-
Cyberbezpieczeństwo i odporność firm są coraz częściej badane przez inwestorów i organy regulacyjne.
-
Zasady Cyber Ryzyka Światowego Forum Ekonomicznego pomagają zwiększać odporność cybernetyczną w różnych branżach.
-
Wspomagane symulacją badanie przeprowadzone przez MIT CAMS pokazuje, że zaangażowanie i przyjęcie Zasad Cyber Ryzyka Światowego Forum Ekonomicznego znacznie poprawia odporność cybernetyczną.
-
Wyniki pokazują również, że wbrew oczekiwaniom przestrzeganie tych zasad dotyczących ryzyka cybernetycznego nie powoduje wzrostu kosztów.
Bezprecedensowa cyfryzacja w naszym społeczeństwie skłoniła wielu liderów biznesowych i kadrę kierowniczą do zrozumienia, w jaki sposób mogą odpowiednio oceniać i zarządzać ryzykiem cybernetycznym. Zarządzanie ryzykiem cybernetycznym to holistyczny proces mający na celu poprawę cyberodporności organizacji. W tym kontekście rządy definiują zobowiązania w zakresie odporności cybernetycznej, wyznaczyć infrastruktura krytyczna który wymaga obowiązkowej ochrony i pomocy inwestorom lepsze porównanie działań cybernetycznych ich firm.
Skuteczne zarządzanie odpornością cybernetyczną jest konieczne, ponieważ organizacje i kadra kierownicza muszą stawić czoła grzywnom i innym poważnym konsekwencjom. Potencjalne reperkusje oznaczają, że członkowie zarządu muszą rozumieć zagrożenia cybernetyczne i najlepsze sposoby ich ograniczania.
Łatwiej to powiedzieć niż zrobić. Dziewięćdziesiąt trzy procent firm jest przekonanych o swoich najlepszych praktykach ograniczających zagrożenia cybernetyczne, a 57% spodziewa się, że dotknięty cyberatakiem. Niestety tylko połowa z tych organizacji wdrożyła odpowiednie środki cybernetyczne.
Zwiększanie odporności cybernetycznej między branżami
W 2021 roku Światowe Forum Ekonomiczne i jego partnerzy, wraz z National Association of Corporate Directors (NACD), Internet Security Alliance (ISA) i PwC, opublikowali Zasady zarządzania ryzykiem cybernetycznym przez Radę (Zasady dotyczące ryzyka cybernetycznego Forum), które mają kluczowe znaczenie dla zwiększania odporności w różnych branżach. Niniejsze wytyczne (początkowo opracowane dla zarządów spółek) podsumowano w sześciu zasadach:
-
Uznaj, że cyberbezpieczeństwo jest strategicznym czynnikiem biznesowym.
-
Zrozumienie czynników ekonomicznych i wpływu ryzyka cybernetycznego.
-
Dostosuj zarządzanie ryzykiem cybernetycznym do potrzeb biznesowych.
-
Upewnij się, że projekt organizacyjny wspiera cyberbezpieczeństwo.
-
Włącz wiedzę specjalistyczną w zakresie cyberbezpieczeństwa do zarządzania zarządem.
-
Zachęcaj do systemowej odporności i współpracy.
Zasada reprezentuje znacznie inne podejście do odporności w porównaniu do jak organizacje zlecać bezpieczeństwo cybernetyczne działowi IT, mieć błędne wyobrażenie o strategicznym charakterze ryzyka cybernetycznego i utrzymywać naruszenia w tajemnicy.
Błędne postrzeganie strategicznego charakteru cyberzagrożeń może mieć ogromne konsekwencje. Na przykład firma programistyczna Kasaye doświadczony atak ransomware w lipcu 2021 r., który spowodował przesunięcie ich planowanej pierwszej oferty publicznej (IPO) do odwołania, prowadząc do nie podnieść szacunkowo 875 milionów dolarów. Co więcej, SolarWinds, naruszony w 2019 r., dysponował określonymi technikami reklamowymi, aby pokazać swoje komercyjne sukcesy znanych klientów, ostatecznie dostarczając przeciwnikowi „listę zakupów”.
Przyjęcie zasad cyberbezpieczeństwa Forum pokazuje, że poszczególne organizacje mogą znacznie poprawić swoją odporność cybernetyczną bez podnoszenia kosztów.
"
— Sander Zeijlemaker, Research Affiliate Cybersecurity w MIT Sloan (CAMS), dyrektor zarządzający Disem Institute | Michael Siegel, główny naukowiec, dyrektor ds. cyberbezpieczeństwa w MIT Sloan (CAMS) | Daniel Dobrygowski, szef działu zarządzania i zaufania, Światowe Forum Ekonomiczne
Zrozumienie poprzez symulację
Ponieważ ryzyko cybernetyczne jest istotną kwestią w programach liderów, MIT CAMS ma rozwinięty metoda doskonalenia umiejętności liderów w zakresie przewidywania zagrożeń cybernetycznych i zarządzania nimi. Ta technologia, określana jako pulpit nawigacyjny ryzyka cybernetycznego, jest oparta na teorii kontroli i dynamice systemu oraz na znaczących badaniach w tej dziedzinie, w tym na wywiadach z głównymi specjalistami ds. bezpieczeństwa informacji (CISO). Został on zweryfikowany przez lata w firmie z listy Fortune 500, analizując szeroki zakres strategicznych wyzwań związanych z cyberryzykiem.
Pulpit nawigacyjny ściśle naśladuje ekosystem podejmowania decyzji związanych z cyberryzykiem. Uwzględnia obecną postawę obronną i rozwój taktyk ataku, pojawiające się incydenty cybernetyczne i zmieniające się organizacje pod względem ludzi, procesów i technologii. Pulpit nawigacyjny ryzyka cybernetycznego zapewnia środki do prognozowania zgodnie ze wskaźnikami wydajności strategii cyberbezpieczeństwa organizacji. Pracę tę można łatwo dostosować do innych analiz strategicznych. MIT CAM zastosowało metodę dodaną do symulacji, aby zrozumieć zachowanie organizacji podczas dostosowywania zasad dotyczących ryzyka cybernetycznego Forum.
Sposób użycia Personas – sztuczne profile decydentów o określonych cechach, które kierują ich strategią zarządzania ryzykiem cybernetycznym – to naukowo ugruntowane podejście do badania behawioralnej strony zarządzania ryzykiem cybernetycznym. Wykorzystując osobowości różnych organizacji do podejmowania strategicznych decyzji, ta technologia symulacji może przewidzieć przyszły wpływ ich strategii. W tej analizie ponownie wykorzystujemy dane z naszego anonimowego studium przypadku w firmie z listy Fortune-500 o nazwie Smart Wealth Management Inc. W związku z tym uznajemy:
Cyberświadomy CEO (CC-CEO)
Ten dyrektor generalny może być świadomy zasad, ale jeszcze ich nie przyjął (jeszcze). Ten CEO koncentruje się na rozsądnej zgodności ze standardami bezpieczeństwa i kontroluje koszty bezpieczeństwa. Rosnące obciążenie pracą i brak zasobów związanych z bezpieczeństwem wymuszają bardziej reaktywne podejście do zagrożeń cybernetycznych.
Dyrektor generalny odporny na WEF (WEF-CEO)
Ten dyrektor generalny jest świadomy zagrożeń cybernetycznych, ale poszedł dalej, przyjmując Zasady ryzyka cybernetycznego Forum w celu zwiększenia odporności. Może być sygnatariuszem Forum Zobowiązanie do cyberodporności. Ten dyrektor generalny ma proaktywne i przewidujące podejście do zagrożeń, wie, w jaki sposób jego technologia napędza jego działalność i koncentruje się na utrzymaniu wydajności biznesowej i przewidywaniu kosztów ryzyka cybernetycznego.
Świadomość strategiczna sprzyja cyberodporności
Zauważamy istotną różnicę, porównując siłę postawy obronnej reprezentowanej przez liczbę incydentów bezpieczeństwa/naruszonych zasobów. Przewiduje się, że dyrektor generalny, który przestrzega zasad cyberbezpieczeństwa Forum (CEO WEF), będzie miał nawet o 85% mniej incydentów cybernetycznych (patrz rysunek 1) w porównaniu z dyrektorem generalnym CC.
Rysunek 1. Skumulowane incydenty w ciągu 60 miesięcy dla strategii zarządzania ryzykiem cybernetycznym przez CC-CEO i WEF-CEO. Zdjęcie: MIT CAMS
Wysiłki w zakresie ryzyka cybernetycznego i ustalanie priorytetów zadań przez WEF-CEO umożliwiają wczesną interwencję, która ogranicza zachowania przeciwnika, podczas gdy zespół CC-CEO często reaguje wolniej, co ostatecznie przynosi korzyść przeciwnikowi.
Podobne spostrzeżenia można zaobserwować w profilu ryzyka (patrz Rysunek 2) w odniesieniu do rozkładu częstotliwości występowania potencjalnych incydentów cybernetycznych na korzyść WEF-CEO, głównie wtedy, gdy duża liczba incydentów cybernetycznych może wymagać od zespołów IT pomocy zespołom ds. bezpieczeństwa. Sytuacje te, znane jako efekty uboczne, wymagają zmiany priorytetów zadań IT, zwykle kosztem realizacji projektu IT.
Rysunek 2. Profil ryzyka cybernetycznego opiera się na rozkładzie wystąpienia potencjalnych incydentów bezpieczeństwa na przestrzeni 60 miesięcy dla strategii zarządzania ryzykiem cybernetycznym CC-CEO i WEF-CEO. Analiza czułości jest przeprowadzana z 95% przedziałem pewności. Przyjęcie zasad cyberbezpieczeństwa Forum pokazuje, że poszczególne organizacje mogą znacznie poprawić swoją odporność cybernetyczną bez podnoszenia kosztów. Zdjęcie: MIT CAMS
Odporne podejście nie podnosi kosztów
WEF-CEO ma prawdopodobnie niższe koszty niż CC-CEO (patrz rysunek 3). Główna różnica między tymi dwoma scenariuszami polega na przydzielaniu priorytetów zadań i wysiłkom personelu ds. bezpieczeństwa w zakresie cyberbezpieczeństwa. Dyrektor generalny CC-CEO stale podejmuje działania, które wymagają dodatkowych zasobów personelu w celu wsparcia procesów reagowania i odzyskiwania, przeprowadzania badań pośmiertnych oraz odpowiedniego dostosowywania i ulepszania funkcji bezpieczeństwa. Zabezpieczenia wdrożone przez WEF-CEO od samego początku są stale proaktywnie dostosowywane i ulepszane (w tym ciągła automatyzacja) oraz wdrożone regularne zestawienia i raporty dotyczące ryzyka cybernetycznego na poziomie zarządu.
Rysunek 3. Zasoby (FTE) 60 miesięcy na strategię zarządzania ryzykiem cybernetycznym CC-CEO i WEF-CEO. Zdjęcie: MIT CAMS
Przyjęcie zasad cyberbezpieczeństwa Forum pokazuje, że poszczególne organizacje mogą znacznie poprawić swoją odporność cybernetyczną bez podnoszenia kosztów. W tych symulacjach przyjęcie zasad okazało się cenne. W praktyce wzajemne powiązania i łączność między organizacjami wprowadzają nowe współzależności, które zostaną zbadane w ramach dalszych badań i symulacji. Obecne ustalenia same w sobie stanowią jednak mocny argument dla organizacji, aby przyjęły Zasady Ryzyka Cybernetycznego Forum.
Link: https://www.weforum.org/agenda/2022/11/as-cyber-attacks-increase-heres-how-ceos-can-improve-cyber-resilience/
- mrówka finansowa
- blockchain
- Fintech konferencji blockchain
- dzwonek fintech
- coinbase
- pomysłowość
- fintech konferencji kryptowalut
- bezpieczeństwo cybernetyczne
- FINTECH
- aplikacja fintech
- innowacje fintech
- Wiadomości Fintech
- Otwarte morze
- PayPal
- płatny
- wypłata
- plato
- Platon Ai
- Analiza danych Platona
- PlatoDane
- platogaming
- brzytwa
- Revolut
- Marszczyć
- kwadratowy fintech
- pas
- Tencent Fintech
- Xero
- zefirnet
