重塑网络安全格局：数字化和新冠疫情提升大型金融机构网络安全需求

重塑网络安全格局数字化和新冠疫情提升大型金融机构网络安全需求德勤金融服务行业研究中心致力于为美国金融服务业提供专业支持，凭借精深洞察和行业研究协助银行、资本市场机构、投资管理公司、保险公司和房地产企业高级决策层做出最优决策。通过研究、圆桌讨论会以及其他方式，提供中肯、及时且可靠的专业洞察，成为可受信赖的专业机构。与我们联系敬请访问http://www.deloitte.com/us/cfs了解有关本中心更多信息并阅读本中心的最新刊物。订阅 欢迎您在www.deloitte.com/us/cfs中进行注册订阅本中心邮件阅读资料。关于金融服务信息共享与分析中心（FS-ISAC）金融服务信息共享与分析中心是一致力于降低全球金融体系中的网络风险的行业联盟。为金融机构及其客户提供服务。中心利用智能平台、丰富的资源和可信赖的专家网络来预测、减轻和应对网络安全威胁。FS-ISAC有近7,000家成员机构，户用遍及70多个国家。FS-ISAC总部设在美国，在英国和新加坡设有办事处。敬请访问www.fsisac.com了解更多信息。如欲了解高管对未来金融、数据和网络安全的观点及看发，敬请访问FS-ISAC洞察。 关于德勤金融服务行业研究中心关于调研 2主要观点 4是时候给网络安全加把劲了 5增加支出满足需求增长 6数字化进程塑造大型金融机构网络安全计划 10将网络安全与信息技术相结合，并保持其战略重要性 15前进之道 18尾注 20目录2重塑网络安全格局 本调研基于金融服务信息共享与分析中心（FS-ISAC）与德勤网络与战略风险服务在过去三年中每年对其成员企业及CISO进行的调研。最近一次调研于2019年末启动，于2020年1月27日结束。调研结果根据调研公布的年份确定，最新一份为2020年，之前分别是2019年和2018年。 本调研考察了金融机构网络安全运营的多个环节，包括组织和管理网络安全活动、首席信息安全官（CISO）的汇报路线、预算、董事会对CISO工作的关注程度，以及在财务方面应优先考虑哪些网络安全领域等 (图 A)。关于调研 资料来源：FS-ISAC/德勤网络与战略风险服务CISO调查报告（2018年、2019年及2020年）；德勤金融服务行业研究中心分析。图 A调研涵盖的网络安全项目内容 在过去的三年中，德勤和FS-ISAC进行了一项调研，以了解不同金融机构网络安全组织的状况。组织概况运营模式风险概况和风险管理策略项目预算3数字化和新冠疫情提升大型金融机构网络安全需求本报告对三年的调查结果进行了分析，旨在发现金融行业网络风险趋势。共有53家金融机构参与了调研究，代表了不同收入水平 (图B)和金融子行业(图C，因受访机构可分属多个子行业，故数量总和超过53）。此外，每项调研的部分或全部受访者可能有所不同。注释：受访机构可多选。图 C受访金融机构所处行业零售/公司银行消费金融/非银金融服务保险服务提供商（金融产品/服务/应用程序）金融设施（清算公司、交易所、支付平台等)信用社IT 或信息安全管理服务供应商贸易联合会24201797221资料来源：FS-ISAC/德勤网络与战略风险服务CISO调研报告（2020年）；德勤金融服务行业研究中心分析。注释：大型机构（销售收入大于20亿小于50亿美元） 、巨型机构（销售收入大于50亿小于300亿美元） 、超大型机构（大于300亿美元）资料来源：FS-ISAC/德勤网络与战略风险服务CISO调研报告（2020年）；德勤金融服务行业研究中心分析。图B受访金融机构，按销售收入划分59%小型 (<5亿美元)大型 (> 20亿美元) 中型(5亿~20亿美元)59%26%15%311484主要观点• 受访者表示网络安全支出正在增加，身份和访问管理、网络安全监控和运维、以及终端和通信网络安全支出比重相对更高。• 受访者表示在过去的三年里，快速且日益复杂的信息科技变化是他们在网络安全方面的最大挑战。为了帮助有效控制不断增加的网络安全风险，公司应考虑在更广泛的IT服务建设过程中以数字化方式启用网络安全功能，而且在技术开发时采用“设计安全”原则也有助于金融机构创造更安全的产品。• 大多数来自大型金融机构的受访者表示，网络安全通常是IT职能的一部分， 首席信息安全官（CISO）通常向所在公司的首席信息官（CIO）或首席技术官（CTO）汇报。这反映了网络安全与信息技术紧密结合的需求。• 同时，金融机构可能希望在网络安全方面保持一定程度的独立性，这有助于确保风险管理决策不受信息技术限制的影响。• 受访者指出云计算、数据分析、机器人流程自动化等新兴技术已经成为网络安全投资最高优先级。而访问控制、安全保护技术和数据安全被强调为基础的投资。• 随着数字化与远程办公的加速，员工、客户、承包商及合作伙伴/供应商之间的界限正变得越来越模糊，传统网络的范围和边界也被弱化了。用户、工作负载、数据、网络以及设备已是无处不在。“零信任”概念的出现使得现代企业强制实施“最小权限”原则以应对无处不在的授权访问风险。重塑网络安全格局 5大多数金融机构目前已经在稳步推进数字化转型。出于对效率的追求以及不断提高的客户期望，各种体量的金融机构的运营都已经在走向数字化。在金融服务领域中，转型速度通常会因为公司对变化、灵活性和规模以及其他因素的准备程度而有所 不同。在过去的几个月里，新冠疫情迫使许多公司加快了数字化的步伐。随着办公室的关闭和行动受限，迫使每个人和所有可能转为线上的工作都转成线上操作。许多机构不得不在运营、交付和客户参与方面更全面的接受数字化转型。然而，这种突然的转变为许多负责保护公司数字资产的首席信息安全官（CI