金融研訓院

數位安全的概念並不存在任何堅不可摧的措施,你必須預期你所做的一切都會被駭客入侵攻擊。有關安全性的一個重要過程是對每種產品進行風險評估或風險審核。風險評估還應包括如果產品或平台受損的復原計畫。安全的另一個重要面向是,必須可以容易地獲取有關企業裡所有關於風險控制的所有文件。了解流程如何運作非常重要,因為有這層理解,可以對流程進行弱點稽核。如果沒有適當的文件,永遠無法對其進行全面的滲透測試。那麼在新的數位世界裡,我們該如何處理安全問題呢?好消息是在數位領域中有關安全的一些技術不斷演化,讓我們足以應對得更好。智者是預期被駭客攻擊並制定因應計畫,愚者是被駭客攻擊後才訂定相應的安全計畫。

駭客與人工智慧的威脅

很快地,駭客將開始利用人工智慧演算法來對付金融機構,而不會浪費人力,試圖攻擊你的網站、你的網路銀行或行動銀行網站,駭客將利用人工智慧來嘗試侵入。駭客的人工智慧應用程式已經接受了數千種技術的培訓,而且與人類不同的是,它永遠不會放棄,將從每次嘗試中汲取教訓,並改變方法,甚至比世界級最好的駭客更有效,因為它將從自己所犯的每一個錯誤中學習。

做最壞的打算

變更控制是記錄整個系統中每項更動的概念。我曾多次進入金融機構,那裡沒有任何變更控制。沒有變更控制流程的癥狀是,當某些事件發生中斷時,你不知道是因為什麼而導致中斷。更重要的是,異常發生就不可能檢測到,因為沒有某種基線(Baseline)可供對照。對營運系統(Production System)或接近營運系統的任何更改,都必須經過變更控制流程。

透過使用變更控制,可以知道問題所在,把所做的事情恢復原狀,系統即恢復正常。那時候,透過檢視所發生過的事情,然後將更改重新放回,提交它,修復問題,然後再繼續。假使我們沒有記錄當天前後所做的每一項更動,那麼就很難理解,到底是什麼導致問題的發生。

駭客在沒有變更控制的企業中蓬勃發展。這意味著如果沒有關於變更控制的流程或管理,駭客就會透過找到設定不善的系統,發現駭入企業的方法。這些設定不良的系統通常會留下漏洞,使其能夠危害你的平台。「變更控制」將幫助你解決此問題。

事情發生時要害怕,但當事情進展順利時更該擔心

許多技術長遇到在系統中看似隨機發生的異常事件時,就會開始緊張,他們經常驟下斷語,認為有人試圖侵入他們的系統。這也許是真的,但根據TJ Maxx事件,當時系統看起來運作十分正常,因為優秀的駭客最不想做的事情就是透過在系統中觸發警報來引起人們的注意。當然那些想要執行分散式阻斷服務或破壞網站的破壞性駭客會留下他們的印記,但這些只是蓄意破壞者。真正的網路竊賊,實際上想竊取金錢或其他有價值資訊的罪犯,將盡其所能地不留下任何痕跡或觸發任何警報。所以,當事情發生時你不必驚慌失措,而應該更擔心系統是如何神奇地自行修復。如果你的用戶突然能夠進入以前無法使用的網站,或者如果防火牆問題導致無法傳輸大量檔案的異常狀況,卻突然自行修復,而且你找不到任何人知道它為什麼突然開始正常運作,那麼我會更加懷疑是否有駭客入侵。

安全是一項關鍵功能,必須在所有專案中占有一席之地。話雖如此,安全部門也應該有制衡機制,以確保它不會延宕專案進度。我認識一位有超級創新精神的安全官員,她不會因安全考慮而阻止新的構想,會積極與團隊共同合作,提出解決安全問題的方案。我認為,根據安全專家所推出的想法來執行專案是很有用的,領導階層應以連貫一致的流程和創新來衡量安全部門。創造性思維將成為未來安全專業人士的熱門特質。

在開發你自己的平台時,資訊安全其實又有全新的意義。當一家機構在內部開發產品時,雖然員工需遵循許多監督程序,但有些步驟在專業的金融科技創新公司行之有年的程序,在內部開發專案時卻常常被忽視。隨著金融機構持續完善其開發能力時,應注意三個重要的安全考慮因素:

1.     由於內部正在撰寫的程式碼將暴露於一般的網際網路,因此執行程式碼審核至關重要。

2.     任何產品首次發布之前,應完成Web應用程式和網路滲透測試,並修正所有問題。

3.     任何產品或專案上線前,應進行壓力測試,尤其是當專案執行出現效能延遲問題時,更顯重要。

4. 應該有一個流程來審查你所使用的軟體平台的資訊安全,無論是自行開發或從供應商處採購,對所有平台進行風險評估也很重要,萬一發生駭客入侵事件時,才能知道可能造成什麼損害。

擬定情境應變計畫

擬定一些應變計畫是對於數位安全觀念進行學習和思考的好方法。接下來是一些受到關注的情境,在某些情況下,還有些稀奇古怪的情節。

情境一:美國國家安全局後門事件

情境二:勒索軟體事件

情境三:網路基礎設施攻擊事件

情境四:物聯網破壞事件

這些是你需要設想的情境,我已經注意到金融機構將這些裝置放在他們的分支機構和總部。假設發生另一次攻擊,並且發現攻擊中涉及位於防火牆內的某些裝置。一旦發現這些裝置是攻擊的一部分,你接下來會如何行動?

資料治理(Data Governance)

在不斷發展的數位世界中,一個企業將資料轉換為資訊的能力將是其生存與消失的區別。如果資料就是金錢,那麼它也必須被治理和管理,儘管這看起來像是數位治理委員會將要處理的事情,但這是一個完全不同的專業,它涉及瞭解有關資料的監管條例和隱私法律,並應該擁有自己的小組。

資料治理小組應該由你的分析長或最相近的同等職位者主持,該小組應包括各部門的特定領域專家們。重要的是,該小組由能夠共同做出決策,並具備識別企業的資料,以及這些資訊對其他流程意味著什麼的專業知識人員所組成。在每個部門,都有一個「關鍵人物」,在會議上,當團隊中有人要求提供資料時,經常就會提到他,這些就是你需要的資料治理委員會成員。

隨著我們進入包括人工智慧和商業智慧在內的未來,資料將成為推動這些重要服務的動能。一個資料治理委員會應首先查明並審查該企業的所有資料,這可能需要一些時間,企業可能值得聘請專門從事資料對應的人。初始的資料對應將成為你企業的基線(Baseline),對企業今後的發展將是無價的,委員會的第二步是審查第一階段所發現的資料之安全性。所有資料的儲存和傳輸模式是否都符合法規監管標準?若尚未符合,讓資料合規的計畫是什麼?同時,該委員會將製定適用於任何新的產品或服務的政策和標準,並添加到主資料目錄中。如上所述,這將減少未來的問題,並使建置更加順利。

‧資料品質

資料品質是評估每個資料要素的流程,以確定它是否可用於報告和分析功能。

‧資料安全

資料安全是根據企業的政策、程序以及合規來評估資料的行為,以確保資料是否得到適當的儲存、處理和傳輸。在每天都有新的漏洞和網路威脅的世界裡,這一點極其重要。

‧資料複製

基於方便,資料在系統中經常被複製。雖然資料複製的目的,是讓客戶服務代表能夠與客戶共享信用評分資料,但有時候一個新的流程卻可能發現這筆資料再被用於別的地方。如果你不知道資料的來源,那麼這是個糟糕的方法。

‧資料工程

資料工程是確定流程屬性的工作,貫穿整個生態系統中擷取、更新、刪除或歸檔資料。

你的企業獲取必要資料通常不太容易,需要整個企業的跨部門協調和一份全面的專案計畫,這個過程往往是成本昂貴且耗時的。資料治理的另一個副產品是,在為你的企業所參與的每種產品、專案或服務設定成功指標時,將變得容易得多,而且透過監控這些指標,企業可以決定何時放棄或何時投入,以及如何轉向以創造成功。「資料」將是推動企業前進的新燃料。資料是推動企業內創新的最重要因素,創新本質上是有風險的,但沒人知道風險有多大。資料有助於驗證你的假設,從而幫助你推動創新。

大數據與殭屍末日

在這個新的末日般的世界,我們要如何生存?我開始想像用僵屍電影和電視劇中的角色來說明如何存活。首先,它們常是瞬息萬變的,這類似於我們將要學習如何更能應對瞬息萬變,更具行動性,特別是在資料和服務方面,這也就是雲端興起原因。你可能想知道大數據與殭屍末日劫難有什麼關係。當我思索世界末日的規則時,然後以同樣的思維邏輯思考著新數位世界的規則,特別是在銀行業。

在稀少性成為新法則的世界,銀行無法指望像抓住一隻大象般的大客戶獲得暴利,那些設法抓住大象的銀行必須想辦法在未來留住大象,這樣它才能維持,更重要的是,你也必須弄清楚如何仰賴兔子生存,並且需要很多的兔子才足以供養銀行。

在末日世界裡,還要記住另外一件事,法律並非社會規則的主要因素。舊的規則已經不再適用,特別是關於彼此友善和公平競爭的規則,銀行將不得不為自己的地盤而戰,這個特別的行業正面臨一些巨大困難,基於監管規則,我們必須確實學會為自己規畫業務模式,以確保我們的陣地不會輸給金融科技公司和其他競爭者。

我們需要快速識別風險,重要的是要注意識別風險和不惜一切代價規避風險之間的區別。有些風險是可以承擔的,要想永遠避開風險是辦不到的,然而,如果金融機構能夠迅速識別風險並做出反應,那麼他們就有生存能力,「資料」將是識別風險和決定如何回應的關鍵。資料分析可以為我們帶來新的參與機會,幫助我們最大化獲利能力、創造成本效益高的服務、找到新的收益來源、幫助我們深化關係和建立數位關係,更重要的是幫助我們了解消費者的習慣、趨勢和需求。

知人善任將使金融機構在未來處於有利的地位。金融界應儲備充足資料並擁有知道如何使用的人才。銀行必須與一些人合作,無論是與金融科技公司,還是志同道合的同業,我們都必須能夠協同合作。(圖片來源/iThome)

末日中的人員配置

知人善任將使金融機構在未來處於有利的地位,在人力和其他資源方面,企業需要儲備充足,在金融界應儲備充足資料並擁有知道如何使用的人才。能夠協同合作的人對企業的成功也極為重要。在銀行界,我們必須與一些人合作,無論是與其他金融科技公司合作,還是與其他志同道合的金融機構合作,我們都必須能夠協同合作。

數位洞察和直覺(Digital Insight and Intuition)

當我們談論洞察時,通常指的是直覺,即你對於擁有關於一些資料或正在發生的事情有某種直覺。

當你擁有大量資訊是非常有價值的,這可以回到協同合作這部分,由於中型或小型銀行可能沒有足夠的資料給予它們所需要的直覺或洞察,他們必須與其他人合作,以確保他們擁有足夠的多樣性,以便洞察他們在尋找什麼。

當我們觀察社區銀行、信用合作社、地區銀行時,它們最大的差距是在分析,我喜歡這樣比喻,當擁有分析能力的金融機構出現並與當地金融機構展開競爭時,他們會比大多數其他企業對客戶瞭解得更多,對業務的瞭解也更多。

資料是有價值的

你知道作為金融機構,我們坐在世界上那些最有價值的、最受歡迎的資料上面嗎?我們可以告訴你某人有什麼樣的房屋,我們可以告訴你他們喜歡使用哪種信用卡,我們可以告訴你他們買了什麼,我們可以告訴你他們何時購買,我們可以告訴你他們如何購買產品,或有什麼趨勢可循,我們可以使用行動應用程式來告訴你他們在哪裡買的,我們可以告訴你他們使用什麼樣的手機,我們可以給你他們的信用報告,我們可以告訴你他們用帳單支付定期付款給哪類帳單。在某些情況下,對於我們這些擁有預算軟體或個人理財管理平台的人,我們甚至可以知道他們與哪些金融機構往來。這些資訊極其珍貴,但卻還沒有被金融機構組織起來。

不僅如此,你還在刪除資料嗎?是否定期從網站中刪除日誌?是否定期刪除行動的統計資料?那你可能就是在撒錢。你得立刻停止刪除並開始計畫囤積。囤積是在東西變得稀少缺乏時,我們會做的事情,在新世界裡,東西將變得稀少缺乏。因此,請坐下與你的團隊一起確定你擁有什麼樣的資料,然後查明所有資料有什麼關聯。開始囤積資料吧,儲備充足的人將會變得非常出色,而且你需要知道,你的團隊對自己的資料瞭解有多深。

讓我們談一些拖累進展的事情。

第一件事,我們有太多的資料,但沒有人知道所有資料在哪裡。

第二件事,我看到很多在資料分析領域拖垮企業的,是他們覺得自己沒有足夠的處理能力。

我們該做些什麼來處理這個問題呢?第一,我們可以協同合作。第二,這是雲端計算的用武之地,你也可以購買一台超級大電腦,只使用它幾分鐘,或者不管執行資料需要多長時間,使用完之後就關閉它。在當今世界,有許多方法都可以解決處理能力的問題,關鍵是我們必須想要這麼做,我們必須尋找這些方法,而不是在遇到這些問題時就直接承認失敗。

資料是一門專業

如果我們要在這個世界上生存,我們必須明白分析不是一項產品,而是一門專業。作為一個生存在新世界的企業,當務之急是我們執行分析的能力。

對於金融機構隱私問題,其實只要資料有利於消費者而且所做的事情都是公開透明,那麼銀行界的資料應該可以做任何你想做的事情。如果你是誠實坦率的,並且正在做一些事情來幫助別人省錢、賺錢、或者做出好的財務決策,那麼想做什麼就做什麼吧。金融機構必須克制使用他們擁有的大量資料來操縱客戶的衝動,隨著企業對資料的熟練程度越來越高,做令人不寒而慄的事和做正確的事之間的界限將越來越難以分辨。

在歐洲,他們對隱私問題特別敏感,通過保護人們線上和數位隱私的法律。新法律被稱為《一般資料保護規範》(GDPR),自2018年5月25日起生效。法律有兩大支柱,即被遺忘權和知情同意權。

金融機構擁有大量資料,我們能夠接觸到對的人,我們有良好的意圖,對於大多數人來說,像GDPR這樣的法律不會影響我們。我們使用資料來驅動結果,可以代表我們服務的客戶使用資料來驅動結果,提供更好的服務。

分析的種類

大多數人談論的分析有三類。

第一種是「描述性分析(Descriptive Analytics)」,告訴我們已發生什麼事,而不是將會發生什麼事,這是歷史性的資料。

第二種是「預測性分析(Predictive Analytics)」,獲取歷史資料、添加其他資料和直覺,然後提出未來趨勢的一門藝術。

最後一類是「指示性分析(Prescriptive Analytics)」,關於情境方案規畫,為你提供可操作的資料,當你在兩種方案之間做選擇時,可以使用這些資料來進行決策。指示性分析也可用於降低未來潛在風險。指示性分析將成為建置機器學習或人工智慧的催化劑。

提供越多資料給模型,它越能瞭解哪些是先決條件(Prerequisites),開始能分辨出什麼是前瞻性趨勢,但也有可能不太明顯。唯一可能看到這些趨勢過程的是人工智慧,因為人類的思維無法理解或感知這些資料的能力,這些資料分析將成為金融服務未來的遊戲改變者。

接著,談談資料本身,以及需要哪些工具才能成功地進行資料分析。我們喜歡把它們看成三個V。第一個是數量(Volume),你擁有的數量越多,你的企業就越有可能推演出可行的結果。下一個就是資料的多樣性(Variety)。最後一個是速度(Velocity),資料速度正迅速成為分析最重要的面向。因此,我們看到分析模型在未來將轉變為使用即時資料(或接近即時資料),以避免從過時資料中作出報價或假設。

那我們有什麼機會?我們將不得不成為數位服務的殺手。我們需要建立數位流,使金融服務機構能夠提供我們如此多資料,並利用這些資料改善我們客戶的財務健全狀況。

最後,我們必須將自己的資料貨幣化(Monetize)。如果你想到所有登入並透過我們的平台抓取客戶資料的人,其他人已經在將我們消費者的資料貨幣化,客戶也已選擇加入並允許這些第三方廠商這樣做,將資料貨幣化可能意味著與數位行銷商合作。

總而言之,以下是在僵屍末日仍能夠存活的關鍵點:

•      行動化

不要在任何一處停留太久,總是在找下一個安全港。

•      囤積

確保沒有刪除重要資料。評估你擁有的東西,今天就開始囤積!

•      仔細挑選你的隊友

確保你的文化將支援資料驅動的方法。

•      資料分析是一門專業,而不是一項產品

•      快速果斷地使用資料來驗證你的方法

幾分鐘之前在這裡的東西,可能會在接下來的五分鐘內消失,機會正在變小。

•      了解如何使用交換工具

如果你無法射擊,那麼只有一把手槍是無法保護你的。

•      確定你的能力

瞭解你企業的營運是基於哪一種資料分析模型:描述性、預測性和指示性。

•      將資料貨幣化

如果你不這麼做,別人也會這麼做。(摘錄整理自第8、14、16章)

 

數位破發點(Breaking Digital Gridlock)

John Best/著;孫一仕、蕭俊傑/審訂;方慧媛/譯

台灣金融研訓院出版

售價:500元

 

作者簡介

John Best

金融科技公司Best Innovation Group (BIG)創辦人兼執行長,在本書分享金融機構進行數位轉型經驗,如何專注關鍵破發點,協助暫時卡關的銀行尋找解方。


Advertisement

更多 iThome相關內容