1、重塑网络安全格局 数字化和新冠疫情提升 大型金融机构网络安全需求 金融服务行业研究中心致力于为美国金融服务业提供专业支持，凭借精深洞察和行业研究协助 银行、资本市场机构、投资管理公司、保险公司和房地产企业高级决策层做出最优决策。通过研究、 圆桌讨论会以及其他方式，提供中肯、及时且可靠的专业洞察，成为可受信赖的专业机构。 与我们联系 敬请访问 订阅 欢迎您在 关于金融服务信息共享与分析中心（FS-ISAC） 金融服务信息共享与分析中心是一致力于降低全球金融体系中的网络风险的行业联盟。为金融机构 及其客户提供服务。中心利用智能平台、丰富的资源和可信赖的专家网络来预测、减轻和应对网络 安全威胁。FS

2、-ISAC有近7,000家成员机构，户用遍及70多个国家。FS-ISAC总部设在美国，在英国和 新加坡设有办事处。敬请访问了解更多信息。如欲了解高管对未来金融、数据和网 络安全的观点及看发，敬请访问FS-ISAC洞察。 关于金融服务行业研究中心 pOpQoOpRqRsOoPmOmRoRqNaQdN6MoMrRpNnNkPmNnMiNqRwOaQpOtMxNpPtOxNnQoR 关于调研 2 主要观点 4 是时候给网络安全加把劲了 5 增加支出满足需求增长 6 数字化进程塑造大型金融机构网络安全计划 10 将网络安全与信息技术相结合，并保持其战略重要性 15 前进之道 18 尾注 20 目录 2

3、 重塑网络安全格局 本调研基于金融服务信息共享与分析中心 （FS-ISAC）与网络与战略风险服务在过去 三年中每年对其成员企业及CISO进行的调研。 最近一次调研于2019年末启动，于2020年1月 27日结束。调研结果根据调研公布的年份确定， 最新一份为2020年，之前分别是2019年和 2018年。 本调研考察了金融机构网络安全运营的多个环 节，包括组织和管理网络安全活动、首席信息 安全官（CISO）的汇报路线、预算、董事会对 CISO工作的关注程度，以及在财务方面应优先 考虑哪些网络安全领域等 (图 A)。 关于调研 资料来源：FS-ISAC/网络与战略风险服务CISO调查报告（2018

4、年、2019年及2020年）； 金融服务行业研究中心分析。 图 A 调研涵盖的网络安全项目内容 在过去的三年中，和FS-ISAC进行了一项调研， 以了解不同金融机构网络安全组织的状况。 组织概况运营模式风险概况和 风险管理策略 项目预算 3 数字化和新冠疫情提升大型金融机构网络安全需求 本报告对三年的调查结果进行了分析，旨在发 现金融行业网络风险趋势。 共有53家金融机构参与了调研究，代表了不同 收入水平 (图B)和金融子行业(图C，因受访机构 可分属多个子行业，故数量总和超过53）。此 外，每项调研的部分或全部受访者可能有所不 同。 注释：受访机构可多选。 图 C 受访金融机构所处行业 零售

5、/公司银行消费金融/非银金融服务保险 服务提供商（金融产品/服务/应用程序）金融设施（清算公司、交易所、支付平台等)信用社 IT 或信息安全管理服务供应商贸易联合会 24 20 17 9 7 22 1 资料来源：FS-ISAC/网络与战略风险服务CISO调研报告（2020年）；金融服务行业研究中心分析。 注释：大型机构（销售收入大于20亿小于50亿美元） 、 巨型机构（销售收入大于50亿小于300亿美元） 、 超大型机构（大于300亿美元） 资料来源：FS-ISAC/网络与战略风险服务CISO调研 报告（2020年）；金融服务行业研究中心分析。 图B 受访金融机构，按销售收入划分 59% 小型

6、 ( 20亿美元) 中型 (5亿20亿美元) 59% 26% 15% 31 14 8 4 主要观点 受访者表示网络安全支出正在增加，身份和访问管理、网络安全监控和运维、以及终端和通信 网络安全支出比重相对更高。 受访者表示在过去的三年里，快速且日益复杂的信息科技变化是他们在网络安全方面的最大挑 战。为了帮助有效控制不断增加的网络安全风险，公司应考虑在更广泛的IT服务建设过程中以 数字化方式启用网络安全功能，而且在技术开发时采用“设计安全”原则也有助于金融机构创 造更安全的产品。 大多数来自大型金融机构的受访者表示，网络安全通常是IT职能的一部分， 首席信息安全官 （CISO）通常向所在公司的首

7、席信息官（CIO）或首席技术官（CTO）汇报。这反映了网络安 全与信息技术紧密结合的需求。 同时，金融机构可能希望在网络安全方面保持一定程度的独立性，这有助于确保风险管理决策 不受信息技术限制的影响。 受访者指出云计算、数据分析、机器人流程自动化等新兴技术已经成为网络安全投资最高优先 级。而访问控制、安全保护技术和数据安全被强调为基础的投资。 随着数字化与远程办公的加速，员工、客户、承包商及合作伙伴/供应商之间的界限正变得越来 越模糊，传统网络的范围和边界也被弱化了。用户、工作负载、数据、网络以及设备已是无处 不在。“零信任”概念的出现使得现代企业强制实施“最小权限”原则以应对无处不在的授权

8、访问风险。 重塑网络安全格局 5 大 多数金融机构目前已经在稳步推进数 字化转型。出于对效率的追求以及不 断提高的客户期望，各种体量的金融 机构的运营都已经在走向数字化。在金融服务 领域中，转型速度通常会因为公司对变化、灵 活性和规模以及其他因素的准备程度而有所 不同。 在过去的几个月里，新冠疫情迫使许多公司加 快了数字化的步伐。随着办公室的关闭和行动 受限，迫使每个人和所有可能转为线上的工作 都转成线上操作。许多机构不得不在运营、交 付和客户参与方面更全面的接受数字化转型。 然而，这种突然的转变为许多负责保护公司数 字资产的首席信息安全官（CISO）和网络安全 团队带来了很多的问题。在大多数

9、员工远程办 公的同时，黑客和网络诈骗分子则试图利用不 断进化的技术扩大攻击面。今年4月，纽约金融 服务部强调，与新冠疫情爆发相关的网络犯罪 量显著增加。1 当务之急：金融机构应以数字化方式使其网络 安全职能与快速变化的信息技术转型保持同步， 并保护关键资产免受日益严重的网络威胁和攻 击。网络与战略风险服务团队和金融服务 信息共享与分析中心（FS-ISAC）连续第三年调 研FS-ISAC成员机构如何应对网络挑战。（最近 的一次调研时间为2019年末到2020年1月，调 研结果将在2020年调研报告中发布。我们根据 出版年份：2020年，2019年和2018年向大家 列示调查结果。）（请查阅“关于

10、调研”章节 以了解更多调研详情。） 年度调研探讨了金融机构如何构建和管理其网 络安全，以及在组织模式、支出方式、外包和 投资重点等方面的不同选择。 在过去的三年里，网络安全一直作为金融机构 优先发展事项不断地分配到更多的资源，金融 机构提高了董事会对网络安全的参与度，并取 得与信息技术和业务优先级相匹配的投资。报 告同时指出大型金融机构几种关键网络风险管 理趋势，以及未来在新冠疫情之后给不同规模 金融机构带来的影响。 是时候给网络安全加把劲了 数字化和新冠疫情提升大型金融机构网络安全需求 6 重塑网络安全格局 金 融机构网络风险管理中最重要的一个 工作是为机构配置充足的网络安全资 源。对许多机

11、构来说，网络攻击的年 平均成本一直在增加。2 因此，参与调研的金融 机构在网络安全支出比上一年有所增加并不意 外。(图 1). 最近一次调研的受访机构平均将其IT预算约 10.9%用于网络安全，高于前一年的10.1%。 这一比例平均约为金融机构收入的0.48%，高 于此前的0.34%。受访机构平均为每位全职员工 在网络安全方面的支出约为2,700美元，高于去 年的2,300美元。 与此同时，不同类型金融机构网络安全支出在 不同基准上发生了显著变化。(图 2)。 尽管支出有所增加，但在三年的调研中可以看 到，金融机构的预算分配在很大程度上保持了 一致。在最新调研中，网络安全监控和运维、终 端和通

12、信网络安全以及身份和访问管理总共占 据了超过50%的支出比重。(图3)。 增加支出满足需求增长 0.34% 占总收入 的百分比 0.48% 占总体 IT 支出的百分比 10.1% 10.9% 平均每个员工 的支出 US$2,691US$2,337 20192020 图 1 金融机构在网络安全方面持续 加大投入 网络安全总体支出对比 资料来源：FS-ISAC/网络与战略风险服务CISO调研报告 （2019年及2020年）；金融服务行业研究中心分析。 Deloitte Insights | 7 数字化和新冠疫情提升大型金融机构网络安全需求 Deloitte Insights | 资料来源：FS-I

13、SAC/网络与战略风险服务CISO调研报告（2019年及2020年）；金融服务行业研究中心分析。 图 2 不同类型金融机构网络安全支出 2020 零售/公司银行 2019 消费金融/非银金融服务 保险 服务提供商 金融设施 总计 0.3% 10.1% US$2,074 0.3% 9.7% US$2,817 0.3% 9.3% US$2,245 0.6% 8.9% US$1,956 0.8% 15.2% US$3,630 0.3% 10.1% US$2,337 0.6% 9.4% US$2,688 0.4% 10.5% US$2,348 0.4% 11.9% US$1,984 0.6% 7.2%

14、 US$3,226 0.8% 8.2% US$4,375 0.5% 10.9% US$2,691 占营收比例占 IT 支出比例平均为每位员工支出 注释：由于数据四舍五入，百分比加总之和可能不等于100%。 资料来源：FS-ISAC/网络与战略风险服务CISO调查报告（2018年、2019年及2020年）； 金融服务行业研究中心分析。 网络监控和运维终端和网络安全身份和访问管理 网络安全治理应用和数据保护第三方/供应商安全管理 网络弹性其它 图 3 不同网络安全领域的预算分配在很大程度上与去年保持了一致， 但也有一些显著变化 调研机构在不同网络安全领域的预算分配情况 19% 20% 21% 18

15、% 18% 15% 16% 14% 11% 13% 10% 12% 12% 10% 11% 10% 8% 9% 8% 10% 12% 6% 9% 8% 2020 2018 2019 8 重塑网络安全格局 网络安全支出增加的另一个原因是董事会和高 管团队承受的压力越来越大，这使得他们对网 络安全的关注相应提高（图 4）。 根据与 客户的交流，能够不断完善并向董事会阐明网 络安全价值主张的CISO们更有可能确保董事会 对网络安全的参与。 图 4 大多数网络安全领域都受到董事会和管理层的极大关注 受调研金融机构中最受董事会/管理层关注的网络安全领域 2020 20192018 76% 86% 88%

16、 72% 75% 70% 63% 61% 65% 59% 55% 50% 57% 57% 30% 13% 14% 25% 26% 35% 25% 14% 18% 8% 6% 2% 45% 42% 43% 总体安全战略 审查当前的威胁和安全风险 项目进展 审查机构是否容易受到其他组织的公开攻击 审查安全测试结果 安全预算 安全技术 安全政策 审查安全组织的角色和职责 其它 95% 资料来源：FS-ISAC/网络与战略风险服务CISO调查报告（2018年、2019年及2020年）；金融服务行业研究中心分析。 9 数字化和新冠疫情提升大型金融机构网络安全需求 董事会的参与不再仅限于战略或运营领域。安

17、 全技术已从2018年调研的第九名上升到2020年 调研的第七名，这表明董事会对了解网络安全 的技术方面越来越感兴趣。类似的，与过去相 比，董事会对审查安全组织的角色和职责越来 越感兴趣。这恰恰证明了一个不断被强调的观 点，即网络安全是每个人的职责，而不仅仅是 CISO的责任。 与网络风险管理相对不成熟的机构相比，认为 其机构网络安全更成熟的受访机构董事会和管 理层对网络安全的几乎所有领域都更加感兴趣。 这突显了董事会参与的重要性。 展望未来，鉴于新冠疫情所导致的严峻的宏观 经济形势，许多金融机构可能会认真考虑是否 需要全面削减开支。然而，金融机构在削减网 络安全预算之前应尤为慎重。考虑到数字

18、化的 不断推进和远程工作环境带来的挑战，以及内 部威胁的增加，大多数金融机构所面临的网络 安全风险正在加剧。3 10 重塑网络安全格局 技 术是金融机构所有工作中的一部分， 但跨业务采用新技术会增加网络风险。 因此，受访机构将IT的快速变化和复 杂度的增加列为过去三年网络安全管理的首要 挑战（图5）并不意外，而第二大挑战则是在如 此快速发展的IT环境中缺乏有经验的网络专业 人员来帮助维护系统安全。 数字化进程塑造大型金融机构 网络安全计划 资料来源：FS-ISAC/网络与战略风险服务CISO调查报告（2018年、2019年及2020年）； 金融服务行业研究中心分析。 图 5 网络安全管理面临的

19、挑战 受访金融机构选出的大型金融机构五大挑战 202020192018 IT 的快速变化和 复杂度的增加 缺乏有经验的 网络专业人员 在安全解决方案功能和互操作性 不足的情况下，难以确定保护 机构网络安全工作优先级 更关注合规， 较少关注网络风险管理 对网络风险和安全的 理解不足 IT 的快速变化和 复杂度的增加 缺乏有经验的 网络专业人员 更关注合规， 较少关注网络风险管理 业务增长 和扩张 难以确定保护机构 网络安全优先级 IT的快速变化和 复杂度的增加 缺乏有经验的 网络专业人员 业务增长 和扩张 在安全解决方案功能和互操作性 不足的情况下，难以确定保护 机构网络安全工作优先级 难以确定

20、保护机构 网络安全优先级 1 2 3 4 5 11 数字化和新冠疫情提升大型金融机构网络安全需求 与此同时，金融机构普遍已将关注重点转向疫 情的应对和恢复。因此在2019年报告中受访金 融机构提出业务增长和扩张这一挑战可能会暂 时消退。 首要业务问题及其安全影响 越来越多的金融机构正在使用新兴技术来创新 和开发新的产品、服务和数字渠道。但这些关 键的驱动因素可能会成为其他网络攻击的目标。 因此，在接受调查的大型金融机构中，将网络 安全嵌入新产品和服务以及嵌入新渠道仍然是 最重要的两个涉及安全影响性的业务问题(图 6)。 新产品和服务: 目前，金融机构经常在产品和服 务创新方面与金融科技公司展开

21、竞争和合作。 当公司努力抢占市场先机时，这些创新往往需 要足够的敏捷性和灵活性才能取得成功。公司 在设计、构建和利用创新时应确保采取足够的 预防措施，因为在任何一个阶段都可能出现新 的网络安全威胁。一个组织的网络安全职能所 面临的挑战是建立与所承担的额外风险相匹配 的控制措施，而不是成为创新的障碍。 新渠道：金融机构通常会寻求更新、更简单的 方式与客户开展业务，但新渠道可能会伴随其 自身的一系列网络安全脆弱性。 资料来源：FS-ISAC/网络与战略风险服务CISO调查报告（2018年、2019年及2020年）； 金融服务行业研究中心分析。 图 6 对大型金融机构而言，将安全性嵌入新产品和服务以

22、及新渠道仍是其 最为关注的两大业务安全性问题 大型金融机构受访者最为关注的三大业务安全性问题 202020192018 将安全性嵌入 新产品和服务 新渠道 （数字化、移动端） 财务领域 新任命 将安全性嵌入 新产品和服务 新渠道 （数字化、移动端） 降低 成本 将安全性嵌入 新产品和服务 新渠道 （数字化、移动端） 降低 成本 1 2 3 12 重塑网络安全格局 以增强现实或虚拟现实（AR/VR）为例。即使 金融机构尝试使用AR/VR与客户进行交互，黑 客也已经设计出复杂的网络攻击来危害AR/VR 应用程序和设备安全，这可能会对金融机构造 成严重的物理或财务损失。传统的网络安全控 制可能不太适

23、合防范这类攻击。 网络安全职能部门应评估数字化需求并加强其 控制以适应和保护这些新的数字渠道。公司还 应考虑采用“安全设计”原则，即在新渠道设 立和运营时，开发定制的安全控制措施，并将 其嵌入到新渠道的核心结构中。 降低成本 已经成为很多受访机构重要关注点 之一，甚至在新冠疫情的影响成为另一个担忧 之前, 在过去的两次调查中都排名第三。 在未来，降低成本在后 疫情时代中可能变得更 加重要。在经济复苏的 前景下，许多公司将面 临削减开支的压力，这 意味着要采取可能的措 施，如调整人员结构、 部分员工继续远程工作 减少办公空间，以及增 加对自动化或云计算功 能的使用等。 金融机构应仔细评估为降低运

24、营成本而采取的 行动对网络安全的影响。考虑采取整改措施， 确保降低成本的举措不会使机构面临额外的网 络风险，例如内部安全威胁。 CISO也可能会被要求提出成本管理方面的建议。 他们可以考虑使用选择性外包或提高自动化程 度以支持机构的降本计划（例如，通过将数据 和/或系统安全地迁移到云端）。 新兴技术推动 网络安全的投资重点 大型金融机构的受访者表示，在过去的三年里 云技术一直是他们希望投资的第一大新兴技术 （图7）。许多机构已经在云端拥有相当一部分 的IT基础设施，而接下来则要考虑核心业务应 用程序的迁移。许多机构还直接在云上开发和 部署了新应用程序。 与此同时，云服务提供商正在通过 “分析即

25、服 务” 和”自动化即服务”来 扩充其产品。调查结果与这一 趋势一致：大多数机构有意 增加采用”软件即服务”和” 平台即服务”的能力。然而， 随着越来越多的数据和应用 程序转移到传统的安全范围 之外，网络攻击的风险也在 随之增加。4 数据和分析是受访机构重点 关注的第二大新兴技术。由于 金融机构可以访问客户个人敏感信息，数据泄 露可能会对金融机构声誉造成重大影响。许多 机构依赖于对专有数据的洞察与第三方数据供 机构应考虑采取整 改措施，以确保降 低成本的举措不会 使机构面临额外的 网络风险，例如内 部安全威胁。 13 数字化和新冠疫情提升大型金融机构网络安全需求 应商的集成。保护数据对于满足客

26、户数据安全 和隐私的期望以及满足监管要求都至关重要。 与此同时，监管机构已经注意到企业收集和存 储了大量个人数据，这些数据具备可恢复性和 数据完整性。监管机构为此建立了数据保护准 则，如欧洲通用数据保护条例（GDPR），5美 国联邦金融机构检查委员会的网络安全概况6以 及加利福尼亚州消费者隐私法案。7这些监 管举措使数据保护成为网络安全防控的重点领域。 人工智能/认知技术排名第三，机器人流程自动 化排名第四，可以看出先进的自动化和机器学 习技术为企业提供了一套新的解决方案，可以 帮助其转变运营方式并降低成本。 虽然金融机 构可以在开发和培训过程中采取预防措施，但 这些技术仍在不断发展，用户也在

27、逐渐习惯于 图 7 参与调研的大型金融机构数字化投资优先级最高的是 云、数据分析和自动化 大型金融机构受访者五大新兴技术优先级 202020192018 云 数据分析 移动技术 人工智能/认知计算 机器人流程自动化 云 数据分析 移动技术 机器人流程自动化 人工智能/认知计算 云 数据分析 人工智能/认知计算 机器人流程自动化 移动技术 1 2 3 4 5 资料来源：FS-ISAC/网络与战略风险服务CISO调查报告（2018年、2019年及2020年）； 金融服务行业研究中心分析。 14 重塑网络安全格局 使用机器人解决方案进行工作。这些机器人拥 有用户权限，可以访问敏感的企业数据和自动 化

28、处理系统。这意味着黑客有了一个全新的攻 击面，可以用来渗透进入组织的系统。尽管自 动化技术拥有巨大的潜力，但在开发、培训和 使用过程中，会增加企业的网络安全脆弱性。 金融机构应努力解决所有这些潜在的问题。 从大型金融机构的投资优先级中可看出，网络安 全团队越来越注重防范与新兴技术相关的安全 漏洞(图表 8)。 自从引入共享计算和大型计算机以来，网络安 全人员一直在探讨身份和访问管理问题。这仍 是一个重点优先事项。在一个越来越 依赖云原 生和API连接的世界中，访问控制再次成为优先 事项，这些技术扩展了身份和设备的类型，从 而产生了更多身份类型和新的身份验证要求。8 在一个日益自动化的环境中，这

29、种能力对于保 护一个组织至关重要的，也愈加复杂。 同样，数据安全和保护技术可以在防止数据损 坏和拒绝服务攻击方面发挥重要作用。 随着行业发展，数字化步伐只会加快，数字化 应继续成为影响和优先考虑网络安全投资和能 力的关键驱动力。未来，应将网络安全功能完 全整合到公司的数字化进程中，并将网络安全 作为转型项目的核心考虑因素。 资料来源：FS-ISAC/网络与战略风险服务CISO调查报告（2018年、2019年及2020年）； 金融服务行业研究中心分析。 图 8 新兴技术正在推动受访机构优先考虑网络安全 大型受访金融机构五大国家标准与技术研究院（NIST）投资重点 202020192018 安全持

30、续监控 访问控制 异常和事件 检测流程 数据安全 防护技术 访问控制 异常和事件 数据安全 检测流程 访问控制 防护技术 数据安全 检测流程 异常和事件 1 2 3 4 5 15 从 网络安全架构、汇报机制到建立网络 安全支出的重点领域，金融机构在用 不同的方式管理和实施网络安全计划。 并结合自身目标采取用混搭的方式进行。 从受访的大型金融机构对网络风险管理组织架 构的反馈中我们可以看到，在不断变化的环境 下，许多金融机构正将网络安全计划与技术变 革紧密联系起来，以有效控制不断出现的网络 风险。大多数受访机构将网络安全作为其IT架构 的一部分(图9)。 将网络安全与信息技术相结合， 并保持其战

31、略重要性 数字化和新冠疫情提升大型金融机构网络安全需求 网络安全是IT架构的一部分 IT和网络安全人员共同承担安全责任 IT和网络安全职能是独立的，但具有共同的报告线 网络安全从IT职能中完全独立 图 9 超半数受访大型金融机构表示网络安全是其公司IT架构的一部分 受访大型金融机构网络安全与IT的集成度 2020 20192018 56% 12% 24% 8% 44% 19% 19% 17% 56% 28% 39% 22% 资料来源：FS-ISAC/网络与战略风险服务CISO调查报告（2018年、2019年及2020年）； 金融服务行业研究中心分析。 16 网络安全和信息技术目标之间的密切配合

32、也反 映在调查对象的汇报架构中。在对大型金融机 构CISO的调研中，有62%的CISO向首席信息官 （CIO）或首席技术官（CTO）汇报，较去年的 38%大幅上升，而前年仅为20%(图 10)。 通过将网络安全与IT职能紧密结合，金融机构 可以更好、更快、更有效的方式应对新出现的 网络风险，帮助其IT合作伙伴变得更加敏捷。 虽然网络安全的第一道防线往往通过共同的汇 报路径与技术职能紧密结合，但安全人员通常 有明确的角色和职责分工。在第二道防线中， 网络安全通常只是技术或风险职能的一部分， 没有明确设定的要求、角色或责任。 因此，金融机构应通过明确的角色和职责分工 界定第一和第二道防线上网络安全

33、与技术或风 险职能间的区别。 保持网络安全的战略重要性 网络威胁和攻击不再仅仅是一种技术风险，也 是业务风险。9这就是为什么网络安全职能应该 有拥有足够的独立性和重要性。这有助于确保 与风险管理相关决策得到充分的考虑，而不受 其他IT考量或约束的影响或蒙蔽。 如果网络安全是IT的一部分，它将缺乏可预见 性并对实际业务线联系不足。与此同时，CISO 重塑网络安全格局 CIOCTO 资料来源：FS-ISAC/网络与战略风险服务CISO调查报告（2018年、2019年及2020年）； 金融服务行业研究中心分析。 图 10 超半数的CISO向CIO或CTO汇报，反映了网络安全与IT目标之间紧密结 合的

34、必要性 参与调研的大型金融机构CISO向CIO或CTO汇报的比例 4% 16% 20182019 9% 29% 2020 10% 52% 17 向CIO报告，将受到来自其他利益相关对平衡 风险和业务优先级的影响。 因此，金融机构应考虑采取具体措施在业务线、 风险合作伙伴和网络安全之间建立联系。通过 设立指导委员会、雇用业务信息安全官 （BISO）和其他方式来实现。这些措施也有助于 使网络安全与未来业务计划保持一致(图 11)。 最后，金融机构应努力确保董事会和管理委员 会将网络安全放在其议程的首位。如前所述， 拥有一个积极参与的董事会可以帮助整个组织 专注于管理网络安全风险的挑战，同时确保分

35、配到足够的资源。董事会的监督应该是持续的， 而不仅仅在初期或发生网络安全事件时才予以 监督。 数字化和新冠疫情提升大型金融机构网络安全需求 资料来源：金融服务行业研究中心分析。 图 11 网络安全如何在IT内部保持独立性？ 保持风险管理决策的 自主权 风险管理决策已得到适 当考虑，不会被IT约束所 限制 建立网络安全与业务 之间的联系 业务与网络安全建立联系 有助于使网络安全计划与 业务计划保持一致 在董事会层面提升 网络安全优先级 建立由CISO主持的网 络风险指导委员会有 助于增加董事会的参 与度 18 新 型疫情严重扰乱了金融机构及其在全 球范围内的运作方式。远程工作显著 增加，视频会议

36、和团队协作应用程序 的使用激增。这些变化可能不会随着公司业务 恢复正常运转而消失。实际上，最近的一 份报告发现，许多金融机构正在评估让至少部 分员工永久性远程办公。根据与行业领导人的 交流，一些机构正在考虑让其30%或更多的员 工永久性远程办公。10 网络安全组织需要通过实施增强型控制和终端 保护技术对终端用户设备进行更好的控制，从 而迅速适应这种新的操作环境。金融机构应该 考虑增加培训和提高安全意识的活动，关注居 家远程办公的网络安全环境。 随着员工、客户、承包商和合作伙伴/供应商之 间界限的模糊，组织的边界已基本消失，金融 机构应考虑实施“零信任”原则。这意味着每一 个涉及数据流的事务，无

37、论是通过网络、应用 程序、用户、设备还是负载，都要受最小权限 访问控制。 金融机构还应将其网络安全职能数字化，以提 高敏捷性和自动化程度。将安全设计原则融入 IT服务建设，并将网络安全需求嵌入软件开发 生命周期的架构和设计阶段，帮助机构在不断 变化的网络安全威胁面前保持领先。 CISO不应将目光从长远目标上移开，这些目标 包括与公司的战略重心保持一致、人才管理挑 战以及解决监管之类的外部问题。这种广泛的 前进之道 资料来源：金融服务行业研究中心分析。 图 12 维护网络安全的业务价值 提升CISO价值主张 的方法 关注人才： 关键资源风险、文化 与公司战略重心保持一致： 预算、产品、韧性 解决

38、外部问题： 威胁、监管机构 重塑网络安全格局 19 参与可以凸显网络安全为金融机构带来的价值 (图 12)。不管使用什么样的运营模式，管理层 的参与都对确保网络安全的良好实施起到至关 重要的作用。 证明网络安全的业务价值 有效的网络安全计划可证明其具有业务价值。 为了帮助确保网络安全的价值得到最高管理层 的充分理解和关注，CISO可以从以下几点着手： 1. 与公司战略保持一致 CISO应加强和建立网络安全能力，以更 广泛的支持企业的业务和技术战略和目标。 网络安全团队应通过实施必要的网络安 全控制来对公司的降本行动予以支持。 安全团队应支持网络安全弹性之外的项 目（如业务连续性计划和灾难恢复）

39、， 重点关注实现运营韧性。 网络安全职能部门应支持外包战略，帮 助选择更具韧性并能满足稳定服务水平 的第三方。 2. 外部因素 监管要求会更多集中在通过诸如第三方 现场评估要求等活动增强企业韧性。 国际社会对疫情的反应可能会增加地缘 政治风险，进而影响企业的全球运营以 及威胁环境。需要安全团队时刻准备快 速适应瞬息万变的情况。 在新冠疫情爆发之前，威胁环境的体量 和速度都在迅速增加。CISO可增强安全 运营中心的自动化水平和协调性以确保 不会浪费CISO或管理层的宝贵时间。 3. 注重对人才的支持 人才短缺是一个长期的挑战，随着世界 从疫情中缓慢恢复，某些因素也会变得 重要，例如团队成员的健康

40、、远程办公 安排以及包括安全运营中心和会议室在 内的办公场所再设计。 CISO应通过交叉培训团队成员，减少对 工具或流程具有丰富知识的特定人员的 依赖。 CISO及其领导团队应努力在其网络安全 组织中建立和维护积极、充满活力的工 作文化。这对于吸引和留住最优秀的人 才至关重要。 虽然给当前的运营环境带来了巨大的的挑战， 但CISO应专注于更广泛、更长期的组织目标和 计划。这将有助于确保网络安全时刻做好准备， 紧跟未来变革。 数字化和新冠疫情提升大型金融机构网络安全需求 20 1. Peter Baldwin, “New York Department of Financial Services

41、 issues new guidance regarding COVID-19 cybersecurity risks,” National Law Review 10, no. 176 (2020). 2. Iman Ghosh, “This is the crippling cost of cybercrime on corporations,” World Economic Forum, November 7, 2019. 3. Deloitte, “COVID-19 executive cyber briefi ng: Read the latest,” May 20, 2020. 4

42、. Aaron Brown and Mark Campbell, Cloud cyber risk management: Managing cyber risks on the journey to Amazon Web Services (AWS) solutions, Deloitte, 2017. 5. Andrew Rossow, “The birth of GDPR: What it is and what you need to know,” Forbes, May 25, 2018. 6. Dave Kovaleski, “FFIEC backs Cybersecurity P

43、rofi le tool for fi nancial institutions,” Financial Regulation News, August 30, 2019. 7. Devon Coldewey, “The California Consumer Privacy Act offi cially takes eff ect today,” TechCrunch, January 1, 2020. 8. Aaron Brown et al., Cloud and identity and access management: How to do identity and access

44、 management in Amazon Web Services, Deloitte, 2019. 9. Tommy Viljoen, Cybercrime is not just a tech problem, Deloitte, accessed June 24, 2020. 10. Francisco J. Acoba, Darin Buelow, and Tina Witney, COVID-19 return-to-the-workplace strategies: Emerging lessons and key questions for fi nancial service

45、s leaders, Deloitte Insights, May 15, 2020. 尾注 报告联合作者 Nikhil Gokhale 在此对 Meghana Rajiv Kanitkar, Sriram Balakrishnan, Prachi Ashani, Sanjay Vadrevu, Surya Kiran Sharma, Yashvardhan Kabra, 以及其他对本调研的编制提供 有益帮助的人员表示感谢。报告作者特此感谢 金融服务信息共享与分析中心（FS-ISAC） 对实地调研 和分析工作作出的贡献。 本报告原名Reshaping the cybersecurity lan

46、dscape How digitization and the COVID-19 pandemic are accelerating cybersecurity needs at many large fi nancial institutions， 由中国金融服务业风险咨询团队进行翻译。 致谢 重塑网络安全格局 21 Julie Bernard | Julie Bernard 是风险与财务咨询合伙人，同时是美国银行与资本市场网络与战略风险服务 主管合伙人。拥有超过25年服务为全球顶级金融机构业务流程和信息技术相关领域服务经验。Julie 在安全策略、隐私、消费者认证、欺诈预防和威胁管理方面有

47、着广泛的经验，助力客户更安全、警 觉和有韧性的应对越来越多的网络威胁和越来越复杂的技术问题。Julie是高层女性论坛前董事会成 员，目前是FS-ISAC顾问委员会成员。Julie毕业于威斯敏斯特学院(Westminster College)获得音乐和 工商管理学士学位，在伦斯勒理工学院(Rensselaer Polytechnic Institute)获得金融MBA学位。 Deborah Golden | Deborah Golden是Deloitte & Touche LLP合伙人，同时是风险与财务咨询美国网络与战略风 险服务主管合伙人。在过去六年中，Golden担任政府与公共服务（GPS）

48、网络风险服务主管合伙 人，以及GPS咨询市场主管合伙人、GPS福祉领导合伙人以及和一主要联邦政府医疗保健供应商主 管合伙人。Golden在多个行业的信息技术领域拥有超过25年服务经验，深入关注政府和公共服务、 生命科学和医疗保健以及金融服务领域。给予客户网络安全、技术转型、隐私和监管方面的帮助。 Mark Nicholson | Mark Nicholson是Deloitte & Touche LLP合伙人，是风险与财务咨询网络与战略风险服务金融 服务行业主管合伙人。Nicholson致力于帮助机构复杂的企业更好的利用先进技术建立网络风险防范 项目，使网络风险投资与风险优先级更好地结合起来，增强风险预警并助力客户加强面对网络安全 事件的应对能力。 关于作者 数字化和新冠疫情提升大型金融机构网络安全需求 2222 联络我们 Julie Bernard 合伙人| 风险