本调研基于金融服务信息共享与分析中心(FS-ISAC)与德勤网络与战略风险服务在过去三年中每年对其成员企业及CISO进行的调研。最近一次调研于2019年末启动,于2020年1月27日结束。调研结果根据调研公布的年份确定,最新一份为2020年,之前分别是2019年和2018年。本调研考察了金融机构网络安全运营的多个环节,包括组织和管理网络安全活动、首席信息安全官(CISO)的汇报路线、预算、董事会对CISO工作的关注程度,以及在财务方面应优先考虑哪些网络安全领域等。
本报告对三年的调查结果进行了分析,旨在发现金融行业网络风险趋势。共有53家金融机构参与了调研究,代表了不同收入水平 (图B)和金融子行业(图C,因受访机构可分属多个子行业,故数量总和超过53)。此外,每项调研的部分或全部受访者可能有所不同。
• 受访者表示网络安全支出正在增加,身份和访问管理、网络安全监控和运维、以及终端和通信网络安全支出比重相对更高。• 受访者表示在过去的三年里,快速且日益复杂的信息科技变化是他们在网络安全方面的最大挑战。为了帮助有效控制不断增加的网络安全风险,公司应考虑在更广泛的IT服务建设过程中以数字化方式启用网络安全功能,而且在技术开发时采用“设计安全”原则也有助于金融机构创设更安全的产品。
• 大多数来自大型金融机构的受访者表示,网络安全通常是IT职能的一部分,首席信息安全官(CISO)通常向所在公司的首席信息官(CIO)或首席技术官(CTO)汇报。这反映了网络安全与信息技术紧密结合的需求。• 同时,金融机构可能希望在网络安全方面保持一定程度的独立性,这有助于确保风险管理决策不受信息技术限制的影响。
• 受访者指出云计算、数据分析、机器人流程自动化等新兴技术已经成为网络安全投资最高优先级。而访问控制、安全保护技术和数据安全被强调为基础性的投资。• 随着数字化与远程办公的加速,员工、客户、承包商及合作伙伴/供应商之间的界限正变得越来越模糊,传统网络的范围和边界也被弱化了。用户、工作负载、数据、网络以及设备已是无处不在。“零信任”概念的出现使得现代企业强制实施“最小权限”原则以应对无处不在的授权访问风险。
大多数金融机构目前已经在稳步推进数字化转型。出于对效率的追求以及不断提高的客户期望,各种体量的金融机构的运营都已经在走向数字化。在金融服务领域中,转型速度通常会因公司对变化、灵活性和规模以及其他因素的准备程度而有所不同。
在过去的几个月里,新冠疫情迫使许多公司加快了数字化转型的步伐。随着办公室的关闭和行动受限,迫使每个人和所有可能转为线上的工作都转成线上操作。许多机构不得不在运营、交付和客户参与方面更全面的接受数字化转型。然而,这种突然的转变为许多负责保护公司数字资产的首席信息安全官(CISO)和网络安全团队带来了很多的问题。
在大多数员工远程办公的同时,黑客和网络诈骗分子则试图利用不断进化的技术扩大攻击面。今年4月,纽约金融服务部强调,与新冠疫情爆发相关的网络犯罪量显著增加。1当务之急:金融机构应以数字化方式使其网络安全职能与快速变化的信息技术转型保持同步,并保护关键资产免受日益严重的网络威胁和攻击。德勤网络与战略风险服务团队和金融服务信息共享与分析中心(FS-ISAC)连续第三年调研FS-ISAC成员机构如何应对网络挑战。(最近的一次调研时间为2019年末到2020年1月,调研结果在2020年调研报告中予以发布。我们根据出版年份:2020年,2019年和2018年向大家列示调查结果。)(请查阅“关于调研”章节以了解更多调研详情。)年度调研探讨了金融机构如何构建和管理其网络安全,以及在组织模式、支出方式、外包和投资重点等方面的不同选择。
在过去的三年里,网络安全一直作为金融机构优先发展事项不断地分配到更多的资源,金融机构提高了董事会对网络安全的参与度,并取得与信息技术和业务优先级相匹配的投资。报告同时指出大型金融机构几种关键网络风险管理趋势,以及未来在新冠疫情之后给不同规模金融机构带来的影响。