-
An ninh mạng và khả năng phục hồi của các công ty ngày càng được các nhà đầu tư và cơ quan quản lý xem xét kỹ lưỡng.
-
Nguyên tắc rủi ro mạng của Diễn đàn kinh tế thế giới giúp thúc đẩy khả năng phục hồi không gian mạng trong các ngành.
-
Nghiên cứu hỗ trợ mô phỏng từ MIT CAMS cho thấy cam kết và việc áp dụng Nguyên tắc rủi ro mạng của Diễn đàn kinh tế thế giới giúp cải thiện đáng kể khả năng phục hồi không gian mạng.
-
Kết quả cũng cho thấy, trái với mong đợi, cam kết với các nguyên tắc rủi ro mạng này không làm tăng chi phí.
Quá trình số hóa chưa từng có trong xã hội của chúng ta đã thúc đẩy nhiều nhà lãnh đạo và giám đốc điều hành doanh nghiệp hiểu được cách họ có thể đánh giá và quản lý rủi ro mạng một cách đầy đủ. Quản lý rủi ro mạng là một quá trình tổng thể nhằm cải thiện khả năng phục hồi không gian mạng của tổ chức. Trong bối cảnh này, các chính phủ xác định nghĩa vụ phục hồi không gian mạng, chỉ định cơ sở hạ tầng quan trọng yêu cầu bảo vệ bắt buộc và giúp các nhà đầu tư so sánh tốt hơn nỗ lực không gian mạng của công ty họ.
Quản lý thành công khả năng phục hồi không gian mạng là cần thiết vì các tổ chức và giám đốc điều hành phải đối mặt với tiền phạt và các hậu quả nghiêm trọng khác. Những hậu quả tiềm ẩn có nghĩa là các thành viên hội đồng quản trị phải hiểu các rủi ro mạng và cách tốt nhất để giảm thiểu chúng.
Nói thì dễ hơn là làm. 57% các công ty tự tin vào các biện pháp tốt nhất của họ để giảm thiểu rủi ro mạng, trong khi XNUMX% mong đợi bị tấn công mạng. Thật không may, chỉ một nửa trong số các tổ chức này đã thực hiện các biện pháp không gian mạng phù hợp.
Thúc đẩy khả năng phục hồi không gian mạng liên ngành
Vào năm 2021, Diễn đàn Kinh tế Thế giới và các đối tác của mình, cùng với Hiệp hội các Giám đốc Doanh nghiệp Quốc gia (NACD), Liên minh An ninh Internet (ISA) và PwC, đã công bố Các nguyên tắc quản trị rủi ro mạng của Hội đồng quản trị (Nguyên tắc rủi ro mạng của Diễn đàn), rất quan trọng để thúc đẩy khả năng phục hồi trong các ngành. Hướng dẫn này (ban đầu được phát triển cho ban giám đốc công ty) được tóm tắt trong sáu nguyên tắc:
-
Nhận ra rằng an ninh mạng là một yếu tố hỗ trợ kinh doanh chiến lược.
-
Hiểu các động lực kinh tế và tác động của rủi ro mạng.
-
Điều chỉnh quản lý rủi ro mạng với nhu cầu kinh doanh.
-
Đảm bảo thiết kế tổ chức hỗ trợ an ninh mạng.
-
Kết hợp kiến thức chuyên môn về an ninh mạng vào quản trị hội đồng quản trị.
-
Khuyến khích khả năng phục hồi và hợp tác có hệ thống.
Nguyên tắc thể hiện một cách tiếp cận khác biệt đáng kể đối với khả năng phục hồi so với tổ chức như thế nào ủy thác an ninh mạng cho bộ phận CNTT, có nhận thức sai về bản chất chiến lược của rủi ro mạng và che giấu các hành vi vi phạm.
Nhận thức sai về bản chất chiến lược của rủi ro mạng có thể gây ra những hậu quả to lớn. Ví dụ, công ty phần mềm Kasaye kinh nghiệm một cuộc tấn công ransomware vào tháng 2021 năm XNUMX, khiến đợt phát hành cổ phiếu lần đầu ra công chúng (IPO) theo kế hoạch của họ bị hoãn lại cho đến khi có thông báo mới, khiến họ phải thất bại trong việc nâng cao ước tính khoảng 875 triệu USD. Hơn nữa, SolarWinds, vi phạm vào năm 2019, đã có các kỹ thuật quảng cáo cụ thể để hiển thị những câu chuyện thành công thương mại của họ về khách hàng cao cấp, cuối cùng cung cấp một “danh sách mua sắm” cho đối thủ.
Việc thông qua Nguyên tắc rủi ro mạng của Diễn đàn chứng minh rằng các tổ chức riêng lẻ có thể cải thiện đáng kể khả năng phục hồi không gian mạng của họ mà không tăng chi phí.
"
— Sander Zeijlemaker, Đơn vị liên kết nghiên cứu An ninh mạng tại MIT Sloan (CAMS), Giám đốc điều hành Disem Institute | Michael Siegel, Nhà khoa học nghiên cứu chính, Giám đốc, An ninh mạng tại MIT Sloan (CAMS) | Daniel Dobrygowski, Trưởng ban Quản trị và Niềm tin, Diễn đàn Kinh tế Thế giới
Hiểu thông qua mô phỏng
Với rủi ro mạng là một vấn đề sống còn trong chương trình nghị sự của các nhà lãnh đạo, MIT CAMS đã phát triển một phương pháp để cải thiện khả năng của các nhà lãnh đạo trong việc dự đoán và quản lý rủi ro mạng. Công nghệ này, được gọi là bảng điều khiển rủi ro mạng, dựa trên lý thuyết kiểm soát và tính năng động của hệ thống, đồng thời được xây dựng dựa trên nghiên cứu quan trọng trong lĩnh vực này, bao gồm các cuộc phỏng vấn với các giám đốc an ninh thông tin (CISO). Nó đã được xác thực qua nhiều năm tại một công ty trong danh sách Fortune 500 bằng cách phân tích một loạt các thách thức rủi ro mạng chiến lược.
Bảng điều khiển mô phỏng chặt chẽ hệ sinh thái ra quyết định rủi ro mạng. Nó xem xét tình hình phòng thủ hiện tại và sự phát triển của các chiến thuật tấn công, các sự cố mạng mới nổi và các tổ chức đang thay đổi về mặt con người, quy trình và công nghệ. Bảng điều khiển rủi ro mạng cung cấp phương tiện để đưa ra các dự đoán theo các chỉ số hiệu suất của chiến lược an ninh mạng của một tổ chức. Công việc này có thể dễ dàng thích ứng với các phân tích chiến lược khác. MIT CAM đã sử dụng phương pháp bổ sung mô phỏng để hiểu hành vi của tổ chức khi điều chỉnh Nguyên tắc rủi ro mạng của Diễn đàn.
Việc sử dụng personas – hồ sơ người ra quyết định nhân tạo với các đặc điểm cụ thể thúc đẩy chiến lược quản lý rủi ro mạng của họ – là một cách tiếp cận có cơ sở khoa học để khám phá khía cạnh hành vi của quản lý rủi ro mạng. Sử dụng diện mạo của các tổ chức khác nhau để thúc đẩy quá trình ra quyết định chiến lược, công nghệ mô phỏng này có thể thấy trước tác động trong tương lai của chiến lược của họ. Trong phân tích này, chúng tôi cũng sử dụng lại dữ liệu từ nghiên cứu tình huống ẩn danh của chúng tôi tại một công ty nằm trong danh sách Fortune 500 có tên là Smart Wealth Management Inc. Do đó, chúng tôi nhận thấy:
Giám đốc điều hành có ý thức về mạng (CC-CEO)
Giám đốc điều hành này có thể nhận thức được các nguyên tắc nhưng vẫn chưa áp dụng chúng (chưa). Vị CEO này tập trung vào việc tuân thủ hợp lý các tiêu chuẩn bảo mật và kiểm soát chi phí bảo mật. Khối lượng công việc ngày càng tăng và thiếu tài nguyên bảo mật thúc đẩy cách tiếp cận phản ứng mạnh hơn đối với rủi ro mạng.
CEO kiên cường của WEF (WEF-CEO)
Giám đốc điều hành này có ý thức về mạng nhưng đã đi xa hơn bằng cách áp dụng Nguyên tắc rủi ro mạng của Diễn đàn để thúc đẩy khả năng phục hồi. Anh ấy hoặc cô ấy có thể là người ký tên vào Diễn đàn Cam kết phục hồi mạng. Giám đốc điều hành này có cách tiếp cận chủ động và dự đoán trước các mối đe dọa, biết cách công nghệ thúc đẩy hoạt động kinh doanh của họ và tập trung vào việc duy trì hiệu suất kinh doanh cũng như dự đoán chi phí rủi ro mạng.
Nhận thức chiến lược thúc đẩy khả năng phục hồi không gian mạng
Chúng tôi quan sát thấy sự khác biệt đáng kể khi so sánh sức mạnh của tư thế phòng thủ được thể hiện bằng số lượng sự cố an ninh/tài sản bị xâm phạm. Giám đốc điều hành tuân theo Nguyên tắc rủi ro mạng của Diễn đàn (CEO của WEF) được dự đoán sẽ có ít sự cố mạng hơn tới 85% (xem Hình 1) so với Giám đốc điều hành CC.
Hình 1. Số sự cố tích lũy trong hơn 60 tháng đối với chiến lược quản lý rủi ro mạng của CC-CEO và WEF-CEO. Hình ảnh: MIT CAMS
Các nỗ lực về rủi ro mạng và ưu tiên nhiệm vụ của WEF-CEO cho phép can thiệp sớm nhằm hạn chế hành vi của đối thủ, trong khi nhóm của CC-CEO thường phản hồi chậm hơn, điều này cuối cùng có lợi cho đối thủ.
Những hiểu biết tương tự có thể được quan sát thấy trong hồ sơ rủi ro (xem Hình 2) liên quan đến phân bổ tần suất xảy ra sự cố mạng tiềm ẩn có lợi cho Giám đốc điều hành WEF, chủ yếu là khi số lượng lớn sự cố mạng có thể yêu cầu các nhóm CNTT trợ giúp các nhóm bảo mật. Những tình huống này, được gọi là hiệu ứng lan tỏa, yêu cầu phải sắp xếp lại thứ tự ưu tiên cho nhiệm vụ CNTT, thường phải trả giá bằng việc chuyển giao dự án CNTT.
Hình 2. Hồ sơ rủi ro mạng dựa trên phân bổ các sự cố bảo mật tiềm ẩn xảy ra trong 60 tháng đối với chiến lược quản lý rủi ro mạng của CC-CEO và WEF-CEO. Phân tích độ nhạy được thực hiện với phạm vi chắc chắn 95%. Việc thông qua Nguyên tắc rủi ro mạng của Diễn đàn chứng minh rằng các tổ chức riêng lẻ có thể cải thiện đáng kể khả năng phục hồi không gian mạng của họ mà không tăng chi phí. Hình ảnh: MIT CAMS
Một cách tiếp cận linh hoạt không làm tăng chi phí
WEF-CEO có thể có chi phí thấp hơn so với CC-CEO (xem Hình 3). Sự khác biệt chính giữa hai kịch bản này là trong việc phân bổ các ưu tiên nhiệm vụ và nỗ lực chống rủi ro mạng của nhân viên an ninh. Giám đốc điều hành CC-CEO có những nỗ lực không ngừng đòi hỏi nguồn lực nhân viên bổ sung để hỗ trợ các quy trình phản hồi và phục hồi, thực hiện nghiên cứu hậu kiểm cũng như điều chỉnh và cải thiện khả năng bảo mật cho phù hợp. Bảo mật do WEF-CEO triển khai theo thiết kế có sự điều chỉnh và cải tiến khả năng chủ động liên tục (bao gồm tự động hóa liên tục) và đã triển khai báo cáo và bảng điều khiển rủi ro mạng cấp hội đồng quản trị thường xuyên.
Hình 3. Nguồn lực (FTE) 60 tháng cho chiến lược quản lý rủi ro mạng của CC-CEO và WEF-CEO. Hình ảnh: MIT CAMS
Việc thông qua Nguyên tắc rủi ro mạng của Diễn đàn chứng minh rằng các tổ chức riêng lẻ có thể cải thiện đáng kể khả năng phục hồi không gian mạng của họ mà không tăng chi phí. Trong những mô phỏng này, việc áp dụng các nguyên tắc tỏ ra có giá trị. Trong thực tế, tính liên kết và kết nối giữa các tổ chức dẫn đến sự phụ thuộc lẫn nhau mới, điều này sẽ được khám phá thông qua nghiên cứu và mô phỏng sâu hơn. Tuy nhiên, bản thân những phát hiện hiện tại đã tạo ra một trường hợp mạnh mẽ để các tổ chức áp dụng Nguyên tắc rủi ro mạng của Diễn đàn.
Liên kết: https://www.weforum.org/agenda/2022/11/as-cyber-attacks-increase-heres-how-ceos-can-improve-cyber-resilience/
- kiến tài chính
- blockchain
- hội nghị blockchain fintech
- chuông fintech
- coinbase
- thiên tài
- hội nghị tiền điện tử fintech
- an ninh mạng
- fintech
- ứng dụng fintech
- đổi mới fintech
- Tin tức Fintech
- OpenSea
- PayPal
- công nghệ thanh toán
- con đường thanh toán
- plato
- Plato ai
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Platogaming
- tiền dao cạo
- Revolut
- Ripple
- fintech vuông
- sọc
- công nghệ tài chính tencent
- máy photocopy
- zephyrnet
