金融業如何在對抗網絡攻擊方面保持領先

目前，金融行業遭受網絡攻擊的風險極高。根據Impero最近對400多家金融服務公司進行的《設備安全調查報告》顯示，三分之一的金融部門員工至少卷入了一起網絡安全事件。

網絡攻擊的威脅只會不斷飆升。因此，公司必須與員工合作制定明確的安全協議，并采取積極主動的網絡保護措施。后者尤為重要——公司不能僅僅依靠技術，還必須密切關注員工如何訪問公司系統和數據。

訪問敏感系統和數據 

過去兩年來，最大的風險因素之一就是遠程和混合工作安排的增加。那些不太精通網絡安全的員工可能認為當地咖啡店的網絡可以正常使用——但事實上，公共Wi-Fi網絡通常并不安全。不幸的是，通過此類網絡訪問公司數據的行為已非常普遍。不安全的個人設備也是如此，25%的受訪者承認使用它們訪問敏感的公司數據。 

面對這種情況，標準化問題變得格外重要。首先，公司并不總是有關于使用個人設備進行工作的政策。其次，從長遠來看，也許更緊迫的是，許多企業缺乏通用的“工作中的網絡安全”(cyber security at work)協議。例如，調查發現36%的金融服務員工沒有獲得任何類型的密碼管理器，還有31%的人并未訪問虛擬專用網絡 (VPN)——對于使用不安全網絡的用戶(尤其是金融行業的用戶)而言，這是一種非常推薦的安全工具。 

缺乏協議和網絡安全基礎設施正在引發該行業員工的焦慮情緒。近一半的受訪者(45%)表示，在家或遠程工作使他們更加擔心自己的設備到底有多安全。盡管該行業的許多企業正在逐漸返崗，但遠程工作文化已經產生了深遠的影響，并且很可能會發展成為一種新常態。因此，考慮到網絡安全漏洞的威脅將會只增不減，26%的金融服務員工擔心他們可能會在不久的將來卷入安全漏洞危機。 

改善情況 

金融服務人員正處于網絡安全戰斗的第一線。如果想要他們的擔憂得到妥善解決，就必須為他們提供足夠的培訓和資源。在遠程工作時代，必須對員工進行充分的培訓，以便辦公室外的員工在訪問任何敏感的公司系統和數據之前，可以通過心理檢查清單了解該做和不該做的事情。 

研究發現，10%的受訪者對識別常見的網絡安全威脅缺乏信心。盡管這看似是個很低的數字，但鑒于從事金融服務工作時所涉及的重大風險，這仍是一個令人擔憂的問題。要知道，一名員工的一個無意的錯誤就可能導致具有深遠影響的事件。 

調查還顯示，超過四分之一 (26%) 的員工認為他們公司的培訓制度仍需改進。這可以采取多種形式：例如現場研討會、在線會議和異步學習材料。培訓將改善員工在信心方面存在的缺失，使他們能夠在任何地方安全地工作，并且知道他們不會使公司陷入攻擊威脅。 

此外，公司必須為員工提供安全工作所需的工具和基礎設施。VPN是可以提高公司在線安全性的一種廉價保護方法。雖然80%的金融部門可以使用VPN軟件，但仍有20%的公司可以從所提供的更高安全性中受益。 采用該技術將使決策者對遠程工作的員工更有信心。但是，如果很少有人選擇使用VPN，它的效果就會很小。因此，決策者必須確保VPN等工具不僅可用，而且是強制性的。 

管理個人設備 

公司還應該考慮到許多員工正在使用多種設備工作。超過30%的受訪者聲稱在工作中使用了三到五臺設備，其中一些可能是個人設備。事實上，“自帶設備”(BYOD)近年來在員工中越來越受歡迎。 

公司僅僅擁有一個在工作中使用個人設備的安全協議是不夠的——它必須得到執行。這意味著需要明確說明什么是允許的，什么是不允許的，或者如果公司允許使用個人設備，必須確保所有相關的安全軟件都已預先安裝。 

關于哪些設備是允許的，哪些是不允許的，受訪者存在意見分歧。超過四分之一 (26%) 的受訪者表示公司不應允許將個人設備用于和工作相關的活動。公司必須權衡BYOD政策的潛在安全風險以及它可以為員工體驗帶來的好處。 

更高的安全性，更好的員工體驗 

鑒于圍繞網絡安全威脅的擔憂日盛，加強防御不僅關乎保護系統和數據，還關乎員工。提供一套明確的政策以及培養安全意識將大大提高員工識別和報告常見網絡威脅的信心。就留任而言，這不是一件小事——數據顯示，如果員工或其公司涉及嚴重的安全漏洞，金融行業近半數(45%) 的員工會考慮離職。 

所有這些措施都很重要，因為盡管金融服務行業在防范攻擊方面進展明顯，但90%的受訪者仍然認為可以做得更多、更好。如果公司能夠開發出正確的網絡安全知識、流程和技術組合，無疑將催生一個更安全和繁榮的金融行業。