你能描述一下银行业中的“网络安全文化”是什么意思吗?它与仅仅实施安全技术和协议有什么不同?

由于银行业还存在额外的监管和欺诈方面，这些超出了网络安全的范畴，需要整体提高报告水平，因此它与其他行业存在显著差异。

为了简化员工的报告流程，避免他们需要做“即时”决策，并避免因问题被发送到错误部门而可能造成的延误，我们为员工启用了一个统一的通用界面进行报告。根据他们选择的主题，如网络安全、欺诈、洗钱、实体安全等，报告机制会自动将提交的内容路由到正确的团队。

从员工到分析师，再回到员工，针对潜在安全事件的报告循环——无论是钓鱼尝试、支持人员留在打印机中的U盘，还是其他恶意行为——对于缓解风险和教育员工都至关重要。成功的事件报告是我们衡量成功与否的一项指标。

此外，我们的人力资源管理(HRM)团队通过内部新闻文章、内部网横幅和内部网络安全协作聊天空间，在员工中大力宣传网络安全。聊天空间对我们来说是一个巨大的成功。当我们看到员工在聊天空间中自发分享关于新诈骗或网络安全问题的文章时，我们可以切实看到安全文化在成员之间逐渐生根发芽。

这些互动是我们安全文化的基石，而且我们的安全文化超越了“网络安全”的范畴。银行所有员工都意识到保护组织是每个人的责任，而不仅仅是安全和IT团队的责任，这正在成为常态。我们HRM团队的目标是影响员工的日常行为，为他们提供安全实施业务流程或做出业务决策所需的知识，而员工则利用这些知识向我们报告潜在事件，这就是我们的文化在发挥作用。

在银行业建立网络安全文化中，领导力的作用有多重要?你能分享一些领导者如何为这一努力定下基调的例子吗?

银行内部的领导层支持至关重要。我们的监管机构提出的一项关键要求就强调了领导层对网络安全培训及其支持的重要性。我们的领导层为实施所需的培训以及为那些培训滞后的员工提供下一步支持提供了充足的支持。

安全培训涵盖从全员的一般意识到基于访问和事件触发的针对性补救培训(例如，对持续点击钓鱼测试的人员进行培训)。每年10月，在网络安全意识月期间，我们会选择不同的领导者与我们的HRM团队合作制作宣传视频，激励员工参与其中并了解自己的责任。

银行如何在各部门之间平衡网络安全实践的责任，同时避免培养一种相互指责的文化?

关键在于让员工将实践良好的网络安全习惯视为一种积极体验。我们经常会邀请报告潜在网络安全事件的员工参观我们的融合中心，并与团队进行交流。这有助于在安全团队和银行其他员工之间培养一种共同责任感。

此外，我们还会对报告钓鱼行为的员工进行积极表扬，甚至发表文章介绍他们及其产生的影响。我们的理念是，我们宁愿员工过度报告，也不愿他们少报告可疑的钓鱼链接。

我们目前正在开发两项报告奖励。Awesome Angler奖用于奖励经常报告钓鱼行为的员工。成功预防威胁奖(SPOT奖)将授予那些报告可疑情况并导致事件得到真正缓解的员工。

在发现网络安全缺陷时，需要注意的一点是，当你报告事件或事故时，有些人可能会出于情绪反应而试图归咎于他人。除非明确知道动机，否则你必须将对话的焦点从动机上转移开，而集中关注发生了什么、如何补救以及如何防止再次发生。

银行可以使用哪些指标或指示器来衡量其网络安全措施的有效性?

网络安全涉及的范围非常广泛，我认为它因领域而异。例如，为身份领域设定的指标可能不适用于应用安全领域。与你的业务合作伙伴和领导层合作，制定对他们有意义的指标。什么能激励你的产品或支持团队对发现的问题进行补救?对你的C级高管来说，最重要的是什么?

以能引起受众共鸣并讲述故事的方式来阐述信息可能具有挑战性，但当你获得必要的关注时，这是值得的。这样，就不仅仅是信息安全部门要求IT部门确保安全，业务部门也开始看到风险以及潜在的金钱成本，并开始提出要求。

另一个关键原则是让业务部门看到风险，这样他们不仅能理解风险，还能理解不采取行动或延迟安全实施可能带来的潜在影响。在向业务部门报告风险时，务必不要夸大其词，因为如果风险被认为不成比例，你的信息技术同行就会消除恐惧、不确定性和怀疑(FUD)，因此，始终要以数据为依据。

你对于将网络安全融入创新工作(如数字银行服务和金融科技合作)有什么策略建议?

第一步是制定明确的风险偏好和网络安全治理、风险和合规(GRC)计划。这两项内容以及公司对创新的承诺可以让你了解企业愿意接受的风险水平。你的网络安全GRC计划在监测和报告创新工作所带来的风险水平方面发挥着关键作用，这样你和你的董事会就可以做出适当的风险缓解决策。

其次，在内部开发类似OWASP的威胁和保障矩阵(TaSM)的东西，有助于在你和董事会定义风险容忍度水平时，识别出不可或缺的保障措施。美国网络安全和基础设施安全局(CISA)的“安全设计”等框架在软件开发安全性的讨论中是一个巨大的进步。

请记住，许多金融科技公司不知道如何向受监管的行业(如银行业)销售产品或了解所涉及的所有步骤，因此，如果你是金融科技产品的早期采用者，则需要提供一些帮助。

企业网D1net(www.d1net.com)：

国内主流的to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。