避免美国金融机构安全与隐私政策缺失的建议

关键要点

MRAs概述：MRAs待关注事项是美国金融机构面临的严重警告，通常由管理层和董事会收到。常见原因：流程设计不良、控制弱点、风险管理失效等常常导致MRAs的发生。成本影响：处理MRAs的费用常常远高于提前加强风险管理所需的成本。减低风险的方法：通过遵循八个关键步骤，金融机构可以有效降低发生MRAs的风险。

来源：GaudiLab / Shutterstock

在美国金融行业工作的首席信息安全官CISOs对待关注事项(MRA)并不陌生。MRA是一种以口头和书面形式传达给金融机构董事会和管理团队的通知，通常包含在相关监管机构的审查报告中。与安全和隐私相关的问题常常会引发MRA。

MRA往往是控制措施不足的指示，导致金融机构在整改上花费大量人力和物力。然而，许多问题是可以通过强有力的风险管理计划在萌芽阶段加以预防的。包括银行、资本市场、金融科技公司和资产管理集团在内的金融机构，通过更主动的解决措施，可以有效降低常见的待整改问题所带来的成本。

什么是 MRA 及其运作方式？

MRA 通知是美国联邦储备银行要求金融机构解决的问题，以确保其安全合规。大部分MRA均与法律、法规或规章相一致，规定金融机构必须保持适当的合规控制。尽管MRAs并非公开发行，但会以口头和书面的形式传达给管理层和董事会，并会在监管机构的消费者事务审查报告中包含。MRAs还可以以几种不同形式出现，例如：急需关注事项(MRIA)、董事会关注事项(MRBA)和需文档化事项(MRD)。

所有MRA形式都应包括关于问题原因和重要性的标准化信息，必须解决的问题，以及采取纠正措施的时间框架。报告发出后，金融机构董事会需要向储备银行提供其计划、流程和完成MRA的书面文件。在解决MRA的过程中，储备银行将定期进行检查和跟踪，以确保进展和结果的及时性与满意度。

由于监管环境的动态变化和对合规性的重视，近几年MRAs的发放速度显著增长。这一问题的根本原因是什么？

海外NPV加速器免费

应对 MRA 常见原因

MRAs的常见原因包括流程设计不佳、控制弱点显著、不当的风险承担以及风险管理的失败。这些因素可能导致对业务的重大影响、降低客户满意度、发生欺诈行为，甚至在最坏的情况下造成消费者数据泄露和盗取。此外，缺乏适当的治理和监督也是执法行动的主要原因。在金融机构与客户的关系受到极大影响之前，常常会出现预警迹象。

金融机构必须努力识别并应对潜在的业务和客户、投资者和合作伙伴的风险。以下是一些被忽视的常见风险领域：

风险类型描述并购风险大多数金融机构都有管理与并购相关的金融、法规及网络安全风险的流程。然而，尽职调查评估往往忽略了被收购金融机构的关键信息。例如，是否能全面了解潜在收购对象的云基础设施及其安全配置？是否测试应用程序代码，查找可能被利用来盗取敏感数据的漏洞？第三方风险所有公司都有与第三方的信任关系和依赖，包括其他金融机构、云服务提供商、SaaS供应商、应用开发人员等。这些关系引入了显著的风险，因为网络犯罪分子可以利用这些关系绕过防线。然而，许多公司对其供应链缺乏全面的可视性，未能进行深入的风险评估。软件开发和变