원래 규제 아시아에게시.
사이버 공격이 증가함에 따라 "모든 수직의 모든 유형의 조직에 영향을 미치고" 비용이 많이 들고 당황스럽고 수익에 영향을 미치는 데이터 유출의 위협은 매우 현실적입니다. 문제는 점점 작아지고 있지 않고 종양처럼 성장하고 있습니다.
나는 종종 특정 기교와 숙달과 "사이버 보안 및 AppSec 모범 사례의 와일드 웨스트'를 탐색, 이 문제에 대처하는 조직의 예를 제공하도록 요청받고 있습니다. 나는 다른 사람보다 더 자주 한 답변으로 돌아오고 있습니다 : 그것은 대부분의 것보다 더 잘하고있는 금융 산업입니다.
규제: 금융 업계의 사이버 보안 리더십의 원동력
금융 부문이 AppSec 공간에서 잘 플레이하는 이유 중 하나는 (적어도 부분적으로) 성공적인 사이버 보안 공격이나 데이터 도난으로 인해 발생할 수있는 치명적인 "영향은 말할 것도없고 보편적 인 "글로벌, 지역 및 국가 규제 당국의 우려에 의해 구동된다는 것입니다.
BCBS (은행 감독에 바젤위원회)는 여러 관할권에 걸쳐 관찰 은행, 규제 및 감독 사이버 탄력성 관행의 범위를 자세히 보고서를 12 월에 발표했다. 주요 조사 결과 중에는 사이버 보안 기술 부족 과제였으며, 이는 특정 사이버 인증을 구현하여 소수의 관할권만이 직면한 요인이었습니다.
보고서는 "일부 관할권에는 IT 인력 및 정보 보안 기능의 책임을 다루는 IT 관련 표준을 가지고 있으며, 특히 사이버 보안 인력 교육 및 역량에 주의를 기울이고 있다"고 밝혔다. 그러나 대부분의 관할권은 은행의 사이버 인력 기술과 자원을 모니터링하기 위해 감독 관행을 구현하는 "초기 단계"에 있습니다.
대부분의 경우 규제 제도는 규제 기관이 위험을 관리해야 하지만 이러한 위험을 성공적으로 완화하기위한 명확한 경로는 거의 없습니다. 사이버 보안 인력 기술과 리소스를 해결하기 위한 특정 요구 사항(또는 벤치마크)을 설정하지 않습니다. 대부분의 규제 기관은 현장 검사를 통해 기관의 사이버 보안 인력을 평가합니다. assessment 설문지는 일반적인 관행이며 교육 프로세스는 특히 면밀히 조사되지만 일부 관할권에서만 IT 직원의 역할과 책임을 구체적으로 다루고 있습니다. 간단히 말해서, 오류의 여백은 크고 올바른 교육 및 후속 교육에 중점을 둡트합니다. assessment 기술의 작은.
일본과 한국에서 는 공공 기관이 적절한 사이버 보안 인력 관리에 대한 지침을 설정했습니다. 그러나 대부분의 다른 관할권에서는 사이버 인력 관리에 대한 규제 요구 사항이 감독 기대치로 제한되며, 종종 assessment 규제 기관에서 사이버 보안 기술 및 직원 교육의 감독자에 의해.
홍콩, 싱가포르, 영국만이 사이버 인력 기술과 역량을 인증하기 위한 전용 프레임워크를 발표했습니다. "규정 준수"와 "인증"과 같은 단어는 훌륭한 소프트웨어 기능을 구축하는 임무를 맡은 평균 크리에이티브의 척추아래로 차가운 떨림을 보내는 경향이 있지만 (그들과 함께 보안은 종종 다른 사람의 문제로 간주됩니다, 즉 보안 팀), 많은 규제 기관이 보유하고있는 민감한 데이터의 엄청난 양은 단순히 기술이 제대로 확인되는 것보다 "가정"하는 사람들의 손에 맡기는 것이 너무 중요합니다.
다행히도 많은 은행 및 금융 기관은 반드시 명백한 규제 경로에 의존하지 않고 이를 인식합니다. 이 규정은 확실히 최종 결과 기대 (즉, 보안 소프트웨어)에 대한 개요를 제공하지만, 이를 위해서는 개발자를 교육하고 기존 AppSec 전문가와의 관계를 육성하고 책임과 소유권을 키우는 긍정적 인 보안 문화를 구축하여 사이버 보안 기술 부족을 우회해야 한다는 것을 확인했습니다.
금융 업계는 왜 사이버 보안이 'X-factor'를 가지고 있습니까?
은행, 금융 서비스 및 보험 업계의 기업에는 사이버 보안 환경에서 선도적인 위치를 차지할 수 있는 힘의 기둥으로 작용하는 몇 가지 요소가 있습니다.
당연히, 세계의 재정의 게이트 키퍼로 (매우 민감한 데이터 기록의 수백만은 말할 것도 없고), 그들은 일반적으로 매우 규정 준수 중심및 규제 조직 "업데이트 된 지침, 규정 및 요구 사항은 의미있는 방법으로 계획된다. 그 결과, 그들은 사이버 위험을 완화해야 하는 진화하는 요구와 함께 오리처럼 물을 가져갔고, 가장 엄격한 사이버 보안 모범 사례 정책뿐만 아니라 잠재적 인 공격에 대한 노출을 줄이기위한 종단 간 프로세스를 자랑했습니다.
그렇다면 금융기관은 다른 기관과 는 다르게 무엇을 하고 있을까요? 내 경험에 따르면, 그들은 다른 사람들보다 보안을 더 잘 인식할 수 있는 토대를 마련하여 AppSec 전문가및 침투 테스터뿐만 아니라 (일반적으로 매우 크고 전 세계적으로 흩어져 있는) 개발 팀을 위한 전체적인 교육 프로그램에 자원을 지원하고 헌신할 필요성을 파악했습니다.
대부분의 조직에서 상대적으로 새로운 사이버 보안을 통해 금융 기관은 안전하고 안전한 소프트웨어를 제공하기 위해 진정으로 개방적이고 혁신적이라는 것은 상쾌합니다. 많은 사람들이 개발 코호트를 교실밖으로 나가 문제를 해결하는 데 도움이 되는 실무적이고 관련성 있는 학습 경험으로 발전시키는 이점을 보았습니다.
결국 보안 코딩은 개발자와 AppSec 팀 간의 강력하고 기능적인 관계를 단조하고 비즈니스 내에서 강력한 보안 문화를 유지하는 데 핵심 적인 요소입니다. 성공적인 보안 프로그램을 추진하는 또 다른 핵심 요소는 주요 이해 관계자가 온보드로 보장하고 보안 전문가가 아니더라도 혜택을 보는 것입니다.
금융 기관은 경영진과 잘 소통하는 경향이 있어 최고 수준의 의사 결정자가 보안 프로세스가 "설정되고 잊어 버리는" 조치가 아니라는 것을 이해하도록 합니다. 사용 중인 기술만큼 빠르게 진화하고 가변 위험에 적응해야 합니다.
지금은 시간과 비용이 들 수 있지만 커밋된 코드에서 수정하는 데 30 배 더 많은 비용이 들 수 있지만, 지상에서 교육을 포함하는 잘 구성된 보안 프로그램 "은 보안 인식 개발자가 작성할 때 보안 문제가 해결될 때 훨씬 저렴합니다.
증가하는 위험에 맞춰 보안 표준이 가속화되기 시작했습니다.
금융 산업에 대한 사이버 컴플라이언스의 중요한 동인은 금융 기관이 실행 가능한 보안 정책을 구현하고 모든 분야에서 지침을 준수할 수 있도록 돕는 데 전념하고 있는 PCI 보안 표준 위원회에서비롯됩니다. 그들은 이 수직이 지불 소프트웨어에서 가장 높은 수준의 보안 중 에서 달성하도록 돕는 데 좋은 힘이되었습니다.
그러나 많은 금융 산업 고객이 실제로 현재의 PCI 보안 표준 위원회 지침을 능가했다고 할 수 있습니다. 이 지침은 개발자를 위한 교육을 권장하지만(이전에 설명한 바와 같이 규제 정보의 다른 예와 같이) 교육이 효과적이었음을 나타내기 위해 만날 특정 유형 이나 특정 벤치 마크를 지정하지 않습니다.
SQL 주입 및 교차 사이트 스크립팅(XSS)과 같은 많은 취약점이 20년 이상 걸려 있으며(2019년에 여전히 문제를 일으키고 있음) 모든 교육이 동등하거나 효과적인 것은 아닙니다. 실무, 게임화 된 보안 교육, 은행 및 기타 금융 서비스 회사는 악용될 경우 혼란을 야기 할 수있는 취약점의 훨씬 더 나은 결과와 실제 감소를보고있다.
좋은 예는 미국 은행 기관인 Capital One이 혁신적인 기술 대학 및 인증 시스템의 일환으로 게임화된 교육 기술을 어떻게 활용했는지입니다. 러셀 울프에 따르면, 최근 웨비나에서사이버 보안 및 클라우드 컴퓨팅 교육 이사, 자발적 교육 프로그램 및 코딩 tournaments 전례없는 수요와 동료의 유기적 동기 부여로 인증을 받고 다른 사람을 업스킬링하는 데 도움을 주면서 매우 빠르게 견인력을 얻었습니다.
규제 당국은 사이버 보안 인력을 적절하게 교육할 수 있도록 무엇을 할 수 있습니까?
전 세계의 규제 당국은 우리의 데이터를 보호하는 데 통제할 수 있는 사람들이 충족해야 하는 허용된 교육 방법론과 표준을 요약하여 기존의 사이버 규제 정책 및 지침에 대해 "더 잘 진행할 수 있습니다. 현재 대부분의 규제 정책에서 교육 요구 사항에 대한 일반적인 참조가 있는 것으로 보이지만, 규정 된 교육을 통해 이동하는 사람들이 사이버 위협과의 싸움을 실제로 지원하는 데 필요한 콘텐츠와 기술을 흡수하는 것을 보장하기 위해 후속 조치가 거의 없습니다.
MAS(싱가포르 통화 당국)가 최근 보안 인식 교육 프로그램의 채택과 기술 위험 지침의 최신 반복에서 소프트웨어 개발 모범 사례를 확보하려는 움직임은 고무적입니다. 가이드라인이 발효되면 금융 기관은 소프트웨어 개발자가 소프트웨어를 개발할 때 보안 코딩, 소스 코드 검토 및 AppSec 테스트 표준을 적용하도록 교육을 받을 수 있도록 해야 하며, 이는 버그와 취약점을 최소화하는 데 큰 도움이 됩니다.
저에게 는 개발 코호트를 실습, 실제 기술로 교육하는 것은 지금까지 가장 매력적이고 업무와 관련이 있으며, 모든 조직이 너무 늦기 전에 만들어야 하는 강력한 보안 문화의 토대를 마련하는 것입니다.