-
De cyberbeveiliging en veerkracht van bedrijven worden steeds meer onder de loep genomen door investeerders en regelgevers.
-
De Cyber Risk Principles van het World Economic Forum helpen de cyberweerbaarheid in alle sectoren te vergroten.
-
Simulatie-ondersteund onderzoek van MIT CAMS toont aan dat toewijding aan en acceptatie van de Cyber Risk Principles van het World Economic Forum de cyberweerbaarheid aanzienlijk verbetert.
-
De resultaten tonen ook aan dat, in tegenstelling tot de verwachtingen, het naleven van deze cyberrisicoprincipes geen kosten met zich meebrengt.
Ongekende digitalisering in onze samenleving heeft veel bedrijfsleiders en leidinggevenden ertoe aangezet om te begrijpen hoe ze cyberrisico's adequaat kunnen beoordelen en beheersen. Het beheersen van cyberrisico's is een holistisch proces dat gericht is op het verbeteren van de cyberweerbaarheid van de organisatie. In deze context definiëren overheden verplichtingen op het gebied van cyberweerbaarheid, aanwijzen kritieke infrastructuur dat vereist verplichte bescherming en hulp investeerders beter vergelijken de cyberinspanningen van hun bedrijven.
Het succesvol beheren van cyberweerbaarheid is noodzakelijk omdat organisaties en leidinggevenden te maken krijgen met boetes en andere ernstige gevolgen. Potentiële repercussies betekenen dat bestuursleden de cyberrisico's moeten begrijpen en de beste manieren om deze te beperken.
Dit is makkelijker gezegd dan gedaan. Drieënnegentig procent van de bedrijven heeft vertrouwen in hun best practices om cyberrisico's te beperken, terwijl 57% verwacht getroffen door een cyberaanval. Helaas heeft slechts de helft van deze organisaties passende cybermaatregelen getroffen.
Cyberweerbaarheid in verschillende sectoren stimuleren
In 2021 publiceerden het World Economic Forum en zijn partners, met de National Association of Corporate Directors (NACD), Internet Security Alliance (ISA) en PwC, de Principes voor bestuursbestuur van cyberrisico's (de Cyber Risk Principles van het Forum), van cruciaal belang voor het stimuleren van veerkracht in alle sectoren. Deze leidraad (oorspronkelijk ontwikkeld voor raden van bestuur) is samengevat in zes principes:
-
Erken dat cyberbeveiliging een strategische business enabler is.
-
Begrijp de economische drijfveren en impact van cyberrisico's.
-
Stem cyberrisicobeheer af op de zakelijke behoeften.
-
Zorg ervoor dat het ontwerp van de organisatie cyberbeveiliging ondersteunt.
-
Integreer expertise op het gebied van cyberbeveiliging in het bestuur van de raad.
-
Moedig systemische veerkracht en samenwerking aan.
Het principe vertegenwoordigt een aanzienlijk andere benadering van veerkracht in vergelijking met hoe organisaties delegeer cyberbeveiliging aan IT, heb een misplaatste perceptie van de strategische aard van cyberrisico's en houd inbreuken verborgen.
Een misplaatste perceptie van het strategische karakter van cyberrisico's kan enorme gevolgen hebben. Bijvoorbeeld softwarebedrijf Kasaye ervaren een ransomware-aanval in juli 2021, waardoor hun geplande beursintroductie (IPO) tot nader order werd uitgesteld, waardoor ze niet verhogen naar schatting $ 875 miljoen. Bovendien beschikte SolarWinds, dat in 2019 werd geschonden, over specifieke advertentietechnieken om hun commerciële succesverhalen over weer te geven spraakmakende klanten, wat uiteindelijk een "boodschappenlijstje" voor de tegenstander oplevert.
Het overnemen van de Cyber Risk Principles van het MOB toont aan dat individuele organisaties hun cyberweerbaarheid aanzienlijk kunnen verbeteren zonder kosten te verhogen.
"
— Sander Zeijlemaker, Research Affiliate Cybersecurity bij MIT Sloan (CAMS), Managing Director Disem Institute | Michael Siegel, hoofdonderzoeker, directeur cyberbeveiliging bij MIT Sloan (CAMS) | Daniel Dobrygowski, Hoofd Bestuur en Vertrouwen, World Economic Forum
Begrip door simulatie
Met cyberrisico's als een vitaal onderwerp op de agenda's van leiders, heeft MIT CAMS ontwikkelde een methode om het vermogen van leiders om cyberrisico's te voorzien en te beheersen te verbeteren. Deze technologie, ook wel een cyberrisicodashboard genoemd, is gebaseerd op controletheorie en systeemdynamiek en is gebaseerd op aanzienlijk onderzoek in het veld, waaronder interviews met Chief Information Security Officers (CISO's). Het is door de jaren heen gevalideerd bij een Fortune 500-bedrijf door een breed scala aan strategische uitdagingen op het gebied van cyberrisico's te analyseren.
Het dashboard bootst het besluitvormingsecosysteem voor cyberrisico's nauw na. Het houdt rekening met de huidige verdedigingspositie en de ontwikkeling van aanvalstactieken, opkomende cyberincidenten en veranderende organisaties in termen van mensen, processen en technologie. Het cyberrisicodashboard biedt de middelen om projecties te maken op basis van de prestatie-indicatoren van de cyberbeveiligingsstrategie van een organisatie. Dit werk kan eenvoudig worden aangepast voor andere strategische analyses. MIT CAM's gebruikten een door simulatie toegevoegde benadering om het gedrag van organisaties te begrijpen bij het aanpassen van de Cyber Risk Principles van het Forum.
Het gebruik van Persona's – kunstmatige profielen van besluitvormers met specifieke kenmerken die hun strategie voor cyberrisicobeheer sturen – is een wetenschappelijk onderbouwde benadering om de gedragskant van cyberrisicobeheer te verkennen. Door de persona's van verschillende organisaties te gebruiken om strategische besluitvorming te stimuleren, kan deze simulatietechnologie de toekomstige impact van hun strategie voorzien. In deze analyse hergebruiken we ook gegevens uit onze geanonimiseerde casestudy bij een Fortune-500-bedrijf genaamd Smart Wealth Management Inc. Als zodanig erkennen we:
De cyberbewuste CEO (CC-CEO)
Deze CEO is wellicht op de hoogte van de principes, maar moet ze (nog) niet toepassen. Deze CEO richt zich op redelijke naleving van beveiligingsnormen en beheert beveiligingskosten. Toenemende werkdruk en gebrek aan beveiligingsmiddelen zorgen voor een meer reactieve benadering van cyberrisico's.
De WEF-veerkrachtige CEO (WEF-CEO)
Deze CEO is cyberbewust, maar gaat verder door de Cyber Risk Principles van het Forum over te nemen om veerkracht te bevorderen. Hij of zij kan een ondertekenaar van het Forum zijn Belofte voor cyberveerkracht. Deze CEO heeft een proactieve en anticiperende benadering van bedreigingen, weet hoe hun technologie hun bedrijf aandrijft en richt zich op het handhaven van de bedrijfsprestaties en het voorspellen van de kosten van cyberrisico's.
Strategisch bewustzijn bevordert de cyberweerbaarheid
We zien een significant verschil bij het vergelijken van de sterkte van de verdedigingshouding die wordt weergegeven door het aantal beveiligingsincidenten/gecompromitteerde bedrijfsmiddelen. De CEO die de Cyber Risk Principles van het Forum volgt (de WEF-CEO) zal naar verwachting tot 85% minder cyberincidenten hebben (zie figuur 1) in vergelijking met de CC-CEO.
Figuur 1. Cumulatieve incidenten over 60 maanden voor cyberrisicobeheerstrategie van de CC-CEO en de WEF-CEO. Afbeelding: MIT CAMS
De inspanningen op het gebied van cyberrisico's en taakprioritering van de WEF-CEO maken vroegtijdige interventie mogelijk die vijandig gedrag beperkt, terwijl het team van de CC-CEO vaak trager reageert, wat uiteindelijk de tegenstander ten goede komt.
Vergelijkbare inzichten kunnen worden waargenomen in het risicoprofiel (zie figuur 2) met betrekking tot een frequentieverdeling van potentiële cyberincidenten in het voordeel van de WEF-CEO, vooral wanneer grote aantallen cyberincidenten de IT-teams nodig hebben om de beveiligingsteams te helpen. Deze situaties, ook wel overloopeffecten genoemd, vereisen herprioritering van IT-taken, meestal ten koste van de oplevering van IT-projecten.
Figuur 2. Het cyberrisicoprofiel is gebaseerd op de verdeling van mogelijke beveiligingsincidenten gedurende 60 maanden voor de cyberrisicobeheerstrategie van de CC-CEO en de WEF-CEO. Gevoeligheidsanalyse wordt uitgevoerd met een zekerheidsbereik van 95%. Het overnemen van de Cyber Risk Principles van het MOB toont aan dat individuele organisaties hun cyberweerbaarheid aanzienlijk kunnen verbeteren zonder kosten te verhogen. Afbeelding: MIT CAMS
Een veerkrachtige aanpak leidt niet tot kosten
De WEF-CEO heeft waarschijnlijk lagere kosten dan de CC-CEO (zie figuur 3). Het grote verschil tussen deze twee scenario's zit in de toewijzing van taakprioriteiten en cyberrisico-inspanningen van het beveiligingspersoneel. De CC-CEO heeft voortdurende inspanningen die extra personele middelen vereisen om respons- en herstelprocessen te ondersteunen, postmortaal onderzoek uit te voeren en de beveiligingsmogelijkheden dienovereenkomstig aan te passen en te verbeteren. De door WEF-CEO geïmplementeerde beveiliging door ontwerp heeft een voortdurende proactieve aanpassing en verbetering van de capaciteiten (inclusief continue automatisering) en heeft regelmatige cyberrisicodashboards en -rapportage op directieniveau geïmplementeerd.
Figuur 3. Resourcing (FTE) 60 maanden voor cyberrisicobeheerstrategie van de CC-CEO en de WEF-CEO. Afbeelding: MIT CAMS
Het overnemen van de Cyber Risk Principles van het MOB toont aan dat individuele organisaties hun cyberweerbaarheid aanzienlijk kunnen verbeteren zonder kosten te verhogen. In deze simulaties bleek het toepassen van de principes waardevol. In de praktijk introduceren onderlinge verbondenheid en connectiviteit tussen organisaties nieuwe onderlinge afhankelijkheden, die zullen worden onderzocht door middel van verder onderzoek en simulaties. De huidige bevindingen op zich pleiten er echter voor dat organisaties de Cyber Risk Principles van het Forum overnemen.
Link: https://www.weforum.org/agenda/2022/11/as-cyber-attacks-increase-heres-how-ceos-can-improve-cyber-resilience/
- mier financieel
- blockchain
- blockchain conferentie fintech
- klokkenspel fintech
- coinbase
- vindingrijk
- crypto conferentie fintech
- internetveiligheid
- FinTech
- fintech-app
- fintech innovatie
- Fintech Nieuws
- Open zee
- PayPal
- Paytech
- betaalmiddel
- Plato
- plato ai
- Plato gegevensintelligentie
- PlatoData
- platogamen
- scheermes betalen
- Revolut
- Ripple
- vierkante fintech
- streep
- tencent fintech
- Xero
- zephyrnet
