Pe măsură ce atacurile cibernetice cresc, iată cum CEO-urile pot îmbunătăți reziliența cibernetică PlatoBlockchain Data Intelligence. Căutare verticală. Ai.

Pe măsură ce atacurile cibernetice cresc, iată cum CEO-urile pot îmbunătăți rezistența cibernetică

Marca temporală: 17 noiembrie 2022, ora 9:51

  • Securitatea cibernetică și rezistența companiilor sunt din ce în ce mai analizate de investitori și autorități de reglementare.

  • Principiile de risc cibernetic ale Forumului Economic Mondial ajută la stimularea rezilienței cibernetice în toate industriile.

  • Cercetarea asistată de simulare de la MIT CAMS arată că angajamentul față de și adoptarea principiilor de risc cibernetic ale Forumului Economic Mondial îmbunătățește semnificativ reziliența cibernetică.

  • Rezultatele arată, de asemenea, că, contrar așteptărilor, angajamentul față de aceste principii de risc cibernetic nu crește costurile.

Digitalizarea fără precedent în societatea noastră a împins mulți lideri de afaceri și directori să înțeleagă cum pot evalua și guverna în mod adecvat riscul cibernetic. Guvernarea riscului cibernetic este un proces holistic care are ca scop îmbunătățirea rezilienței cibernetice organizaționale. În acest context, guvernele definesc obligații de rezistență cibernetică, desemna infrastructură critică care necesită protecție obligatorie și ajutor investitorilor mai bine compara eforturile cibernetice ale companiilor lor.

Gestionarea cu succes a rezilienței cibernetice este necesară, deoarece organizațiile și directorii se confruntă cu amenzi și alte consecințe grave. Repercusiunile potențiale înseamnă că membrii consiliului trebuie să înțeleagă riscurile cibernetice și cele mai bune modalități de a le atenua.

Acest lucru este mai ușor de spus decât de făcut. Nouăzeci și trei la sută dintre companii au încredere în cele mai bune practici de atenuare a riscurilor cibernetice, în timp ce 57% se așteaptă să fie lovit de un atac cibernetic. Din păcate, doar jumătate dintre aceste organizații au implementat măsuri cibernetice adecvate.

Stimularea rezilienței cibernetice intersectoriale

În 2021, Forumul Economic Mondial și partenerii săi, împreună cu Asociația Națională a Directorilor de Corporații (NACD), Internet Security Alliance (ISA) și PwC, au publicat Principii pentru guvernarea consiliului de administrație a riscului cibernetic (Principiile de risc cibernetic ale Forumului), esențiale pentru stimularea rezilienței în toate industriile. Acest ghid (dezvoltat inițial pentru consiliile de administrație corporative) este rezumat în șase principii:

  • Recunoașteți că securitatea cibernetică este un factor strategic pentru afaceri.

  • Înțelegeți factorii economici și impactul riscului cibernetic.

  • Aliniați managementul riscului cibernetic cu nevoile afacerii.

  • Asigurați-vă că designul organizațional susține securitatea cibernetică.

  • Încorporați expertiza în domeniul securității cibernetice în guvernarea consiliului de administrație.

  • Încurajează reziliența sistemică și colaborarea.

Principiul reprezintă o abordare semnificativ diferită a rezilienței în comparație cu cum organizațiile să delege securitatea cibernetică către IT, să aibă o percepție greșită a naturii strategice a riscului cibernetic și să păstreze breșele sub secret.

O percepție greșită a naturii strategice a riscurilor cibernetice poate avea consecințe enorme. De exemplu, compania de software Kasaye cu experienţă un atac ransomware în iulie 2021, care a determinat amânarea ofertei publice inițiale (IPO) planificate până la o nouă notificare, conducându-i la nu reușesc să ridice aproximativ 875 de milioane de dolari. În plus, SolarWinds, încălcat în 2019, a avut tehnici de publicitate specifice pentru a-și afișa poveștile de succes comerciale. clienți de profil înalt, oferind în cele din urmă o „listă de cumpărături” pentru adversar.

Adoptarea principiilor de risc cibernetic ale Forumului demonstrează că organizațiile individuale își pot îmbunătăți în mod semnificativ reziliența cibernetică fără a crește costurile.

Matei 22:21

— Sander Zeijlemaker, Research Affiliate Cybersecurity la MIT Sloan (CAMS), Managing Director Disem Institute | Michael Siegel, cercetător principal, director, securitate cibernetică la MIT Sloan (CAMS) | Daniel Dobrygowski, șeful departamentului de guvernare și încredere, Forumul Economic Mondial

Înțelegerea prin simulare

Cu riscul cibernetic o problemă vitală pe agenda liderilor, MIT CAMS are dezvoltat o metodă de îmbunătățire a abilităților liderilor de a prevedea și gestiona riscurile cibernetice. Această tehnologie, denumită tablou de bord pentru riscul cibernetic, se bazează pe teoria controlului și dinamica sistemului și se bazează pe cercetări semnificative în domeniu, inclusiv interviuri cu ofițerii șefi de securitate a informațiilor (CISO). Acesta a fost validat de-a lungul anilor la o companie Fortune 500 prin analizarea unei game largi de provocări strategice legate de riscul cibernetic.

Tabloul de bord imită îndeaproape ecosistemul de luare a deciziilor privind riscul cibernetic. Acesta ia în considerare postura actuală de apărare și dezvoltarea tacticilor de atac, incidentele cibernetice emergente și organizațiile în schimbare în termeni de oameni, procese și tehnologie. Tabloul de bord pentru riscul cibernetic oferă mijloacele de a face proiecții în funcție de indicatorii de performanță ai strategiei de securitate cibernetică a unei organizații. Această lucrare poate fi ușor adaptată pentru alte analize strategice. MIT CAM au folosit o abordare suplimentară de simulare pentru a înțelege comportamentul organizațional atunci când au adaptat principiile de risc cibernetic ale Forumului.

Utilizarea personas – profiluri artificiale de factori de decizie cu caracteristici specifice care conduc strategia lor de management al riscului cibernetic – este o abordare fundamentată științific pentru a explora partea comportamentală a managementului riscului cibernetic. Folosind personajele diferitelor organizații pentru a conduce luarea deciziilor strategice, această tehnologie de simulare poate prevedea impactul viitor al strategiei lor. În această analiză, reutilizam și datele din studiul nostru de caz anonimizat la o companie Fortune-500 numită Smart Wealth Management Inc. Ca atare, recunoaștem:

CEO-ul conștient cibernetic (CC-CEO)

Acest CEO ar putea fi conștient de principii, dar încă nu le-a adoptat (încă). Acest CEO se concentrează pe conformitatea rezonabilă cu standardele de securitate și controlează costurile de securitate. Creșterea volumului de muncă și lipsa resurselor de securitate conduc la o abordare mai reactivă a riscului cibernetic.

CEO-ul rezistent la WEF (CEO-WEF)

Acest CEO este conștient de cibernetică, dar a mers mai departe adoptând principiile de risc cibernetic ale Forumului pentru a stimula reziliența. El sau ea poate fi semnatar al Forumului Angajamentul de rezistență cibernetică. Acest CEO are o abordare proactivă și anticipativă a amenințărilor, cunoaște modul în care tehnologia lor le conduce afacerea și se concentrează pe menținerea performanței afacerii și a previziunilor privind costurile riscului cibernetic.

Conștientizarea strategică încurajează reziliența cibernetică

Observăm o diferență semnificativă atunci când comparăm puterea posturii de apărare reprezentată de numărul de incidente de securitate/active compromise. CEO-ul care urmează principiile de risc cibernetic ale Forumului (CEO-WEF) se estimează că va avea până la 85% mai puține incidente cibernetice (vezi Figura 1) în comparație cu CEO-ul CC.
Figura 1. Incidente cumulate de peste 60 de luni pentru strategia de management al riscului cibernetic a CC-CEO și WEF-CEO. Imagine: MIT CAMS

Eforturile de risc cibernetic și prioritizarea sarcinilor ale CEO-ului WEF permit intervenția timpurie care limitează comportamentul advers, în timp ce echipa CC-CEO răspunde adesea mai lent, ceea ce în cele din urmă aduce beneficii adversarului.

Perspective similare pot fi observate în profilul de risc (vezi Figura 2) cu privire la o distribuție a frecvenței apariției potențialelor incidente cibernetice în favoarea CEO-ului WEF, în principal atunci când un număr mare de incidente cibernetice pot necesita echipele IT să ajute echipele de securitate. Aceste situații, cunoscute sub denumirea de efecte de răspândire, necesită reprioritizarea sarcinilor IT, de obicei în detrimentul livrării proiectelor IT.
reziliența cibernetică managementul riscului cibernetic
Figura 2. Profilul de risc cibernetic se bazează pe distribuția incidentelor potențiale de securitate pe parcursul a 60 de luni pentru strategia de management al riscului cibernetic a CC-CEO și WEF-CEO. Analiza de sensibilitate se realizează cu un interval de certitudine de 95%. reziliența cibernetică
Figura 2. Profilul de risc cibernetic se bazează pe distribuția incidentelor potențiale de securitate pe parcursul a 60 de luni pentru strategia de management al riscului cibernetic a CC-CEO și WEF-CEO. Analiza de sensibilitate se realizează cu un interval de certitudine de 95%. Adoptarea principiilor de risc cibernetic ale Forumului demonstrează că organizațiile individuale își pot îmbunătăți în mod semnificativ reziliența cibernetică fără a crește costurile. Imagine: MIT CAMS

O abordare rezistentă nu crește costurile

CEO-ul WEF are probabil costuri mai mici decât CEO-ul CC (vezi Figura 3). Diferența majoră dintre aceste două scenarii constă în alocarea priorităților de sarcini și eforturile de risc cibernetic ale personalului de securitate. CC-CEO are eforturi continue care necesită resurse suplimentare de personal pentru a sprijini procesele de răspuns și recuperare, pentru a executa cercetări post-mortem și pentru a ajusta și îmbunătăți capabilitățile de securitate în consecință. Securitatea implementată de WEF-CEO prin proiectare are o ajustare și o îmbunătățire continuă a capacității proactive (inclusiv automatizare continuă) și a implementat o evaluare și raportare regulată a riscurilor cibernetice la nivel de consiliu.
Figura 3. Resurse (FTE) 60 de luni pentru strategia de management al riscului cibernetic a CC-CEO și WEF-CEO. reziliența cibernetică
Figura 3. Resurse (FTE) 60 de luni pentru strategia de management al riscului cibernetic a CC-CEO și WEF-CEO. Imagine: MIT CAMS

Adoptarea principiilor de risc cibernetic ale Forumului demonstrează că organizațiile individuale își pot îmbunătăți în mod semnificativ reziliența cibernetică fără a crește costurile. În aceste simulări, adoptarea principiilor sa dovedit valoroasă. În practică, interconectarea și conectivitatea dintre organizații introduce noi interdependențe, care vor fi explorate prin cercetări și simulări ulterioare. Cu toate acestea, descoperirile actuale în sine constituie un argument puternic pentru ca organizațiile să adopte principiile de risc cibernetic ale Forumului.

Link: https://www.weforum.org/agenda/2022/11/as-cyber-attacks-increase-heres-how-ceos-can-improve-cyber-resilience/

Timestamp-ul:

Mai mult de la Stiri Fintech