-
Selskapers cybersikkerhet og motstandskraft blir i økende grad gransket av investorer og regulatorer.
-
World Economic Forums Cyber Risk Principles bidrar til å drive cyberresiliens på tvers av bransjer.
-
Simuleringsstøttet forskning fra MIT CAMS viser at forpliktelse til og vedtak av World Economic Forums cyberrisikoprinsipper forbedrer cyberresiliens betraktelig.
-
Resultatene viser også at forpliktelse til disse cyberrisikoprinsippene, i motsetning til forventningene, ikke øker kostnadene.
Enestående digitalisering i samfunnet vårt har presset mange bedriftsledere og ledere til å forstå hvordan de kan vurdere og styre cyberrisiko på en adekvat måte. Styring av cyberrisiko er en helhetlig prosess som tar sikte på å forbedre organisasjonens cyberresiliens. I denne sammenheng definerer regjeringer forpliktelser om cyberresiliens, utpeke kritisk infrastruktur som krever obligatorisk beskyttelse og hjelpe investorer bedre sammenligne deres selskapers cyberinnsats.
Vellykket håndtering av cyberresiliens er nødvendig ettersom organisasjoner og ledere står overfor bøter og andre alvorlige konsekvenser. Potensielle konsekvenser betyr at styremedlemmer må forstå cyberrisiko og de beste måtene å redusere dem på.
Dette er lettere sagt enn gjort. 57 prosent av selskapene er sikre på deres beste praksis for å redusere cyberrisiko, mens XNUMX % forventer å være rammet av et nettangrep. Dessverre har bare halvparten av disse organisasjonene implementert egnede cybertiltak.
Driver cyberresiliens på tvers av industrien
I 2021 publiserte World Economic Forum og dets partnere, med National Association of Corporate Directors (NACD), Internet Security Alliance (ISA) og PwC, Prinsipper for styrestyring av cyberrisiko (Forumets Cyber Risk Principles), avgjørende for å drive motstandskraft på tvers av bransjer. Denne veiledningen (opprinnelig utviklet for bedriftsstyrer) er oppsummert i seks prinsipper:
-
Erkjenne at cybersikkerhet er en strategisk forretningsmuliggjører.
-
Forstå de økonomiske driverne og virkningen av cyberrisiko.
-
Tilpass cyberrisikostyring med forretningsbehov.
-
Sørg for at organisasjonsdesign støtter cybersikkerhet.
-
Innlemme cybersikkerhetsekspertise i styreledelsen.
-
Oppmuntre til systemisk motstandskraft og samarbeid.
Prinsippet representerer en vesentlig annen tilnærming til resiliens sammenlignet med hvordan organisasjoner delegere cybersikkerhet til IT, ha en feilplassert oppfatning av den strategiske karakteren av cyberrisiko og holde brudd skjult.
En feilplassert oppfatning av den strategiske karakteren til cyberrisiko kan få enorme konsekvenser. For eksempel programvareselskapet Kasaye erfaren et løsepengeangrep i juli 2021, som forårsaket utsettelse av deres planlagte børsnotering (IPO) inntil videre, noe som førte dem til ikke klarer å heve anslagsvis 875 millioner dollar. Dessuten hadde SolarWinds, som ble brutt i 2019, spesifikke reklameteknikker for å vise sine kommersielle suksesshistorier av høyprofilerte kunder, til slutt gir en "handleliste" for motstanderen.
Å ta i bruk forumets cyberrisikoprinsipper viser at individuelle organisasjoner kan forbedre sin cyberresiliens betydelig uten å øke kostnadene.
"
— Sander Zeijlemaker, Research Affiliate Cybersecurity ved MIT Sloan (CAMS), administrerende direktør Disem Institute | Michael Siegel, hovedforsker, direktør for cybersikkerhet ved MIT Sloan (CAMS) | Daniel Dobrygowski, leder for styring og tillit, World Economic Forum
Forståelse gjennom simulering
Med cyberrisiko en viktig sak på ledernes agenda, har MIT CAMS utviklet en metode for å forbedre lederes evner til å forutse og håndtere cyberrisiko. Denne teknologien, referert til som et cyberrisiko-dashbord, er basert på kontrollteori og systemdynamikk og er bygget på betydelig forskning på feltet, inkludert intervjuer med informasjonssikkerhetssjefer (CISOs). Den har blitt validert gjennom årene hos et Fortune 500-selskap ved å analysere et bredt spekter av strategiske cyberrisikoutfordringer.
Dashbordet etterligner tett økosystemet for cyberrisikobeslutninger. Den vurderer nåværende forsvarsstilling og utvikling av angrepstaktikker, nye cyberhendelser og skiftende organisasjoner når det gjelder mennesker, prosesser og teknologi. Dashbordet for cyberrisiko gir midler til å lage anslag i henhold til ytelsesindikatorene til en organisasjons cybersikkerhetsstrategi. Dette arbeidet kan enkelt tilpasses andre strategiske analyser. MIT CAM-er brukte en simuleringstilnærming for å forstå organisasjonsadferd når de tilpasset forumets cyberrisikoprinsipper.
Bruken av personas – kunstige beslutningstakerprofiler med spesifikke egenskaper som driver deres strategi for styring av cyberrisiko – er en vitenskapelig fundert tilnærming til å utforske den atferdsmessige siden av cyberrisikostyring. Ved å bruke personas til forskjellige organisasjoner for å drive strategisk beslutningstaking, kan denne simuleringsteknologien forutse den fremtidige effekten av deres strategi. I denne analysen gjenbruker vi også data fra vår anonymiserte casestudie hos et Fortune-500-selskap kalt Smart Wealth Management Inc. Som sådan gjenkjenner vi:
Den cyberbevisste administrerende direktøren (CC-CEO)
Denne administrerende direktøren er kanskje klar over prinsippene, men har ennå ikke vedtatt dem (ennå). Denne administrerende direktøren fokuserer på rimelig overholdelse av sikkerhetsstandarder og kontrollerer sikkerhetskostnadene. Økende arbeidsmengde og mangel på sikkerhetsressurser driver en mer reaktiv tilnærming til cyberrisiko.
Den WEF-resiliente administrerende direktøren (WEF-CEO)
Denne administrerende direktøren er cyberbevisst, men har gått lenger ved å ta i bruk forumets cyberrisikoprinsipper for å fremme motstandskraft. Han eller hun kan være underskriver til forumets Løfte om cyberresiliens. Denne administrerende direktøren har en proaktiv og forutseende tilnærming til trusler, vet hvordan teknologien deres driver virksomheten deres og fokuserer på å opprettholde forretningsytelse og kostnadsprognoser for cyberrisiko.
Strategisk bevissthet fremmer cyberresiliens
Vi observerer en betydelig forskjell når vi sammenligner styrken til forsvarsstilling representert ved antall sikkerhetshendelser/kompromitterte eiendeler. Administrerende direktør som følger forumets cyberrisikoprinsipper (WEF-CEO) er spådd å ha opptil 85 % færre cyberhendelser (se figur 1) sammenlignet med CC-CEO.
Figur 1. Kumulative hendelser over 60 måneder for strategi for styring av cyberrisiko til CC-CEO og WEF-CEO. Bilde: MIT CAMS
Nettrisikoinnsatsen og oppgaveprioriteringen til WEF-administrerende direktør tillater tidlig intervensjon som begrenser adversariell atferd, mens CC-CEOs team ofte reagerer langsommere, noe som til syvende og sist gagner motstanderen.
Lignende innsikt kan observeres i risikoprofilen (se figur 2) angående en frekvensfordeling av potensielle cyberhendelser til fordel for WEF-CEO, hovedsakelig når et stort antall cyberhendelser kan kreve at IT-teamene hjelper sikkerhetsteamene. Disse situasjonene, kjent som ringvirkninger, krever omprioritering av IT-oppgaver, vanligvis på bekostning av levering av IT-prosjekter.
Figur 2. Cyberrisikoprofil er basert på fordelingen av potensielle sikkerhetshendelser over 60 måneder for strategi for styring av cyberrisiko til CC-CEO og WEF-CEO. Sensitivitetsanalyse utføres med 95 % sikkerhet. Å ta i bruk forumets cyberrisikoprinsipper viser at individuelle organisasjoner kan forbedre sin cyberresiliens betydelig uten å øke kostnadene. Bilde: MIT CAMS
En robust tilnærming øker ikke kostnadene
WEF-CEO har sannsynligvis lavere kostnader enn CC-CEO (se figur 3). Den største forskjellen mellom disse to scenariene er fordelingen av oppgaveprioriteringer og cyberrisikoinnsatsen til sikkerhetspersonalet. CC-CEO har en pågående innsats som krever ekstra personalressurser for å støtte respons- og gjenopprettingsprosesser, utføre obduksjonsundersøkelser og justere og forbedre sikkerhetsfunksjonene tilsvarende. Den WEF-CEO-implementerte sikkerheten ved design har en pågående proaktiv kapasitetsjustering og forbedring (inkludert kontinuerlig automatisering) og har implementert regelmessig cyberrisiko-dashboard og rapportering på styrenivå.
Figur 3. Ressursing (FTE) 60 måneder for strategi for styring av cyberrisiko for CC-sjefen og WEF-CEO. Bilde: MIT CAMS
Å ta i bruk forumets cyberrisikoprinsipper viser at individuelle organisasjoner kan forbedre sin cyberresiliens betydelig uten å øke kostnadene. I disse simuleringene viste det seg verdifullt å ta i bruk prinsippene. I praksis introduserer sammenkobling og tilkobling mellom organisasjoner nye gjensidige avhengigheter, som vil bli utforsket gjennom videre forskning og simuleringer. De nåværende funnene i seg selv gir imidlertid et sterkt argument for at organisasjoner skal ta i bruk forumets cyberrisikoprinsipper.
Link: https://www.weforum.org/agenda/2022/11/as-cyber-attacks-increase-heres-how-ceos-can-improve-cyber-resilience/
- maur økonomisk
- blockchain
- blockchain konferanse fintech
- klokkespill fintech
- coinbase
- coingenius
- kryptokonferanse fintech
- cybersikkerhet
- fintech
- fintech-app
- fintech innovasjon
- Fintech-nyheter
- OpenSea
- PayPal
- paytech
- utbetalingsvei
- plato
- plato ai
- Platon Data Intelligence
- PlatonData
- platogaming
- razorpay
- Revolut
- Ripple
- firkantet fintech
- stripe
- tencent fintech
- Xero
- zephyrnet
