para o CEO
Você pode dizer com certeza que não estamos sob ataque cibernético agora?
If we are being hacked, how safe is our most valuable data—and is the entire organization prepared if our systems go down for an extended time?
What is your best estimate of the impact on our finances, investors, and customers?
Essas perguntas enviariam calafrios na coluna vertebral de quase qualquer CEO. Mas os chefes corporativos precisam estar preparados para respondê -los. Porque suas placas estarão perguntando.
The Cybersecurity Questions Every CEO Must Answer
Until recently, accountability for segurança cibernética As questões tendiam a ser transferidas para os principais agentes de informação ou segurança. Esses dias se foram. Novas regras de divulgação e transparência nos EUA e na Europa, as crescentes capacidades criminais e o custo crescente dos ataques são a segurança cibernética até o topo da agenda do CEO. O ex -diretor de risco da empresa. As placas também estão no gancho para uma supervisão mais dura. O Cyentia Institute estima o custo médio de uma única violação de alta magnitude em US $ 52 milhões; Somente no setor manufatureiro, a média é de US $ 108 milhões. Ao todo, o crime cibernético custa à economia global pelo menos US $ 2 trilhões por ano, estimativas do BCG.
“All of this has escalated cybersecurity from a technical challenge for CEOs and boards to an even higher strategic and cross-organizational priority,” says Tad Roselund, a BCG managing director and senior partner and the firm’s former chief risk officer.
When a public company suffers a serious cyber attack, the CEO is now expected to explain the details and implications—within days—to regulators, the investing public, and other stakeholders. Boards are on the hook for tougher oversight as well.
The pressure is ratcheting up as cyber attackers, armed with an ever-growing array of sophisticated but easy-to-use tools, exact a higher and higher toll on businesses and the broader economy. Cyentia Institute estimates the median cost of a single high-magnitude breach at $52 million; in the manufacturing sector alone, the average is $108 million. In all, cyber crime costs the global economy at least $2 trillion a year, BCG estimates.
It’s no longer a question of if a cyber attack will happen—but when.
Compondo o desafio para os CEOs é o imperativo de administrar com sucesso transformações digitais e desenvolver novos recursos de IA. Esses esforços podem aumentar a competitividade e criar resiliência operacional - incluindo a resiliência cibernética - mas também criam mais aberturas para os atores mal -intencionados explorarem. “Você precisa sair da caverna, totalmente armado.”
“You can’t be frozen by the fear of digitizing,” says Vanessa Lyon, a BCG managing director and senior partner who leads the firm’s cybersecurity work globally. “You need to get out of the cave, fully armed.”
Liderança por design: navegue pelas complexidades do ambiente de liderança e gerenciamento de hoje.
CEOs podem encontrar o equilíbrio certo, garantindo que novas ferramentas e tecnologias digitais sejam projetadas e implantadas com a segurança em mente desde o início. Eles também podem ser mais estratégicos sobre os investimentos em segurança cibernética, concentrando -se nas capacidades de recuperação e nas medidas de proteção. Porque não é mais uma questão de se a empresa será atacada - mas quando. Ainda é esse o caso, mas novas ferramentas estão fazendo ataques de phishing-a técnica de hackers mais comum-mais fácil, mais eficaz e menos demorada para executar. Com a IA generativa, por exemplo, os infiltradores podem criar mensagens de texto de profundidade mais realistas, fotos, sites, documentos da empresa, vídeo e até conversas de voz em tempo real em minutos. Os golpistas teriam convidado um gerente financeiro para uma reunião de vídeo de emergência com o diretor de finanças da empresa no Reino Unido e vários outros colegas. Mas os participantes da reunião eram deepfakes, criados com vídeo e áudio disponíveis ao público. Os fraudadores levaram o gerente a executar 15 transferências de dinheiro no valor de US $ 25,6 milhões a cinco contas bancárias, de acordo com relatórios da imprensa.
Most of all, CEOs must be prepared to lead, and engage in, the company’s cybersecurity strategy. Because it’s no longer a question of if their company will be attacked—but when.
The Broadening Cyber Battlefield
For years, the overwhelming majority of cybersecurity breaches have stemmed from organizational or human failure. That’s still the case, but new tools are making phishing attacks—long the most common hacking technique—easier, more effective, and less time-consuming to execute. With generative AI, for example, infiltrators can create more realistic deepfake text messages, photos, websites, company documents, video, and even real-time voice conversations in minutes.
A recent scam at the Hong Kong branch of a multinational company illustrates the evolving ingenuity of cyber criminals. Scammers reportedly invited a finance manager to an emergency video meeting with the company’s UK-based chief finance officer and several other colleagues. But it turned out the meeting attendees were deepfakes, created with publicly available video and audio. The fraudsters tricked the manager into executing 15 money transfers worth a total of $25.6 million to five bank accounts, according to press reports.
Esse é apenas um incidente. Uma indústria inteira surgiu para facilitar o trabalho dos hackers. Ferramentas de phishing genai, tutoriais de fraude, serviços de lavagem de dinheiro, soluções de ransomware como serviço e licenças de motorista e cartões de crédito clonados estão prontamente disponíveis para somas modestas nos mercados da Web Dark.
A whole industry has emerged to make hackers’ jobs easier.
Cibernéticos estão encontrando maneiras diretas nas redes corporativas, obtendo senhas válidas, nomes de usuário e outras credenciais de login. E isso está acontecendo com maior frequência. Os ataques cibernéticos que alavancarão as credenciais do usuário aumentaram 71% em 2023 em relação ao ano anterior e se tornaram o ponto de entrada mais comum, de acordo com o índice de inteligência de ameaças da IBM X-Force. “Nossas descobertas mostram uma crise de identidade agora está atingindo todas as direções.”
“More attackers are simply logging into networks, rather than hacking in,” says Michele Alvarez, IBM X-Force’s manager of strategic threat analysis. “Our findings show an identity crisis is now hitting from all directions.”
Credentials can be swiped with “infostealer” software and harvested through phishing attacks that give adversaries control over a server or web page. Or they can simply be purchased, relatively cheaply, on the dark web.
Ameaças à transformação digital
Some of the most sophisticated and damaging attacks—often by government-backed criminal organizations with abundant time and resources—are penetrating tools and solutions that are integral to corporate digital transformation efforts. In May 2023, for example, a ransomware gang called Clop exploited a vulnerability in a popular enterprise file-transfer tool. Before patches could be installed, Clop stole data from more than 1,000 government and business organizations worldwide, affecting millions of people.
Cyber criminals are also managing to infiltrate virtual private networks and cloud-computing applications that executives often assume are completely secure.
“Companies that are going through digital transformation are vulnerable,” says Or Klier, a cybersecurity expert and BCG managing director and partner. “They have to manage two types of technologies—their legacy IT and solutions and those they are migrating to.”
fornecedores de terceiros em risco
Companies are also expanding the number and type of third-party vendors they work with, and their supply chains are becoming more complex. Each additional link to a third party presents a potential window into a company’s network.
“As your supply chain grows more complex and adds more third parties, you might become more vulnerable to attackers that look for the weakest link to penetrate,” Klier says.
Verizon Business, which analyzed more than 10,000 confirmed successful attacks in 2023, reported a 68% increase in third-party breaches and a 180% increase in the exploitation of web applications as the critical path into IT systems. Companies surveyed by computer service firm BlueVoyant reported an average of more than four supply-chain breaches in 2023 that negatively impacted their businesses.
Intensificando a supervisão regulatória
Ameaças sistêmicas crescentes levaram aos reguladores nos EUA e na Europa a impor um órgão legal maior aos conselhos para garantir que suas empresas tenham procedimentos robustos de gerenciamento de risco de segurança cibernética, controles e governança. Os vigilantes do governo também estão exigindo que as empresas sejam mais transparentes sobre violações e suas consequências. De acordo com as novas regras, as empresas agora devem relatar anualmente como seus processos de segurança cibernética são integrados aos sistemas gerais de gerenciamento de riscos e identificar riscos associados a provedores de serviços de terceiros. Quando uma empresa pública determina que um incidente cibernético tem um impacto "material" nas finanças, investidores e clientes de uma empresa, deve divulgar isso em quatro dias úteis. E deve estimar o impacto financeiro, bem como se violou os dados do cliente de propriedade.
In 2023, the US Securities and Exchange Commission expanded its cybersecurity disclosure requirements. Under the new rules, companies must now report annually on how their cybersecurity processes are integrated into overall risk-management systems and identify risks associated with third-party service providers. When a public company determines a cyber incident has a “material” impact on a company’s finances, investors, and customers, it must disclose that within four business days. And it must estimate the financial impact as well as whether it breached propriety customer data.
Government watchdogs have indicated a greater willingness to prosecute companies—and even individual executives—for lax cybersecurity.
Nos casos de lapsos flagrantes, os reguladores também estão indicando uma maior disposição de penalizar empresas e até executivos individuais, por segurança cibernética. Em outubro de 2023, a SEC entrou com uma ação civil contra o provedor do software de compartilhamento de arquivos corporativo que foi explorado no ataque de Clop-junto com o diretor de segurança da informação da empresa-aumentando que fraudou os investidores ao esconder a cibercrime de vulnerabilidades cibernéticas. (A empresa negou as alegações, e um juiz mais tarde negou improcedente a maioria das acusações de fraude.)
Em outros lugares, a Comissão Federal de Comércio dos EUA recentemente tomou ações de aplicação contra líderes de vários mercados on -line que responderam às vítimas de que os cybers13, que são incorporados a cada um dos dados do consumidor, que são os que foram considerados, com os dados do consumidor, o que se deve ao cybers13. Importância estratégica da segurança cibernética, o crescente volume de ameaças e o aumento do escrutínio regulatório, os CEOs devem liderar o esforço para isolar melhor os sistemas de TI e os dados de sua empresa do ataque. Eles também devem estar prontos para liderar a resposta e a recuperação se ocorrer uma violação grave. No entanto, eles precisam de um comando suficiente do sujeito para manter uma discussão aprofundada e acessível com seus conselhos, reguladores, gerentes e partes interessadas. Os CEOs precisam conhecer as "jóias da coroa" de sua organização - ativa que, se atacassem com sucesso, causariam os danos mais graves à sua organização, investidores e clientes - e o que é necessário para protegê -los. Eles precisam de uma compreensão firme de quão efetivamente seus controles de segurança cibernética podem gerenciar riscos de terceiros, bem como as métricas e outros meios que eles usam para verificar esses controles. Qual é o impacto, por exemplo, se os sistemas de TI estão offline por semanas ou meses? Finalmente, os CEOs precisam transmitir como os riscos residuais (aqueles com os quais a empresa terão que continuar vivendo) serão gerenciados. percepção errônea ou má administração na frente ", diz Klier da BCG. “Muitas empresas que se mudam para a nuvem, por exemplo, não têm um plano claro para gerenciar a transição dos sistemas herdados. Eles acreditam erroneamente que toda a segurança necessária é fornecida pelo provedor de nuvem. E muitas empresas que estão experimentando com a Genai têm um entendimento limitado sobre como fazer isso de maneira responsável e segura.” || 3724
The Cybersecurity Questions Every CEO Must Answer
Given the increasing strategic importance of cybersecurity, the growing volume of threats, and rising regulatory scrutiny, CEOs must lead the effort to better insulate their company’s IT systems and data from attack. They must also be ready to spearhead response and recovery if a serious breach occurs.
To successfully fulfill that remit, CEOs should be ready to answer the following questions:
How prepared am I for a strategic discussion with my board?
Few CEOs need to dive into the technical weeds of cybersecurity. They do, however, need sufficient command of the subject to hold an in-depth, accessible discussion with their boards, regulators, managers, and key stakeholders.
That starts with understanding the greatest cybersecurity threats their company faces and the key vulnerabilities and risk exposure of their most critical systems. CEOs need to know their organization’s “crown jewels”—assets that, if successfully attacked, would cause the most serious damage to their organization, investors, and customers—and what is required to protect them. They need a firm grasp of how effectively their cybersecurity controls can manage third-party risk as well as the metrics and other means they use to verify those controls.
Once they have a clear view of their organization’s cyber landscape, CEOs need to be able to explain to their boards what would happen to the organization—and those that depend on it—in the event of a major attack. What’s the impact, for instance, if IT systems are offline for weeks or months? Finally, CEOs need to convey how residual risks (those that the company will have to keep living with) will be managed.
How secure is our digital transition?
As organizations race to digitize, CEOs should not assume that the IT solutions and cloud platforms they’re migrating to are sufficiently secure.
“We see a lot of security gaps that are due to misperception or mismanagement up front,” says BCG’s Klier. “Many companies moving to the cloud, for example, don’t have a clear plan to manage the transition from legacy systems. They mistakenly believe that all the security they need is supplied by the cloud provider. And many companies that are experimenting with GenAI have limited understanding about how to do that responsibly and securely.”
This presents CEOs with a balancing act: they must ensure their migrations are secure, but they can’t postpone adopting new digital solutions for so long that they lose competitive advantage. BCG, for example, estimates that by 2025, companies at the leading edge of Aproveitando a inovação tecnológica e digital gerará dois terços mais valor do que os retardatários digitais.
We see a lot of security gaps that are due to misperception or mismanagement up front. - ou Klier
Exagerado com firewalls também pode causar mais mal do que bem. "Algumas empresas tentam superar tudo com restrições cada vez mais em novas ferramentas digitais", diz o Lyon da BCG. "Mas, infelizmente, vimos vários casos de funcionários tentando contorná-los e lidar com dados de maneiras ainda menos seguras." Seguir o desenvolvimento de ferramentas da Genai também corre o risco de incentivar os desenvolvedores de produtos, analistas de dados e criadores de conteúdo de uma empresa a experimentar por conta própria com os bots genai disponível ao público, muitos dos quais são montados com vulnerabilidades. Portanto, em vez de atrasar as revisões digitais e o desenvolvimento da IA, dizem os especialistas, os CEOs podem garantir que a segurança esteja enraizada em novas ferramentas e sistemas da concepção. "Ao digitalizar, use um conceito chamado 'Seguro por design'", diz Klier. “Incorporar segurança durante a instalação.”
Lyon says she’s seen situations where employees might bypass file-sharing systems that don’t work or are too difficult to use and instead transmit spreadsheets via email, storing them in temporary folders on their hard drive. Holding off on developing GenAI tools also risks encouraging a company’s product developers, data analysts, and content creators to experiment on their own with publicly available GenAI bots, many of which are ridden with vulnerabilities.
AI can itself be extremely valuable in helping companies bolster their cybersecurity. So rather than delaying digital overhauls and AI development, experts say, CEOs can ensure that security is rooted in new tools and systems from conception. “When digitizing, use a concept called ‘secure by design,’” Klier says. “Embed security during installation.”
Ao adicionar novos fornecedores e terceiros, a Klier aconselha os CEOs a entender seus riscos e exigir níveis de segurança apropriados para a tecnologia, o tipo de ameaças a que sua empresa está exposta e seus ativos de judeus da coroa. As equipes de design de software, treinadas para trabalhar rapidamente em sprints e métodos ágeis, também precisam incorporar segurança ao desenvolver e atualizar aplicativos. Lugares?
In addition, secure IT design requires coordination with the corporation’s other risk-mitigation frameworks, such as privacy protection and responsible AI.
Are we spending the right amount on cybersecurity—and in the right places?
Com tempo e dinheiro suficientes, as organizações criminosas podem conceber qualquer sistema. Os criminosos cibernéticos também podem explorar lacunas muito mais rápidas do que a maioria das organizações pode encontrá -las e fechá -las. Isso é especialmente verdadeiro se a maturidade digital de uma empresa ainda estiver em desenvolvimento ou se a organização estiver em meio a uma grande transição de TI. Brecha cibernética. Não é suficiente, no entanto, é investido em responder a violações cibernéticas, que levam em média 73 dias para conter, de acordo com as estimativas da IBM. A grande maioria dos gastos com segurança cibernética vai para defender contra ataques. O BCG estima que apenas 20% é dedicado à resposta e recuperação. Os CEOs que dedicam tanto foco e orçamento a responder e se recuperar rapidamente de violações quanto para defendê -los estarão melhor equipados para atingir esse objetivo. Assim, é garantir que a resposta de recuperação seja coordenada não apenas dentro dela, mas também em toda a organização, incluindo funções como gerenciamento de clientes, finanças, comunicações e relações governamentais. dados e siga outras práticas de segurança. Isso por si só indica que os CEOs devem examinar se a segurança cibernética - de detecção e proteção através da resposta e recuperação - precisa ser incorporada ainda mais na cultura da empresa.
The real challenge, says IBM X-Force’s Alvarez, “is to quickly detect and address a breach before hackers can scale up.”
IBM’s “Cost of a Data Breach” report estimates that it currently takes 204 days, on average, for organizations to identify a cyber breach. Not nearly enough, however, is invested in responding to cyber breaches, which take an average of 73 days to contain, according to IBM estimates. The vast majority of cybersecurity spending goes toward defending against attacks. BCG estimates that only 20% is devoted to response and recovery.
When an attack occurs (and odds are it will) the goal is to get systems back online as soon as possible—once the proper forensics have been conducted to ensure vulnerabilities have been identified and addressed. CEOs who devote as much focus and budget to rapidly responding and recovering from breaches as they do to defending against them will be better equipped to reach that goal.
Understanding how the company will run while systems are disrupted is also essential. So is ensuring that the recovery response is coordinated not just within IT but across the organization, including functions such as customer management, finance, communications, and government relations.
Do we have the right capabilities, culture, and talent to enable us to evolve securely?
Most companies have made good progress training their employees to be on the lookout for phishing emails, be more careful when sharing and storing data, and follow other security practices.
But human error is still involved to some degree in most breaches, and around 30% of hacks are accomplished through phishing, according to Verizon Business. This alone indicates CEOs should examine whether cybersecurity—from detection and protection through response and recovery—needs to be further embedded in their company culture.
Cybersecurity can no longer exist in a silo. - Tad Roselund
"A segurança cibernética não pode mais existir em um silo", diz Roselund da BCG. “Todo mundo deve estar envolvido, e isso requer novas maneiras de trabalhar.”
O CEO precisa garantir que todas as funções de negócios - não apenas o departamento de TI e o gerenciamento de riscos - estejam ativamente envolvidos em iniciativas de segurança cibernética e que todos os funcionários sejam adequadamente treinados para atenuar os riscos. Também é importante que o treinamento esteja atualizado. Embora os funcionários possam ter sido avisados para não clicar em um anexo em um e -mail suspeito, eles estão em guarda contra fagos de voz, vídeos e documentos da empresa? Para esse assunto, eles seriam enganados por uma mensagem de chamada ou vídeo de seu CEO? À medida que os pontos de entrada exploráveis proliferam e o número de ataques cresce, o mesmo acontece com as demandas para que os líderes corporativos assumam maior responsabilidade. Porque se houver um ataque significativo, a responsabilidade final de lidar com as consequências cairá diretamente nos ombros do CEO. Vanessa Lyon
Finally, CEOs should consider the potential action to take if a key executive continues to fail a phishing test or keeps using an unauthorized messaging platform.
The cybersecurity stakes are only getting higher for CEOs and the companies they lead. As exploitable entry points proliferate and the toll from attacks grows, so do the demands for corporate leaders to assume greater accountability.
CEOs can rise to the moment by investing sufficiently in recovery and protection, embedding security in digital transformation efforts from the word go, and ensuring that everyone across the organization remains vigilant. Because if there is a significant attack, the ultimate responsibility for dealing with the consequences will fall squarely on the CEO’s shoulders.
Pete Engardio is a senior writer at BCG.
