Da Cyber-Angriffe zunehmen, erfahren Sie hier, wie CEOs die Cyber-Resilienz verbessern können: PlatoBlockchain Data Intelligence. Vertikale Suche. Ai.

Da Cyberangriffe zunehmen, erfahren Sie hier, wie CEOs die Cyber-Resilienz verbessern können

Zeitstempel: 17. November 2022, 9:51 Uhr

  • Die Cybersicherheit und Widerstandsfähigkeit von Unternehmen wird zunehmend von Investoren und Aufsichtsbehörden unter die Lupe genommen.

  • Die Cyber ​​Risk Principles des Weltwirtschaftsforums tragen dazu bei, die Cyber-Resilienz branchenübergreifend zu fördern.

  • Simulationsgestützte Forschung des MIT CAMS zeigt, dass die Verpflichtung und Annahme der Cyber ​​Risk Principles des Weltwirtschaftsforums die Cyber-Resilienz erheblich verbessert.

  • Die Ergebnisse zeigen auch, dass die Verpflichtung zu diesen Cyber-Risikoprinzipien entgegen den Erwartungen keine Kosten verursacht.

Die beispiellose Digitalisierung in unserer Gesellschaft hat viele Unternehmensleiter und Führungskräfte dazu gebracht, zu verstehen, wie sie Cyber-Risiken angemessen bewerten und steuern können. Die Steuerung von Cyber-Risiken ist ein ganzheitlicher Prozess, der darauf abzielt, die Cyber-Resilienz von Organisationen zu verbessern. In diesem Zusammenhang definieren Regierungen Cyber-Resilience-Verpflichtungen, bezeichnen kritische Infrastruktur das erfordert zwingenden Schutz und Hilfe für Investoren besser vergleichen die Cyber-Bemühungen ihrer Unternehmen.

Ein erfolgreiches Management der Cyber-Resilienz ist notwendig, da Unternehmen und Führungskräfte mit Bußgeldern und anderen schwerwiegenden Konsequenzen konfrontiert sind. Potenzielle Auswirkungen bedeuten, dass Vorstandsmitglieder Cyber-Risiken und die besten Möglichkeiten zu ihrer Minderung verstehen müssen.

Das ist leichter gesagt als getan. 57 % der Unternehmen sind von ihren Best Practices zur Minderung von Cyber-Risiken überzeugt, während XNUMX % davon ausgehen von einem Cyberangriff getroffen. Leider hat nur die Hälfte dieser Organisationen geeignete Cyber-Maßnahmen implementiert.

Förderung der branchenübergreifenden Cyber-Resilienz

Im Jahr 2021 veröffentlichten das Weltwirtschaftsforum und seine Partner mit der National Association of Corporate Directors (NACD), der Internet Security Alliance (ISA) und PwC die Grundsätze für die Verwaltung von Cyber-Risiken durch den Vorstand (die Cyber-Risiko-Prinzipien des Forums), die entscheidend sind, um die Resilienz branchenübergreifend zu fördern. Diese Leitlinien (ursprünglich für Unternehmensvorstände entwickelt) sind in sechs Grundsätzen zusammengefasst:

  • Erkennen Sie, dass Cybersicherheit ein strategischer Faktor für das Geschäft ist.

  • Verstehen Sie die wirtschaftlichen Treiber und Auswirkungen von Cyberrisiken.

  • Richten Sie das Cyber-Risikomanagement an den geschäftlichen Anforderungen aus.

  • Stellen Sie sicher, dass das Organisationsdesign die Cybersicherheit unterstützt.

  • Integrieren Sie Cybersicherheitsexpertise in die Vorstandsführung.

  • Fördern Sie die systemische Belastbarkeit und Zusammenarbeit.

Das Prinzip stellt im Vergleich zu Resilienz einen deutlich anderen Ansatz dar wie Organisationen Delegieren Sie die Cyber-Sicherheit an die IT, haben Sie eine falsche Wahrnehmung der strategischen Natur von Cyber-Risiken und halten Sie Sicherheitsverletzungen unter Verschluss.

Eine falsche Wahrnehmung des strategischen Charakters von Cyber-Risiken kann enorme Folgen haben. Zum Beispiel das Softwareunternehmen Kasaye erfahrensten ein Ransomware-Angriff im Juli 2021, der dazu führte, dass ihr geplanter Börsengang (IPO) bis auf weiteres verschoben wurde, was sie dazu veranlasste nicht heben geschätzte 875 Millionen Dollar. Darüber hinaus verfügte SolarWinds, das 2019 verletzt wurde, über spezielle Werbetechniken, um seine kommerziellen Erfolgsgeschichten zu präsentieren hochkarätige Kunden, was letztendlich eine „Einkaufsliste“ für den Gegner liefert.
"

Die Übernahme der Cyber ​​Risk Principles des Forums zeigt, dass einzelne Organisationen ihre Cyber-Resilienz erheblich verbessern können, ohne die Kosten zu erhöhen.

"

— Sander Zeijlemaker, Research Affiliate Cybersecurity am MIT Sloan (CAMS), Geschäftsführer des Disem Institute | Michael Siegel, leitender Forschungswissenschaftler, Direktor, Cybersicherheit am MIT Sloan (CAMS) | Daniel Dobrygowski, Leiter Governance und Vertrauen, Weltwirtschaftsforum

Verstehen durch Simulation

Da Cyber-Risiken ein wichtiges Thema auf der Agenda von Führungskräften sind, hat MIT CAMS dies getan entwickelt eine Methode zur Verbesserung der Fähigkeiten von Führungskräften, Cyber-Risiken vorherzusehen und zu bewältigen. Diese Technologie, die als Cyber-Risiko-Dashboard bezeichnet wird, basiert auf Kontrolltheorie und Systemdynamik und basiert auf bedeutender Forschung auf diesem Gebiet, einschließlich Interviews mit Chief Information Security Officers (CISOs). Es wurde im Laufe der Jahre bei einem Fortune-500-Unternehmen validiert, indem eine breite Palette strategischer Cyber-Risiko-Herausforderungen analysiert wurde.

Das Dashboard ahmt das Entscheidungsfindungs-Ökosystem für Cyber-Risiken genau nach. Es berücksichtigt die aktuelle Verteidigungshaltung und die Entwicklung von Angriffstaktiken, neu auftretende Cyber-Vorfälle und sich verändernde Organisationen in Bezug auf Menschen, Prozesse und Technologie. Das Cyber-Risiko-Dashboard bietet die Möglichkeit, Prognosen gemäß den Leistungsindikatoren der Cybersicherheitsstrategie einer Organisation zu erstellen. Diese Arbeit kann leicht für andere strategische Analysen angepasst werden. MIT CAMs verwendeten einen Simulationsansatz, um das Verhalten von Organisationen zu verstehen, als sie die Cyber ​​Risk Principles des Forums anpassten.

Die Verwendung von Personen – Profile künstlicher Entscheidungsträger mit spezifischen Merkmalen, die ihre Cyber-Risikomanagement-Strategie vorantreiben – ist ein wissenschaftlich fundierter Ansatz zur Erforschung der Verhaltensseite des Cyber-Risikomanagements. Diese Simulationstechnologie nutzt die Personas verschiedener Organisationen, um die strategische Entscheidungsfindung voranzutreiben, und kann die zukünftigen Auswirkungen ihrer Strategie vorhersehen. In dieser Analyse verwenden wir auch Daten aus unserer anonymisierten Fallstudie bei einem Fortune-500-Unternehmen namens Smart Wealth Management Inc. Als solche erkennen wir Folgendes an:

Der cyberbewusste CEO (CC-CEO)

Dieser CEO mag die Prinzipien kennen, muss sie aber (noch) nicht übernehmen. Dieser CEO konzentriert sich auf die angemessene Einhaltung von Sicherheitsstandards und kontrolliert die Sicherheitskosten. Die zunehmende Arbeitsbelastung und der Mangel an Sicherheitsressourcen führen zu einem reaktiveren Umgang mit Cyberrisiken.

Der WEF-resistente CEO (WEF-CEO)

Dieser CEO ist cyberbewusst, ist aber noch weiter gegangen, indem er die Cyber ​​Risk Principles des Forums übernommen hat, um die Resilienz zu fördern. Er oder sie kann Unterzeichner des Forums sein Cyber-Resilienz-Versprechen. Dieser CEO geht proaktiv und vorausschauend mit Bedrohungen um, weiß, wie seine Technologie sein Geschäft vorantreibt, und konzentriert sich auf die Aufrechterhaltung der Geschäftsleistung und die Kostenprognosen für Cyberrisiken.

Strategisches Bewusstsein fördert die Cyber-Resilienz

Wir beobachten einen signifikanten Unterschied, wenn wir die Stärke der Verteidigungshaltung vergleichen, die durch die Anzahl der Sicherheitsvorfälle/kompromittierten Vermögenswerte dargestellt wird. Der CEO, der die Cyber ​​Risk Principles des Forums befolgt (der WEF-CEO), hat im Vergleich zum CC-CEO voraussichtlich bis zu 85 % weniger Cyber-Vorfälle (siehe Abbildung 1).
Abbildung 1. Kumulierte Vorfälle über 60 Monate für die Cyber-Risikomanagementstrategie des CC-CEO und des WEF-CEO. Bild: MIT CAMS

Die Cyberrisikobemühungen und Aufgabenpriorisierung des WEF-CEO ermöglichen ein frühzeitiges Eingreifen, das das gegnerische Verhalten einschränkt, während das Team des CC-CEO oft langsamer reagiert, was letztendlich dem Gegner zugute kommt.

Ähnliche Erkenntnisse können im Risikoprofil (siehe Abbildung 2) hinsichtlich einer Häufigkeitsverteilung des Auftretens potenzieller Cyber-Vorfälle zugunsten des WEF-CEO beobachtet werden, hauptsächlich wenn eine große Anzahl von Cyber-Vorfällen die Unterstützung der IT-Teams durch die Sicherheitsteams erfordern kann. Diese Situationen, die als Spillover-Effekte bekannt sind, erfordern eine Neupriorisierung von IT-Aufgaben, normalerweise auf Kosten der IT-Projektabwicklung.
Cyber-Resilienz, Cyber-Risikomanagement
Abbildung 2. Das Cyber-Risikoprofil basiert auf der Verteilung potenzieller Sicherheitsvorfälle über 60 Monate für die Cyber-Risikomanagementstrategie des CC-CEO und des WEF-CEO. Die Sensitivitätsanalyse wird mit einem Sicherheitsbereich von 95 % durchgeführt. Cyber-Resilienz
Abbildung 2. Das Cyber-Risikoprofil basiert auf der Verteilung potenzieller Sicherheitsvorfälle über 60 Monate für die Cyber-Risikomanagementstrategie des CC-CEO und des WEF-CEO. Die Sensitivitätsanalyse wird mit einem Sicherheitsbereich von 95 % durchgeführt. Die Übernahme der Cyber ​​Risk Principles des Forums zeigt, dass einzelne Organisationen ihre Cyber-Resilienz erheblich verbessern können, ohne die Kosten zu erhöhen. Bild: MIT CAMS

Ein belastbarer Ansatz verursacht keine Kostensteigerung

Der WEF-CEO hat wahrscheinlich niedrigere Kosten als der CC-CEO (siehe Abbildung 3). Der Hauptunterschied zwischen diesen beiden Szenarien besteht in der Zuweisung von Aufgabenprioritäten und Cyber-Risiko-Bemühungen des Sicherheitspersonals. Der CC-CEO unternimmt fortlaufende Anstrengungen, die zusätzliche Personalressourcen erfordern, um Reaktions- und Wiederherstellungsprozesse zu unterstützen, postmortale Untersuchungen durchzuführen und die Sicherheitsfunktionen entsprechend anzupassen und zu verbessern. Die vom WEF-CEO implementierte Security by Design verfügt über eine kontinuierliche proaktive Anpassung und Verbesserung der Fähigkeiten (einschließlich kontinuierlicher Automatisierung) und hat regelmäßige Cyber-Risiko-Dashboards und -Berichte auf Vorstandsebene implementiert.
Abbildung 3. Ressourcen (FTE) 60 Monate für die Cyber-Risikomanagementstrategie des CC-CEO und des WEF-CEO. Cyber-Resilienz
Abbildung 3. Ressourcen (FTE) 60 Monate für die Cyber-Risikomanagementstrategie des CC-CEO und des WEF-CEO. Bild: MIT CAMS

Die Übernahme der Cyber ​​Risk Principles des Forums zeigt, dass einzelne Organisationen ihre Cyber-Resilienz erheblich verbessern können, ohne die Kosten zu erhöhen. In diesen Simulationen hat sich die Übernahme der Prinzipien bewährt. In der Praxis führt die Vernetzung und Konnektivität zwischen Organisationen zu neuen Abhängigkeiten, die durch weitere Forschung und Simulationen untersucht werden. Die aktuellen Ergebnisse an sich sind jedoch starke Argumente für Organisationen, die Cyber ​​Risk Principles des Forums zu übernehmen.

Link: https://www.weforum.org/agenda/2022/11/as-cyber-attacks-increase-heres-how-ceos-can-improve-cyber-resilience/

Zeitstempel:

Mehr von Fintech-Nachrichten