发表于 2008-9-10 16:32
| 不久前,德勤结束了其2007年全球金融业信息安全调查,调查范围包括全球169家金融机构,中国地区的调查对象包括国有商业银行、股份制商业银行,及其在香港的分支机构,外资行在中国的分支机构等。
调查发现,“在安全破坏上,人(包括雇员)仍然是最薄弱的环节。”2月27日,德勤会计师事务所企业管理风险服务部合伙人顾向圣称。由于身份盗用事件的增多,“身份与访问管理”已被受访金融机构认为是最亟待改进的,这种管理能准确辨别用户对信息资源的访问权限,降低企业信息资源的使用风险。
现实的情况是,银行中远远低于高管级别的人员可能在影响股东利益方面,比高管处于更重要的地位。如系统管理员,由于特殊的职位被赋予了“无限大”的访问权利,从而可能利用系统漏洞做出可怕的违规之举。除了科维尔,大名赫赫的交易员还有因私设账户掩盖14亿美元交易损失而导致巴林银行倒闭的尼克李森。
改进后的理想状态是,“如果银行员工进行了违规操作或越权交易,IT系统会向信息安全负责人发出预警,使其及时制止交易或传送至银行高管。”顾认为,传输通道的独立性和信息安全负责人的话语权至关重要。
但目前看来,由于缺少“看门人”,国内不少银行的信息安全风险仍裸露在外。虽然不少大型银行已设置首席合规官和首席风险官,但在业务占比越来越大的IT技术方面,首席信息官和首席技术官并不多见,首席信息安全官(CISO)更是鲜有出现。
按顾向圣的说法,首席信息安全官主要进行日常信息安全管理巡逻,从事前规范、事中监控,到事后结果处理,都参与其中。
记者调查发现,国有银行通常的模式是,有相当数量经过专业培训的人员从事信息安全管理,但这些人员一般在分管副行长的领导下进行工作。
相对四大国有银行,深发展、广发行等股份制银行更愿意将信息安全高管独立出来。如广发行副行长级别的运营和科技总监,就负责包括信息安全在内的运营安全管理工作。
德勤在调查中还发现,包括银行在内的金融机构对信息安全问题态度上自相矛盾:一方面,董事会及高管已意识到解决安全问题迫在眉睫,另一方面,他们却并不认为这些问题“属于”他们,反而认为“实施解决方案是信息技术人员的事”。
这一矛盾在亚太区(不包括日本)的数据上体现得尤为明显——被调查机构中,信息安全战略由业务职能部门领导人负责推动的金融服务机构几乎为零。而美国则高达18%。“这种佯谬是个全球性问题,在中国更是如此。”顾向圣分析原因有三。
首先,中国银行业在业务与安全管理上的发展速度不一致。由于银行业竞争激烈,大部分银行将主要精力投放在业绩上,而忽视了安全管理;再者,缺乏同时熟谙银行业务、信息科技、风险管理三方面的人才;第三,由于中国的金融机构超过两万多家,大型银行拥有众多的网点,而城商行和农信社等机构地方色彩较重,监管部门在政策执行上会存在困难。