商業銀行數據大集中與信息風險的防控
發表時間:2018-02-07 15:35:50
編輯:andy
告訴小伙伴:
20世紀以來,信息技術在金融業中大量廣泛使用,商業銀行累積了大量的客戶交易數據。在資產管理業務的發展中,越來越多的銀行意識到數據和數據分析的作用。
20世紀以來,信息技術在金融業中大量廣泛使用,商業銀行累積了大量的客戶交易數據。在資產管理業務的發展中,越來越多的銀行意識到數據和數據分析的作用,無論是從初始階段對客戶風險偏好的識別,還是針對客戶需求和風險偏好做模型,再到接下來對組合的一個實時跟蹤和隨時調整,每一步都離不開大數據對客戶需求準確的把握以及對市場走勢的及時跟蹤。與此同時,銀行業信息安全風險日益集中、不斷增大,若不采取合理有效的應對措施可能會給商業銀行帶來嚴重的經濟和聲譽損失。
一、商業銀行大數據的價值與風險
銀行業的一大優勢就是可以獲取客戶的交易數據,包括交易流向、交易地點、交易金額,這些數據都是真實的,所以數據質量也很高。對銀行來說,這是非常重要的資源。眾所周知,企業數據本身就蘊藏著價值,銀行所掌握的企業人員情況、工資表、生產經營情況、上下游關系對發展信貸業務至關重要,對其他業務也擁有價值轉化力量。
但是,國內很多銀行仍然只是將信息簡單存儲,僅將其當作為客戶資料加以妥善保管,而不是將它們作為生產力的轉化工具。
與此同時,華爾街的斂財高手們卻正在挖掘這些數據財富,先人一步用其預判市場走勢,取得了不俗的收益:華爾街根據民眾情緒拋售股票;對沖基金依據購物網站的顧客評論,分析企業產品銷售狀況;銀行根據求職網站的崗位數量,推斷就業率;投資機構搜集并分析上市企業聲明,從中尋找破產的蛛絲馬跡;美國疾病控制和預防中心依據網民搜索,分析全球范圍內流感等病疫的傳播狀況;美國總統奧巴馬的競選團隊依據選民的微博,實時分析選民對總統競選人的喜好。
在這個時代,大數據更進一步的體現出了科學技術作為第一生產力的極大價值。但是,風險和價值就像是一枚硬幣的兩面。想要追求信息技術帶來的巨大價值,商業銀行必須承擔越來越嚴峻的信息安全風險。
二、商業銀行面臨的信息安全風險的特點
從本質上看,信息安全風險具有以下特性:第一,客觀存在。只要商業銀行堅持信息化,這種風險就始終如影相隨,不會以人的意志為轉移或消失。第二,時刻變化。這種風險并非一成不變,而是與信息科技的發展緊密相關,會隨著不同階段信息化建設狀況的變化而變化。當然,信息安全風險和其他風險一樣與收益成正比,更多地采用新技術,更多地承擔信息安全風險,也更可能獲得超出市場平均回報率的收益。
在金融科技時代下,商業銀行面臨的信息安全風險呈現出以下新特點:
第一,新技術帶來了新的安全漏洞。新技術是一把雙刃劍。信息技術之所以能夠做到“引領”,其根本還是通過新技術的應用,使得金融服務不斷改善,更加快捷高效、貼近民眾。但無論是IT技術服務商還是IT技術的應用方,為了迅速搶占市場獲取商業利益,在新技術發展的初期往往將功能實現放在首要位置,安全性往往淪為次要考慮甚至是被忽略的地位。因此,新技術獲得廣泛應用后,大量新的漏洞呈現爆發趨勢,嚴重威脅到系統安全。
第二,傳統安全手段無法有效應對新安全威脅。常見的安全防御手段主要針對傳統業務和技術架構進行設計和部署,而新技術往往采用了新的架構,給業務模式帶來了新變化。當業務和架構發生變化后,原有安全防御手段可能無法完全滿足新環境下安全保障的需求。
第三,新研發模式導致了更多的系統缺陷。自互聯網金融元年以來,各大商業銀行反應迅速,深入學習互聯網思維,全身心投入到互聯網金融的研究和應用中。互聯網思維以“用戶體驗”為中心,以對需求的快速響應搶占市場先機,并持續通過擴大客戶群體和保持客戶黏性獲得優勢市場地位。商業銀行為了快速響應市場需求變化,需要改變現有的系統研發模式,縮短系統研發時間和流程。
在傳統的開發模式下,一個應用系統從需求研制到投產上線,在所有環節中都嵌入了各類安全活動,包括安全需求分析、安全架構設計、代碼安全檢查、應用安全測試等。但為了確保快速上線,項目研發時間被壓縮,應用系統可能未經過充分的安全設計和測試就迫于業務壓力匆忙上線。此類系統往往存在更多的缺陷,難免在上線后出現各類安全漏洞。與此同時,科技人員為了修復系統缺陷,不得不多次將更新后的軟件版本重新發布到生產環境,這又成為了另一個不利于生產運行環境安全穩定的因素。
第一,加強信息科技基礎性管理工作。
無論信息科技工作的環境發生什么樣的變化,信息科技工作的本質和基本原理并不會變。加強信息科技基礎性管理、提升管理精細化水平永遠是控制信息安全風險的有效手段。
例如,在系統研發階段,只要項目的需求管理、質量管理、風險管理、進度管理等各個環節嚴格遵照標準和制度要求,無論是采用瀑布模型還是敏捷開發,都可以做到確保良好的開發質量,盡可能降低系統帶病運行的風險;在系統運行階段,只要嚴格遵守安全制度要求,切實落實安全運營、安全監測、安全預警、應急響應等各個環節工作要求,即使系統出現安全漏洞,也能夠迅速化解風險,保護系統正常運行。因此,加強信息科技基礎性管理是修煉提升內功,這樣才能以不變應萬變,坦然面對外部安全風險形勢變化。
第二,充分運用新技術應對新安全問題。
商業銀行必須充分預判和挖掘大數據、云計算、移動互聯網等新技術存在的信息安全風險,確保新技術的應用不會造成重大客戶信息泄露和資金損失。同時,商業銀行還應該意識到新技術可以提升信息安全保障能力的另一面,積極研究大數據、云計算、人工智能等在信息安全態勢感知、信息安全威脅情報分析、信息安全策略集中管控等方面的應用,推動信息安全防御和信息安全事件響應工作向著縱深化、智能化、快速化的方向發展。
第三,加快推進信息安全人才隊伍建設。
信息安全保障工作高度依賴于人的能力。一支技術水平高、經驗豐富、戰斗力強的信息安全人才隊伍是商業銀行做好信息安全工作的前提條件。與此同時,由于合格的信息安全從業人員既需要具備全面扎實的理論基礎,又離不開豐富的實踐經驗,培養信息安全人才往往需要花費數年時間。因此,商業銀行應該高度重視信息安全人才培養工作,通過采用內部傳承和引入行業內高端人才相結合的方式,打造一支高水平的信息安全團隊。
未來大數據技術的發展、經濟增速減緩、經濟結構轉型、利率市場化、互聯網金融沖擊等因素必將深刻影響商業銀行的經營方式。隨著信息安全風險管控形勢日益嚴峻,信息科技部門更是面臨安全和發展的雙重挑戰。但無論內外部環境如何變化,機遇總是和風險并存。因此,只要商業銀行正視信息安全風險,合理平衡信息化建設和信息安全之間的關系,抓住這個機遇來大力改造傳統銀行業務流程和金融產品,以創新姿態迎接商業銀行創新發展的新篇章。
金程推薦:
公司培訓精品課程
企業培訓成功案例
銀行培訓
▎來源銀行培訓,更多內容請關注微信號金程金融。原創文章,歡迎分享,若需引用或轉載請保留此處信息。
》》返回首頁
.jpg)
.png)
.png)
點擊咨詢
13611652501
15000728859