همانطور که حملات سایبری افزایش می‌یابد، در اینجا آمده است که چگونه مدیران عامل می‌توانند انعطاف‌پذیری سایبری هوش داده پلاتوبلاک چین را بهبود بخشند. جستجوی عمودی Ai.

همانطور که حملات سایبری افزایش می یابد، در اینجا آمده است که چگونه مدیران عامل می توانند انعطاف پذیری سایبری را بهبود بخشند

تمبر زمان: 17 نوامبر 2022، 9:51 صبح

  • امنیت سایبری و انعطاف پذیری شرکت ها به طور فزاینده ای توسط سرمایه گذاران و تنظیم کننده ها مورد بررسی قرار می گیرد.

  • اصول ریسک سایبری مجمع جهانی اقتصاد به ایجاد انعطاف پذیری سایبری در سراسر صنایع کمک می کند.

  • تحقیقات به کمک شبیه‌سازی از MIT CAMS نشان می‌دهد که تعهد و پذیرش اصول ریسک سایبری مجمع جهانی اقتصاد به طور قابل توجهی انعطاف‌پذیری سایبری را بهبود می‌بخشد.

  • نتایج همچنین نشان می‌دهد که برخلاف انتظارات، تعهد به این اصول ریسک سایبری هزینه‌ها را افزایش نمی‌دهد.

دیجیتالی‌سازی بی‌سابقه در جامعه ما، بسیاری از رهبران و مدیران کسب‌وکار را وادار کرده است تا بفهمند که چگونه می‌توانند ریسک سایبری را به اندازه کافی ارزیابی و کنترل کنند. مدیریت ریسک سایبری یک فرآیند کل نگر با هدف بهبود انعطاف پذیری سایبری سازمانی است. در این زمینه دولت ها تعریف می کنند تعهدات تاب آوری سایبری، تعیین کنید زیرساخت های حیاتی که نیازمند حمایت اجباری و کمک به سرمایه گذاران است بهتر مقایسه کنید تلاش های سایبری شرکت های آنها

مدیریت موفقیت آمیز انعطاف پذیری سایبری ضروری است زیرا سازمان ها و مدیران اجرایی با جریمه ها و سایر عواقب جدی روبرو هستند. پیامدهای بالقوه به این معناست که اعضای هیئت مدیره باید خطرات سایبری و بهترین راه‌های کاهش آنها را درک کنند.

گفتن این کار آسان تر از انجام آن است. نود و سه درصد از شرکت ها به بهترین شیوه های خود برای کاهش خطرات سایبری اطمینان دارند، در حالی که 57 درصد انتظار دارند که مورد حمله سایبری قرار گرفت. متاسفانه تنها نیمی از این سازمان ها اقدامات سایبری مناسبی را انجام داده اند.

ایجاد انعطاف‌پذیری سایبری بین‌صنعتی

در سال 2021، مجمع جهانی اقتصاد و شرکای آن، با انجمن ملی مدیران شرکت (NACD)، اتحاد امنیت اینترنت (ISA) و PwC، اصول مدیریت هیئت مدیره ریسک سایبری (اصول ریسک سایبری انجمن)، برای ایجاد انعطاف پذیری در صنایع بسیار مهم است. این راهنما (که در ابتدا برای هیئت مدیره شرکت ها تهیه شد) در شش اصل خلاصه می شود:

  • بدانید که امنیت سایبری یک عامل استراتژیک برای تجارت است.

  • محرک های اقتصادی و تاثیر ریسک سایبری را درک کنید.

  • مدیریت ریسک سایبری را با نیازهای کسب و کار هماهنگ کنید.

  • اطمینان حاصل کنید که طراحی سازمانی از امنیت سایبری پشتیبانی می کند.

  • تخصص امنیت سایبری را در مدیریت هیئت مدیره بگنجانید.

  • تاب آوری و همکاری سیستمی را تشویق کنید.

این اصل نشان دهنده رویکرد متفاوتی نسبت به تاب آوری است چگونه سازمان ها امنیت سایبری را به فناوری اطلاعات تفویض کنید، درک نادرستی از ماهیت استراتژیک ریسک سایبری داشته باشید و موارد نقض را مخفی نگه دارید.

درک نادرست از ماهیت استراتژیک خطرات سایبری می تواند عواقب بسیار زیادی داشته باشد. به عنوان مثال، شرکت نرم افزار Kasaye با تجربه یک حمله باج افزار در جولای 2021، که باعث به تعویق افتادن عرضه اولیه عمومی برنامه ریزی شده آنها (IPO) تا اطلاع ثانوی شد و آنها را به موفق به بالا بردن 875 میلیون دلار تخمین زده می شود. علاوه بر این، SolarWinds که در سال 2019 نقض شد، تکنیک‌های تبلیغاتی خاصی برای نمایش داستان‌های موفقیت تجاری خود داشت. مشتریان با مشخصات بالا، در نهایت "لیست خرید" را برای حریف فراهم می کند.
"

اتخاذ اصول ریسک سایبری انجمن نشان می‌دهد که سازمان‌های منفرد می‌توانند به طور قابل توجهی انعطاف‌پذیری سایبری خود را بدون افزایش هزینه‌ها بهبود بخشند.

"

— Sander Zeijlemaker، پژوهشی وابسته به امنیت سایبری در MIT Sloan (CAMS)، مدیر عامل موسسه Disem | مایکل سیگل، محقق اصلی، مدیر امنیت سایبری در MIT Sloan (CAMS) | دانیل دوبریگوفسکی، رئیس اداره حکومت و اعتماد، مجمع جهانی اقتصاد

درک از طریق شبیه سازی

با توجه به اینکه خطر سایبری یک موضوع حیاتی در دستور کار رهبران است، MIT CAMS آن را دارد توسعه روشی برای بهبود توانایی های رهبران برای پیش بینی و مدیریت ریسک های سایبری. این فناوری که از آن به عنوان داشبورد ریسک سایبری یاد می شود، مبتنی بر تئوری کنترل و دینامیک سیستم است و بر اساس تحقیقات قابل توجه در این زمینه، از جمله مصاحبه با افسران ارشد امنیت اطلاعات (CISOs) ساخته شده است. در طول سال‌ها در یکی از شرکت‌های Fortune 500 با تجزیه و تحلیل طیف وسیعی از چالش‌های استراتژیک ریسک سایبری تأیید شده است.

داشبورد از نزدیک اکوسیستم تصمیم گیری ریسک سایبری را تقلید می کند. وضعیت دفاعی فعلی و توسعه تاکتیک های حمله، حوادث سایبری در حال ظهور و تغییر سازمان ها از نظر افراد، فرآیندها و فناوری را در نظر می گیرد. داشبورد ریسک سایبری ابزاری را برای پیش‌بینی بر اساس شاخص‌های عملکرد استراتژی امنیت سایبری یک سازمان فراهم می‌کند. این کار را می توان به راحتی برای سایر تحلیل های استراتژیک تطبیق داد. دوربین‌های مداربسته MIT از یک رویکرد افزوده شبیه‌سازی برای درک رفتار سازمانی هنگام تطبیق اصول ریسک سایبری انجمن استفاده کردند.

استفاده از افراد - پروفایل های تصمیم گیرندگان مصنوعی با ویژگی های خاص که استراتژی مدیریت ریسک سایبری آنها را هدایت می کند - یک رویکرد علمی مبتنی بر کاوش در جنبه رفتاری مدیریت ریسک سایبری است. این فناوری شبیه‌سازی با استفاده از شخصیت‌های سازمان‌های مختلف برای هدایت تصمیم‌گیری استراتژیک، می‌تواند تأثیرات آینده استراتژی آنها را پیش‌بینی کند. در این تجزیه و تحلیل، ما همچنین از داده‌های مطالعه موردی ناشناس خود در یک شرکت Fortune-500 به نام Smart Wealth Management Inc استفاده مجدد می‌کنیم. به این ترتیب، ما تشخیص می‌دهیم:

مدیر عامل آگاه سایبری (CC-CEO)

این مدیر عامل ممکن است از اصول آگاه باشد اما هنوز آنها را اتخاذ نکرده است (هنوز). این مدیر عامل بر روی انطباق منطقی با استانداردهای امنیتی تمرکز می کند و هزینه های امنیتی را کنترل می کند. افزایش حجم کار و کمبود منابع امنیتی رویکرد واکنشی تری به ریسک سایبری ایجاد می کند.

مدیرعامل مقاوم در برابر WEF (WEF-CEO)

این مدیر عامل سایبری آگاه است اما با اتخاذ اصول ریسک سایبری انجمن برای تقویت انعطاف پذیری فراتر رفته است. او ممکن است یکی از امضاکنندگان انجمن باشد تعهد تاب آوری سایبری. این مدیر عامل رویکردی پیشگیرانه و پیشگیرانه در قبال تهدیدات دارد، می داند که فناوری آنها چگونه کسب و کارشان را هدایت می کند و بر حفظ عملکرد تجاری و پیش بینی هزینه ریسک سایبری تمرکز دارد.

آگاهی راهبردی انعطاف‌پذیری سایبری را تقویت می‌کند

ما تفاوت قابل توجهی را هنگام مقایسه قدرت وضعیت دفاعی که توسط تعداد حوادث امنیتی / دارایی های به خطر افتاده را مقایسه می کنیم مشاهده می کنیم. پیش‌بینی می‌شود مدیر عاملی که از اصول ریسک سایبری انجمن پیروی می‌کند (WEF-CEO) تا 85 درصد کمتر از CC-CEO حوادث سایبری داشته باشد (شکل 1 را ببینید).
شکل 1. حوادث تجمعی در طول 60 ماه برای استراتژی مدیریت ریسک سایبری CC-CEO و WEF-CEO. تصویر: MIT CAMS

تلاش‌های ریسک سایبری و اولویت‌بندی وظایف WEF-CEO اجازه مداخله زودهنگام را می‌دهد که رفتار متخاصم را محدود می‌کند، در حالی که تیم CC-CEO اغلب کندتر پاسخ می‌دهد، که در نهایت به نفع دشمن است.

بینش های مشابهی را می توان در نمایه ریسک مشاهده کرد (شکل 2 را ببینید) در رابطه با توزیع فراوانی وقوع حوادث سایبری بالقوه به نفع مدیر عامل WEF، عمدتاً زمانی که تعداد زیادی از حوادث سایبری ممکن است نیاز به تیم های فناوری اطلاعات برای کمک به تیم های امنیتی داشته باشد. این موقعیت‌ها، که به عنوان اثرات سرریز شناخته می‌شوند، نیازمند اولویت‌بندی مجدد وظایف فناوری اطلاعات هستند که معمولاً به هزینه تحویل پروژه فناوری اطلاعات تمام می‌شود.
تاب آوری سایبری مدیریت ریسک سایبری
شکل 2. نمایه ریسک سایبری بر اساس توزیع رویدادهای امنیتی احتمالی در طول 60 ماه برای استراتژی مدیریت ریسک سایبری CC-CEO و WEF-CEO است. تجزیه و تحلیل حساسیت با محدوده اطمینان 95٪ انجام می شود. تاب آوری سایبری
شکل 2. نمایه ریسک سایبری بر اساس توزیع رویدادهای امنیتی احتمالی در طول 60 ماه برای استراتژی مدیریت ریسک سایبری CC-CEO و WEF-CEO است. تجزیه و تحلیل حساسیت با محدوده اطمینان 95٪ انجام می شود. اتخاذ اصول ریسک سایبری انجمن نشان می‌دهد که سازمان‌های منفرد می‌توانند به طور قابل توجهی انعطاف‌پذیری سایبری خود را بدون افزایش هزینه‌ها بهبود بخشند. تصویر: MIT CAMS

رویکرد انعطاف پذیر هزینه ها را افزایش نمی دهد

WEF-CEO احتمالاً هزینه های کمتری نسبت به CC-CEO دارد (شکل 3 را ببینید). تفاوت عمده بین این دو سناریو در تخصیص اولویت های وظایف و تلاش های ریسک سایبری کارکنان امنیتی است. CC-CEO تلاش‌های مداومی دارد که به منابع کارکنان اضافی برای پشتیبانی از فرآیندهای واکنش و بازیابی، اجرای تحقیقات پس از مرگ و تنظیم و بهبود قابلیت‌های امنیتی بر این اساس نیاز دارد. امنیت بر اساس طراحی که توسط WEF-CEO پیاده‌سازی شده است، دارای قابلیت تنظیم و بهبود فعال پیشگیرانه (از جمله اتوماسیون مداوم) است و داشبورد و گزارش‌دهی ریسک سایبری منظم در سطح هیئت مدیره را اجرا کرده است.
شکل 3. منابع (FTE) 60 ماه برای استراتژی مدیریت ریسک سایبری CC- CEO و WEF-CEO. تاب آوری سایبری
شکل 3. منابع (FTE) 60 ماه برای استراتژی مدیریت ریسک سایبری CC- CEO و WEF-CEO. تصویر: MIT CAMS

اتخاذ اصول ریسک سایبری انجمن نشان می‌دهد که سازمان‌های منفرد می‌توانند به طور قابل توجهی انعطاف‌پذیری سایبری خود را بدون افزایش هزینه‌ها بهبود بخشند. در این شبیه‌سازی‌ها، اتخاذ اصول ارزشمند بود. در عمل، پیوستگی و ارتباط بین سازمان ها وابستگی های متقابل جدیدی را معرفی می کند که از طریق تحقیقات و شبیه سازی های بیشتر مورد بررسی قرار خواهد گرفت. با این حال، یافته‌های کنونی به خودی خود دلیل محکمی را برای سازمان‌ها ایجاد می‌کند تا اصول ریسک سایبری انجمن را اتخاذ کنند.

لینک: https://www.weforum.org/agenda/2022/11/as-cyber-attacks-increase-heres-how-ceos-can-improve-cyber-resilience/

تمبر زمان:

بیشتر از اخبار فین تک