【TechTarget中国原创】对于金融业的CIO们来讲,遵从法规的目标一直在不断地变化。他们不仅应对新的条款,还要应对审计员们对现有准则不断变化的解释。新兴技术和业务领域内的流言蜚语都会给他们带来新的风险,这在制定有效遵约策略的过程中都是必须要考虑在内的。
要保持与时俱进并不是很容易的。这里为CIO们提供了一些最佳的方法和技巧,可以帮他们更好地应对当今的监管环境,同时为应对在不久的将来可能会出现的发展和变化做准备。
新技术意味着新风险
专家警告说,虽然部署新的技术势必有用,但往往也会带来新的安全性风险和相关的遵从性问题。“最大的挑战之一是,我们可选择的通信方式骤然增多,而我们使用的设备也总是保持‘开启’的状态”,N.H. Amherst Curve企业安全咨询公司的股东之一Diana Kelley说。他还表示,手机和PDA(个人数字助理)等等一些产品的用途虽然很广,但他们同时会给企业带来很多安全隐患,使企业不得不应对越来越精确的联邦法规。
近年来,由于没有对IM(即时消息通讯技术)的通讯内容做出足够的保护,一些大型投资公司已经支付了总额达到上千万美元的罚款。Kelley指出,目前有相关法规规定,企业必须对IM的通讯内容进行安全存档并统一其搜索格式,同时对IM通讯频道“进行监控,保证对其进行正确、完善、安全的使用”。
试图禁止IM这类技术的使用往往是有害无益的,因为这只能导致对它们的使用转至地下。Kelley建议最好允许其通过安全的渠道在一定的条件控制之下被使用。
了解你所在企业当前的业务
技术决策者们需要对企业业务如何影响监管环境这一问题保持一种创造性的思维。Kelley在报告中表示,为了应对最近的次贷危机,审计师们会开始要求各企业安全地保留各种投资工具所导致金融风险的相关信息,并在需要的时候向相关审计部门提交完整的资料。
此外,Accume Partners审计公司负责系统和技术实践的领导Norbert Nowicki指出,在经历了9.11事件和Katrina飓风灾难之后,审计员们想要得到相关的证明,保证一家企业的IT基础设施能够承受特殊的灾害和安全事件。
Nowicki 说:“审计员们一直再问:‘你们是不是已做好了应对全球性灾难的准备?如果汇率下降你还能否继续完成业务?’他们对只能模拟攻击的渗透测试已不再满意,他们想知道‘你们的热点网站在哪?你们是如何对其进行安全性保障的?你们有没有采取什么相应的控制措施?’”
留意一下Basel II(新巴塞尔协议)
根据Sudbury SystemExperts 公司负责咨询工作的副总裁Richard E. Mackey Jr.的观点,虽然说现在要确定其影响还为时尚早,但可以肯定的是Basel II势必会影响到IT部门在相关法规遵从性方面的努力。
Mackey表示,Basel II是最近新创建的国际风险控管标准,它要求大型金融机构要有足够的现金保障来应对所有潜在的风险。这意味着各公司需要向审计和监管人员提供相关证明,保证其金融风险测算系统可防止随意篡改、并且能够保证数据的安全性。
留意你合作伙伴的背景
Graham-Leach-Bliley Act以及各种保护隐私权的法案现在都要求各金融公司确保其业务伙伴在合作过程中采取同等的安全措施。“如果由于你合作伙伴的过失而导致你的数据、或者是客户的资料或资产有所损失,你也要负相应的责任”,Kelley警告说。
同样的条款也适用于那些承担你的备份、存储、或是金融软件管理以及网站托管外包业务的供应商。“如果你的磁盘是从供应商的卡车后边被丢失,”你仍然要承担赔偿责任,Kelley说。
Mackey指出,对于大型的金融公司来讲,要对其几十或者是几百个业务合作伙伴进行安全性审查所耗费的成本是相当高昂的。因此他建议这些金融公司尝试着限制它们与合作伙伴共享信息的数量和类型。例如,它们可以避免与合作伙伴共享相关的社会安全号码,同时只给合作方提供其所需的信息——而不是提供整个文件。
不要过分依赖于它
近年来,美国证券交易管理委员会郑重地澄清了各公司在相关法规遵从方面需要重视的方面。即便如此,根据AMR公司的统计,2007年各公司为了遵从Sarbanes-Oxley Act而付出的费用仍多达60亿美元。
根据Accume公司Nowicki的观点,这其中有很大一部分支出是没有必要的。他建议各家公司把重点放在处理IT基础设施的关键业务进程和关键要素上,而不应该试图去处理每一个单一的进程和系统。
好消息是,作为一项成熟的监管制度,监管部门正在对一些问题做出澄清,甚至是放松一些要求。例如,监管机构最初要求金融机构要给每一个想要通过网络访问其相关系统的客户分发一台物理的标志或是密码识别设备。但他们最终意识到这并不切合实际、而且会影响业务发展。
但愿所有法规的遵从性要求都可以这样合理。