O Fórum Econômico Mundial entrevistou membros do conselho de uma variedade de corporações multinacionais e descobriu que o CyberRisk fez uma escalada drástica para o topo dos líderes dos líderes e a reivindicação de atenção significativa hoje. ||
Another analysis by the Forum confirms the necessity of this attention, estimating that Os ataques cibernéticos custam à economia global US $ 445 bilhões —Far mais do que o PIB da maioria dos países. Especialistas estimam que o cibercrime por si só custa a empresa média dos EUA US $ 15 milhões por ano em 2015 . E à medida que a ameaça aumenta, o mesmo acontece com a soma de que as empresas perdem.
It’s because of this growing risk that many companies are starting to take the concept of CyberResilience - Que essencialmente significa a capacidade de se proteger contra ataques cibernéticos e se recuperar quando eles ocorrem - muito seriamente. Ambos aconselham regularmente os conselhos das organizações globais em sua estratégia de resiliência cibernética. Quão relevante é esse tópico para organizações globais? No mundo de hoje, toda organização está ou está se tornando uma organização de tecnologia. A digitalização de produtos, produção e cadeias de valor está transformando as indústrias e tornando todas as organizações dependentes da tecnologia altamente conectada. Isso está trazendo inúmeros benefícios, mas também torna as empresas cada vez mais vulneráveis. Eles mudam continuamente suas táticas. É por isso que a ciberceância é tão importante hoje. As empresas que terem sucesso no futuro serão aquelas que equilibraram com sucesso a necessidade de gerenciar riscos com as oportunidades oferecidas pelo digital. Você vê alguma indicação disso em seu trabalho? Isso deixa os tomadores de decisão com a sensação de que o cibernício não é controlável, o que reduz sua disposição de introduzir novas tecnologias. As violações recentes impulsionam a incerteza entre os líderes sobre a rapidez com que essas novas tecnologias podem ser adotadas. Os ataques a veículos conectados, por exemplo, e o custo associado dos recalls podem ter implicações para a velocidade de inovação adicional. Isso ocorre porque eles ainda são vistos principalmente como um custo - não como controle de risco, não como uma oportunidade estratégica, e não como uma fonte de vantagem competitiva. Em muitos casos, há um conflito de interesses entre os requisitos de resiliência e as oportunidades de negócios. Os executivos tendem a priorizar oportunidades de negócios. Prioridade? E se encaixa bem no papel de supervisão do Conselho de risco comercial em geral. O cyberRisk deve ser considerado um risco comercial regular - um importante, no entanto. Os conselhos são capazes de estabelecer os KPIs certos e ancorar a resiliência cibernética no sistema de incentivos da organização. Eles podem incluir todas as unidades de negócios no processo e também envolver outras organizações para cima e para baixo na cadeia de valor. Além disso, é do seu interesse equilibrar as necessidades de curto prazo de seus negócios com a estratégia de longo prazo exigida pelos acionistas. O que os conselhos devem fazer e estão equipados para essa responsabilidade adicional? Existem, de fato, aspectos técnicos e não técnicos. Os técnicos são importantes, especialmente quando analisam novas tecnologias como Big Data e a Internet das Coisas, as quais estão sendo cada vez mais usadas entre os setores e a sociedade. Como exemplo, o diretor de segurança da informação é frequentemente deixado de fora, ou engajado tarde demais, nas implantações de inovação e tecnologia. Se a ciberceância é incorporada no ciclo de vida de qualquer nova iniciativa de negócios, os benefícios podem superar em muito quaisquer problemas de "velocidade" percebidos.
To find out more, we spoke with two experts who have been working on the Forum’s Advancing Cyber Resilience Project, Stefan Deutscher of BCG and Christopher Leach of Hewlett Packard Enterprise. Both regularly advise boards of global organizations on their cyberresilience strategy.
You both work with clients on cyberresilience. How relevant is this topic to global organizations?
Stefan: You can’t overestimate the importance of addressing cyberresilience. In today’s world, every organization is or is becoming a technology organization. The digitization of products, production, and value chains is transforming industries and making every organization dependent on highly connected technology. That’s bringing numerous benefits, but it also makes companies increasingly vulnerable.
Christopher: At the same time, attackers are becoming more sophisticated, more resourceful, and better organized. They continually change their tactics. That’s why cyberresilience is so important today. The companies that succeed in the future will be those that have successfully balanced the need to manage risk with the opportunities offered by digital.
Some people say that cyberattacks may slow down the adoption of new technology and therefore stymie economic growth and other societal benefits. Do you see any indication of this in your work?
Christopher: Successful cyberattacks are growing in number and impact. This leaves decision makers with the feeling that cyberrisk is not controllable, which reduces their willingness to introduce new technology.
Stefan: Just think of the economic or societal benefits of telemedicine for an aging population, or those of connected cars. Recent breaches drive uncertainty among leaders about how fast these new technologies can be adopted. Attacks on connected vehicles, for example, and the associated cost of recalls may have implications for the speed of further innovation.
What is the state of cyberresilience in organizations in general?
Stefan: Current cyberresilience capabilities range in maturity. That’s because they are still mainly seen as a cost—not as risk control, not as a strategic opportunity, and not as a source of competitive advantage. In many cases, there is a conflict of interest between resilience requirements and business opportunities. Executives tend to prioritize business opportunities.
Christopher: In many cases, the problem is even simpler: cyberrisk is not fully understood by senior executives and therefore difficult for them to act on.
What will it take to overcome these hurdles and make cyberresilience a strategic priority?
Stefan: We believe it requires a push by an organization’s board to balance the interests of both cyberresilience and the business. And it fits nicely into the board’s supervisory role of business risk in general. Cyberrisk should be considered a regular business risk—an important one, though. Boards are able to establish the right KPIs and anchor cyberresilience in the organization’s incentive system.
Christopher: Boards are in a perfect position to encourage and orchestrate the right dialogue on cyberresilience. They can include all business units in the process and also involve other organizations up and down the value chain. Moreover, it is in their best interest to balance the short-term needs of their business with the long-term strategy required by the shareholders.
Cyberresilience sounds quite technical to many executives and boards. What are boards supposed to do, and are they equipped for this additional responsibility?
Christopher: This is an understandable concern, but let me put it in perspective. There are, indeed, technical and nontechnical aspects to it. The technical ones are important, especially when looking at new technologies such as big data and the Internet of Things, both of which are being increasingly used across industries and society.
But the good news is that from a board’s perspective, the other nontechnical aspects are more relevant. As an example, the chief information security officer is often left out, or engaged too late, in innovation and technology deployments. If cyberresilience is built into the life cycle of any new business initiative, the benefits can far outweigh any perceived “speed” issues.
Stefan: As placas carecem de uma ferramenta definida para abordar esses aspectos não técnicos da cibernética. Não existe um idioma comum compartilhado pelos conselhos e nenhum conjunto de princípios que consultam os conselhos sobre o que procurar - embora esteja sendo desenvolvido como parte do projeto de resiliência cibernética avançando do fórum. A idéia desses princípios é que eles garantam que a estrutura organizacional correta exista e que o conselho se envolva em discussões de risco com a equipe executiva. Foi publicado originalmente no fórum
This piece was authored by Daniel Dobrygowski at the World Economic Forum in collaboration with BCG and Hewlett Packard Enterprise. It was originally published on the Forum’s Agenda Blog .
