金融业如何在对抗网络攻击方面保持领先

目前，金融行业遭受网络攻击的风险极高。根据Impero最近对400多家金融服务公司进行的《设备安全调查报告》显示，三分之一的金融部门员工至少卷入了一起网络安全事件。

网络攻击的威胁只会不断飙升。因此，公司必须与员工合作制定明确的安全协议，并采取积极主动的网络保护措施。后者尤为重要——公司不能仅仅依靠技术，还必须密切关注员工如何访问公司系统和数据。

过去两年来，最大的风险因素之一就是远程和混合工作安排的增加。那些不太精通网络安全的员工可能认为当地咖啡店的网络可以正常使用——但事实上，公共Wi-Fi网络通常并不安全。不幸的是，通过此类网络访问公司数据的行为已非常普遍。不安全的个人设备也是如此，25%的受访者承认使用它们访问敏感的公司数据。

面对这种情况，标准化问题变得格外重要。首先，公司并不总是有关于使用个人设备进行工作的政策。其次，从长远来看，也许更紧迫的是，许多企业缺乏通用的“工作中的网络安全”(cyber security at work)协议。例如，调查发现36%的金融服务员工没有获得任何类型的密码管理器，还有31%的人并未访问虚拟专用网络 (VPN)——对于使用不安全网络的用户(尤其是金融行业的用户)而言，这是一种非常推荐的安全工具。

缺乏协议和网络安全基础设施正在引发该行业员工的焦虑情绪。近一半的受访者(45%)表示，在家或远程工作使他们更加担心自己的设备到底有多安全。尽管该行业的许多企业正在逐渐返岗，但远程工作文化已经产生了深远的影响，并且很可能会发展成为一种新常态。因此，考虑到网络安全漏洞的威胁将会只增不减，26%的金融服务员工担心他们可能会在不久的将来卷入安全漏洞危机。

金融服务人员正处于网络安全战斗的第一线。如果想要他们的担忧得到妥善解决，就必须为他们提供足够的培训和资源。在远程工作时代，必须对员工进行充分的培训，以便办公室外的员工在访问任何敏感的公司系统和数据之前，可以通过心理检查清单了解该做和不该做的事情。

研究发现，10%的受访者对识别常见的网络安全威胁缺乏信心。尽管这看似是个很低的数字，但鉴于从事金融服务工作时所涉及的重大风险，这仍是一个令人担忧的问题。要知道，一名员工的一个无意的错误就可能导致具有深远影响的事件。

调查还显示，超过四分之一 (26%) 的员工认为他们公司的培训制度仍需改进。这可以采取多种形式：例如现场研讨会、在线会议和异步学习材料。培训将改善员工在信心方面存在的缺失，使他们能够在任何地方安全地工作，并且知道他们不会使公司陷入攻击威胁。

此外，公司必须为员工提供安全工作所需的工具和基础设施。VPN是可以提高公司在线安全性的一种廉价保护方法。虽然80%的金融部门可以使用VPN软件，但仍有20%的公司可以从所提供的更高安全性中受益。采用该技术将使决策者对远程工作的员工更有信心。但是，如果很少有人选择使用VPN，它的效果就会很小。因此，决策者必须确保VPN等工具不仅可用，而且是强制性的。

公司还应该考虑到许多员工正在使用多种设备工作。超过30%的受访者声称在工作中使用了三到五台设备，其中一些可能是个人设备。事实上，“自带设备”(BYOD)近年来在员工中越来越受欢迎。

公司仅仅拥有一个在工作中使用个人设备的安全协议是不够的——它必须得到执行。这意味着需要明确说明什么是允许的，什么是不允许的，或者如果公司允许使用个人设备，必须确保所有相关的安全软件都已预先安装。

关于哪些设备是允许的，哪些是不允许的，受访者存在意见分歧。超过四分之一 (26%) 的受访者表示公司不应允许将个人设备用于和工作相关的活动。公司必须权衡BYOD政策的潜在安全风险以及它可以为员工体验带来的好处。

鉴于围绕网络安全威胁的担忧日盛，加强防御不仅关乎保护系统和数据，还关乎员工。提供一套明确的政策以及培养安全意识将大大提高员工识别和报告常见网络威胁的信心。就留任而言，这不是一件小事——数据显示，如果员工或其公司涉及严重的安全漏洞，金融行业近半数(45%) 的员工会考虑离职。

所有这些措施都很重要，因为尽管金融服务行业在防范攻击方面进展明显，但90%的受访者仍然认为可以做得更多、更好。如果公司能够开发出正确的网络安全知识、流程和技术组合，无疑将催生一个更安全和繁荣的金融行业。

来源：企业网D1Net