德勤报告：提升金融机构网络安全成熟度 (附下载)

如今，数字化与物理技术的连接更加紧密。如何及时识别并积极应对网络安全风险，对于金融机构而言至关重要。德勤携手金融服务信息共享与分析中心（FS-ISAC）发布了德勤网络风险服务首席信息安全官（CISO）年度调研与分析报告（第二期），通过对FS-ISAC各成员单位就如何应对网络安全挑战进行调研，旨在评估各家网络安全预算和整体网络风险管理是否达到良好状态。

本次调研共有97家企业参与，覆盖了不同规模企业和所有金融子行业。考察了金融机构网络安全运营的多个环节，包括组织和管理网络安全活动，CISO汇报路线，董事会对CISO工作的关注程度，以及在财务方面应优先考虑哪些网络安全领域等。

此次调研识别出已达到美国国家标准与技术研究院（NIST）网络安全成熟度框架中所定义的最高等级“自适应级”企业所具备的核心特征:

确保企业包括董事会及高级管理层的参与;

提升网络安全在企业内的重要程度。网络安全可以在信息技术（IT）部门外获得更高级别的关注和更强的影响力;

对网络安全的投入与公司业务战略保持紧密协同。

网络安全成熟度水平

聚焦成本

基于调研回复统计，企业将IT预算的6%到14%用于网络安全，平均用于网络安全费用为IT总预算的10%；相比企业总收入，这一数字约为0.2%到0.9%，平均约为0.3%；若分析人均网络安全支出，受访者为每位全职或同等员工支付1,300至3,000美元，平均则2,300美元。

金融机构平均网络安全支出（总样本）

不同规模的企业在网络安全领域的支出差异明显。小型企业在网络安全方面的支出占其收入的比例(0.2%)，几乎仅为中型企业(0.5%)或大型企业(0.4%)的一半。尽管小型企业全职员工人均网络安全支出2,100美元与中型企业相当，但远低于大型企业的2,700美元。这可能是因为大型企业组织架构较复杂，通常需要提供更多的产品和服务，并需要同时考虑多个业务部门和交付渠道。

接受调查的小型企业在IT预算中用于网络安全的比例(12%)高于大、中型企业(9%)。这或许表明小型企业意识到它们需要在网络安全方面加大投入力度，以满足网络安全监管要求和运营需求。

通过进一步分析发现大型企业将其约五分之一的网络安全开支用于身份和访问管理 – 几乎是中小型企业的两倍；中小型企业更倾向在终端和网络安全上增加支出。

金融机构平均网络安全支出，按企业规模分析

领先网络安全管理特征

特征一：董事会和管理层在网络安全方面的参与

NIST定义的具有自适应能力的企业，要求高级管理层将网络风险和财务风险以及其他企业风险给予同等程度的重视与监控。这与我们的调查结果一致，即缺乏管理层支持或资金不足是成熟度较低企业在管理网络安全方面所面临的最大挑战。我们分析发现，除了高管以外，那些自评估成熟度在自适应级别的受访企业的董事会和管理层，对网络安全的关注不仅限于日常的工作汇报，而是几乎对网络安全的所有领域感兴趣。相比之下，网络安全成熟度最低的公司的董事会和管理层似乎对网络安全活动毫无兴趣。

特征二：在IT部门以外提升网络安全影响

调查结果显示，自适应级公司更有可能将网络安全从IT中分离出来，有效提升企业网络安全能力。可重复级公司正在努力将IT与网络安全职能分开，但仍保持共同的汇报路线。可知晓级的企业更倾向于将网络安全作为IT的一部分，并不打算将IT与网络安全分开，赋予其单独的身份。大约一半自适应级企业（17个中的9个）实行完全独立的一道防线和二道防线，而在可知晓级企业中，14个中只有2个建立了独立的一、二道防线。

更成熟的网络安全管控模式正向着将网络安全从IT中独立出来的方向发展

充分重视网络安全并将其与IT独立，也体现在自适应级企业的汇报路线中，其中更多的CISO报告给首席运营官（COO）和首席风险官（CRO），而不是首席信息官（CIO）和首席技术官（CTO）。调研还发现，几乎所有自适应级企业CISO的汇报级别不会低于首席执行官（CEO）两级；而在成熟度为可重复级企业中，3/4的汇报级别较低，成熟度可知晓级企业中，2/3的汇报级别偏低。在整个调查样本中，很少有CISO向总法律顾问或CCO报告。这表明金融机构的大多数网络安全计划已远大于合规范围；他们正承担着更广泛的网络安全职能，负责打击网络风险，并且正在触及企业的每个角落。对于大多数积极主动的CISO而言，下一步可能是在业务规划和决策阶段提供战略支持。

首席信息安全官（CISO）或同等职能部门向谁报告？

特征三：网络安全与业务战略保持密切协同

自适应级企业已经认识到网络安全需要与整体业务战略更紧密地联系在一起，管理网络安全工作所面临的第二大挑战即是业务的增长与拓展。无论公司的成熟度如何，公司网络安全能力落后于快速变化和日益复杂的IT技术，是所有CISO面临的问题。随着企业通过增加新的平台、产品、地理区域、应用程序和网络功能来实现业务增长，每个新元素的引入都会使网络安全方面的考量成倍增加。相比之下，网络安全管理成熟度较低的企业通常仍面临着更基本的问题，而不是如何应对业务增长所带来的挑战。

将网络安全策略更好地与业务战略保持一致有助于CISO识别并应对新出现的风险。从一开始就将网络安全专业人员纳入战略计划和转型项目，将有助于安全职能部门更好地管理企业整体网络安全风险，促进企业内更大的合作和创新。

成熟度为自适应级企业更加意识到业务扩展对网络安全的影响

网络安全挑战排名

持续提升网络安全成熟度

无论企业如何与其竞争对手相抗衡或开展竞争，网络安全仍是所有金融机构必须持续开展的一项工作。网络安全意识、网络安全职责和对应的问责机制都应成为每个金融机构内部职能的一部分。无论企业规模大小或成熟度高低，即使是自适应级企业，都在努力跟上IT快速发展的脚步和日益复杂化的技术系统，以保障其网络安全，这也被认为是CISO所面临的最大挑战。在这个消费者对数据安全和隐私保护高度敏感、监管要求层出不绝的时代，这些工作显得尤为迫切。

要想在网络安全领域取得卓越成绩将是一段曲折且没有终点的旅程。网络攻击将会变得更加严重和复杂，这要求金融机构具备更强大的响应能力。企业需要不断提升网络安全、人力和技术能力，从而达到保证网络安全、提前预警和遇到攻击快速恢复的目标。CISO也应不断积极主动的对潜在网络安全风险进行预测，时刻准备应对，而不是在出现新的攻击时再做出反应。如果没有采取有效的手段来提前防范网络安全风险，即使是自适应级企业，也很有可能在面对数字边界渗透和运营的攻击时变的不堪一击。

下载完整报告：《提升金融机构网络安全成熟度 – 风险管理领先实践》

声明：本文来自德勤Deloitte，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。