移动云安全需要指导

    去年，美国联邦监管机构为在线交易发布了FFIEC远程准入指导。但是不幸的是，监管机构很明显没有打算发布额外的针对移动银行和云计算涉及到的安全问题的指导。

    大一点的机构不是十分需要关于这些问题的指导。大多数是出于必要性来处理风险。更高的交易量将它们暴露在更多的欺诈中。除此之外，它们有用于帮助缓和风险的员工和预算。

    但是小的银行机构——它们中的许多都在挣扎着符合准入指导——将大大地从手机银行和云计算的一些来自联邦金融机构检查委员会的安全性和一致性方向获益。手机和云多这些组织中的许多来说都是新疆界。所以它们需要所有它们能获得的帮助以便能有足够能力处理不断涌现的安全问题。

    基于控制的指导

    William Henley作为副主任服务于FDIC的技术监控分支，他确信新的与具体诸如移动和云等技术紧密联系的FFIEC指导不是很有希望。

    在最近的访谈中，Henley告诉我联邦监管机构正在磨练他们的方法来关注所谓的“基于控制的指导。”

    “我们不总是想要追求每一种涌现的新技术，”他说。“我们想持续的拥有创造性，这是很难维持的。”

    没有发布基于对具体服务和技术建议控制的指导，监管者们想要发布处理更广范围的风险的指导——转移策略，最好的实践以及审慎调查。

    一只援助之手

    FFIEC发布了更新的准入指导是为了这样一个原因：监管者发现有太多的机构没有足够能力处理在线银行风险。

    与之相似的，中层和社区水平的机构如果接受额外指导奖更可能有足够的能力处理移动银行和云计算涉及的风险。

    FFIEC意识到在这些竞技场中，很多机构需要帮助。这就是为什么它在这个夏天要发布一个资源文件来处理关于云风险的问题。

    但是这个文件远不及提供所需的综合指导，评论家们说，包括安全律师Francois Gilbert（见FFIEC的“令人失望的最新云信息”）。

    很明确，各种规模的机构应该再他们自己的环境的基础上处理风险，然后服从现存指导中列出的最佳实践。

    但是让我们面对它吧。较小的机构需要额外的帮助来处理移动银行和云计算中涉及到的安全问题。否则，他们就得去猜想，什么样的控制和安全等级是他们所需要的。