克(Sunil Mallik)探討了金融機構面臨的網絡安全威脅。他還分享了如何在合規與敏捷性之間保持平衡、監管審計中的經驗教訓以及Discover在風險管理和人才培養方面的方法。

信用卡和數字銀行平臺面臨的最緊迫的安全威脅是什么，企業應如何調整防御措施來應對這些威脅?

信用卡公司和數字銀行平臺面臨的最緊迫的安全威脅包括復雜的社交攻擊、支付欺詐和賬戶接管(ATO)欺詐。為了應對這些威脅，金融服務企業應實施先進的威脅檢測系統，定期進行安全評估，并教育客戶防范潛在的詐騙行為。在Discover，我們使用諸如去標識化客戶數據等安全協議，這涉及移除或修改可識別信息以保護隱私并遵守行業規定。去標識化客戶數據有助于降低數據泄露和濫用的風險，同時仍然可以將數據用于業務目的。

此外，通過減少攻擊者的潛在入口點并實施一種默認不信任任何用戶或設備的架構來縮小企業的攻擊面，這一點也很重要。這種方法可以加強身份驗證并降低數據泄露的風險。最后，對員工和消費者進行持續的教育和宣傳計劃對于保護客戶數據、維護信任和強化人類防御層至關重要。在我看來，這些綜合努力可以幫助公司應對不斷出現的新威脅，并確保數字銀行平臺的安全。

金融機構傳統風險管理方法中存在哪些最大的缺陷，企業應如何解決這些問題?

傳統風險管理方法往往難以跟上迅速變化的監管環境、新興的網絡安全威脅和市場波動。一個顯著的缺陷是依賴靜態風險評估，這可能無法考慮到不斷變化的威脅環境。

此外，傳統方法可能缺乏與現代技術的融合，無法為企業提供全面的風險視圖。為了解決這些缺陷，金融機構必須投資于穩健的合規框架，這些框架能夠適應不斷變化的監管要求、威脅環境和業務流程的變化。此外，利用技術來簡化合規流程并提高效率至關重要。

主動網絡安全措施，如持續監控和威脅情報共享，對于防范潛在威脅至關重要。在Discover，我們提高了數據分類和處理標準，以確保敏感信息得到適當識別和保護。我們還推出了一項以安全為重點的實踐，將安全融入我們運營的各個方面，從開發到部署，確保采用全面的風險管理方法。

CISO如何在不犧牲安全運營敏捷性的前提下緊跟不斷變化的金融監管?

緊跟不斷變化的金融監管需要一種戰略方法，在合規性和運營敏捷性之間保持平衡。CISO可以通過從一開始就將合規性融入其網絡安全戰略來實現這一點。這涉及設計靈活的安全框架，使其能夠適應新的法規，而無需進行重大調整。利用AI和機器學習進行監管監控可以幫助實時識別和應對變化。

定期培訓和與監管機構合作也很重要。通過及時了解即將到來的監管變化并參與行業論壇，CISO可以預見并準備應對新要求。在Discover，我們優先考慮團隊的持續學習和技能提升，使我們能夠快速適應監管變化，同時保持強大的安全運營。例如，我參與了國家網絡安全聯盟、美國交易處理器聯盟和金融服務業信息共享與分析中心(FS-ISAC)，這有助于我與行業標準和最佳實踐保持聯系，確保我們保持敏捷和合規。

你從最近的監管審計或合規評估中學到了哪些經驗教訓，可能對其他金融CISO有價值?

最近的監管審計和合規評估強化了與監管機構合作和主動溝通的重要性。與監管機構和內部利益相關者進行清晰溝通至關重要，同時還需要進行全面的風險評估，這些評估不僅要包括技術分析，還要包括業務和運營風險。

在Discover，我們專注于將安全非功能性需求(NFR)融入我們的開發流程，以確保在每個階段都考慮安全性，并且我們在設計上就做到合規。增強我們的分析環境也是一個優先事項，使我們能夠更好地監控和應對潛在威脅。根據審計結果持續改進是保持強大安全態勢的關鍵。通過解決已確定的差距并實施建議的更改，我們可以增強整體安全和合規工作。

你如何在主動措施和反應能力之間平衡網絡安全投資?

在主動措施和反應能力之間平衡網絡安全投資對于全面的安全戰略至關重要。主動措施，如威脅搜尋、定期漏洞評估和安全培訓，有助于在攻擊發生之前進行防范。這些措施需要持續投資于工具、技術和人才，以應對不斷出現的新威脅。

同樣重要的是反應能力，如恢復力、事件響應計劃和災難恢復策略，以在事件發生時最大限度地減少損害。投資于強大的事件響應團隊，并確保他們擁有必要的資源和培訓至關重要。人才也是你戰略的核心。在Discover，我們強調培養和留住頂尖人才，這是主動和反應網絡安全工作的關鍵。我們的戰略包括提供持續學習和技能提升的機會，確保我們的團隊隨時準備應對任何挑戰。我們為員工提供內部建立的專業認證。通過在主動和反應投資之間保持平衡，我們可以有效保護客戶的數據并維護他們的信任。