• 快捷搜索
  • 全站搜索

管住“人员”的安全风险”

2012-10-25 13:19:48作者:中国光大银行信息科技部 杨增宇编辑:
“人员资产”是金融企业最重要的资产,但也是最具变数的资产,这个性质使“人员”具有潜在的信息安全风险。

随着我国经济的发展,尤其是自主研发和创新水平不断提高,国内各行各业都在关注对信息安全的管理能力,有些企业甚至视信息安全为企业的生命线。我国金融行业也是如此。国内金融行业,尤其是银行业是我国信息化动手较早,也是最早实践信息安全管理的行业。随着监管机构对信息安全的监管要求逐渐提高和企业内在管理要求水平的提升,促进各金融企业都建立了专门的信息安全管理队伍,开展信息安全体系建设和实施工作。

         依据国际上通行的信息安全标准如lSO27001等,并结合国内监管当局要求和银行业的生存环境特点,各银行在实施信息安全管理工作时,都采用了各有特点的方法论,但核心内容都涉及信息安全的三大要素:流程、人员和技术。其中“人员”最为重要且风险较高,“流程”是信息安全体系的核心,“技术”是支持流程的平台和工具,流程和技术要发挥作用都必须依靠“人员”来执行。除信息安全治理和运作涉及人员外,“人员”信息安全管理要求比较多的涉及对人员雇佣前、雇佣中和雇佣终止或变更每个阶段的管理要求。

         由于“人员”较之“流程”和“技术”具有主观能动性,所以“人员”的风险较高,是各银行重点加强管理的信息安全领域之一。

“人员”是最大的风险?
         随着对信息安全认识的加深,银行业逐渐认识到:“人员”的信息安全风险其实是最大的风险。

         统计结果表明,所有的信息安全事故中,只有20%~30%是由于系统漏洞或其他外部原因造成的,70%~80%是由于内部员工的疏忽或有意泄密造成的,商业银行也是如此。员工是银行最大的资产,但同时也是最脆弱、最具变数的一环,特别是经济下滑时,担心职位不保及个人业绩压力增加,可能导致员工做出异常行为。全球金融危机在给金融服务行业带来冲击的同时,也增加了信息安全风险。

         近些年来,因为内部“人员”因素引起银行较大损失的事件广泛引起热议。例如法兴银行交易员科维尔非法交易导致49亿欧元损失,由此牵出银行内部雇员盗用身份、越权操作等信息安全问题。再如雷曼兄弟破产十分钟前,仍旧发给雷曼10亿欧元,被业内称为史上最愚蠢银行的德国国家银行。再如国内近期网上沸沸扬扬的银行内部员工倒卖客户信息案件中,个别银行员工利用征信查询系统查取客户信息以10元价格倒卖给中介,导致客户大量资金损失,上述事件都直指银行内部员工存在巨大的信息安全风险。

         “在安全防线上,内部人仍然是最薄弱的环节。”这一点在银行业体现最为明显,银行中远远低于高管级别的人员可能在影响股东利益方面,比高管处于更重要的地位。如系统管理员,由于特殊的职位被赋予了“无限大”的访问权利,从而可能利用系统漏洞做出可怕的违规之举。除了法兴银行的科维尔,大名鼎鼎的交易员还有因私设账户掩盖14亿美元交易损失而导致巴林银行倒闭的尼克里森。

         2011年9月13日,美国银行宣布近几年将裁员10%,近3万个银行职位被取消。全美最大的银行如此高调的宣布裁员计划,已经有业内专家质疑其效果,裁员这把双刀剑,在促进员工竞争,提高效率的同时,也使潜在离职人员心怀不满,可能做出有损银行利益的安全事件,今后一段时间将会使美国银行信息安全保障体系备受考验。

         无独有偶,2011年9月1 5日瑞士银行爆出驻伦敦交易员进行的未经授权交易导致该行蒙受20亿美元损失,而上个月瑞银刚刚宣布裁员3500人以削减成本。

加大投入以降低“人员”信息安全风险
         “人员资产”是最重要的资产,同时人员资产也最脆弱,我们必须更多地关注人员资产潜在的信息安全风险。理想方案是使每位员工具有合适的权限在合适的时间做合适的事情,并且可以做到事前和事中监测、事后审计,确保人员做违规操作可以及时传递到相关的安全管理人员中,而不是仅仅传递到一般的管理员手里。

         现在商业银行的董事会及高管已意识到解决安全问题的重要性和紧迫性,从高层开始支持信息安全治理,投入更多的资金和人员实施信息安全解决方案。在人员方面银行高级管理层在关注“员工操作”的数量和效率时,也在逐渐关注员工各种操作行为是否存在信息安全问题。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章

IT界IT观察
如何保护好企业敏感信息

企业出现数据丢失问题已经成为常态,43%的企业丢失了客户资料或知识产权类的机密信息。企业该如何做好数据泄漏防护工作?

选型招投标
中国人民银行征信中心信息安全技术加固Oracle DB fi

新闻一行三会
证监会加强证券期货业信息安全保障

《办法》系统地规范了证券期货业信息安全管理等监管制度,确立了行业信息安全监管的体制,明确了市场主体的信息安全保障责任,提

科技金融安全
银行业信息安全管理体系建设浅析

信息安全风险管理是实施ISMS过程中重要的一部分,整个体系的设计和实施都把风险评估的结果作为依据之一。

黄页法令
【第82号令】《证券期货业信息安全保障管理办法》