德勤+后疫情时代的网络安全：聚焦金融服务

后疫情时代的网络安全：聚焦金融服务2后疫情时代的网络安全 | 聚焦金融服务目录摘要短期措施应迅速转化为长效机制传统系统将逐步淘汰扩展企业生态系统需要更强有力的监测和控制机制有些事，亘古不变前路在何方尾注联络我们124912171819 • 有三分之二的受访者1表示，在2020年至2021年期间其所在企业经历了1至10起网络攻击和数据泄露事件。仅一起网络安全事件就可能使整个企业陷入瘫痪，并对企业声誉、财务状况或运营产生破坏。 • 远程办公的快速发展增加了企业面临的生态系统安全挑战，即从管理一个网络增加到数百个网络（具体取决于远程办公的员工规模）。 • 是时候淘汰传统系统，积极应用最新的工具和技术以提供高效的在线和移动服务，从而在市场中脱颖而出。 • 数据隐私和安全以及人才稀缺是企业仍犹豫将核心IT基础设施升级至云技术的关键原因2。 • 首席信息安全官应当拥有更大的权限去影响所有业务条线、收集整个企业范围内的信息并与董事会成员、高级管理层和利益相关者进行公开和坦诚的对话。 • 创造新金融科技解决方案的热潮伴随着网络攻击的显著增加，针对金融应用程序的攻击同比增长了38%。3 • 扩展企业风险是一个残酷的现实，企业需要做好相关规划。企业对于第三、第四和第五方的依赖性可能继续增强，因此对实时监控的需求亦有所增加。 • 人为错误仍然是头号网络安全威胁。安全意识培训仍是重中之重，但这还远远不够，打造网络安全文化至关重要。 • 首席执行官和董事会愈发重视更先进的风险量化技术，将其与更广泛业务风险联系起来。摘要新风险催生新措施新冠疫情迫使许多员工进行远程办公，客户则要求几乎完全实现虚拟交互，金融机构不得不努力实现运营、分销和客户互动流程数字化。与此同时，网络安全专家也面临着迅速调整网络安全能力以应对不断变化的数字化需求的巨大挑战。虽然疫情可能最终会有所缓解，但混合办公模式和数字化趋势必会继续存在，金融机构需要从长远角度出发，去考虑如何完善这些应对措施，金融服务业正致力于通过加强网络防御来实现这一目标。然而，通过优先考虑数字化转型计划、确保现代化活动的网络安全和建立有韧性的数字化运营以构建新发展格局仍任重而道远。为了更好地了解企业如何应对这些新出现的压力，德勤调研了全球多个行业的近600名企业首席高管。4 本报告聚焦金融机构（包括银行业及资本市场、保险业、投资管理和房地产行业），从首席高管们给出的162份回复中，我们分析得出了四个结论，金融服务业的管理层可以利用这些结论来构建其网络安全计划、确定投资优先事项并分配预算： • 短期措施应迅速转化为长效机制 • 传统系统将逐步淘汰 • 扩展企业生态系统需要更强有力的监测和控制机制 • 有些事，亘古不变在本文的后续部分，我们将更详细地逐一探讨上述结论。远程办公和客户虚拟互动的趋势将如何推动数字化发展并改变金融服务业网络安全格局？1后疫情时代的网络安全 | 聚焦金融服务2受疫情影响，金融科技企业不得不加速推出多个项目以支持远程办公员工，协助各业务线提供数字化优先的产品和服务。为了跟上这些变化的步伐，企业需竭力适应完全不同的员工和客户互动模式，因此许多项目一直处于“测试或试点模式”。现在，既然混合型员工队伍和虚拟交互将继续存在，那么就不能再停滞于测试阶段——企业需要确定将哪些变化纳入长期考量，又有哪些挑战仍有待解决。担忧的理由已有足够的证据表明，企业需要向新的稳定状态转变。在过去的一年里，网络安全事件激增。根据身份盗窃资源中心（ITRC）的数据，数据泄露事件在2020至2021年间增长了17%。5 67%的受访者表示，其所在企业在过去一年中经历了1至10起网络攻击或数据泄露事件，另有15%的受访者表示其所在企业经历了11至15起此类事件。德勤《2021网络安全前瞻调研报告》亦支持上述发现。数据管理和边界保护的复杂性受远程办公增多的影响而不断加剧，已经成为影响金融服务业的最大挑战（图1）。这与此前几年的情况形成鲜明对比。在过去几年中，企业普遍认为快速变化的技术是网络安全管理的首要挑战。6刻不容缓受访者着重指出了网络攻击事件增加的几个潜在原因，包括事件检测和响应能力不足、网络和终端资产太过复杂而难以保护、未能正确识别风险、网络安全治理和职责不清晰，以及员工未能遵守网络安全政策。此前，企业通常使用端点检测与响应（EDR）以及安全监控来检测网络威胁。但随着全新运营模式的出现，企业需要更强有力的控制，包括严密监控访问控制并建立长期员工网络安全意识培训和合规性跟踪周期 （包括返回办公室的员工和计划继续远程办公的员工）。短期措施应迅速转化为 长效机制后疫情时代的网络安全 | 聚焦金融服务所有 金融服务行业银行业 及资本市场保险业投资管理房地产数据管理/边界和复杂性加剧11111更好地确定企业网络风险管理的优先顺序24322无法与快速的技术变革相匹配32235缺乏网络风险专业人才43662治理不足55444图1：贵企业在网络安全管理方面所面临的最大挑战是什么？资料来源：德勤《2021网络安全前瞻调研报告》3后疫情时代的网络安全 | 聚焦金融服务后疫情时代的网络安全 | 聚焦金融服务4虽然董事会和监管机构愈发重视网络安全，但随着全行业致力于提供高效的在线和移动服务并实现员工线上办公， IT团队需要进一步完善其基础设施。从积极方面来看，大部分所需的数字生态系统均已到位，可以迅速扩展。但是，在这一基础上，我们的调研7 结果表明，金融机构（尤其是大型机构）仍处于云技术应用的早期阶段。完善核心基础设施 对踏上转型之旅犹豫不决的部分原因在于对全面采用云技术的持续担忧，包括隐私和人才稀缺（图2）。同样，金融服务业受访者还表示，云环境的可见性和合规性是他们保护云应用程序和工作负载的首要考虑因素（图3）。因此，企业应当评估云就绪状态的控制措施，尤其是许多企业在仅勉强满足现有要求的情况下，仍需要达到预期的控制目标并建立适用于云的控制措施。由于传统的安全管理实践通常无法跟上数字化转型的步伐进而导致控制漏洞、合规性失误和安全风险加剧，前述必要措施因此变得更加复杂。为应对这些挑战，企业需要加强业务部门之间的协调、实现控制和控制测试自动化，并提高评估更广泛的潜在风险（ 包括扩大的攻击面、第三方风险和功能成熟度）的能力。传统系统将逐步淘汰 5图 2：下述什么类型的投资或要求会影响您对云安全的承诺？隐私问题专业人才预算经费治理与合规48%40%24%22% 资料来源：德勤《2021网络安全前瞻调研报告》图3：在保护云应用程序或工作负载时，您最关心的问题是什么？24%20%20%17%8%云环境的可见性配置错误缺陷安全政策一致性应用程序变更一致性合规性资料来源：德勤《 2021网络安全前瞻调研报告》后疫情时代的网络安全 | 聚焦金融服务后疫情时代的网络安全 | 聚焦金融服务6完善网络基础设施除关注核心系统以外，金融机构还应考虑改造其传统的网络安全基础设施。调研结果表明8，金融机构优先考虑通过云上规模化网络解决方案来提升其网络防御能力。例如，31%的受访者表示，其所在金融机构选择基于云端的身份即服务（IDaaS）解决方案，且更倾向于选择内部承包商采购、实施并提供持续的身份功能服务。但企业的优先事项排序在因领导层看法不