Con l'aumento degli attacchi informatici, ecco come i CEO possono migliorare la resilienza informatica PlatoBlockchain Data Intelligence. Ricerca verticale. Ai.

Con l'aumento degli attacchi informatici, ecco come i CEO possono migliorare la resilienza informatica

Timestamp: 17 novembre 2022 9:51 AM

  • La sicurezza informatica e la resilienza delle aziende sono sempre più sottoposte a scrutinio da parte di investitori e autorità di regolamentazione.

  • I Cyber ​​Risk Principles del World Economic Forum aiutano a promuovere la resilienza informatica in tutti i settori.

  • La ricerca assistita dalla simulazione del MIT CAMS mostra che l'impegno e l'adozione dei Cyber ​​Risk Principles del World Economic Forum migliora significativamente la resilienza informatica.

  • I risultati mostrano anche che, contrariamente alle aspettative, l'adesione a questi principi di rischio informatico non aumenta i costi.

La digitalizzazione senza precedenti nella nostra società ha spinto molti leader e dirigenti aziendali a capire come valutare e governare adeguatamente il rischio informatico. La governance del rischio informatico è un processo olistico che mira a migliorare la resilienza informatica dell'organizzazione. In questo contesto, i governi definiscono obblighi di resilienza informatica, designare infrastrutture critiche che richiede una protezione obbligatoria e aiuta gli investitori meglio confrontare gli sforzi informatici delle loro aziende.

Gestire con successo la resilienza informatica è necessario poiché le organizzazioni e i dirigenti devono affrontare multe e altre gravi conseguenze. Le potenziali ripercussioni significano che i membri del consiglio devono comprendere i rischi informatici e i modi migliori per mitigarli.

Questo è più facile a dirsi che a farsi. Il 57% delle aziende è fiducioso nelle proprie best practice per mitigare i rischi informatici, mentre il XNUMX% prevede di esserlo colpito da un attacco informatico. Sfortunatamente, solo la metà di queste organizzazioni ha implementato misure informatiche adeguate.

Promuovere la resilienza informatica intersettoriale

Nel 2021, il World Economic Forum e i suoi partner, con la National Association of Corporate Directors (NACD), Internet Security Alliance (ISA) e PwC, hanno pubblicato il Principi per la governance consiliare del Cyber ​​Risk (i Cyber ​​Risk Principles del Forum), fondamentali per promuovere la resilienza in tutti i settori. Questa guida (inizialmente sviluppata per i consigli di amministrazione aziendali) è riassunta in sei principi:

  • Riconoscere che la sicurezza informatica è un abilitatore aziendale strategico.

  • Comprendere i driver economici e l'impatto del rischio informatico.

  • Allineare la gestione del rischio informatico alle esigenze aziendali.

  • Garantire che il design organizzativo supporti la sicurezza informatica.

  • Incorporare le competenze in materia di sicurezza informatica nella governance del consiglio di amministrazione.

  • Incoraggiare la resilienza sistemica e la collaborazione.

Il principio rappresenta un approccio significativamente diverso alla resilienza rispetto a come le organizzazioni delegare la sicurezza informatica all'IT, avere una percezione errata della natura strategica del rischio informatico e tenere nascoste le violazioni.

Una percezione errata della natura strategica dei rischi informatici può avere conseguenze enormi. Ad esempio, la società di software Kasaye esperto un attacco ransomware nel luglio 2021, che ha causato il rinvio della loro prevista offerta pubblica iniziale (IPO) fino a nuovo avviso, portandoli a non riescono a sollevare una stima di $ 875 milioni. Inoltre, SolarWinds, violata nel 2019, disponeva di tecniche pubblicitarie specifiche per mostrare le proprie storie di successo commerciale clienti di alto profilo, fornendo infine una "lista della spesa" per l'avversario.
"

L'adozione dei Cyber ​​Risk Principles del Forum dimostra che le singole organizzazioni possono migliorare significativamente la loro resilienza informatica senza aumentare i costi.

"

— Sander Zeijlemaker, Research Affiliate Cybersecurity at MIT Sloan (CAMS), Amministratore delegato Disem Institute | Michael Siegel, Principal Research Scientist, Director, Cybersecurity at MIT Sloan (CAMS) | Daniel Dobrygowski, responsabile della governance e della fiducia, Forum economico mondiale

Comprensione attraverso la simulazione

Con il rischio informatico una questione vitale nelle agende dei leader, MIT CAMS lo ha fatto sviluppato un metodo per migliorare le capacità dei leader di prevedere e gestire i rischi informatici. Questa tecnologia, denominata dashboard del rischio informatico, si basa sulla teoria del controllo e sulla dinamica dei sistemi ed è costruita su ricerche significative nel campo, comprese le interviste con i responsabili della sicurezza delle informazioni (CISO). È stato convalidato nel corso degli anni presso un'azienda Fortune 500 analizzando un'ampia gamma di sfide strategiche relative al rischio informatico.

Il dashboard imita da vicino l'ecosistema decisionale del rischio informatico. Considera l'attuale posizione di difesa e lo sviluppo delle tattiche di attacco, gli incidenti informatici emergenti e le organizzazioni in evoluzione in termini di persone, processi e tecnologia. Il dashboard del rischio informatico fornisce i mezzi per effettuare proiezioni in base agli indicatori di performance della strategia di sicurezza informatica di un'organizzazione. Questo lavoro può essere facilmente adattato per altre analisi strategiche. I CAM del MIT hanno utilizzato un approccio aggiunto alla simulazione per comprendere il comportamento organizzativo durante l'adattamento dei principi di rischio informatico del Forum.

L'impiego di persone – profili artificiali dei decisori con caratteristiche specifiche che guidano la loro strategia di gestione del rischio informatico – è un approccio scientificamente fondato per esplorare il lato comportamentale della gestione del rischio informatico. Utilizzando i personaggi di diverse organizzazioni per guidare il processo decisionale strategico, questa tecnologia di simulazione può prevedere l'impatto futuro della loro strategia. In questa analisi, riutilizziamo anche i dati del nostro caso di studio anonimo presso un'azienda Fortune-500 chiamata Smart Wealth Management Inc. Come tale, riconosciamo:

Il CEO cyber-consapevole (CC-CEO)

Questo CEO potrebbe essere a conoscenza dei principi ma deve ancora adottarli (ancora). Questo CEO si concentra sulla ragionevole conformità agli standard di sicurezza e controlla i costi della sicurezza. L'aumento del carico di lavoro e la mancanza di risorse di sicurezza guidano un approccio più reattivo al rischio informatico.

Il CEO resiliente del WEF (WEF-CEO)

Questo CEO è consapevole del cyber ma è andato oltre adottando i Cyber ​​Risk Principles del Forum per promuovere la resilienza. Lui o lei può essere un firmatario del Forum Impegno di resilienza informatica. Questo CEO ha un approccio proattivo e anticipatorio alle minacce, sa come la loro tecnologia guida la loro attività e si concentra sul mantenimento delle prestazioni aziendali e sulle previsioni dei costi del rischio informatico.

La consapevolezza strategica favorisce la resilienza informatica

Osserviamo una differenza significativa confrontando la forza della posizione di difesa rappresentata dal numero di incidenti di sicurezza/beni compromessi. Si prevede che il CEO che segue i Cyber ​​Risk Principles del Forum (il WEF-CEO) avrà fino all'85% in meno di incidenti informatici (vedi Figura 1) rispetto al CC-CEO.
Figura 1. Incidenti cumulativi nell'arco di 60 mesi per la strategia di gestione del rischio informatico del CC-CEO e del WEF-CEO. Immagine: MIT CAMS

Gli sforzi per il rischio informatico e la definizione delle priorità delle attività del WEF-CEO consentono un intervento tempestivo che limita il comportamento avversario, mentre il team del CC-CEO spesso risponde più lentamente, il che alla fine avvantaggia l'avversario.

Intuizioni simili possono essere osservate nel profilo di rischio (vedi Figura 2) per quanto riguarda una distribuzione di frequenza del potenziale verificarsi di incidenti informatici a favore del WEF-CEO, soprattutto quando un gran numero di incidenti informatici può richiedere ai team IT di aiutare i team di sicurezza. Queste situazioni, note come effetti di ricaduta, richiedono la ridefinizione delle priorità delle attività IT, in genere a scapito della consegna dei progetti IT.
resilienza informatica gestione del rischio informatico
Figura 2. Il profilo di rischio informatico si basa sulla distribuzione del verificarsi di potenziali incidenti di sicurezza nell'arco di 60 mesi per la strategia di gestione del rischio informatico del CC-CEO e del WEF-CEO. L'analisi di sensibilità viene eseguita con un intervallo di certezza del 95%. resilienza informatica
Figura 2. Il profilo di rischio informatico si basa sulla distribuzione del verificarsi di potenziali incidenti di sicurezza nell'arco di 60 mesi per la strategia di gestione del rischio informatico del CC-CEO e del WEF-CEO. L'analisi di sensibilità viene eseguita con un intervallo di certezza del 95%. L'adozione dei Cyber ​​Risk Principles del Forum dimostra che le singole organizzazioni possono migliorare significativamente la loro resilienza informatica senza aumentare i costi. Immagine: MIT CAMS

Un approccio resiliente non aumenta i costi

Il WEF-CEO ha probabilmente costi inferiori rispetto al CC-CEO (vedi Figura 3). La principale differenza tra questi due scenari è nell'assegnazione delle priorità delle attività e degli sforzi di rischio informatico del personale di sicurezza. Il CC-CEO ha sforzi continui che richiedono risorse di personale aggiuntive per supportare i processi di risposta e ripristino, eseguire ricerche post mortem e adeguare e migliorare le capacità di sicurezza di conseguenza. La sicurezza in base alla progettazione implementata dal WEF-CEO ha un continuo adeguamento e miglioramento delle capacità proattive (inclusa l'automazione continua) e ha implementato regolari dashboard e rapporti sui rischi informatici a livello di consiglio di amministrazione.
Figura 3. Resourcing (FTE) 60 mesi per la strategia di gestione del rischio informatico del CC-CEO e del WEF-CEO. resilienza informatica
Figura 3. Resourcing (FTE) 60 mesi per la strategia di gestione del rischio informatico del CC-CEO e del WEF-CEO. Immagine: MIT CAMS

L'adozione dei Cyber ​​Risk Principles del Forum dimostra che le singole organizzazioni possono migliorare significativamente la loro resilienza informatica senza aumentare i costi. In queste simulazioni, l'adozione dei principi si è rivelata preziosa. In pratica, l'interconnessione e la connettività tra le organizzazioni introduce nuove interdipendenze, che saranno esplorate attraverso ulteriori ricerche e simulazioni. I risultati attuali di per sé, tuttavia, rappresentano un valido argomento per le organizzazioni affinché adottino i Cyber ​​Risk Principles del Forum.

Link: https://www.weforum.org/agenda/2022/11/as-cyber-attacks-increase-heres-how-ceos-can-improve-cyber-resilience/

Timestamp:

Di più da Notizie Fintech