RSA安全报告-管理银行信息风险.doc

RSA信息风险管理白皮书风险管理系列管理银行的信息风险最大限度的减少大部分的信息的风险参考编号：CYTC7147出版日期：2007年10月DATAMONITOR观点契机信息是银行的基础，但直到现在，金融机构还往往满足于以业务封闭式的方式管理风险。然而，行业的压力促使银行开始对这种战略展开思考。各种规章制度要求银行从整个企业的角度来分析风险，并建立稳健的安全机制，以确保业务的连续性，而竞争的压力却促使企业提高效率并降低成本，最有效地使用现有数据，以在市场中占据一席之地。对银行来说，挑战就在于将他们现在所采用的封闭式的管理方式向企业级信息风险管理方式转变。概要为说明2007年第三季度欧洲金融服务市场的初步调查结果，Datamonitor分析了5个重点考虑的地方：l IT安全机制必须要成为更广范的信息管理战略的组成部分；l 信息安全机制需要整合的、以信息为中心的IT安全和信息管理；l 银行应当保证信息和信息处理的安全；l 信息风险管理要超越防御、反省的方式；l 信息风险管理应当同时在业务和IT层面上解决。分析序言信息是金融服务行业内业务的基础，金融机构在其自己的系统内分布了大量有价值的数据。然而，由于他们所使用的组织结构和IT系统已经开发多年，多数信息都存在于封闭式业务的孤立应用中，其他系统或业务线不能轻易的获取这些数据，这导致了存储标准的重复和不一致，并造成了数据处理方式的矛盾。而这些又将引起运营效率的低下，知识的盲点和成本的增加。新增的一个元素是规章制度：在过去十几年间引入的大多数规章制度的共同点就是银行具有立刻（至少是快速）访问他们拥有的数据的能力，以及以一致的方式呈现信息的能力；更重要的是，银行要能够证明他们所拥有的数据是完整和准确的，并且不能被篡改。示例的规章制度包括巴塞尔II（包含了要求银行要对运营风险有一个清晰的理解），以及多个欧盟的指令，如数据保护指令（用以管理银行如何处理客户的数据，以及客户查看银行所拥有的它们自身信息的权利），市场滥用指令（用以防止内幕交易，并确保适当的披露）以及MiFID（金融工具市场指令，它引入了单一规管制度，增加了欧洲经济区投资服务的透明度）。随后就是安全风险。信息管理是金融机构业务极其重要的因素。他们的本质就是保护好这些有价值的资产。安全机制通常非常的重要，在近几年，同时来自组织内部和外部的信息安全威胁呈指数级增长：金融服务行业能在一周内不发生安全违规和数据丢失事件就已经是一件不可思议的事情而公众所看到的还只是冰山一角。银行的顾虑是正确的，安全故障将有力的冲击着他们的增长潜能：除了潜在的金融损失和违规罚金，安全违规给他们带来了信誉危机，关心他们信息安全的消费者和企业将不愿同因安全问题而使其品牌受到影响的公司打交道。来源：Datamonitor平均得分金融监管罚款风险客户丢失（丢失现有业务）因为安全违规引起的金融损失丢失客户数据的法律影响（如，客户赔偿）失去银行执照品牌/声誉的损失（未来/潜在业务的丢失）什么是您最关心的IT安全故障（得分1-4中，1最低，4最高）图1： 银行认为品牌声誉的损失是最为紧迫的安全故障所有的这些都意味着金融服务机构不仅要管理它们所拥有的数据以及数据的安全，还要评估由信息和信息处理引起的相关的机构风险。这反过来又需要金融公司采取一个生命周期的方法来管理信息，以及存储和处理信息的相关风险。在其生命周期中，信息将穿梭于各种各样的网络，应用程序，数据库和设备，并可能通过各种不同的设备被许多不同的终端所访问。银行需要自始至终的了解在处理、存储和传输信息的过程中不断变化着的相关风险访问了什么数据，在什么时候是由谁访问的，它们是否经过了授权，以及更重要的是在处理过程中数据发生了什么改变。这就是信息风险管理内容：信息风险管理是一种以信息为中心的策略，它提供了有效的手段来识别、评估和减少信息在其生命周期全程中所暴露的风险。为了解如今银行是如何解决这些问题的，Datamonitor在2007年第三季度对比荷卢、法国、德国、意大利、西班牙和英国的60家银行作了一个初步的调查研究。这个调查对高级IT经理人进行了采访，他们对银行中的业务和IT策略都有着深刻的理解，调查集中在业务的前景，他们的业务/IT策略，以及策略的最佳响应实践这几个方面。本白皮书简单的说明了这个研究的主要成果以及行业中所见的最佳实践。IT安全机制必须要成为更广范围内信息管理战略的组成部分为实现全面的信息安全，金融机构必须将IT安全视为它们信息管理策略的主要部分。IT安全仍主要集中在边界，如认证和入侵预防银行一直将精力集中在它们业务运营的边界来防止安全漏洞的发生。这意味着它们将主要的精力重点放在控制系统的访问，采用日益强大的认证系统，以及使用相应技术来检测和阻止对系统和设备的未经授权的访问上。然而，令人担忧的是，一旦超出了银行业务的边界，它们却缺乏对信息变化的关注，例如，类似承包商、业务合作伙伴和外包商之类的第三方。边界安全机制不足以防御信息风险近年来大量出现的针对银行的恶意攻击（如网络钓鱼、嫁接诈骗、黑客，以及信用卡号码被盗），以及对客户和更广泛的公众所产生的直接负面影响，已经成为了边界安全机制的当务之急。银行在这个方面花费了大量的时间和金钱，在调查中，只有19%的受调查者不相信边界安全机制是100%有效的（参加下面的图2）。毫无疑问，强有力的边界安全机制对于阻止未经授权的系统和数据访问来说是必不可少的。然而，保护边界的安全不足以保证组织内信息的安全；如果越是想采用一个难以渗透的边界，整体的安全就越难以实现。恶意攻击变得越来越复杂，一旦边界被突破，过度的依赖边界安全机制会增加其脆弱性。还有两个方面要充分考虑：其中之一就是由于组织间的界限越来越模糊，最终用户可能已经直接进入到了公司的内部系统中，“边界”变得越来越难以鉴定和防护。第二，信息安全最大的风险来自公司内部，表现为人为错误和蓄意欺诈。然而，在对边界安全机制效率高度信任的情况下，可喜的是，只有10%受调查的银行表示它们将重点放在保护边界的安全上，而不是保护信息本身的安全（参见下面的图2）。在对这两个问题的回答中，有如此多的人表示出“不确定”的态度，这表明行业内对这个信息安全机制问题的态度正在发生改变。来源：Datamonitor不确定43%同意25%强烈同意 22%不确定41%不同意12%同意23%强烈不同意7%强烈同意 17%我们重点关注信息的保护，而不是保护边界的安全我们相信边界安全机制100%的有效图2：对边界安全机制的普遍信任应引起关注，而银行也在努力将注意力从边界安全中转移IT安全机制必须要充分考虑到所有的信息接触点，包括第三方传统银行往往是比较孤立的组织，而多年来，他们越发表现出与其他公司合作的愿望。在业务方面，许多银行通过市场渠道来开发关系以增加销售机会，如通过独立财务顾问。在运营方面，机构正变得日益复杂，因此他们越发的依赖第三方以寻求帮助和支持，尤其是在他们核心竞争力以外的领域。最终许多银行保持了与一系列合作伙伴、供应商、顾问公司和承包商的关系，而所有的这些合作伙伴都要一定程度的在全部或部分生命周期中访问银行内部信息。其中也包括现场承包商可能用硬拷贝的形式，或用便携式存储介质物理的将能访问的信息带走。尽管在整个行业中不断增加了对第三方的使用，然而只有不到一半的受调查机构认为信息安全管理应当延伸到内部系统边界之外的数据（参见下面的图3）。这一点尤其重要，因为他们对专有信息在他们领域之外被泄露的风险没有进行很好的理解和控制，而这将对他们的完整性产生怀疑。来源：Datamonitor不确定25%同意25%强烈不同意 10%强烈同意 18%信息安全管理应当延伸至第三方合作伙伴/承包商图3：在受调查者中，认真考虑第三方信息安全问题的人数令人担忧安全仍然更多的被认为是IT问题，而不是信息管理的整体问题在银行界中，安全属于IT问题的观念仍然非常普遍。只有不到三分之一的受调查者超越了这一观点（参见下面的图4）。在近几年来将安全活动更多的集中在IT方面，特别是在线威胁的背景下，这个结果并不让人吃惊。然而，这个观点只是片面的考虑了整个企业环境中安全究竟意味着什么。在考虑安全的时候，银行需要广泛的考虑它究竟包含了什么，特别是安全故障对整个业务产生的影响。来源：Datamonitor不确定20%同意 29%不同意13%强烈不同意18%强烈同意 20%安全是IT问题图4：只有不到三分之一的银行认为安全不仅仅是IT问题只要银行还是继续将安全视为IT问题，他们仍将围绕着IT系统对它进行界定。反过来，这使得他们很难从整体上去了解企业内部存在的安全风险，因为他们无法以更全面的视角进行观察。此外，为满足针对风险和安全的规章要求，他们近年来所作的工作也使得大多数的银行相信他们已经确切地了解了自己拥有什么样的信息，这些信息存在的地方，以及这些信息在企业内是如何存储和访问的。只有13%的受调查者愿意承认事实并非如此（参见下面的图5）。即时对赞同该表述的银行来说这些都是事实，知道信息存在的地方并不等于能对它进行控制或管理，更不用说保护它的安全，当然也不意味着他们对信息相关的风险有着清楚的认识。更重要的是，这种程度上的信心，意味着银行有着一种潜在的自满情绪，认为他们非常地了解自己的信息以及相关的安全和风险。来源：Datamonitor不同意 10%强烈不同意 3%不确定25%同意28%强烈同意34%我们非常的有信心，我们确切的知道自己拥有什么样的信息，这些信息存在的地方，以及这些信息在企业内是如何存储和访问的。图5：对信息了解程度的信心非常之高信息安全要求以信息为中心的综合IT安全和信息管理当同时考虑IT安全和法规遵循时，大部分的银行仍然使用封闭式的方法。这种方式的使用，使他们无法摆脱对信息安全持有的封闭式观点。虽然如此，大多数的银行还是同意信息风险管理应当从企业的角度来考虑。而要达到这个目标，银行就需要整合IT安全与信息管理系统，而不是单独的IT系统。将信息管理从一个片面性的方法转变成有凝聚力的战略，不仅能推动重复流程，单点式解决方案，数据协调等的成本降低，还能降低如数据损坏和偷窃等风险。银行在企业级的层面看待信息风险管理的价值，但在IT安全方面仍然保持着封闭式的方式在考虑信息风险管理的时候，三分之二的银行同意应该在企业级的层面上进行（如下面的图6）。这种认识表明，银行了解信息管理系统和安全机制之间的整合需求。来源：Datamonitor同意30 %不确定 23 %不同意 7 %强烈不同意 3 %强烈同意37%信息风险管理应当在企业级的层面上进行图6：银行认可信息风险管理应当在其业绩的层面上进行然而，尽管银行意识到了从企业级的层面上进行信息风险管理是明智的做法，但还是有很多银行仍然使用封闭式的方式管理IT安全，只有不到三分之一的受调查者正在摈弃IT安全的封闭式方法（如下面的图7）；因此信息安全也会从它所依存的封闭式IT环境的角度来审视。如果银行要实现整合式的IT安全，这种片面的方式就需要进行改进，这是信息风险管理的先决条件。来源：Datamonitor强烈不同意12%不同意20%不确定40%同意18%强烈同意10%我们的IT安全机制倾向使用封闭式的管理图7：然而，只有不到三分之一的受调查者已经、或正在放弃封闭式的IT安全机制规章制度和报告要求以零散的方式进行处理在最近几年，金融服务机构所面临的规章制度的负担急剧增长，银行更倾向于在其运营业务内对他们进行单独处理；只有25%的受调查者表示并不是以独立个体的方式来应对规章制度（参加下面的图8）。以零散的方式处理规章制度可能足以达到最初的规章制度实行期限（63%的银行相信他们能够在规定期限内实行新的规章制度），这同样也意味着安全报告是遵循要求驱使下的行为，而不是对整体安全风险的理解。最终，银行留下了许多不足，需要支持多种法规，并经常在多个业务范围内发生重叠或相似的要求。来源：Datamonitor不确定25%不同意13%强烈不同意12%同意22%强烈同意28%我们现在将规章制度作为独立个体来处理图8：只有25%的银行不将规章制度作为独立的个体来对待银行应当保护信息流程和信息的安全银行一致认为，信息安全应当从整个生命周期的角度进行审视；然而在如何实现这个目标的问题上还存在着不确定性。信息安全风险的评估应当贯穿整个信息生命周期，然而，IT安全是围绕着系统而不是信息进行的。四分之三被调查的银行都一致认为，在评估信息安全风险时，应当考虑整个信息生命周期（参见下面的图9）。来源：Datamonitor不同意2%不确定23%同意38%强烈同意37%信息安全风险的评估应当贯穿整个信息生命周期图9：大多数银行一致认为信息安全风险应当围绕着整个信息生命周期尽管大多数银行都一致同意信息安全风险的评估应当贯穿于整个信息生命周期，但是他们却不能确定要如何实现这个目标。封闭式IT安全系统的思想在他们的头脑中根深蒂固，许多银行仍不认为，以信息为中心的方法是在整个生命周期中管理信息风险管理的先决条件（参见下面的图10）。例如，要在整个生命周期中管理信息安全风险，银行就需要同第三方通力合作；然而，前面已经表明（参见图3）只有43%的银行认为这确实是必要的。来源：Datamonitor强烈同意18%不同意3%强烈不同意8%不确定49%同意22%实现信息风险管理的最佳方式是以信息为中心的安全方法图10：然而，在采取以信息为中心的安全方式上，很少能达成共识信息风险已经超出了恶意攻击的威胁范围，包括信息泄露、信息损坏和信息可用性信息安全的基本原则是要放远目光，而不是停留在银行仍然采用的封闭式IT安全机制的需要上，以与风险的其他因素相结合起来。银行推行的强有力的边界安全机制主要是受外部恶意攻击影响的结果，而内部风险管理系统更多的是由规章制度的要求推动的，而不是信息风险管理的真正需求。恶意攻击仍然持续高发，需要对此保持关注，当数据在机构内进行处理时，边界安全机制并不能保护数据的完整性，特别是在系统由第三方查看、使用或处理的情况下。信息风险管理需要考虑因数据泄露、损坏和不可用引起的数据损失。信息风险管理需要超越防御性、自省性的方法银行将信息风险管理理解成为一种防御性工具的趋势是可以理解的，例如，为满足制度要求而保证业务连续性，因为到现在为止，大多数风险管理的活动都将重点集中在这些地方。然而，银行需要从更全面的角度来看待这个问题，并要认识到，实行信息风险管理战略不仅能够降低风险，还可以通过更好的理解他们与客户、职员和合作伙伴之间的关系，积极地改进他们的前端办公业务；信息战略中好的思想还能够使新的业务模式在金融机构和第三方机构中得到开展。机构主要将信息风险管理视为防御性的机制平均得分信息风险管理在实现以下业务目标中究竟有多重要？（1-4分，1分表示最低，4分最高）图11：银行将注意力集中在信息风险管理的防御能力上在要求对信息风险管理在实现众多业务目标中的重要性进行打分时，受调查者表示最重要的是确保业务连续性和符合规章制度的要求（参见下面的图11）。这些业务目标更多的可以看作是非战略性的，这也意味着银行现在是将信息风险管理视为开展业务和内部报告的代价，而不是对他们现有权益的增值来源：Datamonitor扩展新的市场/兼并减少运营成本提高客户保留和交叉销售满足法规的要求安全的业务连续性信息风险管理应当应当能使机构同时提高顶线和底线信息是一种资产，它能帮助银行实现一系列业务目标，这将会对他们的前端业务办公室产生直接的影响，并在竞争中占据一席之地。例如，对信息风险管理的理解能在以下方面对银行产生帮助：l 理解并提高客户的保留力，同时增加销售；l 开发并将新的产品推向市场；l 提高生产效率，并激励员工；l 发展与第三方的关系。不仅信息风险管理能协助银行实现这些目标，对这些目标采取一种整合的方法也会降低前面所述的片面和/或重复的努力所付出的代价。信息风险管理应当在业务和IT层面上解决转用以信息为中心、综合的信息风险管理架构将会对组织化的结构带来影响，触及到IT、安全、风险和规章遵循等方面，并且最终的结果可能会对它的实现带来挑战。然而，这个挑战带来的好处同样也是业务层面上的；因此，这个目标的实现应当同时从企业的这两方面进行表现。信息风险管理的障碍更多的是在于业务层面而不是IT层面执行官了解在生命周期中管理信息所带来的好处（参见上面的图9），这表明改变信息风险管理方式的需要已经被广泛接受；然而，他们却将组织化的障碍看作是实现以信息为中心的综合方案的主要挑战（参见下面的图12）。然而，在IT安全通常反映其业务结构的封闭式组织中，转向此类的综合方案将会是一个很大的挑战，而不是最佳的实践。并且，只要银行没有对信息风险管理的潜在好处有一个清晰的认识，他们还是认为它扮演的是一个防御性的角色。负责和责任也将会是个问题，他们会将它看作是IT问题而不是业务问题，并且也会由IT而不是业务来推动。而且，因为信息风险管理接触的是风险、安全和规则遵循；确实是因为它是如此的普遍，这意味着每个人都是负责的，但没人在当时是有责任的。来源：Datamonitor加权的平均排名不同类型的风险之间没有共同性缺乏管理的利益缺乏组织间的数据访问缺乏实现整合的预算组织障碍您认为哪些是影响在如何管理信息风险之间实现更好的整合/协同的前三个业务障碍？图12：组织化的障碍是对欧洲银行最常见的挑战结论和建议正如人们所期望的，欧洲的金融机构对信息被错误的对象获取所产生的潜在后果非常的敏感，他们努力的确保在最后期限之前实行新的规章制度。大多数金融机构也相信风险应当在整个信息的生命周期中进行评估，并且信息风险管理应当在企业的层面上推行这对于确保减少由数据丢失和无效信息处理引起的风险，以及受益于高效的信息管理策略来说都非常的必要。同时，对其他问题的回答表明他们正在努力将理论转化成实践：很少有人摆脱了IT安全的封闭式方法，规章制度通常是作为单个的个体来对待；信息安全机制采用过度以IT为中心的方法仍然困扰着许多机构，并且对边界安全机制表现出过分乐观的信心，当信息被第三方接触时（合法），对信息经历了什么样的处理缺乏足够的重视。这不仅提供了一种降低风险的次优方法，同时仍将对安全和规章遵循的重点关注看作不可避免的成本，而不是最终商业利益的战略性投资。那么要将这番景象转变成现实，银行又需要做些什么呢？对于大多数银行来讲，他们必须努力的工作，以消除阻碍在整个生命周期中管理信息、信息风险的组织性障碍，以及那些经常将IT与业务分离开的所有事物。在操作层面上，第一个重要的步骤就是从企业层面上去理解整个信息周期中信息及其暴露出来的风险，以及在信息的存储、传输或使用过程中这些风险是如何变化的。这反过来也可以让他们发现管理安全和信息风险方法中的缺陷和不足。然而，银行必须要确保这个审查和缺陷分析覆盖了整个业务流程，并同时包括了业务和IT；否则，确保所持有信息的安全、完整和可用性就不会给他们带来商业利益。附录受调查国家的情况比荷卢从整体上讲，来自比荷卢国家的受调查者在他们管理信息风险的方式上表现的相当成熟。他们最关心的IT安全故障的后果是品牌/声誉的潜在损失。l 比利时的银行很少有对边界安全机制的100%有效性抱有幻想。所有银行都赞同将信息安全管理延伸至第三方的必要性，很少有银行用以IT为中心的观点去看待安全问题。l 强烈认可对信息安全风险采用生命周期的方法，受调查者认同信息风险管理应当从企业层面上推行。l 同时，对于以信息为中心的方法是否是处理信息风险管理的最佳办法则存在着不确定性，此外，他们非常有信心自己清楚的了解拥有什么样的信息，信息存在什么地方以及他是如何在企业中存储和访问的，许多受调查者不确定是否将重点放在保护信息而不是保护边界上。法国来自法国的受调查机构则有着完全不同的表现，它们不愿承认自己不清楚如何进行信息风险的管理。他们最关心的IT安全故障的后果是品牌/声誉的潜在损失和丢失客户数据要承担的法律责任。l 没有一个受调查者承认他们没有清楚的了解自己拥有什么样的信息，信息存在什么地方以及他是如何在企业中存储和访问的，对规章制度的处理大多数仍以单独个体的方式进行，有一半的受调查者承认他们对IT安全进行封闭式的管理。l 着重将精力集中于在边界上保护信息，因此对边界安全机制的效率表现出过分乐观的信任。l 总的来说，缺乏对如何实行信息安全的了解只有不到一半的受调查机构认为安全管理应当延伸至第三方，很少有机构认同需要对信息风险管理采用以信息为中心的方式。德国德国的受调查者表明他们更愿意保留以IT为中心的方法进行信息风险管理。他们最关心的IT安全故障的后果是可能会失去他们的银行执照。l 德国银行对边界安全机制的不足有着较为现实的观点，坚信他们的IT安全不是封闭式的管理，非常有信心自己清楚的了解拥有什么样的信息，信息存在什么地方以及他是如何在企业中存储和访问的。l 但总体来讲情况比较混乱：在保护信息还是保护边界这个问题上没有明确的重点，对由第三方（合法）引发的风险似乎缺乏考虑。l 受调查者认同信息风险管理应当在企业层面上推行，对回答的分析表明实行信息安全的典型方法太过以IT为中心。意大利意大利银行似乎对信息风险管理有着比较现实的方法；然而，它们更倾向于以银行业务内的信息为中心，而不是真正的生命周期的方式。他们最关心的IT安全故障的后果是品牌/声誉的潜在损失。l 意大利银行深信他们不是以封闭式的方式来管理安全，对边界安全的100%有效性表示怀疑，并认同安全不仅仅是IT问题。l 此外，对于清楚的了解拥有什么样的信息，信息存在什么地方以及他是如何在企业中存储和访问的这个问题相对缺乏信心，他们不认同信息安全风险应当在整个信息生命周期中进行评估。l 与之相反，只有40%的受调查银行认同信息风险管理应当在企业层面上推行，令人吃惊的是，有70%受调查者不赞同信息安全管理应当延伸至第三方。西班牙西班牙的银行似乎对管理信息风险的需求有着正确的理解；但是，要认识到IT安全的不足之处他们还有些路要走。他们最关心的IT安全故障的后果是品牌/声誉的潜在损失和失去他们的银行执照的威胁。l 西班牙银行坚持他们着重将注意力集中在保护信息上，而不是保护边界上，认同信息安全风险应当在整个生命周期中进行评估，对于自己清楚的了解拥有什么样的信息，信息存在什么地方以及他是如何在企业中存储和访问的这个问题有着一定的信心。l 在另一方面，许多银行承认他们的IT安全是以封闭式的方式进行管理的，几乎所有的银行都是以单独个体的方式处理规章制度，并且他们不认同信息安全应当延伸至第三方。l 对IT安