-
Инвесторы и регулирующие органы все чаще проверяют кибербезопасность и устойчивость компаний.
-
Принципы киберриска Всемирного экономического форума помогают повысить устойчивость к киберугрозам в различных отраслях.
-
Исследование с помощью моделирования, проведенное MIT CAMS, показывает, что приверженность принципам киберриска Всемирного экономического форума и их принятие значительно повышает устойчивость к киберугрозам.
-
Результаты также показывают, что, вопреки ожиданиям, приверженность этим принципам киберрисков не приводит к увеличению затрат.
Беспрецедентная цифровизация нашего общества подтолкнула многих бизнес-лидеров и руководителей к пониманию того, как они могут адекватно оценивать киберриски и управлять ими. Управление киберрисками — это целостный процесс, направленный на повышение киберустойчивости организации. В этом контексте правительства определяют обязательства по обеспечению киберустойчивости, обозначить критическая инфраструктура что требует обязательной защиты и помощи инвесторам лучше сравнить кибер-усилия их компаний.
Успешное управление киберустойчивостью необходимо, поскольку организации и руководители сталкиваются со штрафами и другими серьезными последствиями. Потенциальные последствия означают, что члены совета директоров должны понимать кибер-риски и лучшие способы их снижения.
Это легче сказать, чем сделать. 57% компаний уверены в своих передовых методах снижения киберрисков, а XNUMX% ожидают, что подвергся кибератаке. К сожалению, только половина этих организаций внедрила подходящие кибермеры.
Повышение межотраслевой киберустойчивости
В 2021 году Всемирный экономический форум и его партнеры, в том числе Национальная ассоциация корпоративных директоров (НАКД), Альянс интернет-безопасности (ISA) и PwC, опубликовали Принципы управления советом директоров киберрисками (Принципы киберрисков Форума), критически важные для обеспечения устойчивости в различных отраслях. Это руководство (изначально разработанное для корпоративных советов директоров) сводится к шести принципам:
-
Признайте, что кибербезопасность является стратегическим фактором развития бизнеса.
-
Понимать экономические движущие силы и влияние киберриска.
-
Согласуйте управление киберрисками с потребностями бизнеса.
-
Убедитесь, что организационная структура поддерживает кибербезопасность.
-
Включите опыт кибербезопасности в управление советом директоров.
-
Поощряйте системную устойчивость и сотрудничество.
Этот принцип представляет собой существенно иной подход к устойчивости по сравнению с как организации делегировать кибербезопасность ИТ-специалистам, иметь неуместное представление о стратегическом характере киберриска и держать в тайне нарушения.
Неуместное восприятие стратегического характера киберрисков может иметь огромные последствия. Например, компания-разработчик программного обеспечения Kasaye. опытные атака программы-вымогателя в июле 2021 года, в результате которой их запланированное первичное публичное размещение акций (IPO) было отложено до дальнейшего уведомления, что привело к не поднять оценивается в 875 миллионов долларов. Более того, взломанная в 2019 году компания SolarWinds использовала специальные рекламные приемы для демонстрации своих коммерческих историй успеха. высокопоставленные клиенты, в конечном итоге предоставляя противнику «список покупок».
Принятие Форумом Принципов киберриска показывает, что отдельные организации могут значительно повысить свою киберустойчивость без увеличения затрат.
— Сандер Зейлемакер, исследователь кибербезопасности MIT Sloan (CAMS), управляющий директор Disem Institute | Майкл Сигел, главный научный сотрудник, директор по кибербезопасности MIT Sloan (CAMS) | Даниэль Добрыговский, глава отдела управления и доверия, Всемирный экономический форум
Понимание через симуляцию
Поскольку кибер-риск является жизненно важным вопросом в повестке дня лидеров, MIT CAMS развитый метод повышения способности лидеров предвидеть киберриски и управлять ими. Эта технология, называемая информационной панелью кибер-рисков, основана на теории управления и системной динамике и основана на значительных исследованиях в этой области, включая интервью с руководителями по информационной безопасности (CISO). Он был проверен на протяжении многих лет в компании из списка Fortune 500 путем анализа широкого спектра стратегических проблем киберриска.
Приборная панель точно имитирует экосистему принятия решений о киберрисках. В нем рассматривается текущее состояние защиты и развитие тактики атак, возникающие киберинциденты и изменения организаций с точки зрения людей, процессов и технологий. Информационная панель киберрисков предоставляет средства для составления прогнозов в соответствии с показателями эффективности стратегии кибербезопасности организации. Эта работа может быть легко адаптирована для других стратегических анализов. Камеры Массачусетского технологического института использовали подход с добавлением моделирования для понимания поведения организации при адаптации Принципов киберриска Форума.
Использование персонами – искусственные профили лиц, принимающих решения, с определенными характеристиками, определяющими их стратегию управления киберрисками, – это научно обоснованный подход к изучению поведенческой стороны управления киберрисками. Используя персонажей разных организаций для принятия стратегических решений, эта технология моделирования может предвидеть будущее влияние их стратегии. В этом анализе мы также повторно используем данные из нашего анонимного примера из компании Smart Wealth Management Inc., входящей в список Fortune 500. Поэтому мы признаем:
Киберсознательный генеральный директор (CC-CEO)
Этот генеральный директор может знать об этих принципах, но еще не принял их (пока). Этот генеральный директор уделяет особое внимание разумному соблюдению стандартов безопасности и контролирует расходы на обеспечение безопасности. Увеличение рабочей нагрузки и нехватка ресурсов безопасности приводят к более реактивному подходу к киберрискам.
Устойчивый к ВЭФ генеральный директор (WEF-CEO)
Этот генеральный директор хорошо осведомлен о кибербезопасности, но пошел дальше, приняв Принципы киберриска Форума для повышения устойчивости. Он или она может быть подписантом Форума. Обязательство киберустойчивости. Этот генеральный директор использует упреждающий и упреждающий подход к угрозам, знает, как их технологии влияют на их бизнес, и фокусируется на поддержании эффективности бизнеса и прогнозировании стоимости киберрисков.
Стратегическая осведомленность способствует киберустойчивости
Мы наблюдаем значительную разницу при сравнении силы обороны, представленной количеством инцидентов безопасности / скомпрометированных активов. Ожидается, что генеральный директор, который следует принципам киберриска Форума (WEF-CEO), будет иметь до 85% меньше кибер-инцидентов (см. рис. 1) по сравнению с CC-CEO.
Рисунок 1. Совокупное количество инцидентов за 60 месяцев для стратегии управления киберрисками CC-CEO и WEF-CEO. Изображение: MIT CAMS
Усилия, связанные с киберрисками, и приоритизация задач WEF-CEO позволяют вмешаться на ранней стадии, что ограничивает поведение злоумышленников, в то время как команда CC-CEO часто реагирует медленнее, что в конечном итоге приносит пользу противнику.
Аналогичные выводы можно наблюдать в профиле риска (см. рис. 2) в отношении частотного распределения потенциальных кибер-инцидентов в пользу WEF-CEO, в основном, когда большое количество кибер-инцидентов может потребовать от ИТ-подразделений помощи группам безопасности. Эти ситуации, известные как побочные эффекты, требуют перераспределения приоритетов ИТ-задач, обычно за счет выполнения ИТ-проекта.
Рисунок 2. Профиль кибер-рисков основан на распределении потенциальных инцидентов безопасности за 60 месяцев для стратегии управления кибер-рисками CC-CEO и WEF-CEO. Анализ чувствительности выполняется с достоверностью 95%. Принятие Форумом Принципов киберриска показывает, что отдельные организации могут значительно повысить свою киберустойчивость без увеличения затрат. Изображение: MIT CAMS
Устойчивый подход не увеличивает затраты
У WEF-CEO, вероятно, меньше затрат, чем у CC-CEO (см. рис. 3). Основное различие между этими двумя сценариями заключается в распределении приоритетов задач и усилий сотрудников службы безопасности по предотвращению киберрисков. CC-CEO постоянно прилагает усилия, которые требуют дополнительных кадровых ресурсов для поддержки процессов реагирования и восстановления, проведения вскрытия и соответствующей корректировки и улучшения возможностей безопасности. Реализованная генеральным директором WEF система безопасности по замыслу имеет постоянную упреждающую корректировку и улучшение возможностей (включая непрерывную автоматизацию) и внедрила регулярные информационные панели и отчеты о киберрисках на уровне совета директоров.
Рисунок 3. Ресурсы (FTE) 60 месяцев для стратегии управления киберрисками CC-CEO и WEF-CEO. Изображение: MIT CAMS
Принятие Форумом Принципов киберриска показывает, что отдельные организации могут значительно повысить свою киберустойчивость без увеличения затрат. В этих симуляциях принятие принципов оказалось ценным. На практике взаимосвязанность и связь между организациями вводит новые взаимозависимости, которые будут изучены в ходе дальнейших исследований и моделирования. Однако текущие выводы сами по себе являются веским аргументом в пользу того, чтобы организации приняли Принципы киберриска Форума.
Ссылка: https://www.weforum.org/agenda/2022/11/as-cyber-attacks-increase-heres-how-ceos-can-improve-cyber-resilience/
- финансовый муравей
- блокчейн
- блокчейн конференция финтех
- перезвон финтех
- coinbase
- Coingenius
- крипто конференция финтех
- информационная безопасность
- FinTech
- финтех приложение
- Финтех инновации
- Финтех Новости
- OpenSea
- PayPal
- PayTech
- платный путь
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- ПлатонДанные
- платогейминг
- razorpay
- Revolut
- Ripple
- квадратный финтех
- полоса
- тенсент финтех
- ксеро
- зефирнет
