与Mark Morrison的对话：保障金融行业安全的关键

主要要点

• Mark Morrison是Options Clearing Corporation（OCC）首席安全官，负责信息安全、网络风险和业务连续性等。
• 成功的安全领导者需要了解网络安全技术和威胁环境，以及如何将安全与核心业务功能相结合。
• 内部和外部的优先事项包括对新应用的风险评估和加强员工的安全意识培训。
• 与董事会的有效沟通和参与是安全领导者获得支持的关键。
• Cybersecurity Collaborative为安全领导者提供了交流平台，共同分享最佳实践和经验。

Mark Morrison自2017年加入OCC以来，负责信息安全、网络风险、业务连续性、隐私和记录管理等各方面工作。在此之前，他曾作为StateStreetCorp.的高级副总裁和首席信息安全官，及在联邦政府的多个高级职务任职，包括国防部和国家情报总监办公室。他在马萨诸塞大学阿默斯特分校获得经济学学士学位。

成功的安全领导者需要具备哪些素质？

我认为，成功的安全领导者首先需要了解当前的网络安全技术和威胁环境，特别是急需关注的威胁环境。关键在于如何将网络威胁与核心业务联系起来。在大多数机构中，包括金融行业，我们进行安全工作并不是为了安全本身，而是为了促进基础业务功能。因此，在规划安全项目、架构及控制措施时，必须确保它们与运营环境和安全威胁环境之间实现良好的平衡，达到“可接受的风险水平”。这一平衡能够确保系统对业务和客户的实用性，同时实现必要的合规性和网络安全能力。

当今安全领导者应该关注哪些内部和外部优先事项？

我们有一个新的信息技术风险评估项目，负责对用户提出的所有应用进行风险评估，包括业务和IT应用。我们与第三方风险办公室合作，评估应用的安全控制措施，无论是SaaS应用还是现成的软件。接着，我们会根据安全控制目录来确定需要应用哪些安全控制措施，并为该应用使用及集成设定一定的限制。内部和外部政策之间存在巨大的互动，很难将它们完全分开。

同时，我们还非常注重培训。安全项目中至关重要的两个方面是意识和培训，以确保员工对安全项目有充分的投入。这听起来可能有些陈词滥调，但如果仅依赖少数安全人员来确保整个公司的安全，几乎肯定会失败。我们需要全体员工，甚至包括董事会和高级管理层的支持，这应当成为公司文化的一部分，以尽可能保障安全。

此外，我们进行大量测试，包括钓鱼模拟测试以及红蓝队对我们控制和环境的测试。我是实证测试的坚定拥护者，通过数据识别用户的知识差距及系统和应用中的技术问题。

网络安全领导者如何与企业同事合作，赢得高层和董事会的支持？

我们的董事会给予我们强有力的支持。与一些公司不同的是，我不直接向CIO汇报，而是直接向CEO汇报，这让我们在决策过程中拥有了一席之地。我们还设有一个技术委员会，按照章程，我将直接向该委员会汇报，使我能向董事会提供未经过滤的安全项目评估。因此，作为金融市场重要的公用设施（SIFMU），安全在我们的运营中起着重要作用。我们已经在保障安全方面取得了成功，这为我们在决策过程中带来了巨大利益。

大型或全球企业的安全领导者需要哪些非技术培训才能成功？

我们积极参与多个金融行业的贸易组织，比如FSARC和FSISAC，直接参与与安全及非安全相关的活动，从中获取对金融行业的更多洞察。此外，简单地说，让我们的业务单位负责人来指导我们，让我的团队了解期权交易的基本知识也是非常重要的。为此，我们还引入法律人员，与我的团队讨论相关法规，从而帮助他们理解这些法规是如何适用于我们的。

您为何加入网络安全合作组织？

我在网络安全领域工作了42年，寻找那些投入少而能产生相关输出的组织。网络安全合作组织就是这样一个地方，在这里你可以问出非常细致的问题，并在相对较短的时间内获得合理的答案。参与该组织的成员背景广泛，范围很广，令我印象深刻。

您