サイバー攻撃が増加する中、CEO がサイバー レジリエンスを向上させる方法は次のとおりです PlatoBlockchain Data Intelligence. 垂直検索。 あい。

サイバー攻撃が増加する中、CEO がサイバー レジリエンスを向上させる方法は次のとおりです。

タイムスタンプ:17年2022月9日51:XNUMX AM

  • 企業のサイバーセキュリティと回復力は、投資家や規制当局によってますます精査されています。

  • 世界経済フォーラムのサイバー リスク原則は、業界全体でサイバー レジリエンスを推進するのに役立ちます。

  • MIT CAMS によるシミュレーションを利用した調査では、世界経済フォーラムのサイバー リスク原則への取り組みと採用により、サイバー レジリエンスが大幅に向上することが示されています。

  • 結果はまた、予想に反して、これらのサイバー リスク原則へのコミットメントがコストを上昇させないことも示しています。

私たちの社会における前例のないデジタル化により、多くのビジネス リーダーやエグゼクティブは、サイバー リスクを適切に評価して管理する方法を理解するようになりました。 サイバー リスクの管理は、組織のサイバー レジリエンスの向上を目的とした総合的なプロセスです。 この文脈において、政府は以下を定義します。 サイバーレジリエンスの義務、指定 重要インフラ 強制的な保護を必要とし、投資家を支援する より良い比較 彼らの企業のサイバー活動。

組織や経営幹部は罰金やその他の深刻な結果に直面するため、サイバー レジリエンスを適切に管理することが必要です。 潜在的な影響は、取締役会メンバーがサイバーリスクとそれらを軽減する最善の方法を理解する必要があることを意味します。

これは言うは易く行うは難しです。 企業の 57% が、サイバー リスクを軽減するベスト プラクティスに自信を持っています。 サイバー攻撃を受けた. 残念ながら、これらの組織の半分だけが適切なサイバー対策を実施しています。

業界を超えたサイバー レジリエンスの推進

2021 年、世界経済フォーラムとそのパートナー、全米企業取締役協会 (NACD)、インターネット セキュリティ アライアンス (ISA)、PwC は、 サイバーリスクの取締役会ガバナンスの原則 (フォーラムのサイバー リスク原則) は、業界全体の回復力を促進するために重要です。 このガイダンス (当初は企業の取締役会向けに作成されたもの) は、次の XNUMX つの原則に要約されています。

  • サイバーセキュリティが戦略的なビジネス イネーブラーであることを認識してください。

  • 経済的要因とサイバー リスクの影響を理解します。

  • サイバー リスク管理をビジネス ニーズに合わせます。

  • 組織の設計がサイバーセキュリティをサポートしていることを確認します。

  • サイバーセキュリティの専門知識を取締役会のガバナンスに組み込みます。

  • 体系的なレジリエンスとコラボレーションを促進します。

この原則は、レジリエンスへのアプローチが大きく異なることを表しています。 どのように組織 サイバー セキュリティを IT に委任し、サイバー リスクの戦略的性質について誤った認識を持ち、侵害を覆い隠します。

サイバー リスクの戦略的性質に対する誤った認識は、甚大な結果をもたらす可能性があります。 たとえば、ソフトウェア会社の Kasaye 経験豊かな 2021 年 XNUMX 月のランサムウェア攻撃により、予定されていた新規株式公開 (IPO) が追って通知があるまで延期され、 上げられない 推定875億2019万ドル。 さらに、XNUMX 年に侵害された SolarWinds は、特定の広告手法を使用して、商業的な成功事例を表示しました。 知名度の高い顧客、最終的に敵に「買い物リスト」を提供します。

フォーラムのサイバー リスク原則を採用することは、個々の組織がコストを上げることなくサイバー レジリエンスを大幅に改善できることを示しています。

 

— Sander Zeijlemaker、マサチューセッツ工科大学スローン (CAMS) のリサーチ アフィリエイト サイバーセキュリティ、Disem Institute マネージング ディレクター | Michael Siegel 氏、マサチューセッツ工科大学スローン (CAMS) の主任研究科学者、サイバーセキュリティ担当ディレクター | Daniel Dobrygowski 氏、世界経済フォーラムのガバナンスと信頼の責任者

シミュレーションで理解する

MIT CAMS は、リーダーの議題としてサイバー リスクが重要な問題であることから、 発展した リーダーのサイバーリスクを予見し、管理する能力を向上させる方法。 サイバー リスク ダッシュボードと呼ばれるこのテクノロジは、制御理論とシステム ダイナミクスに基づいており、最高情報セキュリティ責任者 (CISO) へのインタビューなど、この分野での重要な研究に基づいて構築されています。 Fortune 500 の企業で、幅広い戦略的サイバー リスクの課題を分析することにより、長年にわたって検証されてきました。

ダッシュボードは、サイバー リスクの意思決定エコシステムを厳密に模倣しています。 現在の防御態勢と攻撃戦術の開発、新たなサイバーインシデント、変化する組織を人、プロセス、テクノロジーの観点から検討します。 サイバー リスク ダッシュボードは、組織のサイバーセキュリティ戦略のパフォーマンス指標に従って予測を行う手段を提供します。 この作業は、他の戦略的分析に簡単に適用できます。 MIT CAM は、シミュレーションを追加したアプローチを使用して、フォーラムのサイバー リスク原則を適応させる際の組織の行動を理解しました。

の用法 ペルソナ – サイバー リスク管理戦略を推進する特定の特性を持つ人為的な意思決定者のプロファイル – は、サイバー リスク管理の行動面を調査するための科学的に根拠のあるアプローチです。 さまざまな組織のペルソナを使用して戦略的意思決定を推進するこのシミュレーション テクノロジは、組織の戦略の将来の影響を予測できます。 この分析では、Smart Welth Management Inc. という Fortune 500 企業での匿名化されたケース スタディのデータも再利用しています。

サイバー意識の高い CEO (CC-CEO)

この CEO は原則を認識しているかもしれませんが、まだ採用していません。 この CEO は、セキュリティ標準への合理的な準拠に重点を置き、セキュリティ コストを管理します。 ワークロードの増加とセキュリティ リソースの不足により、サイバー リスクに対するより事後対応型のアプローチが促進されます。

WEF レジリエント CEO (WEF-CEO)

この CEO はサイバーを意識していますが、回復力を高めるためにフォーラムのサイバー リスク原則を採用することでさらに先を行っています。 彼または彼女はフォーラムの署名者である可能性があります サイバーレジリエンス誓約. この CEO は、脅威に対して積極的かつ予測的なアプローチを取り、自社のテクノロジーがビジネスをどのように促進するかを知っており、ビジネス パフォーマンスの維持とサイバー リスク コストの予測に重点を置いています。

戦略的な認識がサイバー レジリエンスを促進する

セキュリティインシデント/侵害された資産の数によって表される防御態勢の強さを比較すると、大きな違いが見られます。 フォーラムのサイバー リスク原則に従う CEO (WEF-CEO) は、CC-CEO と比較して、サイバー インシデントが最大 85% 少ないと予測されています (図 1 を参照)。
図 1. CC-CEO と WEF-CEO のサイバー リスク管理戦略の 60 か月にわたる累積インシデント。 画像:MIT CAMS

WEF-CEOのサイバーリスクへの取り組みとタスクの優先順位付けにより、敵対的な行動を制限する早期介入が可能になりますが、CC-CEOのチームはしばしば反応が遅くなり、最終的に敵に利益をもたらします.

主に膨大な数のサイバー インシデントが発生し、IT チームがセキュリティ チームを支援する必要がある場合に、WEF-CEO に有利な潜在的なサイバー インシデント発生の頻度分布に関するリスク プロファイル (図 2 を参照) にも同様の洞察が見られます。 スピルオーバー効果として知られるこれらの状況では、通常、IT プロジェクトの提供を犠牲にして、IT タスクの再優先順位付けが必要になります。
サイバー レジリエンス サイバー リスク管理
図 2. サイバー リスク プロファイルは、CC-CEO と WEF-CEO のサイバー リスク管理戦略の 60 か月にわたる潜在的なセキュリティ インシデント発生の分布に基づいています。 感度分析は、95% の確実性範囲で実行されます。 サイバーレジリエンス
図 2. サイバー リスク プロファイルは、CC-CEO と WEF-CEO のサイバー リスク管理戦略の 60 か月にわたる潜在的なセキュリティ インシデント発生の分布に基づいています。 感度分析は、95% の確実性範囲で実行されます。 フォーラムのサイバー リスク原則を採用することは、個々の組織がコストを上げることなくサイバー レジリエンスを大幅に改善できることを示しています。 画像:MIT CAMS

回復力のあるアプローチはコストを上げません

WEF-CEO は、CC-CEO よりもコストが低い可能性があります (図 3 を参照)。 これら XNUMX つのシナリオの主な違いは、タスクの優先順位の割り当てと、セキュリティ スタッフのサイバー リスクへの取り組みにあります。 CC-CEO は、対応および復旧プロセスをサポートし、事後調査を実施し、それに応じてセキュリティ機能を調整および改善するために、追加のスタッフ リソースを必要とする継続的な取り組みを行っています。 WEF の CEO によって実装されたセキュリティ バイ デザインには、継続的なプロアクティブな機能の調整と改善 (継続的な自動化を含む) があり、定期的な取締役会レベルのサイバー リスクのダッシュボードとレポートが実装されています。
図 3. CC-CEO と WEF-CEO のサイバー リスク管理戦略のためのリソース (FTE) 60 か月。 サイバーレジリエンス
図 3. CC-CEO と WEF-CEO のサイバー リスク管理戦略のためのリソース (FTE) 60 か月。 画像:MIT CAMS

フォーラムのサイバー リスク原則を採用することは、個々の組織がコストを上げることなくサイバー レジリエンスを大幅に改善できることを示しています。 これらのシミュレーションでは、原則を採用することの価値が証明されました。 実際には、組織間の相互接続性と接続性により、新しい相互依存性が導入されます。これは、さらなる研究とシミュレーションを通じて調査される予定です。 ただし、現在の調査結果自体は、組織がフォーラムのサイバー リスク原則を採用することを強く主張しています。

リンク: https://www.weforum.org/agenda/2022/11/as-cyber-attacks-increase-heres-how-ceos-can-improve-cyber-resilience/

タイムスタンプ:

より多くの フィンテックニュース