Risk Management

被锁定的弱点:网络风险中的人为因素 随着网络攻击持续地占据头条新闻,企业财资部负责人被证明是攻击的首要目标。鉴于网络罪犯的动机是谋财,财资部门很自然地成为了主要的目标。

被锁定的弱点:网络风险中的人为因素

被锁定的弱点:网络风险中的人为因素

Christof Nelischer韦莱韬悦(Willis Towers Watson)全球集团财资部负责人


随着网络攻击持续地占据头条新闻,企业财资部负责人被证明是攻击的首要目标。鉴于网络罪犯的动机是谋财,财资部门很自然地成为了主要的目标。

与司库有关最直观的网络风险是通过诸如网络钓鱼和社会工程学(social engineering)攻击等无数技术手段启动的欺诈性支付。攻击者正在变得越来越有经验,据调查显示90%以上的网络攻击是从钓鱼电子邮件开始的,这种恶意攻击手段随着日常电子邮件日益普及。去年,我自己就收到了一封钓鱼邮件,并决定在Willis Towers Watson(韦莱韬悦)财资部门内审查网络风险。事实证明,我的网络钓鱼电子邮件不是公司内部的唯一事件,因为涉及处理保险费和索赔的财资部门的同事也受到了类似的攻击。

有关网络风险的讨论通常着重于管理风险来试图转移和缓解这一缺陷。但是,这种方法没有适当考虑到网络问题的根源:人的行为。随着技术成为商业模式的驱动力,网络风险已经成为企业的系统性威胁。虽然技术在保护企业方面是至关重要的,但技术只是解决方案的一部分。组织需要一个全面综合的计划来重点突出人员,资本和技术保护以有效管理整个企业的网络风险并确保其灵活性。

作为Willis Towers Watson的财资负责人,我受益于我们组织内的专业技术。我们自己的网络保险索赔数据显示,三分之二的事故是员工行为直接导致的结果。例如,疏忽导致的设备丢失,怀有恶意和不满的内部人士试图从企业间谍活动中获利。在分析其他33%的事件时,很大一部分最终可以追溯到其他的人为因素,如系统错误和网络安全实践的不足,所有这些都涉及人为过失。人们普遍认为,虽然管理网络风险最初的重点曾是(或正是)技术,但管理的重点正开始转向雇员的行为和操作程序 我们在Willis Towers Watson的目标是推动一种创造网络智能的员工文化,同时也找出人才的不足,并采取措施弥补这些缺陷。处理网络风险不再仅仅是风险与IT部门的工作,也需要企业通过评估组织文化、员工敬业程度以及找出人才和教育差距从而了解网络风险中的人为因素以防范网络威胁。

起点是人:我们自己的研究表明,虽然雇主更有可能将数据隐私视为一种威胁,但雇员往往不那么敏感。 在Willis Towers Watson,主要人员接受了关于如何发现针对他们的攻击的培训,包括如何识别网络钓鱼邮件,以及了解网络欺诈者使用的策略。这类培训已成为我们雇员的一项常规工作。审查、重申和更新了关于用户访问、设备加密和密码管理的政策。一位同事后来对另一封网络钓鱼邮件评论道:“他们需要做得更好。”

我们也在重新审视系统,但我不认为IT解决方案可以在与世隔绝的环境里被采用和实施。研究再次表明员工可能倾向于依靠IT来处理此事。人与技术之间的共生关系是至关重要的,它可以用来确保网络风险战略与业务是相关联的,而不是简单地围绕组织的表面墙。在用户接入管理,特别是电子银行系统的人才技术交汇处,还有很多可改进之处。现在很少有银行交易不通过电子门户,这使得电子银行成为关注的焦点。我们是否确定所有已离开公司的员工不可再使用电子银行平台?我们是否足够重视那些我们打算逐步淘汰但仍然活跃的小型电子银行平台?我们是否有效地跟踪安全令牌以访问电子银行系统?

集中化安全管理

Willis Towers Watson决定将电子银行平台的安全管理集中起来,让IT专家负责。理想的情况下有一小组IT专家控制电子银行系统的访问,而不是仅在业务层面上管理电子银行安全。在我们选择的结构中,一小组专业人士正在熟悉他们所支持的各种电子银行平台。他们比那些通常处理电子银行业务安全的当地经理,能更有效地处理业务请求。一个相对较小、专注的团队最适合有效地治理,避免过度的官僚作风。我们的电子银行安全由中央管理使我们能够定期监测访问这包括定期审查活跃用户。我认为,集中管理电子银行用户安全有助于规范程序,更好地了解和概括谁可以访问我们的银行账户,并使我们能够更快地处理任何网络攻击未遂事件,同时能使我们受益于更快的信息。

用户访问集中管理自然转向合理化的电子银行平台,更广泛地来说,转向银行账户和银行本身的数量。EB系统安装越少,核心IT团队的工作效率就越高。每个电子银行平台都是网络攻击的潜在接入点,所以通过减少电子银行门户的数量,我们也减少了欺诈者的网关数量。

同样,如果有较少的外部交易对手,且较少的连接点被使用,我们处理银行交易的方式就也不那么脆弱。我们偏好使用标准化的SWIFT连接,而不是双边的主机到主机连接。每一个连接都是网络攻击的潜在入口,我们逐步淘汰的每个双边银行界面都是在关闭欺诈的另一个大门。

最后,我们评估了在保险中能被转移出去的网络风险因素。我再一次从Willis Towers Watson的专业知识中受益,并找到了适合我们组织的解决方案。没有两家公司是相同的,我认为就网络保险而言,关于对什么投保和保留什么的决定,需要对每一个案件进行深入的审查。

 

 

Christof Nelischer

韦莱韬悦
全球集团财资部负责人

Christof Nelischer是位于伦敦的Willis Towers Watson的全球集团财资部负责人,他是在2016年初Towers Watson和Wills Group合并后被任命的。在他的职能中,Christof负责领导着司库和保险职能。他于2010加入Willis集团。此前曾担任负责企业司库和风险管理的Fiberweb 公司财资部负责人,重新设计了司库部职能的Novar 公司集团财资部经理,以及在Kellogg设立的欧洲财资部中心的欧洲司库成员。

Christof拥有由曼彻斯特商学院授予的欧洲金融和会计双学位,以及MBA学位,他持有企业司库协会的资格。

 

Save PDFs of your favorite articles, authors and companies. Bookmark this article, or add to a list of your favorites within mytmi.

Discover the benefits of myTMI

 Download this article for free