-
Företagens cybersäkerhet och motståndskraft granskas alltmer av investerare och tillsynsmyndigheter.
-
World Economic Forums cyberriskprinciper hjälper till att driva cybermotståndskraft i olika branscher.
-
Simuleringsstödd forskning från MIT CAMS visar att engagemang för och antagande av World Economic Forums Cyber Risk Principles avsevärt förbättrar cyberresiliensen.
-
Resultaten visar också att engagemang för dessa cyberriskprinciper, tvärtemot förväntningarna, inte ökar kostnaderna.
En aldrig tidigare skådad digitalisering i vårt samhälle har drivit många företagsledare och chefer att förstå hur de på ett adekvat sätt kan bedöma och styra cyberrisker. Att styra cyberrisk är en holistisk process som syftar till att förbättra organisationens cyberresiliens. I detta sammanhang definierar regeringar krav på cyberresiliens, utse kritisk infrastruktur som kräver obligatoriskt skydd och hjälpa investerare bättre jämföra sina företags cyberansträngningar.
Att framgångsrikt hantera cyberresiliens är nödvändigt eftersom organisationer och chefer möter böter och andra allvarliga konsekvenser. Potentiella återverkningar innebär att styrelseledamöter måste förstå cyberrisker och de bästa sätten att minska dem.
Detta är lättare sagt än gjort. Nittiotre procent av företagen är säkra på sina bästa metoder för att minska cyberrisker, medan 57 procent förväntar sig att drabbats av en cyberattack. Tyvärr har bara hälften av dessa organisationer genomfört lämpliga cyberåtgärder.
Att driva cybermotståndskraft över branschen
År 2021 publicerade World Economic Forum och dess partners, tillsammans med National Association of Corporate Directors (NACD), Internet Security Alliance (ISA) och PwC, Principer för styrelsestyrning av cyberrisk (forumets cyberriskprinciper), avgörande för att driva motståndskraft mellan branscher. Denna vägledning (ursprungligen utvecklad för företagsstyrelser) är sammanfattad i sex principer:
-
Inse att cybersäkerhet är ett strategiskt företag som möjliggör.
-
Förstå de ekonomiska drivkrafterna och effekterna av cyberrisk.
-
Anpassa hanteringen av cyberrisk med affärsbehov.
-
Se till att organisationsdesign stöder cybersäkerhet.
-
Inkorporera expertis inom cybersäkerhet i styrelsens styrelse.
-
Uppmuntra systemisk motståndskraft och samarbete.
Principen representerar en väsentligt annorlunda inställning till resiliens jämfört med hur organisationer delegera cybersäkerhet till IT, ha en felplacerad uppfattning om cyberriskens strategiska karaktär och hålla intrång under skydd.
En felplacerad uppfattning om cyberriskernas strategiska karaktär kan få enorma konsekvenser. Till exempel mjukvaruföretaget Kasaye erfaren en ransomware-attack i juli 2021, som orsakade uppskjutningen av deras planerade börsintroduktion (IPO) tills vidare, vilket ledde dem till misslyckas med att höja uppskattningsvis 875 miljoner dollar. Dessutom hade SolarWinds, som bröts 2019, specifika reklamtekniker för att visa sina kommersiella framgångsberättelser om högprofilerade kunder, i slutändan tillhandahåller en "inköpslista" för motståndaren.
Att anta forumets cyberriskprinciper visar att enskilda organisationer avsevärt kan förbättra sin cyberresiliens utan att höja kostnaderna.
"
— Sander Zeijlemaker, Research Affiliate Cybersecurity vid MIT Sloan (CAMS), VD Disem Institute | Michael Siegel, huvudforskare, chef för cybersäkerhet vid MIT Sloan (CAMS) | Daniel Dobrygowski, chef för styrning och förtroende, World Economic Forum
Förståelse genom simulering
Med cyberrisk en viktig fråga på ledarnas agenda, har MIT CAMS utvecklade en metod för att förbättra ledarnas förmåga att förutse och hantera cyberrisker. Denna teknik, som kallas en cyberrisk-dashboard, är grundad i kontrollteori och systemdynamik och bygger på betydande forskning inom området, inklusive intervjuer med chefer för informationssäkerhet (CISO). Det har validerats under åren på ett Fortune 500-företag genom att analysera ett brett utbud av strategiska cyberriskutmaningar.
Instrumentpanelen efterliknar ekosystemet för beslutsfattande cyberrisk. Den tar hänsyn till nuvarande försvarsställning och utveckling av attacktaktik, nya cyberincidenter och förändrade organisationer när det gäller människor, processer och teknik. Dashboarden för cyberrisk ger möjlighet att göra prognoser enligt resultatindikatorerna för en organisations cybersäkerhetsstrategi. Detta arbete kan lätt anpassas för andra strategiska analyser. MIT CAMs använde en simuleringsmetod för att förstå organisatoriskt beteende när de anpassade forumets cyberriskprinciper.
Användningen av personas – konstgjorda beslutsfattaresprofiler med specifika egenskaper som driver deras strategi för cyberriskhantering – är ett vetenskapligt grundat tillvägagångssätt för att utforska den beteendemässiga sidan av cyberriskhantering. Genom att använda olika organisationers personas för att driva strategiskt beslutsfattande kan denna simuleringsteknik förutse den framtida effekten av deras strategi. I denna analys återanvänder vi också data från vår anonymiserade fallstudie på ett Fortune-500-företag som heter Smart Wealth Management Inc. Som sådan känner vi igen:
Den cybermedvetne VD (CC-CEO)
Denna VD kanske är medveten om principerna men har ännu inte antagit dem (ännu). Denna VD fokuserar på rimlig efterlevnad av säkerhetsstandarder och kontrollerar säkerhetskostnaderna. Ökande arbetsbelastning och brist på säkerhetsresurser driver ett mer reaktivt förhållningssätt till cyberrisk.
Den WEF-resiliente vd:n (WEF-VD)
Denna VD är cybermedveten men har gått längre genom att anta forumets cyberriskprinciper för att främja motståndskraft. Han eller hon kan vara undertecknare till forumets Löfte om cyberresiliens. Denna VD har ett proaktivt och förutseende förhållningssätt till hot, vet hur deras teknik driver deras verksamhet och fokuserar på att upprätthålla affärsresultat och kostnadsförutsägelser för cyberrisk.
Strategisk medvetenhet främjar cyberresiliens
Vi observerar en signifikant skillnad när vi jämför styrkan i försvarsställningen representerad av antalet säkerhetsincidenter/komprometterade tillgångar. Den VD som följer forumets cyberriskprinciper (WEF-VD) förutspås ha upp till 85 % färre cyberincidenter (se figur 1) jämfört med CC-VD.
Figur 1. Kumulativa incidenter under 60 månader för strategin för hantering av cyberrisk för CC-VD och WEF-VD. Bild: MIT CAMS
WEF-VD:ns cyberriskinsatser och uppgiftsprioritering tillåter tidigt ingripande som begränsar motståndskraftigt beteende, medan CC-VD:s team ofta reagerar långsammare, vilket i slutändan gynnar motståndaren.
Liknande insikter kan observeras i riskprofilen (se figur 2) angående en frekvensfördelning av potentiella cyberincidenter till förmån för WEF-VD, främst när ett stort antal cyberincidenter kan kräva att IT-teamen hjälper säkerhetsteamen. Dessa situationer, så kallade spill-over-effekter, kräver omprioritering av IT-uppgifter, vanligtvis på bekostnad av leverans av IT-projekt.
Figur 2. Cyberriskprofilen är baserad på fördelningen av potentiella säkerhetsincidenter över 60 månader för strategin för hantering av cyberrisk för CC-VD och WEF-VD. Känslighetsanalys utförs med 95 % säkerhet. Att anta forumets cyberriskprinciper visar att enskilda organisationer avsevärt kan förbättra sin cyberresiliens utan att höja kostnaderna. Bild: MIT CAMS
Ett motståndskraftigt förhållningssätt höjer inte kostnaderna
WEF-VD har sannolikt lägre kostnader än CC-VD (se figur 3). Den största skillnaden mellan dessa två scenarier är fördelningen av uppgiftsprioriteringar och cyberriskinsatser för säkerhetspersonalen. CC-VD har pågående ansträngningar som kräver ytterligare personalresurser för att stödja respons- och återställningsprocesser, utföra obduktionsundersökningar och justera och förbättra säkerhetskapaciteten därefter. Den WEF-VD-implementerade säkerheten genom design har en fortlöpande proaktiv kapacitetsjustering och förbättring (inklusive kontinuerlig automatisering) och har implementerat regelbunden cyberrisköversikt och rapportering på styrelsenivå.
Figur 3. Resursering (FTE) 60 månader för strategi för hantering av cyberrisk för CC-VD och WEF-VD. Bild: MIT CAMS
Att anta forumets cyberriskprinciper visar att enskilda organisationer avsevärt kan förbättra sin cyberresiliens utan att höja kostnaderna. I dessa simuleringar visade det sig vara värdefullt att anta principerna. I praktiken introducerar sammankoppling och sammankoppling mellan organisationer nya ömsesidiga beroenden, som kommer att utforskas genom ytterligare forskning och simuleringar. De nuvarande resultaten i sig talar dock starkt för organisationer att anta forumets cyberriskprinciper.
Länk: https://www.weforum.org/agenda/2022/11/as-cyber-attacks-increase-heres-how-ceos-can-improve-cyber-resilience/
- myra finansiellt
- blockchain
- blockchain konferens fintech
- chime fintech
- coinbase
- coingenius
- kryptokonferens fintech
- Cybersäkerhet
- fintech
- fintech-app
- fintech-innovation
- Fintech Nyheter
- OpenSea
- PayPal
- paytech
- payway
- plato
- plato ai
- Platon Data Intelligence
- PlatonData
- platogaming
- razorpay
- Revolut
- Ripple
- fyrkantig fintech
- rand
- tencent fintech
- Xero
- zephyrnet
