银行机构在将网络安全视为纯粹的技术或合规问题时,往往会表现不佳。网络治理要求将网络安全视为嵌入在整个企业决策中的战略性业务风险。
银行在试图将网络安全工作与更广泛的治理和风险优先级相结合时,通常会在哪些方面遇到困难?
当网络安全主要被视为技术或合规问题时,银行可能会在将网络安全与更广泛的治理和风险优先级相结合方面遇到困难,这种脱节可能源于多个方面。银行领导层可能将网络安全视为技术或合规职能,或者CISO(本身通常具有高度技术背景)可能难以用业务术语来传达网络风险,因此,网络安全可能会被孤立管理,排除在关于业务举措、宏观层面风险决策和企业风险对齐的战略性对话之外。
当网络安全团队在组织中处于较低层级,向技术、工程或其他职能部门报告时,这些挑战往往会加剧,从而限制了其可见性和影响力,然而,通过建立强有力的治理流程和论坛,将网络领导层纳入企业风险讨论和战略规划工作中,可以缓解这一问题。
网络安全必须被视为业务风险,嵌入到高层战略讨论中,在关键举措中早期介入,并完全与企业风险管理框架对齐。
你如何确保网络安全战略被整合到企业范围的决策中,从产品开发到并购活动?
这是一个很好的问题,特别是在之前讨论的将网络安全与治理流程相结合的背景下。这始于定位:网络安全必须被视为既是业务风险也是业务推动者,而不仅仅是技术控制或合规职能。银行建立在信任之上,而网络安全风险管理是建立和维护客户信任的基础。
整合始于治理。当网络安全被正确地嵌入到企业范围的治理和风险管理中时,安全领导者自然会被纳入关键论坛,包括战略讨论、产品开发和并购决策。
一旦进入决策层,网络安全团队必须高效地参与。他们必须识别风险,用业务术语传达这些风险,并与业务部门合作开发解决方案,以在定义的风险承受范围内实现业务目标。目标是安全且成功地推动业务发展。
只专注于强调问题的网络团队可能会被边缘化。领导者必须确保其团队的结构和资源能够支持业务目标,拥有适当的角色,并鼓励创新的风险缓解方法。
团队的目标和沟通策略应激励基于风险 informed(风险知情)的决策和协作解决方案,而非仅限于基本的风险识别。
你推荐使用哪些KPI(关键绩效指标)或指标来衡量银行环境中网络治理的有效性?
我喜欢这个问题。太多时候,网络安全指标和KPI讨论都集中在技术控制监控上,而不是评估治理的有效性。
我相信最好的指标是旨在帮助回答与目标相关的具体问题的指标。正确的KPI将取决于组织在将网络治理整合到企业战略和风险管理中的成熟度旅程中的位置。我们是否有治理?治理是否有效?风险是否得到管理?
在基础层面,一个简单的指标是战略举措中网络安全从一开始就嵌入的比例。随着治理的成熟,组织可以开始跟踪风险被识别的频率和早期程度,以及缓解或解决的速率和及时性。组织应以激励早期风险识别和跨职能协作以解决风险的方式构建指标,从而确保项目成功。
其他有用的指标包括:
• 政策例外数量和时长
• 在定义的风险承受范围外运营的项目或业务单元
• 网络风险或治理流程被视为收入或项目交付障碍的情况
• 可能引入增加的数据安全、监管或合规风险的新举措
KPI和指标可以设计为既衡量适当的治理是否存在,又衡量流程在支持决策、促进增长、建立信任和管理风险方面的有效性。
银行应如何构建CISO、CIO、首席风险官(CRO)和首席合规官(CCO)之间的角色和职责,以避免重叠或盲点?
在我25年的从业经历中,我从未见过一个能完美划分CISO、CIO、CRO、CCO和其他领导者之间角色和职责的结构。对于每个独特的组织来说,这些决策中都有细微差别。如果没有一种“完美”的结构,你如何避免重叠和盲点?
在我看来,答案在于拥有一个结构良好的企业风险管理(ERM)程序,并促进这些领导者之间的强烈协作。风险管理的核心是主动回答两个关键问题:“可能会出什么问题?”和“我们应该怎么做?”
当银行启动一项新举措时,这组领导者——跨越网络、风险、合规、法律和技术部门——应共同评估潜在风险,回答“可能会出什么问题?”的问题。随着风险的识别,最重要的步骤是为每个风险分配明确的责任和所有权,确保列表上的每个项目都有一个可执行的责任人。
在许多情况下,风险所有权将自然地与现有角色对齐。例如,监管风险归CCO所有,技术弹性归CIO所有,或数据安全归CISO所有。但有些风险可能是共享的或落在灰色地带。在这种情况下,具体的分配远不如确保每个风险都有一个所有者重要。没有这种清晰性,风险可能会落空——或者更糟的是,每个人都假设其他人已经处理了。
最终,结构不需要完美,并且会因组织而异。通过强有力的治理、角色清晰性和协作及所有权文化,可以有效地管理风险。
随着欧洲DORA等法规的收紧以及美国OCC和FFIEC监管力度的加大,银行如何主动将网络治理与不断变化的监管要求相结合?
为了领先于欧洲DORA等不断变化的法规以及美国OCC和FFIEC监管力度的加大,银行应将监管变化视为任何主要业务举措一样对待。
首先,确保有一个监管管理功能,该功能积极跟踪和分析新兴要求。这些更新应被整合到企业风险管理(ERM)框架和治理流程中——而不是孤立处理。它们应与其他任何新业务举措一样对待。通过将监管变化通过既定流程进行处理,来自网络安全、技术、运营、法律、合规、欺诈等部门的正确利益相关者可以评估影响并制定实施计划。
考虑第三方和供应商风险也至关重要。许多这些监管要求也适用于银行的外部服务提供商。银行应确保供应商风险管理领导者积极参与这些讨论,并更新第三方监督框架以监督供应商是否满足这些要求。
最终,将网络治理与监管变化相结合需要跨职能协作、早期参与以及与战略风险流程的整合,而不仅仅是技术或合规检查清单。
企业网D1net(www.d1net.com):
国内头部to B IT门户,旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。
版权声明:本文为企业网D1Net编译,转载需在文章开头注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。