1、重塑网络安全格局数字化和新冠疫情提升大型金融机构网络安全需求德勤金融服务行业研究中心致力于为美国金融服务业提供专业支持,凭借精深洞察和行业研究协助银行、资本市场机构、投资管理公司、保险公司和房地产企业高级决策层做出最优决策。通过研究、圆桌讨论会以及其他方式,提供中肯、及时且可靠的专业洞察,成为可受信赖的专业机构。与我们联系敬请访问http:/ 欢迎您在 2主要观点 4是时候给网络安全加把劲了 5增加支出满足需求增长 6数字化进程塑造大型金融机构网络安全计划 10将网络安全与信息技术相结合,并保持其战略重要性 15前进之道 18尾注 20目录2重塑网络安全格局 本调研基于金融服务信息共享与分析中
2、心(FS-ISAC)与德勤网络与战略风险服务在过去三年中每年对其成员企业及CISO进行的调研。最近一次调研于2019年末启动,于2020年1月27日结束。调研结果根据调研公布的年份确定,最新一份为2020年,之前分别是2019年和2018年。本调研考察了金融机构网络安全运营的多个环节,包括组织和管理网络安全活动、首席信息安全官(CISO)的汇报路线、预算、董事会对CISO工作的关注程度,以及在财务方面应优先考虑哪些网络安全领域等(图 A)。关于调研 资料来源:FS-ISAC/德勤网络与战略风险服务CISO调查报告(2018年、2019年及2020年);德勤金融服务行业研究中心分析。图 A调研涵
3、盖的网络安全项目内容 在过去的三年中,德勤和FS-ISAC进行了一项调研,以了解不同金融机构网络安全组织的状况。组织概况运营模式风险概况和风险管理策略项目预算3数字化和新冠疫情提升大型金融机构网络安全需求本报告对三年的调查结果进行了分析,旨在发现金融行业网络风险趋势。共有53家金融机构参与了调研究,代表了不同收入水平(图B)和金融子行业(图C,因受访机构可分属多个子行业,故数量总和超过53)。此外,每项调研的部分或全部受访者可能有所不同。注释:受访机构可多选。图 C受访金融机构所处行业零售/公司银行消费金融/非银金融服务保险服务提供商(金融产品/服务/应用程序)金融设施(清算公司、交易所、支付
4、平台等)信用社IT 或信息安全管理服务供应商贸易联合会24201797221资料来源:FS-ISAC/德勤网络与战略风险服务CISO调研报告(2020年);德勤金融服务行业研究中心分析。注释:大型机构(销售收入大于20亿小于50亿美元)、巨型机构(销售收入大于50亿小于300亿美元)、超大型机构(大于300亿美元)资料来源:FS-ISAC/德勤网络与战略风险服务CISO调研报告(2020年);德勤金融服务行业研究中心分析。图B受访金融机构,按销售收入划分59%小型(20亿美元)中型(5亿20亿美元)59%26%15%311484主要观点 受访者表示网络安全支出正在增加,身份和访问管理、网络安全
5、监控和运维、以及终端和通信网络安全支出比重相对更高。受访者表示在过去的三年里,快速且日益复杂的信息科技变化是他们在网络安全方面的最大挑战。为了帮助有效控制不断增加的网络安全风险,公司应考虑在更广泛的IT服务建设过程中以数字化方式启用网络安全功能,而且在技术开发时采用“设计安全”原则也有助于金融机构创造更安全的产品。大多数来自大型金融机构的受访者表示,网络安全通常是IT职能的一部分,首席信息安全官(CISO)通常向所在公司的首席信息官(CIO)或首席技术官(CTO)汇报。这反映了网络安全与信息技术紧密结合的需求。同时,金融机构可能希望在网络安全方面保持一定程度的独立性,这有助于确保风险管理决策不
6、受信息技术限制的影响。受访者指出云计算、数据分析、机器人流程自动化等新兴技术已经成为网络安全投资最高优先级。而访问控制、安全保护技术和数据安全被强调为基础的投资。随着数字化与远程办公的加速,员工、客户、承包商及合作伙伴/供应商之间的界限正变得越来越模糊,传统网络的范围和边界也被弱化了。用户、工作负载、数据、网络以及设备已是无处不在。“零信任”概念的出现使得现代企业强制实施“最小权限”原则以应对无处不在的授权访问风险。重塑网络安全格局 5大多数金融机构目前已经在稳步推进数字化转型。出于对效率的追求以及不断提高的客户期望,各种体量的金融机构的运营都已经在走向数字化。在金融服务领域中,转型速度通常会
7、因为公司对变化、灵活性和规模以及其他因素的准备程度而有所 不同。在过去的几个月里,新冠疫情迫使许多公司加快了数字化的步伐。随着办公室的关闭和行动受限,迫使每个人和所有可能转为线上的工作都转成线上操作。许多机构不得不在运营、交付和客户参与方面更全面的接受数字化转型。然而,这种突然的转变为许多负责保护公司数字资产的首席信息安全官(CISO)和网络安全团队带来了很多的问题。在大多数员工远程办公的同时,黑客和网络诈骗分子则试图利用不断进化的技术扩大攻击面。今年4月,纽约金融服务部强调,与新冠疫情爆发相关的网络犯罪量显著增加。1当务之急:金融机构应以数字化方式使其网络安全职能与快速变化的信息技术转型保持
8、同步,并保护关键资产免受日益严重的网络威胁和攻击。德勤网络与战略风险服务团队和金融服务信息共享与分析中心(FS-ISAC)连续第三年调研FS-ISAC成员机构如何应对网络挑战。(最近的一次调研时间为2019年末到2020年1月,调研结果将在2020年调研报告中发布。我们根据出版年份:2020年,2019年和2018年向大家列示调查结果。)(请查阅“关于调研”章节以了解更多调研详情。)年度调研探讨了金融机构如何构建和管理其网络安全,以及在组织模式、支出方式、外包和投资重点等方面的不同选择。在过去的三年里,网络安全一直作为金融机构优先发展事项不断地分配到更多的资源,金融机构提高了董事会对网络安全的
9、参与度,并取得与信息技术和业务优先级相匹配的投资。报告同时指出大型金融机构几种关键网络风险管理趋势,以及未来在新冠疫情之后给不同规模金融机构带来的影响。是时候给网络安全加把劲了数字化和新冠疫情提升大型金融机构网络安全需求6重塑网络安全格局 金融机构网络风险管理中最重要的一个 工作是为机构配置充足的网络安全资 源。对许多机构来说,网络攻击的年 平均成本一直在增加。2 因此,参与调研的金融机构在网络安全支出比上一年有所增加并不意外。(图 1).最近一次调研的受访机构平均将其IT预算约10.9%用于网络安全,高于前一年的10.1%。这一比例平均约为金融机构收入的0.48%,高于此前的0.34%。受访
10、机构平均为每位全职员工在网络安全方面的支出约为2,700美元,高于去年的2,300美元。与此同时,不同类型金融机构网络安全支出在不同基准上发生了显著变化。(图 2)。尽管支出有所增加,但在三年的调研中可以看 到,金融机构的预算分配在很大程度上保持了 一致。在最新调研中,网络安全监控和运维、终端和通信网络安全以及身份和访问管理总共占 据了超过50%的支出比重。(图3)。增加支出满足需求增长0.34%占总收入的百分比0.48%占总体 IT 支出的百分比10.1%10.9%平均每个员工的支出 US$2,691US$2,33720192020图 1金融机构在网络安全方面持续加大投入 网络安全总体支出对
11、比 资料来源:FS-ISAC/德勤网络与战略风险服务CISO调研报告(2019年及2020年);德勤金融服务行业研究中心分析。Deloitte Insights| Insights| 2不同类型金融机构网络安全支出2020零售/公司银行2019消费金融/非银金融服务保险服务提供商金融设施总计0.3%10.1%US$2,0740.3%9.7%US$2,8170.3%9.3%US$2,2450.6%8.9%US$1,9560.8%15.2%US$3,6300.3%10.1%US$2,3370.6%9.4%US$2,6880.4%10.5%US$2,3480.4%11.9%US$1,9840.6%7
12、.2%US$3,2260.8%8.2%US$4,3750.5%10.9%US$2,691占营收比例占 IT 支出比例平均为每位员工支出注释:由于数据四舍五入,百分比加总之和可能不等于100%。资料来源:FS-ISAC/德勤网络与战略风险服务CISO调查报告(2018年、2019年及2020年);德勤金融服务行业研究中心分析。网络监控和运维终端和网络安全身份和访问管理网络安全治理应用和数据保护第三方/供应商安全管理网络弹性其它图 3不同网络安全领域的预算分配在很大程度上与去年保持了一致,但也有一些显著变化调研机构在不同网络安全领域的预算分配情况19%20%21%18%18%15%16%14%11
13、%13%10%12%12%10%11%10%8%9%8%10%12%6%9%8%2020201820198重塑网络安全格局 网络安全支出增加的另一个原因是董事会和高管团队承受的压力越来越大,这使得他们对网络安全的关注相应提高(图 4)。根据德勤与客户的交流,能够不断完善并向董事会阐明网络安全价值主张的CISO们更有可能确保董事会对网络安全的参与。图 4大多数网络安全领域都受到董事会和管理层的极大关注受调研金融机构中最受董事会/管理层关注的网络安全领域2020 2019201876%86%88%72%75%70%63%61%65%59%55%50%57%57%30%13%14%25%26%35%
14、25%14%18%8%6%2%45%42%43%总体安全战略审查当前的威胁和安全风险项目进展审查机构是否容易受到其他组织的公开攻击审查安全测试结果安全预算安全技术安全政策审查安全组织的角色和职责其它95%资料来源:FS-ISAC/德勤网络与战略风险服务CISO调查报告(2018年、2019年及2020年);德勤金融服务行业研究中心分析。9数字化和新冠疫情提升大型金融机构网络安全需求董事会的参与不再仅限于战略或运营领域。安全技术已从2018年调研的第九名上升到2020年调研的第七名,这表明董事会对了解网络安全的技术方面越来越感兴趣。类似的,与过去相比,董事会对审查安全组织的角色和职责越来越感兴趣
15、。这恰恰证明了一个不断被强调的观点,即网络安全是每个人的职责,而不仅仅是CISO的责任。与网络风险管理相对不成熟的机构相比,认为其机构网络安全更成熟的受访机构董事会和管理层对网络安全的几乎所有领域都更加感兴趣。这突显了董事会参与的重要性。展望未来,鉴于新冠疫情所导致的严峻的宏观 经济形势,许多金融机构可能会认真考虑是否 需要全面削减开支。然而,金融机构在削减网 络安全预算之前应尤为慎重。考虑到数字化的 不断推进和远程工作环境带来的挑战,以及内 部威胁的增加,大多数金融机构所面临的网络 安全风险正在加剧。310重塑网络安全格局 技术是金融机构所有工作中的一部分,但跨业务采用新技术会增加网络风险。
16、因此,受访机构将IT的快速变化和复杂度的增加列为过去三年网络安全管理的首要挑战(图5)并不意外,而第二大挑战则是在如此快速发展的IT环境中缺乏有经验的网络专业人员来帮助维护系统安全。数字化进程塑造大型金融机构 网络安全计划 资料来源:FS-ISAC/德勤网络与战略风险服务CISO调查报告(2018年、2019年及2020年);德勤金融服务行业研究中心分析。图 5网络安全管理面临的挑战受访金融机构选出的大型金融机构五大挑战202020192018IT 的快速变化和复杂度的增加缺乏有经验的网络专业人员在安全解决方案功能和互操作性不足的情况下,难以确定保护机构网络安全工作优先级更关注合规,较少关注网络风险管理对网络风险和安全的理解不足IT 的快速变化和复杂度的增加缺乏有经验的网络专业人员更关注合规,较少关注网络风险管理业务增长和扩张难以确定保护机构网络安全优先级IT的快速变化和复杂度的增加缺乏有经验的网络专业人员业务增长和扩张在安全解决方案功能和互操作性不足的情况下,难以确定保护机构网络安全工作优先级难以确定保护机构网络安全优先级1234511数字化和新冠疫情提升大型金融机构网络安全需求与此
