业内专家指出,当金融机构进行供应商管理时,他们经常会忽略那些非IT服务供应商的服务提供者——清洁人员和其他服务的提供者,这些人往往会对敏感信息造成真正的威胁。 银行监管机构要求金融机构要有供应商管理程序,以确保客户信息得到保护。然而,Ruth Razook(Ruth Razook是RLR管理咨询公司的首席执行官,该公司为社区银行和独立银行提供IT服务、策略和其他服务等)指出,许多银行只注意IT供应商,这样做就漏掉了比如看门人和植物修剪维护人员等这些服务的提供者,他们可以在下班后以及在没有监视的情况下接触到办公室的器材,这让他们成为能够偷窃放在桌子上或者丢弃在垃圾筒里的机密信息的高危人群。 ……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
业内专家指出,当金融机构进行供应商管理时,他们经常会忽略那些非IT服务供应商的服务提供者——清洁人员和其他服务的提供者,这些人往往会对敏感信息造成真正的威胁。
银行监管机构要求金融机构要有供应商管理程序,以确保客户信息得到保护。然而,Ruth Razook(Ruth Razook是RLR管理咨询公司的首席执行官,该公司为社区银行和独立银行提供IT服务、策略和其他服务等)指出,许多银行只注意IT供应商,这样做就漏掉了比如看门人和植物修剪维护人员等这些服务的提供者,他们可以在下班后以及在没有监视的情况下接触到办公室的器材,这让他们成为能够偷窃放在桌子上或者丢弃在垃圾筒里的机密信息的高危人群。
Razook说,监管机构正在在企业范围内寻求可以考察所有类型服务提供人员的供应商管理程序。监管机构是在最近一个会议上提出这个观点的,她跟联邦存款保险公司(FDIC)和货币监理署(OCC)的代表们主持了这个会议。她说:“大多数银行还是把注意力集中在他们的IT供应商身上,但现在必须改变这种情况”。
金融机构的规则遵从顾问David Schneier举了去年他在深夜做风险评估工作时遇到的一个例子,这个例子说明非IT供应商的服务提供者也会带来风险。当时,他坐在办公室,突然听见外面有声音,然后开门查看。他吃惊的看到一个小孩跟他的父亲正悠闲的走向卫生间。
第二天早上,他向信用合作社(credit union)的首席执行官询问有关情况,然后这个官员又去问设备经理。原来,昨天晚上他看到的那个人是清洁公司一个女清洁工的丈夫,他和儿子经常把她的晚饭送到办公室。“想象一下这个情景:一个完全不认识的人、一个清洁工的丈夫逗留在安全区域,而信用合作社却没有一个人知道此事”Schneier感叹道。
通过进一步询问,他得知信用合作社没有任何的保障制度来确保清洁工受到适当的监管,也没有任何对这种状况进行管理的合同条款。
Schneier说:“现在问问你自己,如果你把钱存在这样的银行,并且知道你的帐号或者社保帐号可能会以表格或者打印报告的形式放在大家都能看到和许多不认识的人有机会接触到的地方,你会放心吗?”
Susan Orr(一名金融服务顾问,她作为银行检查员已经有14年了)指出,金融机构的安全管理忽略了非IT供货商,而且没有实施合适的安全控制措施,如果服务提供者未经授权接触到了敏感信息,那么金融机构将面临违反金融服务现代化法案(GLBA)的风险,还让客户面临身份被盗的风险。Susan补充道,考虑使用第三方付款帐户和第三方人力资源服务来保护公司和员工的信息,这一做法是比较安全的。
Paul Rohmeyer(他是新泽西州Stevens技术研究院的顾问和助理教授)指出,虽然物理盗窃(physical theft)是清洁服务和保安人员这种服务提供者带来的主要风险,但是罪犯可能会在此安置一个有技术的人扮成清洁工闯入公司,偷窃电脑数据。
他补充说,小型和廉价的存储设备的大量应用也给罪犯提供了窃取数据的机会,因为这些存储设备比较容易落入他们的手中。
Paul Rohmeyer指出,金融机构需要教会用户在下班时间关机和锁定系统,而且不要把密码写在纸上等等,但是他们也还应该采取一些技术措施,比如进行严格控制,防止有人在电脑上使用移动闪存盘。
Razook说,付款账户上的供应商名单是银行在企业范围内开始进行供应商管理的好地方。她指出:“对那些服务提供者进行风险评估,然后决定谁应该纳入到供应商管理名单中,谁又需要排除在外,但是需要注意的是你一定要审查这个过程。”
Razook表示,如果说有一个例外的话,那可能就是食品服务了,因为他们不会在没有监视的情况下进入公司大楼。对于那些更高风险的服务提供者来说,公司应该要验证他们是否可靠,或者确保双方之间有一个细致到位的保密协议。
她说:“银行应该审查这样一个过程,监管机构也期望这样。”
Orr指出,书面的供应商管理程序是一个监管要求,而且监管机构也会审查银行的这些程序。她说:“就算是今年监管人员的注意力被某些信用状况吸引住了,但金融机构也不应该在思想上自满或者松懈,不要以为今年没人查看这些程序或者对其进行评论,明年也会这样。”
翻译
相关推荐
-
虚拟键盘数据泄露致数百万个人记录被曝光
因移动开发商Ai.type错误配置MongoDB数据库导致键盘数据泄露,在本次泄露事故中,数以百万计的个人记录被曝光。
-
McAfee公司调查证实规则遵从是IT安全的关键驱动力
根据安全巨人McAfee公司近日发布的关于新风险及规则遵从的调查发现,规则的要求持续地驱动着IT技术上新的投资。
-
“维基解密”凸显企业数据保护的重要性
维基解密网最近因为泄漏某些秘密公司和政府信息,曝光了美国的外交内幕而登上新闻头条。这一新闻再次表明企业和各类组织保护敏感信息和专有信息的重要性。
-
黑客大赛验证大多数企业数据保护不堪一击
上周五的Defcon黑客大会组织了一场比赛,各个黑客利用社会工程学进行犯罪。其方法是通过美国最大的10个石油或者高新技术公司的员工,获取公司的敏感信息……