-
Los inversionistas y los reguladores analizan cada vez más la ciberseguridad y la resiliencia de las empresas.
-
Los Principios de riesgo cibernético del Foro Económico Mundial ayudan a impulsar la resiliencia cibernética en todas las industrias.
-
La investigación asistida por simulación de MIT CAMS muestra que el compromiso y la adopción de los Principios de riesgo cibernético del Foro Económico Mundial mejoran significativamente la resiliencia cibernética.
-
Los resultados también muestran que, contrariamente a las expectativas, el compromiso con estos principios de riesgo cibernético no aumenta los costos.
La digitalización sin precedentes en nuestra sociedad ha empujado a muchos líderes empresariales y ejecutivos a comprender cómo pueden evaluar y controlar adecuadamente el riesgo cibernético. Gobernar el riesgo cibernético es un proceso holístico que tiene como objetivo mejorar la resiliencia cibernética organizacional. En este contexto, los gobiernos definen obligaciones de resiliencia cibernética, designar infraestructura crítica que requiere protección obligatoria y ayudar a los inversores mejor comparar los esfuerzos cibernéticos de sus empresas.
La gestión exitosa de la resiliencia cibernética es necesaria ya que las organizaciones y los ejecutivos enfrentan multas y otras consecuencias graves. Las repercusiones potenciales significan que los miembros de la junta deben comprender los riesgos cibernéticos y las mejores formas de mitigarlos.
Esto es más fácil dicho que hecho. El 57 % de las empresas confía en sus mejores prácticas para mitigar los riesgos cibernéticos, mientras que el XNUMX % espera ser golpeado por un ataque cibernético. Desafortunadamente, solo la mitad de estas organizaciones han implementado medidas cibernéticas adecuadas.
Impulsando la resiliencia cibernética entre industrias
En 2021, el Foro Económico Mundial y sus socios, con la Asociación Nacional de Directores Corporativos (NACD), Internet Security Alliance (ISA) y PwC, publicaron el Principios para la Gobernanza de la Junta del Riesgo Cibernético (Principios de riesgo cibernético del Foro), fundamental para impulsar la resiliencia en todas las industrias. Esta guía (desarrollada inicialmente para juntas directivas corporativas) se resume en seis principios:
-
Reconocer que la ciberseguridad es un habilitador comercial estratégico.
-
Comprender los impulsores económicos y el impacto del riesgo cibernético.
-
Alinear la gestión del riesgo cibernético con las necesidades del negocio.
-
Asegúrese de que el diseño organizacional apoye la ciberseguridad.
-
Incorporar la experiencia en seguridad cibernética en el gobierno de la junta.
-
Fomentar la resiliencia sistémica y la colaboración.
El principio representa un enfoque significativamente diferente de la resiliencia en comparación con cómo las organizaciones delegar la seguridad cibernética a TI, tener una percepción equivocada de la naturaleza estratégica del riesgo cibernético y mantener las infracciones en secreto.
Una percepción equivocada de la naturaleza estratégica de los riesgos cibernéticos puede tener enormes consecuencias. Por ejemplo, la empresa de software Kasaye experimentado un ataque de ransomware en julio de 2021, que provocó el aplazamiento de su oferta pública inicial (OPI) planificada hasta nuevo aviso, lo que los llevó a fallar en levantar un estimado de $ 875 millones. Además, SolarWinds, violada en 2019, tenía técnicas publicitarias específicas para mostrar sus casos de éxito comercial de clientes de alto perfil, en última instancia, proporcionando una "lista de compras" para el adversario.
La adopción de los Principios de riesgo cibernético del Foro demuestra que las organizaciones individuales pueden mejorar significativamente su resiliencia cibernética sin aumentar los costos.
"
— Sander Zeijlemaker, Research Affiliate Cybersecurity en MIT Sloan (CAMS), Director Gerente del Instituto Disem | Michael Siegel, científico investigador principal, director de seguridad cibernética en MIT Sloan (CAMS) | Daniel Dobrygowski, Jefe de Gobernanza y Confianza, Foro Económico Mundial
Comprender a través de la simulación
Con el riesgo cibernético como un tema vital en las agendas de los líderes, MIT CAMS ha desarrollado un método para mejorar las habilidades de los líderes para prever y gestionar los riesgos cibernéticos. Esta tecnología, denominada tablero de riesgos cibernéticos, se basa en la teoría del control y la dinámica del sistema y se basa en una importante investigación en el campo, incluidas entrevistas con los directores de seguridad de la información (CISO). Ha sido validado a lo largo de los años en una empresa Fortune 500 mediante el análisis de una amplia gama de desafíos estratégicos de riesgo cibernético.
El tablero imita de cerca el ecosistema de toma de decisiones de riesgo cibernético. Considera la postura de defensa actual y el desarrollo de tácticas de ataque, incidentes cibernéticos emergentes y organizaciones cambiantes en términos de personas, procesos y tecnología. El tablero de riesgos cibernéticos proporciona los medios para hacer proyecciones de acuerdo con los indicadores de desempeño de la estrategia de ciberseguridad de una organización. Este trabajo se puede adaptar fácilmente para otros análisis estratégicos. Los CAM del MIT utilizaron un enfoque agregado de simulación para comprender el comportamiento organizacional al adaptar los Principios de riesgo cibernético del Foro.
El uso de Personas – perfiles artificiales de tomadores de decisiones con características específicas que impulsan su estrategia de gestión de riesgos cibernéticos – es un enfoque científicamente fundamentado para explorar el lado conductual de la gestión de riesgos cibernéticos. Utilizando las personalidades de diferentes organizaciones para impulsar la toma de decisiones estratégicas, esta tecnología de simulación puede prever el impacto futuro de su estrategia. En este análisis, también reutilizamos datos de nuestro estudio de caso anónimo en una empresa Fortune-500 llamada Smart Wealth Management Inc. Como tal, reconocemos:
El CEO ciberconsciente (CC-CEO)
Este CEO puede estar al tanto de los principios, pero aún tiene que adoptarlos (todavía). Este CEO se enfoca en el cumplimiento razonable de los estándares de seguridad y controla los costos de seguridad. El aumento de la carga de trabajo y la falta de recursos de seguridad impulsan un enfoque más reactivo frente al riesgo cibernético.
El CEO resistente del WEF (WEF-CEO)
Este director ejecutivo tiene conciencia cibernética, pero ha ido más allá al adoptar los Principios de riesgo cibernético del Foro para fomentar la resiliencia. Él o ella puede ser signatario del Foro Compromiso de Resiliencia Cibernética. Este CEO tiene un enfoque proactivo y anticipatorio de las amenazas, sabe cómo su tecnología impulsa su negocio y se enfoca en mantener el rendimiento comercial y las predicciones de costos de riesgo cibernético.
La conciencia estratégica fomenta la resiliencia cibernética
Observamos una diferencia significativa al comparar la fortaleza de la postura de defensa representada por el número de incidentes de seguridad/activos comprometidos. Se predice que el CEO que sigue los Principios de riesgo cibernético del Foro (el WEF-CEO) tendrá hasta un 85 % menos de incidentes cibernéticos (consulte la Figura 1) en comparación con el CC-CEO.
Figura 1. Incidentes acumulados durante 60 meses para la estrategia de gestión de riesgos cibernéticos del CC-CEO y el WEF-CEO. Imagen: MIT CAMS
Los esfuerzos de riesgo cibernético y la priorización de tareas del WEF-CEO permiten una intervención temprana que limita el comportamiento adversario, mientras que el equipo del CC-CEO a menudo responde más lentamente, lo que en última instancia beneficia al adversario.
Se pueden observar ideas similares en el perfil de riesgo (ver Figura 2) con respecto a una distribución de frecuencia de posibles incidentes cibernéticos a favor del WEF-CEO, principalmente cuando una gran cantidad de incidentes cibernéticos pueden requerir que los equipos de TI ayuden a los equipos de seguridad. Estas situaciones, conocidas como efectos indirectos, requieren una nueva priorización de las tareas de TI, generalmente a expensas de la entrega del proyecto de TI.
Figura 2. El perfil de riesgo cibernético se basa en la distribución de posibles incidentes de seguridad durante 60 meses para la estrategia de gestión de riesgos cibernéticos del CC-CEO y el WEF-CEO. El análisis de sensibilidad se realiza con un rango de certeza del 95%. La adopción de los Principios de riesgo cibernético del Foro demuestra que las organizaciones individuales pueden mejorar significativamente su resiliencia cibernética sin aumentar los costos. Imagen: MIT CAMS
Un enfoque resiliente no aumenta los costos
El WEF-CEO probablemente tenga costos más bajos que el CC-CEO (ver Figura 3). La principal diferencia entre estos dos escenarios está en la asignación de tareas prioritarias y los esfuerzos de riesgo cibernético del personal de seguridad. El CC-CEO tiene esfuerzos en curso que requieren recursos de personal adicionales para respaldar los procesos de respuesta y recuperación, ejecutar la investigación post-mortem y ajustar y mejorar las capacidades de seguridad en consecuencia. La seguridad implementada por el WEF-CEO por diseño tiene un ajuste y una mejora continuos de la capacidad proactiva (incluida la automatización continua) y ha implementado paneles e informes regulares de riesgo cibernético a nivel de la junta.
Figura 3. Recursos (FTE) 60 meses para la estrategia de gestión del riesgo cibernético del CC-CEO y el WEF-CEO. Imagen: MIT CAMS
La adopción de los Principios de riesgo cibernético del Foro demuestra que las organizaciones individuales pueden mejorar significativamente su resiliencia cibernética sin aumentar los costos. En estas simulaciones, la adopción de los principios resultó valiosa. En la práctica, la interconexión y la conectividad entre las organizaciones introduce nuevas interdependencias, que se explorarán mediante más investigaciones y simulaciones. Los hallazgos actuales en sí mismos, sin embargo, constituyen un caso sólido para que las organizaciones adopten los Principios de Riesgo Cibernético del Foro.
Enlace: https://www.weforum.org/agenda/2022/11/as-cyber-attacks-increase-heres-how-ceos-can-improve-cyber-resilience/
- hormiga financiera
- blockchain
- conferencia blockchain fintech
- carillón fintech
- coinbase
- Coingenius
- criptoconferencia fintech
- seguridad cibernética
- Fintech
- aplicación fintech
- innovación fintech
- Noticias Fintech
- OpenSea
- PayPal
- Paytech
- pago
- Platón
- platón ai
- Inteligencia de datos de Platón
- PlatónDatos
- juego de platos
- maquinilla de afeitar
- revoluc
- Ripple
- tecnología financiera cuadrada
- raya
- fintech tencent
- xero
- zephyrnet
