《馬紅杰-提升金融機構網絡安全成熟度(12頁).pdf》由會員分享,可在線閱讀,更多相關《馬紅杰-提升金融機構網絡安全成熟度(12頁).pdf(12頁珍藏版)》請在三個皮匠報告上搜索。
1、提升金融機構網絡安全成熟度:風險管理領先實踐馬紅杰馬紅杰 德勤中國風險咨詢網絡安全總監受訪企業成熟度報告背景介紹本調研由金融服務信息共享和分析中心(FS-ISAC)與德勤網絡風險服務共同完成。FS-ISAC是一家總部位于美國的行業聯盟,成員包括近7,000家金融機構,致力于降低全球金融體系中的網絡風險。通過對FS-ISAC下97家成員單位的調研,就如何應對網絡安全挑戰進行調研,旨在評估各家網絡安全預算和整體網絡風險管理是否達到了良好狀態。https:/ Informed)風險管理實踐由管理層批準,但沒有在整個組織中形成政策。(Repeatable)企業的風險管理活動獲得管理層的批準,并形成政策
2、與制度。(Adaptive)企業根據網絡安全活動中獲取的經驗教訓和預測指標,自動調整其網絡安全活動。來源:美,國家標準與技術研究院(NIST),“提升關鍵基礎設施安全框架”,2018年4月16日2014年2月12日,美國國家標準技術研究院(NIST)正式發布了提升關鍵基礎設施網絡安全的框架第1.0版本。2018年4月16日,美國國家標準與技術研究院(NIST)再次發布了提升關鍵基礎設施網絡安全的框架1.1版本。該框架側重于對美國國家與經濟安全至關重要的行業,旨在形成一套適用于該領域的安全風險管控的“通用語言”,針對關鍵基礎設施的安全風險管控的標準化實施給予指引,以幫助國家金融、能源、醫療保健等
3、關鍵系統更好第保護其信息和資產安全,抵御網絡攻擊。該框架強調用業務驅動引導網絡安全活動,將網絡安全風險作為組織風險管理流程的一部分。在框架的框架執行層級為組織提供了評估網絡安全風險的背景以及針對此種風險的現有管理流程??蚣軋绦袑蛹墢牡偷礁叻譃樗募?,1 級為“局部”,4 級為“自適應”,描述了網絡安全風險管理實踐的嚴格與復雜程度,以及網絡風險管理受業務需求的影響程度及其與組織的總體風險管理實踐的結合度。自適應級網絡安全成熟水平的特征 確保企業包括董事會及高級管理層的參與;提升網絡安全在企業內的重要程度。網絡安全可以在信息技術(IT)部門外獲得更高級別的關注和更強的影響力;對網絡安全的投入與公司業
4、務戰略保持緊密的協同一致。能夠整合這些基本特征,并以網絡安全行業領先實踐為參考的組織,將更有可能適應不斷變化的業務模式和應對來自日益白熱化的外部競爭格局的威脅。調查顯示,單靠資金的投入可能無法解決網絡安全問題,高昂的網絡安全支出并不意味著能轉化成更高的安全成熟水平。金融機構采用何種方式以更好的保護其數字資產安全,至少應與投入在網絡安全方面的資金數量同樣重要。NIST網絡安全成熟度框架中所定義的“自適應級”的公司具備以下特征:聚焦成本同行業不同特征的企業,在網絡安全方面的投入,可以為網絡安全及風險管理決策人員在安全預算及支出等方面,提供決策參考。不同規模不同規模的企業在網絡安全領域的支出差異明顯
5、。規模較小的企業需要加快腳步,才能趕上規模較大企業對網絡安全的投入。接受調查的小型企業在網絡安全方面的支出占其收入的比例(0.2%),幾乎僅為中型企業(0.5%)或大型企業(0.4%)的一半大型企業組織架構較復雜,通常需要提供更多的產品和服務,并需要同時考慮多個業務部門和交付渠道接受調查的小型企業在IT預算中用于網絡安全的比例(12%)高于大、中型企業(9%)小型企業已經意識到它們需要在網絡安全方面加大投入力度,以滿足網絡安全監管要求和運營需求大型企業將其約五分之一的網絡安全開支用于身份和訪問管理 這幾乎是中小型企業的兩倍;而中小型企業往往傾向在終端和基礎網絡安全上增加支出聚焦成本同行業不同特
6、征的企業,在網絡安全方面的投入,可以為網絡安全及風險管理決策人員在安全預算及支出等方面,提供決策參考。在金融行業的不同領域中,網絡安全支出也存在差異。銀行業受訪者表示,他們將約11%的IT預算用于網絡安全,略高于行業平均水平;保險和非銀行金融服務公司在網絡安全方面分配的預算低于行業平均水平(10%)金融設施機構(清算機構,交易所和結算公司等),其網絡安全預算投入最高,約占其整體IT預算的15%、總收入的0.75%金融服務提供商(金融產品/服務/應用程序),約占其IT總預算的11%和收入的0.60%就每位全職雇員人均網絡安全支出而言,非銀行金融服務公司支出金額大約為2,800美元,銀行(約2,0
7、00美元)保險公司(約2,200美元)金融設施機構(約3600美元)金融服務提供商(約2000美元)盡管按照網絡安全成熟度水平劃分,不同成熟度企業的網絡安全開支略有不同,但成熟度為自適應級公司在網絡安全上的花費并不一定高于樣本總體平均水平,這符合我們的核心主題即網絡安全工作如何計劃、執行和治理與其資金投入同等重要。那么,成熟度最高的自適應級公司在其網絡安全中所運用的管理與技術有何過人之處?領先的網絡安全管理的特征(一)這些自適應級企業可作為其他成熟度較低組織的模板和參考,成功效仿這些特征的金融機構可在短期內提高其網絡安全成熟度,并在長期內持續加強其網絡防御能力。低成熟度企業通過效仿自適應級企業
8、,還可以使CISO發揮其作為傳統的技術專家和監護人角色以外的職能,使其同時作為戰略專家和顧問投入更多時間,更好地支持業務部門、管理團隊和董事會實現運營目標。CISO和其他高管人員圍繞當前威脅和安全風險,對其業務產生的影響,對董事會和管理層進行了大力宣貫,有助提升管理層參與度。特征一:董事會和管理層在網絡安全方面的參與。NIST定義的具有自適應能力的企業,要求高級管理層將網絡風險和財務風險以及其他企業風險給予同等程度的重視與監控。缺乏管理層支持或資金不足是成熟度較低企業在管理網絡安全方面所面臨的最大挑戰。自適應級別的受訪企業的董事會和管理層,對網絡安全的關注不僅限于日常的工作匯報,而是幾乎對網絡
9、安全的所有領域感興趣??芍貜图壠髽I,管理層對總體安全策略、威脅和安全風險審查、網絡安全項目進展、安全漏洞、第三方泄露風險,以及安全測試結果審查有著更大的興趣。領先的網絡安全管理的特征(二)網絡威脅越來越被認為是企業所面臨的最關鍵的風險之一,今天的網絡安全挑戰也已經不僅僅是技術挑戰。成熟度更高的公司已經認識到需要提高信息安全重要程度,從而在進行相關決策時,能夠不受傳統IT考慮因素的約束和禁錮。特征二:在IT部門以外提升網絡安全影響。自適應級公司更有可能將網絡安全從IT中分離出來,有效提升企業網絡安全能力。大約一半自適應級企業(17個中的9個)實行完全獨立的一道防線和二道防線??芍貜图壒菊谂?/p>
10、將IT與網絡安全職能分開,但仍保持共同的匯報路線??芍獣约壍钠髽I更傾向于將網絡安全作為IT的一部分,并不打算將IT與網絡安全分開,賦予其單獨的身份??芍獣约壠髽I中,14個中只有2個建立了獨立的一、二道防線領先的網絡安全管理的特征(二)網絡威脅越來越被認為是企業所面臨的最關鍵的風險之一,今天的網絡安全挑戰也已經不僅僅是技術挑戰。成熟度更高的公司已經認識到需要提高信息安全重要程度,從而在進行相關決策時,能夠不受傳統IT考慮因素的約束和禁錮。特征二:在IT部門以外提升網絡安全影響。充分重視網絡安全并將其與IT獨立,也體現在自適應級企業的匯報路線中(圖9),其中更多的CISO報告給首席運營官(COO)
11、和首席風險官(CRO)。幾乎所有自適應級企業CISO的匯報級別不會低于首席執行官(CEO)兩級。在成熟度為可重復級企業中,3/4的匯報級別較低。在成熟度可知曉級企業中,2/3的匯報級別偏低。很少有CISO向總法律顧問或CCO報告。這表明金融機構的大多數網絡安全計劃已遠大于合規范圍;他們正承擔著更廣泛的網絡安全職能,負責打擊網絡風險,并且正在觸及企業的每個角落。對于大多數積極主動的CISO而言,下一步可能是在業務規劃和決策階段提供戰略支持。領先的網絡安全管理的特征(三)在當今日益數字化、數據驅動的世界中,日常業務活動從內到外在很大程度上依賴于技術。然而,新的技術也可能使企業面臨其他網絡威脅。特征
12、三:網絡安全與業務戰略保持密切協同自適應級企業似乎已經意識到在管理網絡安全的工作中,面臨的第二大挑戰是業務的增長與拓展。成熟度為可重復級企業面臨的第二大問題是提升公司網絡保護優先級。成熟度為可知曉級企業面臨的最大挑戰是缺乏管理支持和資金不足。將網絡安全策略更好地與業務戰略保持一致有助于CISO識別并應對新出現的風險。從一開始就將網絡安全專業人員納入戰略計劃和轉型項目,將有助于安全職能部門更好地管理企業整體網絡安全風險,促進企業內更大的合作和創新正如德勤2019年保險業展望報告中所指出的那樣,隨著保險公司增加云的使用以加速轉型和釋放資源,監管機構一直在擔心使用云可能導致的網絡安全問題,因為核心系
13、統和關鍵數據基本上被移到了第三方。德勤2019年全球銀行業和資本市場展望報告中指出“隨著人工智能應用中使用的數據越來越多,對數據保護和隱私考量可能會使企業的風險管理復雜性升級”,“與第三方供應商的互聯程度提高以及潛在的網絡風險增加也是日益受到關切的問題?!背掷m提升網絡安全成熟度方面的建議審視金融機構的網絡安全工作時,還有許多超出網絡安全成熟度的其他因素考量,企業規模就是其中之一(例如“企業規模決定差異化策略”);另一個則是企業所處行業。安全戰略:無論企業如何與其競爭對手相抗衡或開展競爭,網絡安全仍是所有金融機構必須持續開展的一項工作。安全組織:企業中無論誰最終對網絡安全負責或者如何構建網絡安全
14、治理體系,網絡安全意識、網絡安全職責和對應的問責機制都應成為每個金融機構內部職能的一部分。風險策略:CISO也應不斷積極主動的對潛在網絡安全風險進行預測,時刻準備應對即使是網絡安全成熟度較高的企業也應不斷提升其網絡安全的自適應能力。無論企業規模大小或成熟度高低,即使是自適應級企業,都在努力跟上IT快速發展的腳步和日益復雜化的技術系統,以保障其網絡安全,這也被認為是CISO所面臨的最大挑戰安全實踐:網絡攻擊將會變得更加嚴重和復雜,這要求金融機構具備更強大的響應能力。企業需要不斷提升網絡安全、人力和技術能力,從而達到保證網絡安全、提前預警和遇到攻擊快速恢復的目標方燁德勤中國金融服務業風險咨詢領導合伙人(中國大陸)+86 21 6141 1569 薛梓源德勤中國風險咨詢網絡安全合伙人+86 10 8520 7315 馮曄德勤中國風險咨詢網絡安全合伙人+86 21 6141 1575 姓名馬紅杰公司德勤中國聯系方式