-
A segurança cibernética e a resiliência das empresas são cada vez mais examinadas por investidores e reguladores.
-
Os Princípios de Risco Cibernético do Fórum Econômico Mundial ajudam a impulsionar a resiliência cibernética em todos os setores.
-
A pesquisa auxiliada por simulação do MIT CAMS mostra que o compromisso e a adoção dos Princípios de Risco Cibernético do Fórum Econômico Mundial melhoram significativamente a resiliência cibernética.
-
Os resultados também mostram que, ao contrário das expectativas, o comprometimento com esses princípios de risco cibernético não aumenta os custos.
A digitalização sem precedentes em nossa sociedade levou muitos líderes empresariais e executivos a entender como eles podem avaliar e administrar adequadamente o risco cibernético. Governar o risco cibernético é um processo holístico com o objetivo de melhorar a resiliência cibernética organizacional. Neste contexto, os governos definem obrigações de resiliência cibernética, designar infraestrutura crítica que requer proteção obrigatória e ajudar os investidores melhor comparar os esforços cibernéticos de suas empresas.
O gerenciamento bem-sucedido da resiliência cibernética é necessário, pois organizações e executivos enfrentam multas e outras consequências graves. As possíveis repercussões significam que os membros do conselho devem entender os riscos cibernéticos e as melhores maneiras de mitigá-los.
Isto é mais fácil dizer do que fazer. Noventa e três por cento das empresas estão confiantes em suas melhores práticas de mitigação de riscos cibernéticos, enquanto 57% esperam ser atingido por um ataque cibernético. Infelizmente, apenas metade dessas organizações implementou medidas cibernéticas adequadas.
Impulsionando a resiliência cibernética entre setores
Em 2021, o Fórum Econômico Mundial e seus parceiros, como a Associação Nacional de Diretores Corporativos (NACD), Internet Security Alliance (ISA) e PwC, publicaram o Princípios para Governança do Conselho de Risco Cibernético (Princípios de Risco Cibernético do Fórum), essenciais para impulsionar a resiliência em todos os setores. Esta orientação (inicialmente desenvolvida para conselhos de administração corporativos) é resumida em seis princípios:
-
Reconhecer que a segurança cibernética é um facilitador estratégico de negócios.
-
Entenda os impulsionadores econômicos e o impacto do risco cibernético.
-
Alinhe o gerenciamento de riscos cibernéticos com as necessidades de negócios.
-
Garantir que o design organizacional suporte a segurança cibernética.
-
Incorpore a experiência em segurança cibernética à governança do conselho.
-
Incentive a resiliência sistêmica e a colaboração.
O princípio representa uma abordagem significativamente diferente para a resiliência em comparação com como organizações delegue segurança cibernética para TI, tenha uma percepção equivocada da natureza estratégica do risco cibernético e mantenha as violações sob controle.
Uma percepção equivocada da natureza estratégica dos riscos cibernéticos pode ter consequências enormes. Por exemplo, a empresa de software Kasaye experiente um ataque de ransomware em julho de 2021, que causou o adiamento de sua planejada oferta pública inicial (IPO) até novo aviso, levando-os a falha em levantar cerca de US$ 875 milhões. Além disso, a SolarWinds, violada em 2019, tinha técnicas de publicidade específicas para exibir suas histórias de sucesso comercial de clientes de alto nível, em última análise, fornecendo uma “lista de compras” para o adversário.
A adoção dos Princípios de Risco Cibernético do Fórum demonstra que organizações individuais podem melhorar significativamente sua resiliência cibernética sem aumentar os custos.
"
— Sander Zeijlemaker, Research Affiliate Cybersecurity no MIT Sloan (CAMS), Diretor Administrativo Disem Institute | Michael Siegel, principal cientista de pesquisa, diretor de segurança cibernética do MIT Sloan (CAMS) | Daniel Dobrygowski, Chefe de Governança e Confiança, Fórum Econômico Mundial
Compreensão através da simulação
Sendo o risco cibernético uma questão vital nas agendas dos líderes, o MIT CAMS desenvolvido um método para melhorar as habilidades dos líderes para prever e gerenciar riscos cibernéticos. Essa tecnologia, conhecida como painel de risco cibernético, é fundamentada na teoria de controle e na dinâmica do sistema e é construída em pesquisas significativas no campo, incluindo entrevistas com diretores de segurança da informação (CISOs). Ele foi validado ao longo dos anos em uma empresa da Fortune 500, analisando uma ampla gama de desafios estratégicos de risco cibernético.
O painel imita de perto o ecossistema de tomada de decisões de risco cibernético. Ele considera a postura de defesa atual e o desenvolvimento de táticas de ataque, incidentes cibernéticos emergentes e mudanças nas organizações em termos de pessoas, processos e tecnologia. O painel de risco cibernético fornece os meios para fazer projeções de acordo com os indicadores de desempenho da estratégia de segurança cibernética de uma organização. Este trabalho pode ser facilmente adaptado para outras análises estratégicas. Os CAMs do MIT usaram uma abordagem de simulação adicionada para entender o comportamento organizacional ao adaptar os Princípios de Risco Cibernético do Fórum.
O uso de personas – perfis artificiais de tomadores de decisão com características específicas que orientam sua estratégia de gerenciamento de riscos cibernéticos – é uma abordagem cientificamente fundamentada para explorar o lado comportamental do gerenciamento de riscos cibernéticos. Usando as personas de diferentes organizações para orientar a tomada de decisões estratégicas, essa tecnologia de simulação pode prever o impacto futuro de sua estratégia. Nesta análise, também reutilizamos dados de nosso estudo de caso anônimo em uma empresa da Fortune 500 chamada Smart Wealth Management Inc. Como tal, reconhecemos:
O CEO ciberconsciente (CC-CEO)
Este CEO pode estar ciente dos princípios, mas ainda não os adotou (ainda). Este CEO se concentra na conformidade razoável com os padrões de segurança e controla os custos de segurança. O aumento da carga de trabalho e a falta de recursos de segurança levam a uma abordagem mais reativa ao risco cibernético.
O CEO resiliente do WEF (WEF-CEO)
Este CEO tem consciência cibernética, mas foi além ao adotar os Princípios de Risco Cibernético do Fórum para promover a resiliência. Ele ou ela pode ser signatário do Fórum Compromisso de Resiliência Cibernética. Este CEO tem uma abordagem proativa e antecipada às ameaças, sabe como sua tecnologia impulsiona seus negócios e se concentra em manter o desempenho dos negócios e as previsões de custos de riscos cibernéticos.
A consciência estratégica promove a resiliência cibernética
Observamos uma diferença significativa ao comparar a força da postura de defesa representada pelo número de incidentes de segurança/ativos comprometidos. Prevê-se que o CEO que segue os Princípios de Risco Cibernético do Fórum (o WEF-CEO) tenha até 85% menos incidentes cibernéticos (consulte a Figura 1) em comparação com o CC-CEO.
Figura 1. Incidentes cumulativos ao longo de 60 meses para a estratégia de gerenciamento de riscos cibernéticos do CC-CEO e do WEF-CEO. Imagem: MIT CAMS
Os esforços de risco cibernético e a priorização de tarefas do WEF-CEO permitem uma intervenção precoce que limita o comportamento adversário, enquanto a equipe do CC-CEO geralmente responde mais devagar, o que acaba beneficiando o adversário.
Percepções semelhantes podem ser observadas no perfil de risco (consulte a Figura 2) em relação a uma distribuição de frequência de possível ocorrência de incidente cibernético em favor do WEF-CEO, principalmente quando um grande número de incidentes cibernéticos pode exigir que as equipes de TI ajudem as equipes de segurança. Essas situações, conhecidas como efeitos colaterais, exigem repriorização das tarefas de TI, geralmente às custas da entrega do projeto de TI.
Figura 2. O perfil de risco cibernético é baseado na distribuição da ocorrência de incidentes de segurança potenciais ao longo de 60 meses para a estratégia de gerenciamento de risco cibernético do CC-CEO e do WEF-CEO. A análise de sensibilidade é realizada com uma faixa de certeza de 95%. A adoção dos Princípios de Risco Cibernético do Fórum demonstra que organizações individuais podem melhorar significativamente sua resiliência cibernética sem aumentar os custos. Imagem: MIT CAMS
Uma abordagem resiliente não aumenta os custos
O WEF-CEO provavelmente tem custos mais baixos do que o CC-CEO (consulte a Figura 3). A principal diferença entre esses dois cenários está na alocação de prioridades de tarefas e nos esforços de risco cibernético da equipe de segurança. O CC-CEO tem esforços contínuos que exigem recursos de equipe adicionais para dar suporte aos processos de resposta e recuperação, executar pesquisas post-mortem e ajustar e melhorar os recursos de segurança de acordo. A segurança implementada pelo WEF-CEO por design tem um ajuste e melhoria proativa contínua da capacidade (incluindo automação contínua) e implementou painéis e relatórios regulares de risco cibernético em nível de diretoria.
Figura 3. Recursos (FTE) 60 meses para a estratégia de gerenciamento de riscos cibernéticos do CC-CEO e do WEF-CEO. Imagem: MIT CAMS
A adoção dos Princípios de Risco Cibernético do Fórum demonstra que organizações individuais podem melhorar significativamente sua resiliência cibernética sem aumentar os custos. Nessas simulações, a adoção dos princípios provou ser valiosa. Na prática, a interconectividade e a conectividade entre as organizações introduzem novas interdependências, que serão exploradas por meio de pesquisas e simulações futuras. As descobertas atuais em si, no entanto, constituem um forte argumento para que as organizações adotem os Princípios de Risco Cibernético do Fórum.
Link: https://www.weforum.org/agenda/2022/11/as-cyber-attacks-increase-heres-how-ceos-can-improve-cyber-resilience/
- formiga financeira
- blockchain
- conferência blockchain fintech
- carrilhão fintech
- coinbase
- Coingenius
- fintech de conferência de criptografia
- cíber segurança
- FinTech
- app fintech
- inovação fintech
- Notícias Fintech
- OpenSea
- PayPal
- tecnologia de pagamento
- via de pagamento
- platão
- platão ai
- Inteligência de Dados Platão
- PlatãoData
- jogo de platô
- navalha
- Revolut
- Ripple
- fintech quadrado
- listra
- fintech tencent
- fotocopiadora
- zefirnet
