客户的信任和信赖对于一个机构的业务计划和长期的市场生存是至关重要的,企业有责任保护客户保密的信息。通过开发 一个战略性的风险路线图,企业能够更好地控制和计划应对未来可能发生的身份盗窃和数据盗窃的风险。Unisys公司全球金融服务业务部门企业安全解决方案 管理事业部经理Sidney L. Pearl介绍了企业保护敏感的消费者数据和身份的一些步骤。
在当前的经济形势下,消费者不仅担心企业能否保证自己安全运营的能力,而且还担心企业系统内部敏感信息的安全,因 为用户也会非常担心个人信息被滥用。这也是很多企业机构必须面对的残酷现实。数据和身份盗窃已经被认为是一种不可接受的做生意的风险。如果企业机构不采取 正确的措施解决人员、流程和技术容易遭到攻击的风险,企业机构就将失去业务取得成功的最重要的因素,即消费者的信任。
目前,企业官员在确定如何控制他们看不到的风险方面面临严重的挑战,数据安全正受到许多方面的威胁。首先,故意盗 窃的威胁正在增长。实施这种盗窃行为的人主要是能够轻松接触敏感客户信息的心怀不满的员工或者高级的黑客团伙。黑客团伙开发高级的钓鱼攻击工具引诱消费者 泄露身份数据细节。第二,由于企业机构内部或者共享重要数据的业务合作伙伴的IT和数据安全系统,其控制措施薄弱,因而可能会遭受意外的安全攻击。
当然,没有任何一个解决方案能够应付这个日益增长的威胁。但是,通过开发风险评估分析和路线图建立一个战略计划将 有助于识别威胁和缓解威胁机构成功的风险。为了控制对目前环境中的机构的风险,企业必须采用一些切实可行的方法,在自己的业务中考虑到人员、流程和技术风 险的因素。
下面介绍的一个战略风险框架能够为企业开发一个全面的、多层次的保护数据和消费者身份的方法提供指南。要实施的关 键策略是:
策略1:获得企业主管的赞助和支持
采用一个企业主管能够理解和支持的数据损失预防计划。通过实施多方位方法检测可疑威胁的方式能够强化业务推动和反 诈骗计划,也能够控制敏感的数据,减少安全突破的损失,并能进一步了解关键数据在整个机构的使用状况。这个战略应该包括高级管理层和法律总顾问,并且应该 成为机构根深蒂固的安全文化的一部分。领导者应该通过整个机构的一致的程序和流程推广这个战略。
策略2:评估风险
实施定期的风险评估以找出安全漏洞和衡量这个风险。这个风险评估衡量机构内部数据安全突破的可能性,同时业务和文 件方面令人担心的地方,以便帮助预测这个计划的成功。
策略3:根据战略目标控制找到的风险
根据一个全面的方法制定一个计划,从业务、技术和人员的角度把数据管理和安全看作是一个机构正在担心的问题。处理 这些风险需要以公开的沟通方式和整个机构对于业务的看法为基础的决策能力。这种方法应该使用一种用户友好的和灵活的平台,能够满足管理部门要求并且能够对 数据突破迅速做出协调一致的反应。
策略4:自动进行预防性的风险分析
只要有可能,就要采用自动的预防性的行为分析和基于方式的分析,以便更迅速和更准确地找出和控制诈骗,同时更有效 地管理调查和归档流程。
策略5:了解你的业务合作伙伴
随着共享你的机构外部的数据的需求的增长并且超出了IT部门的控制范围,要保证你的业务合作伙伴像你一样认真对待 数据安全并且要求他们采取同样水平的数据保护措施,企业官员就必须保证战略合作伙伴和厂商团队同样重视解决诈骗和信息泄露问题以及遵守法规的问题。
拥有有效的业务、流程和技术风险缓解战略的机构,能够更好地保护客户的数据避免遭到钓鱼工具、诈骗和身份盗窃。因 此,他们能够更好地保持其客户的信赖,并且被认为是能够与其做生意的有信誉的机构。