德勤报告:大型金融机构面临信息安全挑战
德勤发布的一份最新调查报告显示,涉及到信息安全的事件持续引起高层管理人士的注意,但许多金融机构在采取行动方面却跟不上步伐。
德勤全球金融服务行业小组通过面对面访谈和网上问卷的形式进行此项调查,重点对象为100大全球金融服务机构中多家的高级信息技术管理人员(首席安全官、首席信息官、安全管理团队等)。调查问题涉及治理、对安全的投资、风险、安全技术的使用、运营质量与隐私。
该项调查结果显示,有不到三分之二(63%)的受访者已制定信息安全战略,但仅有10%的受访者是由业务部门领导人主导实施信息安全措施。这些调查结果表明业界对安全问题自相矛盾的态度:就是意识到问题的存在但对解决方案缺乏支持。调查也显示,破坏外部安全的最根本原因仍然是“人的因素”:公司的雇员、客户、第三方和业务合作伙伴。
“这些相互冲突的调查结果突显出金融机构正在面临的对安全问题自相矛盾的态度。”德勤全球金融服务业中国领导人杜柏伟先生说,“一方面,毫无疑问,受访者已经明确了主要的安全问题及有关改善安全和隐私而必须采取的行动。另一方面,许多金融机构在采取行动方面却跟不上步伐。”
说到破坏安全事件,最令公司不安的因素之一是客户。德勤调查发现,破坏安全的最大元凶是病毒和蠕虫、垃圾邮件等电邮攻击,以及网络钓鱼和网址嫁接。所有上述破坏安全的因素均由客户引致,例如,客户无意中成为了敏感信息的提供者和打开金融机构的渠道。但即使金融机构直接受到上述各类破坏安全事件的影响,他们仍不愿意为其客户的计算机安全承担责任,主要原因可能是因为这是一项十分浩大及艰巨的工作。就企业应否对与其有在线生意往来的客户的计算机提供保护责任,三分之二(66%)的受访者认为他们不应当。
除了通过客户渠道进行的安全破坏,德勤调查显示,大量重复破坏是由雇员造成的:包括不当行为(故意行为)和过失和疏忽(无意行为)。绝大多数(91%)受访者对雇员行为表示担忧,认为人的因素是信息安全失灵的根本原因(79%)。
但尽管雇员的过失和疏忽被认为是主要的安全问题之一,约四分之一(22%)的受访者在过去一年中没有提供雇员安全培训;只有三分之一(30%)的受访者称,他们的员工有足够能力应对安全需要。
“尽管存在这些差距,能够发现问题至少是成功了一半,因此金融机构在弥合这些差距方面,正在朝着正确的方向前进。”杜柏伟先生补充道,“安全培训和意识,雇员、客户和供应商的身份管理以及数据保护是公司今年最重要的行动方案之一,金融机构正奋力跟上充满变化的态势。”
该调查的其他关键发现:电邮攻击位列金融机构在过去12个月中遭到的外部安全破坏的首位(57%)。三分之二(66%)受访者认为,他们不应对在网上进行银行交易客户的计算机负保护责任。几乎所有受访者(98%)表示已提高了安全预算,但有35%受访者感到他们在信息安全方面的投资落后于业务需要。优先事项的变换“以及”整合问题,被认为是信息安全项目失败的首要原因(分别为48%和32%)。
德勤全球金融服务行业小组通过面对面访谈和网上问卷的形式进行此项调查,重点对象为100大全球金融服务机构中多家的高级信息技术管理人员(首席安全官、首席信息官、安全管理团队等)。调查问题涉及治理、对安全的投资、风险、安全技术的使用、运营质量与隐私。
该项调查结果显示,有不到三分之二(63%)的受访者已制定信息安全战略,但仅有10%的受访者是由业务部门领导人主导实施信息安全措施。这些调查结果表明业界对安全问题自相矛盾的态度:就是意识到问题的存在但对解决方案缺乏支持。调查也显示,破坏外部安全的最根本原因仍然是“人的因素”:公司的雇员、客户、第三方和业务合作伙伴。
“这些相互冲突的调查结果突显出金融机构正在面临的对安全问题自相矛盾的态度。”德勤全球金融服务业中国领导人杜柏伟先生说,“一方面,毫无疑问,受访者已经明确了主要的安全问题及有关改善安全和隐私而必须采取的行动。另一方面,许多金融机构在采取行动方面却跟不上步伐。”
说到破坏安全事件,最令公司不安的因素之一是客户。德勤调查发现,破坏安全的最大元凶是病毒和蠕虫、垃圾邮件等电邮攻击,以及网络钓鱼和网址嫁接。所有上述破坏安全的因素均由客户引致,例如,客户无意中成为了敏感信息的提供者和打开金融机构的渠道。但即使金融机构直接受到上述各类破坏安全事件的影响,他们仍不愿意为其客户的计算机安全承担责任,主要原因可能是因为这是一项十分浩大及艰巨的工作。就企业应否对与其有在线生意往来的客户的计算机提供保护责任,三分之二(66%)的受访者认为他们不应当。
除了通过客户渠道进行的安全破坏,德勤调查显示,大量重复破坏是由雇员造成的:包括不当行为(故意行为)和过失和疏忽(无意行为)。绝大多数(91%)受访者对雇员行为表示担忧,认为人的因素是信息安全失灵的根本原因(79%)。
但尽管雇员的过失和疏忽被认为是主要的安全问题之一,约四分之一(22%)的受访者在过去一年中没有提供雇员安全培训;只有三分之一(30%)的受访者称,他们的员工有足够能力应对安全需要。
“尽管存在这些差距,能够发现问题至少是成功了一半,因此金融机构在弥合这些差距方面,正在朝着正确的方向前进。”杜柏伟先生补充道,“安全培训和意识,雇员、客户和供应商的身份管理以及数据保护是公司今年最重要的行动方案之一,金融机构正奋力跟上充满变化的态势。”
该调查的其他关键发现:电邮攻击位列金融机构在过去12个月中遭到的外部安全破坏的首位(57%)。三分之二(66%)受访者认为,他们不应对在网上进行银行交易客户的计算机负保护责任。几乎所有受访者(98%)表示已提高了安全预算,但有35%受访者感到他们在信息安全方面的投资落后于业务需要。优先事项的变换“以及”整合问题,被认为是信息安全项目失败的首要原因(分别为48%和32%)。
