Os últimos cinco anos viram um aumento dramático do crime cibernético, pontuado por algumas das violações mais sensacionais e caras da história corporativa. Esta explosão de crime cibernético, por sua vez, alimentou um boom de gastos em segurança cibernética .
mas uma prática e eficaz
Estratégia de segurança cibernética
Começa com a percepção de que nem todo aplicativo ou ativo de dados requer o mesmo tipo ou nível de proteção. A ferramenta cibernética doppler da BCG se baseia nessa visão, permitindo que as empresas entendam melhor seus riscos e controles cibernéticos. Quantifica o Prove de verossimilhança de um ataque cibernético que ocorre, bem como o Impact de um ataque bem -sucedido. Em seu rastro, o vírus negou o acesso aos sistemas que a gigante dinamarquesa de transporte dinamarquês A.P. Møller-Maersk usava para operar terminais de remessa em todo o mundo. O problema levou duas semanas para a Unsnarl e custou à empresa cerca de US $ 200 milhões a US $ 300 milhões. Cinco deles foram realizados, transferindo US $ 20 milhões rastreados para o Sri Lanka e US $ 81 milhões para as Filipinas. O Bureau Federal de Investigação dos EUA relata que recebeu mais de 1,4 milhão de queixas de crimes na Internet no período de cinco anos encerrado em 2017, representando cerca de US $ 5,5 bilhões em perdas totais. Somente em 2018, a Symantec registrou um aumento de 56% nos ataques da Web, um aumento de 12% nos ataques de ransomware corporativo e um aumento de 78% nos ataques da cadeia de suprimentos, entre outros crimes cibernéticos. Como sugere esses eventos, a variedade de métodos de ataque cibernético e a facilidade de cometer um ataque estão em ascensão. A rede escura, onde grande parte do crime cibernético é incubada, tornou -se tão sofisticada que os fornecedores vendem seus produtos criminais através de um portal semelhante à Amazon.com. O portal está completo com classificações de usuários e aceita prontamente uma ampla gama de criptomoedas com o clique de um botão, colocando recursos para lançar ataques nas mãos de uma infinidade de possíveis criminosos.
The Threat of Cyber Crime Is Growing…
In 2017, an attack by the NotPetya virus affected more than 7,000 companies. In its wake, the virus denied access to systems that the Danish shipping giant A.P. Møller-Maersk used to operate shipping terminals worldwide. The problem took two weeks to unsnarl, and cost the company some $200 million to $300 million.
In 2016, hackers issued 35 “orders” via the SWIFT network to withdraw nearly $1 billion from the central bank of Bangladesh’s account at the Federal Reserve Bank of New York. Five of these were carried out, transferring $20 million traced to Sri Lanka and $81 million to the Philippines.
These attention-getting feats represent only the tip of the cyber crime iceberg. The US Federal Bureau of Investigation reports that it received more than 1.4 million complaints of internet crime in the five-year period ending in 2017, representing some $5.5 billion in total losses. In 2018 alone, Symantec recorded a 56% rise in web attacks, a 12% rise in enterprise ransomware attacks, and a 78% rise in supply chain attacks, among other cyber crimes. As these events suggests, the variety of cyber attack methods and ease of committing an attack are on the rise.
The greatest impact may come from the cumulative effect of these thousands of smaller attacks rather than the few spectacular crimes like the Maersk interruption, making the challenge of detecting, preventing, and mitigating them all the greater for their targets. The dark net, where much of cyber crime is incubated, has become so sophisticated that vendors sell their criminal wares through a portal similar to Amazon.com. The portal is complete with user ratings, and it readily accepts a wide range of cryptocurrencies at the click of a button, placing resources for launching attacks in the hands of a multitude of would-be criminals.
…And So, Consequently, Is Cybersecurity Spending
The cyber crime explosion is fueling a Gastos de segurança cibernética boom. As empresas estão comprando e implantando uma infinidade de recursos e ferramentas de segurança para identificar essas ameaças, proteger contra elas e se recuperar rapidamente com danos mínimos - financeiros ou reputacionais. O Gartner relata que os gastos com segurança anuais médios por funcionário dobraram, de US $ 584 em 2012 para US $ 1.178 em 2018.
Quando se trata de orçamento de segurança cibernética, as empresas normalmente baseiam decisões sobre quanto mais eles investem em relação aos seus pares, quanto precisam gastar no ano passado. O que eles tendem a não se concentrar é qualquer avaliação da eficácia de seu investimento. No entanto, mesmo uma afirmação de que uma empresa está reduzindo seus gastos com segurança cibernética pode provocar a segmentação por hackers. A variedade aparentemente infinita de produtos e serviços de segurança cibernética para escolher não facilita a seleção de onde e como investir em segurança cibernética. Complicar sua tomada de decisão são duas realidades: a prevenção de ataques cibernéticos é caro e geralmente é ineficaz, pois as empresas não podem saber se, quando e como um ataque pode ocorrer.
The capacity of companies to throw money at the problem of cyber crime is of course limited. Yet even a statement that a company is reducing its cybersecurity spending could itself provoke targeting by hackers. The seemingly infinite variety of cybersecurity products and services to choose from doesn’t make the job of selecting where and how to invest one's cybersecurity any easier.
Seven Strategic Fault Lines
Historically, companies across industries have been prone to make decisions about cybersecurity on the basis of fear after an especially damaging breach or theft—without considering the trade-offs involved. Complicating their decision-making are two realities: cyber attack prevention is expensive and it’s often ineffectual, since businesses can’t know if, when, and how an attack might occur.
Para superar esses desafios, as empresas precisam dar um passo atrás para entender melhor sua estrutura de controle e desafios organizacionais em detalhes e depois considerar quais remediações lhes darão os melhores resultados. Eles precisam saber em qual conjunto de iniciativas investir e a melhor forma de escolher entre projetos concorrentes. E eles precisam realizar tudo isso enquanto os ataques estão em constante e rápida evolução.
Para segurança cibernética e qualquer outra ameaça, as empresas precisam ser capazes de quantificar efetivamente o próprio risco, o retorno do investimento de abordá -lo e por que pode ser superior ao retorno de outros projetos que competem pelos mesmos recursos. Certamente, os principais agentes de segurança da informação (CISOs) gostariam de investir em todos os lugares em que vêem uma ameaça, observem uma lacuna e podem formular um remédio em potencial. Mas eles são forçados a fazer trade-offs com base no julgamento comercial ou em um conjunto de regras prescritas.
Identificamos sete linhas de falha que impedem o pensamento estratégico das empresas e a capacidade de alocar efetivamente seu investimento em segurança cibernética. As idéias sobre a estrutura de controle da empresa também geralmente são limitadas, com o conhecimento espalhado pela organização e o status real dos controles não documentados. Muitas empresas dependem de boletins e atualizações dos fornecedores de segurança, em vez de realizar investigações regulares e independentes nas áreas onde podem ser mais vulneráveis. Digitalização e operações. Dada a impossibilidade prática de alcançar a impermeabilidade de agressores determinados, no entanto, a segurança confiável da informação também deve incluir detecção e resposta. No entanto, esses processos geralmente estão ausentes nas estruturas de gerenciamento de risco das empresas. e controle de custos e integrar ferramentas de terceiros em seus ecossistemas digitais. No entanto, muitos não sabem como seus parceiros de TI funcionam. E poucos têm sistemas, recursos e protocolos para supervisionar e monitorar o trabalho desses fornecedores.
Limited insight into key IT assets, threats, and the control framework
Companies often lack a defined process for assessing cyber risk or understanding threats and how these might manifest—such as through unpatched vulnerabilities on phones. Insights into the company’s control framework are often limited as well, with knowledge scattered across the organization and the actual status of controls not documented. Many companies rely on newsletters and updates from security vendors rather than performing regular, independent investigations into the areas where they may be most vulnerable.
Failure to prioritize cybersecurity
Except when a material breach pushes cyber risk to the top of the C-suite’s agenda, cybersecurity and the CISO tend to occupy a peripheral position, disconnected from IT product development, digitization, and operations.
A focus on identification and prevention over detection and response
Security measures are useful mainly in protecting against untargeted attacks. Given the practical impossibility of achieving impermeability from determined assailants, however, reliable information security must also include detection and response. Yet, these processes are often missing from companies’ risk-management frameworks.
Failure to hire talent
The knowledge necessary to tackle threats and sustain operational capabilities is scarce, and companies often struggle to attract and retain needed talent.
Weak third-party management
Companies are increasingly outsourcing the acquisition and management of IT assets and cost control and integrating third-party tools into their digital ecosystems. Yet many don’t know how their IT partners work. And few have the systems, resources, and protocols to oversee and monitor the work of those vendors.
Lack of a security-aware culture
Companies need a culture in which the institution as a whole—not just its risk owners, risk managers, and audit function—takes responsibility for reducing information-security risk, encourages collaboration, and Construa resiliência sistêmica . Freqüentemente, no entanto, a responsabilidade sistemática da placa para as linhas de frente está ausente ou a responsabilidade baixa e exclusiva pela segurança da informação cai no CISO. Entre os culpados: recursos de conhecimento limitados; falta de processos de gerenciamento de incidentes codificados; tecnologia insuficiente para monitorar, registrar e reagir a atividades suspeitas; e uma incapacidade de integrar a tecnologia e as capacidades humanas. O Cyber Doppler é uma ferramenta sistemática de metodologia, modelo e software de ponta, desenvolvida por uma equipe multidisciplinar no BCG para desenvolver esse insight. Alavancando estruturas cibernéticas e de gerenciamento de riscos padrão do setor, permite que as empresas melhor
Operational stress
As attacks and incidents accelerate, organizational capabilities come under extreme pressure, often leading to systemic breakdowns and accumulating backlogs. Among the culprits: limited knowledge resources; lack of codified incident management processes; insufficient technology to monitor, log, and react to suspicious activity; and an inability to integrate technology and human capabilities.
Assessing the Likelihood of an Attack
The path to formulating a practical and effective cybersecurity strategy that makes the best use of the company’s investment begins with the realization that not every application or data asset requires the same type or level of protection. Cyber Doppler is a systematic, cutting-edge methodology, model, and software tool developed by a multidisciplinary team at BCG to build on this insight. Leveraging industry-standard cybersecurity and risk-management frameworks, it enables companies to better Entenda seus riscos e controles cibernéticos .
Sabendo de seus adversários prováveis permite que uma empresa modele um conjunto abrangente de cenários básicos que predizem os resultados baseados nos possíveis atores envolvidos. Com o cibernético doppler, a empresa pode quantificar a probabilidade de um ataque cibernético ocorrer, bem como o Impact de um ataque bem -sucedido a um ou mais de seus ativos. Isso ocorre porque define uma série de cenários de ameaça cibernética, avalia-os contra a estrutura de controle e estima a probabilidade de uma violação que ocorre em cada cenário. Em seguida, ele mede o impacto financeiro se um evento ocorrer em um determinado conjunto de dados, software e ativos físicos em uma região específica. O cibernético Doppler categoriza e prioriza os ativos de acordo com seu nível de criticidade - isto é, seu impacto financeiro - um processo que ele remodela periodicamente. Isso inclui estados-nação, criminosos financeiros, hacktivistas e até funcionários da empresa que buscam um conjunto finito de objetivos e resultados como ganho financeiro, roubo de propriedade intelectual, interrupção dos negócios e modificação ou publicação de dados. da Agência de Segurança Nacional. O impacto financeiro nessas situações foi ligado diretamente ao evento de violação - por exemplo, receita perdida e
Most cyber criminals fall into a small, finite set of categories. These include nation-states, financial criminals, hacktivists, and even company employees pursuing a finite set of objectives and outcomes such as financial gain, intellectual property theft, disruption of the business, and modification or publication of data.
Cyber Doppler created its attack scenarios based on well-known data breaches—such as NotPetya, Bangladesh Bank, and Edward Snowden’s theft of classified materials from the National Security Agency. The financial impact in these situations was tied directly to the breach event—for instance, lost revenues and Finos regulatórios - e também incluiu danos à reputação à empresa. O cyber doppler consolida o impacto potencial em todos os cenários para quantificar a exposição ao risco cibernético de uma empresa em termos financeiros. Por exemplo, um estado-nação direcionando deliberadamente uma empresa teria os recursos para representar uma violação mais séria do que um poder hacktivista. O cyber doppler incorpora um fator de intensidade de ameaça que permite à empresa antecipar qualquer aumento ou diminuição da atividade de ameaça externa. Também pode antecipar a obsolescência que reduz a eficácia do controle com a passagem do tempo, todos os outros fatores que permanecem constantes e o custo de manutenção e garantir a robustez do software de controle e o desempenho do gerenciamento. Estimando a perda esperada de ameaças cibernéticas antes e após um determinado conjunto de intervenções - como um projeto de melhoria de segurança cibernética - envelhece uma empresa para estimar a redução de perdas por projeto e construir um portfólio de projetos otimizado. Essa análise garante que a empresa possa obter o retorno máximo de seu investimento cibernético.
Threat intensity ebbs and flows depending on the attacker’s resources and mode of operation. For instance, a nation-state deliberately targeting a company would have the resources to pose a more serious breach than a hacktivist might. Cyber Doppler incorporates a threat intensity factor that enables the company to anticipate any increase or decrease in external threat activity. It can also anticipate obsolescence that reduces control effectiveness with the passage of time, all other factors remaining constant, and the cost of maintaining and ensuring robustness of control software and management performance.
Taking Control of Cyber Risk
With resources increasingly strained, it’s more important than ever to maximize return on those that remain. Estimating the expected loss from cyber threats prior to and following a given set of interventions—such as a cybersecurity improvement project—enables a company to estimate loss reduction per project and construct an optimized project portfolio. This analysis ensures that the company can earn the maximum return on its cyber investment.
Cyber Doppler também permite que as empresas considerem cuidadosamente quais controles geram mais valor em uma abordagem de estimativa de distribuição de perdas. Esta análise permite discussões melhores e mais informadas sobre proteção de risco cibernético.
Sukand Ramachandran
