-
公司的网络安全和弹性越来越受到投资者和监管机构的审查。
-
世界经济论坛的网络风险原则有助于推动各行业的网络弹性。
-
麻省理工学院 CAMS 的模拟辅助研究表明,对世界经济论坛网络风险原则的承诺和采用显着提高了网络弹性。
-
结果还表明,与预期相反,对这些网络风险原则的承诺不会增加成本。
我们社会前所未有的数字化促使许多商业领袖和高管了解他们如何能够充分评估和管理网络风险。 管理网络风险是一个旨在提高组织网络弹性的整体过程。 在这种情况下,政府定义 网络弹性义务, 指定 关键基础设施 需要强制保护并帮助投资者 更好地比较 他们公司的网络工作。
成功管理网络弹性是必要的,因为组织和高管面临罚款和其他严重后果。 潜在的影响意味着董事会成员必须了解网络风险以及减轻这些风险的最佳方法。
这说起来容易做起来难。 57% 的公司对其减轻网络风险的最佳实践充满信心,而 XNUMX% 的公司预计 受到网络攻击. 不幸的是,这些组织中只有一半实施了适当的网络措施。
推动跨行业网络弹性
2021 年,世界经济论坛及其合作伙伴,美国企业董事协会 (NACD)、互联网安全联盟 (ISA) 和普华永道发布了 网络风险董事会治理原则 (论坛的网络风险原则),对于推动跨行业的弹性至关重要。 本指南(最初是为公司董事会制定的)总结为六项原则:
-
认识到网络安全是一种战略性业务推动因素。
-
了解网络风险的经济驱动因素和影响。
-
使网络风险管理与业务需求保持一致。
-
确保组织设计支持网络安全。
-
将网络安全专业知识纳入董事会治理。
-
鼓励系统的弹性和协作。
与之前的原则相比,该原则代表了一种截然不同的弹性方法 如何组织 将网络安全委托给 IT,对网络风险的战略性质有错误的认识,并对违规行为保密。
对网络风险的战略性质的错误认识可能会产生巨大的后果。 例如,软件公司 Kasaye 有经验 2021 年 XNUMX 月的勒索软件攻击,导致他们计划的首次公开募股 (IPO) 推迟,直至另行通知,导致他们 未能提高 估计为875亿美元。 此外,2019 年被攻破的 SolarWinds 拥有特定的广告技术来展示他们的商业成功故事 高端客户,最终为对手提供“购物清单”。
采用论坛的网络风险原则表明,各个组织可以在不增加成本的情况下显着提高其网络弹性。
=
— Sander Zeijlemaker,麻省理工学院斯隆管理学院 (CAMS) 网络安全研究附属机构,Disem Institute 常务董事 | Michael Siegel,麻省理工学院斯隆管理学院 (CAMS) 首席研究科学家兼网络安全总监 | Daniel Dobrygowski,世界经济论坛治理与信任主管
通过模拟理解
随着网络风险成为领导者议程上的一个重要问题,麻省理工学院 CAMS 已经 发达 一种提高领导者预见和管理网络风险能力的方法。 这项技术被称为网络风险仪表板,以控制理论和系统动力学为基础,并建立在该领域的重要研究基础上,包括对首席信息安全官 (CISO) 的采访。 多年来,通过分析广泛的战略网络风险挑战,它已在一家财富 500 强公司得到验证。
仪表板非常模仿网络风险决策生态系统。 它考虑了当前的防御态势和攻击策略的发展、新出现的网络事件以及人员、流程和技术方面不断变化的组织。 网络风险仪表板提供了根据组织网络安全战略的绩效指标进行预测的方法。 这项工作可以很容易地适应其他战略分析。 MIT CAM 在采用论坛的网络风险原则时使用模拟添加方法来理解组织行为。
指某东西的用途 人 – 具有驱动其网络风险管理策略的特定特征的人工决策者档案 – 是一种探索网络风险管理行为方面的科学方法。 使用不同组织的角色来驱动战略决策,这种模拟技术可以预见他们战略的未来影响。 在此分析中,我们还重复使用了我们在一家名为 Smart Wealth Management Inc. 的财富 500 强公司的匿名案例研究中的数据。因此,我们认识到:
具有网络意识的 CEO (CC-CEO)
这位 CEO 可能知道这些原则,但还没有(还)采用它们。 这位 CEO 专注于合理遵守安全标准并控制安全成本。 工作量的增加和安全资源的缺乏促使人们采取更加被动的方式来应对网络风险。
具有 WEF 弹性的 CEO (WEF-CEO)
这位 CEO 具有网络意识,但通过采用论坛的网络风险原则来培养弹性,走得更远。 他或她可能是论坛的签署人 网络弹性承诺. 这位 CEO 对威胁采取主动和预期的方法,知道他们的技术如何推动他们的业务,并专注于维护业务绩效和网络风险成本预测。
战略意识促进网络弹性
在比较由安全事件/受损资产数量表示的防御态势强度时,我们观察到显着差异。 与 CC-CEO 相比,遵循论坛网络风险原则的 CEO(WEF-CEO)预计会减少高达 85% 的网络事件(见图 1)。
图 1. CC-CEO 和 WEF-CEO 的网络风险管理策略超过 60 个月的累积事件。 图片:麻省理工学院 CAMS
WEF-CEO 的网络风险工作和任务优先级排序允许早期干预以限制敌对行为,而 CC-CEO 的团队通常反应较慢,这最终有利于对手。
在风险概况(见图 2)中可以观察到类似的见解,即潜在网络事件发生的频率分布有利于 WEF-CEO,主要是在大量网络事件可能需要 IT 团队帮助安全团队时。 这些情况称为溢出效应,需要重新确定 IT 任务的优先级,通常以牺牲 IT 项目交付为代价。
图 2. 网络风险概况基于 CC-CEO 和 WEF-CEO 的网络风险管理策略在 60 个月内发生的潜在安全事件的分布。 灵敏度分析在 95% 的确定范围内进行。 采用论坛的网络风险原则表明,各个组织可以在不增加成本的情况下显着提高其网络弹性。 图片:麻省理工学院 CAMS
弹性方法不会增加成本
WEF-CEO 的成本可能低于 CC-CEO(见图 3)。 这两种情况的主要区别在于任务优先级的分配和安全人员的网络风险工作。 CC-CEO 一直在努力,需要额外的人力资源来支持响应和恢复流程,执行事后研究并相应地调整和提高安全能力。 WEF-CEO 通过设计实施的安全性具有持续的主动能力调整和改进(包括持续自动化),并实施了定期的董事会级网络风险仪表板和报告。
图 3. CC-CEO 和 WEF-CEO 的网络风险管理战略的资源配置 (FTE) 60 个月。 图片:麻省理工学院 CAMS
采用论坛的网络风险原则表明,各个组织可以在不增加成本的情况下显着提高其网络弹性。 在这些模拟中,采用这些原则被证明是有价值的。 在实践中,组织之间的相互联系和连通性引入了新的相互依赖关系,这将通过进一步的研究和模拟进行探索。 然而,当前的调查结果本身为组织采用论坛的网络风险原则提供了强有力的理由。
链接:https://www.weforum.org/agenda/2022/11/as-cyber-attacks-increase-heres-how-ceos-can-improve-cyber-resilience/
