后疫情时代的网络安全

作为德勤 《2021年网络安全前瞻调研报告》（2021 future of cyber survey）的一部分，本报告特别关注银行业及资本市场、保险业、投资管理业和房地产行业高级管理层的意见。对金融服务业网络安全风险状况进行分析并得出四点结论。

短期措施应迅速转化为长效机制

在过去的一年里，网络安全事件激增。既然混合型员工队伍和虚拟交互将继续存在，企业就不能再停滞于测试阶段，要确定将哪些变化纳入长期考量，又有哪些挑战仍有待解决。已有足够的证据表明，企业需要向新的稳定状态转变。

此前，企业通常使用端点检测与响应（EDR）以及安全监控来检测网络威胁。但随着全新运营模式的出现，企业需要更强有力的控制，包括严密监控访问控制并建立长期员工网络安全意识培训和合规性跟踪周期 （包括对已返回办公室的员工和计划继续远程办公的员工）。

特别值得注意的是，根据受访者的反馈，数据管理和边界保护的复杂性受远程办公增多的影响而不断加剧，已经成为影响金融服务业的最大挑战。相比之下，前几年快速的技术变革被认为是管理网络安全的头号挑战。

贵企业在网络安全管理方面所面临的最大挑战是什么？

传统系统将逐步淘汰

IT部门不能再孤军奋战，随着全行业致力于提供高效的在线和移动服务并实现员工线上办公， IT团队需要进一步完善和改造其传统的网络安全基础设施。根据调研受访者反馈，金融机构应优先考虑通过云上规模化网络解决方案来提升其网络防御能力。

网络安全问题已经引起董事会的充分关注。首席信息安全官应准备好用董事会、高级管理层和股东们能听懂的语言与之沟通他们对网络安全最为关注的要点。首席信息安全官可利用这一关注点，从一开始就将网络安全纳入产品设计和平台创新中去。

网络安全问题被提上董事会议程的频率是多少？

扩展企业生态系统需要更强有力的监测和控制机制

虽然第三方风险管理是多年来的监管要求，但不断加速的发展趋势（如开放银行和金融科技关系等）更提高了这一要求。企业不断开发新的开放式应用程序接口（API）以连接银行和其他机构，引发了关于客户金融数据所有权的争论。在企业急于创建新的金融技术解决方案的同时，网络攻击数量也明显增多。

零信任解决方案是一套基于“持续验证，从不轻信”这一原则的策略。随着扩展企业的不断发展，零信任仍是针对网络和应用程序、用户、设备和工作负载等信息访问应遵循最小授权原则的必要实践。

未来，金融服务机构还应进一步发展网络功能数字化，以提高敏捷性和响应速度。将安全设计原则纳入IT服务开发，并将网络安全要求嵌入软件开发生命周期架构和设计阶段，帮助金融机构提前应对不断变化的网络安全威胁。

您将优先考虑/投资以下哪些网络防御概念以提升安全能力？

有些事，亘古不变

过去的三年中，企业每年的网络安全支出占年收入的比例不断增长，人为错误仍然是头号威胁。2021年，基础设施安全、物联网（IoT)、工业控制系统（ICS）和运营技术（OT）共占据约20%的预算分配，其次是威胁情报、监测和监控（14%），以及网络转型（14%）。

图：各部门网络安全支出和收入

超半数的受访网络安全专业人士表示，他们正在使用自动行为分析工具来监测员工的潜在风险指标，以进一步加强防御。还有一些受访者表示将继续通过管理层机制来监测员工行为和风险指标，另有部分受访者称其尚未找到监测或缓减此类风险的方法。

首席信息安全官应不断增加风险管理工具（包括采用风险量化技术）以实现网络安全投资收益。

前路在何方

随着远程办公以及数字化转型的发展，金融机构也应接受云技术，确保扩展企业的网络安全，专注于完善受信任客户体验，打造韧性运营并缩小控制差距。金融机构需要多管齐下，提升事件检测和响应能力，加强边界控制，改进风险识别方法，并实施更集中的员工教育措施。虽然对于整个行业的利益相关者来说，目前尚无可适用的万能解决方案，但风险的增加将继续迫使企业采取新的应对措施。