Cybersecurity is Um problema de US $ 445 bilhões , e alguns prevêem essa figura pode subir para US $ 6 trilhões by 2021. The list of companies that have already been hacked, attacked, and breached—suffering business interruptions and intellectual-property losses and exposing their customers to identity theft—reads like a who’s who of the retail, tech, telecom, manufacturing, and financial services industries, among others. As finanças, operações, dados do cliente, P&D, propriedade intelectual e reputação de marca de todas as empresas estão em risco, o que torna a segurança cibernética uma responsabilidade fiduciária do conselho e da gerência sênior. No entanto, em muitas organizações, os principais executivos e membros do conselho ainda acreditam que a segurança cibernética é apenas um problema de TI.
Nada poderia estar mais longe da verdade; Somente nunca será capaz de lidar com a segurança cibernética de uma maneira significativa. O abordamento de sustentável ciberrisk requer uma abordagem multifuncional em toda a organização e a integração da segurança cibernética e da estratégia de negócios. Os conselhos e a gerência sênior desempenham um papel fundamental na criação do ambiente organizacional e cultural para uma abordagem tão conjunta. A alta gerência e membros do conselho devem reconhecer os riscos envolvidos e tomar medidas para garantir que estejam preparados para o dia em que sua empresa está comprometida - porque está quase certamente acontecer.
Over the past year, in collaboration with the cyberresilience initiative of the World Economic Forum, BCG, MIT Connection Science, and MIT Sloan's (IC) 3 Trabalharam juntos para identificar, projetar e testar métodos para envolver efetivamente os quadros e outras partes interessadas seniores sobre a questão crítica e complexa da segurança cibernética. Além dos princípios robustos a serem seguidos e das ferramentas a serem empregadas para ajudar a evitar ataques e para lidar com ataques que ocorreram, encontramos um meio que é particularmente adequado para aumentar o engajamento e a preparação dos membros de alta gerência e da diretoria: exercícios de comprimidos que simulam os eventos de segurança cibernética e a queda em tempo real. O primeiro é praticar a resposta a incidentes, continuidade dos negócios e planos de recuperação de desastres, bem como a tomada de decisão sob pressão, para que a liderança máxima não seja introduzida nas ramificações de longo alcance de uma abreção cibernética apenas quando se ocorre. Segundo, exercícios imersivos e interativos podem ser o método mais eficaz (e memorável) para ensinar os conceitos básicos de segurança cibernética. Terceiro, esses exercícios podem ser usados como laboratório para o desenvolvimento e teste de estratégias econômicas para defesa de segurança cibernética e mitigando as consequências dos ataques cibernéticos. Escolas e edifícios de escritórios praticam procedimentos de evacuação e exercícios de incêndio. Os objetivos incluem melhorar o desempenho, aprender com fazer e salvar vidas. O capitão Chesley “Sully” Sullenberger atribuiu seu bem -sucedido desembarque de emergência do vôo 1549 da US Airways no rio Hudson, depois que o avião perdeu os dois motores na decolagem, para a extensa perfuração e ensaio que ele havia sofrido em que os membros da manutenção de sênis, em renovadores, a continuidade de renovação, a continuidade dos negócios, a manutenção dos sênior, a manutenção dos sênis, os membros do sênis, a continuidade dos negócios. pode obter um entendimento abrangente de como esses ataques se desenrolam, a variedade de impactos em potencial e seus papéis individuais durante uma resposta, incluindo potencial interação com a aplicação da lei, funcionários regulatórios, acionistas, funcionários e clientes. Somente por esse motivo, esse exercício deve ser uma parte essencial de qualquer programa de segurança cibernética. Pense em crianças aprendendo a jogar futebol, por exemplo. Estudos por BCG e MIT mostraram que a mesma teoria se aplica ao aprendizado de conceitos básicos de segurança cibernética. “Fazendo” por imersão em um ataque cibernético simulado oferece aos executivos um conhecimento prático da ampla variedade de conceitos de segurança cibernética que eles precisam entender para apoiar adequadamente a cibersiliência de sua organização. O primeiro passo é definir um plano de estudos padrão de sujeitos que precisam ser cobertos, que podem incluir responsabilidades, regulamentos obrigatórios, diretrizes voluntárias, ameaças comuns, ativos, métodos de proteção de ativos, gerenciamento de riscos, métodos de detecção de intrusões, forense e outras capacidades -chave. O segundo passo é levar equipes de executivos e membros do conselho por meio de cenários imersivos usando simulações interativas nas quais os conceitos do plano de estudos entram em jogo e o impacto das decisões do conselho no P&L da organização é modelado. Por exemplo: quais são os passivos para a empresa (e para os membros do conselho) se a empresa continuar operações diante de uma abreção cibernética conhecida? Quais sistemas e proteções a empresa possui para corrigir uma cibercursão? Quais são os requisitos legais e regulatórios (e de senso comum) para notificar clientes, acionistas, funcionários e outras partes interessadas?
These exercises can be useful in at least three ways. The first is practicing incident response, business continuity, and disaster recovery plans, as well as decision making under pressure, so that top leadership is not introduced to the far-reaching ramifications of a cyberbreach only when one has just occurred. Second, immersive and interactive exercises can be the most effective (and memorable) method of teaching the basic concepts of cybersecurity. Third, these exercises can be used as a laboratory for developing and testing cost-effective strategies for cybersecurity defense and mitigating the consequences of cyberattacks.
Practicing Incident Response
Military commands play war games (including cyberwar games). Schools and office buildings practice evacuation procedures and fire drills. The goals include improving performance, learning from doing, and saving lives. Captain Chesley “Sully” Sullenberger attributed his successful emergency landing of US Airways flight 1549 in the Hudson River, after the plane lost both engines on takeoff, to the extensive drilling and rehearsal he had undergone in flight simulators.
In similar fashion, by practicing the implementation of incident response, business continuity, and disaster recovery plans in a simulated cyberattack, board members and senior executives can gain a comprehensive understanding of how these attacks unfold, the variety of potential impacts, and their individual roles during a response, including potential interaction with law enforcement, regulatory officials, shareholders, employees, and customers. For this reason alone, such an exercise ought to be an essential part of any cybersecurity program.
Learning by Doing
The most effective way of learning is by doing. Think about kids learning to play soccer, for example. Studies by BCG and MIT have shown that the same theory applies to learning basic cybersecurity concepts. “Doing” via immersion in a simulated cyberattack gives executives a working knowledge of the wide variety of cybersecurity concepts that they need to understand to properly support the cyberresilience of their organization.
Cybersecurity is a complex field. The first step is defining a standard syllabus of subjects that need to be covered, which can include liabilities, mandatory regulations, voluntary guidelines, common threats, assets, methods of protecting assets, risk management, methods of detecting intrusions, forensics, and other key capabilities. The second step is taking teams of executives and board members through immersive scenarios using interactive simulations in which the concepts of the syllabus come into play and the impact of board decisions on the organization's P&L is modeled. For example: What are the liabilities to the company (and to the board members) if the company continues operations in the face of a known cyberbreach? What systems and protections does the company have in place to redress a cyberincursion? What are the legal and regulatory (and common-sense) requirements for notifying customers, shareholders, employees, and other stakeholders?
Em nossos exercícios, os executivos participantes podem operar como uma única equipe colaborativa, ou podem ser divididos em duas ou mais equipes que competem para ver que obtém uma pontuação melhor e termina o exercício com os maiores lucros em seu P&L virtual. Usando uma abordagem tão hipotética de casos de negócios, o conselho e a gerência sênior aprendem conceitos de segurança cibernética experimentando -os, e nossa pesquisa mostra que eles emergem com um excelente entendimento do que, de outra forma, parece ser um desafio técnico assustador. Em uma veia semelhante, os exercícios de mesa permitem que as empresas testem, avaliem e refinem estratégias de segurança cibernética e, ao fazê -lo, converter idéias e invenção para disciplina sistemática e científica. Prevenção de vulnerabilidade, detecção de ataques, mitigação de ataques e recuperação. Ao viver através de uma simulação usando o próprio plano de investimento em segurança cibernética da empresa, o conselho e a gerência sênior podem experimentar em primeira mão o impacto de cada investimento proposto, do treinamento à tecnologia. No final do exercício, eles podem considerar mudanças e melhorias - e se um plano diferente de investimento em segurança cibernética pode ter fornecido um melhor resultado. Por exemplo, um investimento maior em autenticação multifatorial, biometria avançada ou ambos negaram o ataque? Um investimento maior na cibersegurança da cadeia de suprimentos teria feito a diferença? Qual seria o benefício de implementar um programa de treinamento em toda a empresa em 6 meses, em vez de mais de 18 meses? A meta é a produção tangível do workshop, incluindo um roteiro das próximas etapas e um conjunto de itens de ação que otimizam os investimentos para o CyberDefense. Às vezes, os melhores investimentos podem ser aqueles que reduzem as consequências de um ataque, em vez de tentar impedir o ataque completamente. Um exercício projetado adequadamente permite que os membros do conselho e a gerência sênior tomem trocas e decisões mais informadas sobre a melhor maneira de investir em resiliência cibernética. Construindo um eficaz
Developing a Cybersecurity Strategy
Companies use laboratories to test products and processes before they are put into production. In a similar vein, tabletop exercises enable companies to test, evaluate, and refine cybersecurity strategies and, in so doing, to convert ideas and invention to systematic and scientific discipline.
When executives are immersed in a properly constructed scenario, they see how the cyberdefenses they have built, or plan to build, actually perform, and they see the benefits that can be achieved by investing in further vulnerability prevention, attack detection, attack mitigation, and recovery. By living through a simulation using the company’s own cybersecurity investment plan, the board and senior management can experiment firsthand the impact of each proposed investment, from training to technology. At the end of the exercise, they can consider changes and improvements—and whether a different cybersecurity investment plan might have provided a better outcome. For example, would a greater investment in multifactor authentication, advanced biometrics, or both have negated the attack? Would a larger investment in supply chain cybersecurity have made a difference? What would be the benefit of implementing a company-wide training program over 6 months rather than over 18 months? The goal is tangible output from the workshop, including a roadmap of next steps and a set of action items that optimize investments for cyberdefense.
These immersive exercises allow organizations to focus on how to plan and budget to maximize the business resilience, including the cyberresilience, of the company. Sometimes the best investments may be ones that reduce the consequences of an attack, rather than trying to prevent the attack outright. A properly designed exercise enables board members and senior management to make more informed tradeoffs and decisions on how to best invest in cyberresilience.
Handling cyberattacks is a company-wide concern. Building an effective
Estratégia de segurança cibernética
E a cultura é um diferenciador competitivo essencial e um facilitador de negócios. A cultura começa com a liderança e a liderança começa no topo. Por meio de exercícios imersivos de mesa, os líderes ganharão entendimento e podem começar a criar em suas organizações uma cultura de resiliência cibernética.
Este artigo foi publicado originalmente no
=
Blog da agenda do Fórum Econômico Mundial
.
