与此同时,由于消费者担心安全问题,当初对公司来说很有吸引力的使用网络渠道可以节省费用的优点也在渐渐消失。Gartner的一项近期调查发现,23%的网上银行消费者远离了这种渠道,原因是担心安全问题;近2400万人甚至由于担心安全而不考虑网上银行业务。安全软件公司TriCipher的产品解决方案副总裁Tim Renshaw说:“这意味着,你要派员工在银行进行交易,每笔费用的成本为15美元;如果在网上进行交易,那么每笔只需要几美分。”另外,人们对电子邮件的信赖急剧下降,结果电子邮件成了一种靠不住的顾客沟通工具。接受Gartner调查的人员有85%以上声称,对于可疑电子邮件,自己根本不会打开,而是立马删除。Dougherty说,CFEFCU索性放弃了电子邮件。他说:“我们只好重新使用原来的普通邮件。”他强调,普通邮件的成本要比电子邮件高90%,而且速度和灵活性都远远不如后者。
对付突如其来的攻击 Dougherty在那个恐怖的星期五下午遇到了这些风险,当时一心想窃取Dougherty众多会员身份的那个不法网站成了他当时通向网络世界的惟一窗口。
显然,Dougherty要做的第一件事就是阻止攻击。他赶紧请来相关厂商和顾问帮忙,然后设法使CEO相信需要采取重大措施——将使顾客暂时无法通过网络使用账户,直到问题得到完全解决为止。
Dougherty希望自己的电信服务提供商BellSouth暂时把那个网站加入黑名单,避开攻击,减轻网站的负担,让他有时间并灵活地采取应变措施来保护自己。但CEO不愿意这么做——没有遇到过攻击的人可能都这样。他说:“CEO希望让网站继续运行,以便可以为会员提供服务。”
到了深夜11点,经过一个晚上的对付攻击者、制订策略后,Dougherty终于说服了CEO,把该网站加入黑名单,暂时停止运营,直到次日早上。如果继续以疲倦、情绪化的状态应对,那只会对攻击者有利。他说:“这是心理战术。”
到星期六上午,Dougherty请RSA公司精心部署了“围捕”服务,利用自己的网络棒球,查出并清除犯罪分子的网站(共有30多个)。一开始遭到攻击,他就打电话给这家安全厂商。同时,BellSouth开始加强这家信用合作社网站的安全,设法挫败攻击。他还开始与RSA一起规划,为网站添加多因子验证技术。这些解决方案拿出来后,CEO才逐渐适应把网站加入黑名单的决定。他说:“我们与董事会和执行管理小组一起加强了安全意识。”网站到星期六上午就恢复了正常。他说,最后有22名顾客的信息泄漏给了窃贼,共损失“不到五位数”。
防火墙还不够 Dougherty还清醒地认识到这一事实:在IT安全及它与银行风险和安全战略的联系方面,需要加强与公司主管和董事会之间的沟通。现在他查看银行会议日程表,找出安全内容,然后鼓励其他主管和董事会成员参加。有时候他会陪同。“我与董事会主席一起参加会议,如果有安全报告会,我会说‘何不一起参加这次会议?’然后,要是他有问题,我会在一旁解答。有时,技术会吓跑他们,你就要让他们对技术感到适应。”
Dougherty每个月还向主管和董事会发去三四篇安全文章,鼓励他们阅读。他向RSA订购了反欺诈情报信息服务,了解最新威胁及相应对策方面的信息,他还连同这些信息一同发去。他说:“把安全资料发给我的管理小组,这非常重要。”
Dougherty还负责员工的培训工作,并且扩大了教育内容,加入了安全的内容。他要求银行的每期新闻季刊至少登一篇安全文章。
他认为自己没得选择,因为审计人员变得更严格了。遭到攻击后,这家银行加强了审计力度,进行测试以查找漏洞,包括网上和网下的。分行中的一项测试发现,骗子用不着上网就能获得数据。Dougherty说:“我们让一些人背着显示器,告诉出纳员需要修理电脑。他们在三家分行的出纳员眼皮底下偷窃数据后扬长而去。不过我宁愿让审计人员而不是别人看到这一幕。”
由于事关重大,CIO不能局限于这类传统的防御策略,他们还需要一项策略来保护数据。不怀好意的员工或者承包商导致的安全事件总是存在。Fidelity信息服务公司的首席技术官Joe Nackashi说,现在,外部威胁有所加大,这是由于有了移动设备,数据的移动性更强了。这家公司不但为自己存放数据,还为其他金融服务公司存放数据。
2004年,Fidelity开始对所有金融数据进行加密,不但包括内部系统中的数据,还包括进出
数据中心的任何设备上的数据,包括笔记本电脑、U盘以及大型机使用的磁带。Nackashi说,这样一来,“即使你丢失了数据,要是有人试图恢复数据,数据也是经过加密的。”
|
服 务 CIO 推 进 信 息 化 
