-
Кібербезпека та стійкість компаній дедалі частіше перевіряються інвесторами та регуляторами.
-
Принципи кіберризиків Всесвітнього економічного форуму допомагають підвищити кіберстійкість у різних галузях.
-
Дослідження MIT CAMS за допомогою моделювання показує, що відданість Принципам кіберризиків Всесвітнього економічного форуму та їх прийняття значно покращує кіберстійкість.
-
Результати також показують, що, всупереч очікуванням, дотримання цих принципів кіберризику не підвищує витрат.
Безпрецедентна цифровізація в нашому суспільстві підштовхнула багатьох бізнес-лідерів і керівників до розуміння того, як вони можуть адекватно оцінювати кіберризики та керувати ними. Управління кіберризиками – це цілісний процес, спрямований на покращення кіберстійкості організації. У цьому контексті уряди визначають зобов'язання щодо кіберстійкості, познач критична інфраструктура що вимагає обов'язкового захисту та допомоги інвесторам краще порівняти кібер-зусилля їхніх компаній.
Успішне управління кіберстійкістю є необхідним, оскільки організації та керівники стикаються зі штрафами та іншими серйозними наслідками. Потенційні наслідки означають, що члени правління повинні розуміти кіберризики та найкращі способи їх пом’якшення.
Це легше сказати, ніж зробити. Дев'яносто три відсотки компаній впевнені в тому, що їхні найкращі практики зменшують кіберризики, тоді як 57% очікують, що постраждали від кібератаки. На жаль, лише половина з цих організацій запровадили відповідні кіберзаходи.
Підвищення міжгалузевої кіберстійкості
У 2021 році Всесвітній економічний форум та його партнери, Національна асоціація корпоративних директорів (NACD), Альянс безпеки в Інтернеті (ISA) і PwC, опублікували Принципи управління кіберризиками ради (Принципи Форуму про кіберризики), які мають вирішальне значення для підвищення стійкості в різних галузях. Це керівництво (спочатку розроблене для корпоративних рад директорів) узагальнено в шести принципах:
-
Визнайте, що кібербезпека є стратегічним фактором розвитку бізнесу.
-
Зрозуміти економічні чинники та вплив кіберризиків.
-
Узгодьте управління кіберризиками з потребами бізнесу.
-
Переконайтеся, що організаційний дизайн підтримує кібербезпеку.
-
Включіть знання з кібербезпеки в управління радою.
-
Заохочуйте системну стійкість і співпрацю.
Принцип представляє суттєво інший підхід до стійкості порівняно з як організації делегувати кібербезпеку ІТ, мати неправильне уявлення про стратегічний характер кіберризику та тримати порушення в таємниці.
Неправильне уявлення про стратегічний характер кіберризиків може мати величезні наслідки. Наприклад, програмна компанія Kasaye досвідчений атака програм-вимагачів у липні 2021 року, яка спричинила відкладення їхнього запланованого первинного розміщення акцій (IPO) до подальшого повідомлення, що призвело до не підняти приблизно 875 мільйонів доларів. Крім того, SolarWinds, зламаний у 2019 році, мав спеціальні рекламні методи для відображення своїх історій комерційного успіху високопоставлених клієнтів, зрештою надаючи «список покупок» для супротивника.
Прийняття принципів кіберризиків Форуму демонструє, що окремі організації можуть значно покращити свою кіберстійкість без збільшення витрат.
"
— Сандер Зейлемейкер, афілійований дослідник відділу кібербезпеки в MIT Sloan (CAMS), керуючий директор Disem Institute | Майкл Сігел, головний науковий співробітник, директор відділу кібербезпеки MIT Sloan (CAMS) | Даніель Добриговскі, керівник відділу управління та довіри Всесвітнього економічного форуму
Розуміння через моделювання
У зв’язку з тим, що кіберризики є життєво важливим питанням на порядку денному керівників, MIT CAMS розвиненою метод покращення здатності лідерів передбачати та керувати кіберризиками. Ця технологія, яка називається панеллю керування кіберризиками, ґрунтується на теорії контролю та системній динаміці та базується на значних дослідженнях у цій галузі, включаючи інтерв’ю з керівниками інформаційної безпеки (CISO). Протягом багатьох років його перевіряли в компанії зі списку Fortune 500 шляхом аналізу широкого діапазону стратегічних викликів кіберризику.
Інформаційна панель точно імітує екосистему прийняття рішень щодо кіберризиків. Він розглядає поточну оборонну позицію та розвиток тактики атак, нові кіберінциденти та зміну організацій з точки зору людей, процесів і технологій. Інформаційна панель кіберризиків надає засоби для прогнозування відповідно до показників ефективності стратегії кібербезпеки організації. Цю роботу можна легко адаптувати для інших стратегічних аналізів. Під час адаптації Принципів кіберризиків Форуму CAMs MIT використовували додатковий підхід моделювання для розуміння організаційної поведінки.
Застосування персони – штучні профілі осіб, які приймають рішення, зі специфічними характеристиками, які керують їх стратегією управління кіберризиками – це науково обґрунтований підхід до вивчення поведінкової сторони управління кіберризиками. Використовуючи персоналії різних організацій для прийняття стратегічних рішень, ця технологія моделювання може передбачити майбутній вплив їхньої стратегії. У цьому аналізі ми також повторно використовуємо дані з нашого анонімного прикладу в компанії зі списку Fortune-500 під назвою Smart Wealth Management Inc. Таким чином, ми визнаємо:
Кіберсвідомий генеральний директор (CC-CEO)
Цей генеральний директор може знати про принципи, але ще не запровадив їх (поки що). Цей генеральний директор зосереджується на розумному дотриманні стандартів безпеки та контролює витрати на безпеку. Збільшення робочого навантаження та брак ресурсів безпеки спонукають до більш реактивного підходу до кіберризиків.
Стійкий до WEF генеральний директор (WEF-CEO)
Цей генеральний директор усвідомлює кіберпростір, але пішов далі, прийнявши Принципи Форуму про кіберризики для сприяння стійкості. Він або вона можуть бути підписантами Форуму Обіцянка кіберстійкості. Цей генеральний директор має проактивний і випереджувальний підхід до загроз, знає, як їхні технології рухають бізнесом, і зосереджується на підтримці ефективності бізнесу та прогнозуванні витрат на кіберризики.
Стратегічна обізнаність сприяє кіберстійкості
Ми спостерігаємо значну різницю, порівнюючи силу оборони, представлену кількістю інцидентів безпеки/порушених активів. Прогнозується, що генеральний директор, який дотримується Принципів кіберризиків Форуму (WEF-CEO), матиме на 85% менше кіберінцидентів (див. рис. 1) порівняно з CC-CEO.
Рисунок 1. Сукупна кількість інцидентів за 60 місяців для стратегії управління кіберризиками CC-CEO та WEF-CEO. Зображення: MIT CAMS
Зусилля щодо кіберризиків і визначення пріоритетів завдань генерального директора WEF дозволяють раннє втручання, яке обмежує ворожу поведінку, тоді як команда генерального директора CC часто реагує повільніше, що в кінцевому підсумку приносить користь супротивнику.
Подібну інформацію можна спостерігати в профілі ризику (див. рисунок 2) щодо частотного розподілу потенційних кіберінцидентів на користь WEF-CEO, головним чином, коли велика кількість кіберінцидентів може вимагати від ІТ-команд допомоги групам безпеки. Ці ситуації, відомі як побічні ефекти, вимагають зміни пріоритетів ІТ-завдань, як правило, за рахунок виконання ІТ-проекту.
Рисунок 2. Профіль кіберризиків базується на розподілі потенційних інцидентів безпеки протягом 60 місяців для стратегії управління кіберризиками CC-CEO та WEF-CEO. Аналіз чутливості виконується з достовірністю 95%. Прийняття принципів кіберризиків Форуму демонструє, що окремі організації можуть значно покращити свою кіберстійкість без збільшення витрат. Зображення: MIT CAMS
Гнучкий підхід не збільшує витрат
Ймовірно, витрати на генерального директора WEF нижчі, ніж на генерального директора CC (див. рис. 3). Основна відмінність між цими двома сценаріями полягає в розподілі пріоритетів завдань і зусиллях співробітників служби безпеки щодо кіберризиків. Керівник CC-CEO постійно докладає зусиль, які вимагають додаткових кадрових ресурсів для підтримки процесів реагування та відновлення, проведення посмертних досліджень і відповідного налаштування та покращення можливостей безпеки. Безпека, реалізована WEF-CEO за проектом, має постійне проактивне коригування та вдосконалення можливостей (включно з безперервною автоматизацією), а також запровадила регулярну панель керування кіберризиками та звітування.
Рисунок 3. Забезпечення ресурсами (FTE) 60 місяців для стратегії управління кіберризиками генерального директора CC та генерального директора WEF. Зображення: MIT CAMS
Прийняття принципів кіберризиків Форуму демонструє, що окремі організації можуть значно покращити свою кіберстійкість без збільшення витрат. У цих симуляціях прийняття принципів виявилося цінним. На практиці взаємозв’язок і зв’язок між організаціями створює нові взаємозалежності, які будуть досліджені шляхом подальших досліджень і моделювання. Однак поточні висновки самі по собі є вагомими аргументами для того, щоб організації прийняли Принципи Форуму про кіберризики.
Посилання: https://www.weforum.org/agenda/2022/11/as-cyber-attacks-increase-heres-how-ceos-can-improve-cyber-resilience/
- мураха фінансовий
- blockchain
- блокчейн конференція фінтех
- дзвінок фінтех
- coinbase
- coingenius
- крипто конференція фінтех
- кібер-безпеки
- FinTech
- додаток fintech
- фінтех-інновації
- Новини Fintech
- OpenSea
- PayPal
- paytech
- оплата
- plato
- платон ai
- Інформація про дані Платона
- PlatoData
- platogaming
- розорплата
- Revolut
- Пульсація
- квадратний фінтех
- полоса
- Tencent Fintech
- ксеро
- зефірнет
