em direção a um modelo para colaboração público-privada na segurança cibernética

Many will remember 2017 as the year of the big hack: two major cybersecurity events made headlines and put millions of people and their data at risk. The first was the WannaCry ransomware attack in May. Among other things, it froze operations at multiple hospitals in the UK’s National Health Service and caused hundreds of millions of dollars in damages. The second, in September, was the Equifax credit bureau breach in which more than 140 million individual records were compromised.

Policymakers and business leaders have begun to recognize the need for more and better collaboration between the public and private sectors on issues related to cybersecurity, including encryption, data sharing, and data localization. On many of these topics, persistent misunderstandings over both policy and technical issues have created and exacerbated tension among public- and private-sector leaders.

To promote action-oriented and productive collaboration between the public and private sectors, The Boston Consulting Group supported the World Economic Forum in developing its report Cyber Resilience: Playbook for Public-Private Collaboration= . O fórum e um grupo de trabalho entre indústrias identificaram os problemas políticos em que a colaboração é imperativa e apresentou 12 estudos de caso que ilustram os principais conceitos técnicos e políticos. Para cada edição, o grupo de trabalho do fórum descreveu todas as opções de política disponíveis e suas implicações, em vez de promover uma abordagem política específica acima de outras pessoas. Todo país possui recursos, riscos e valores únicos que moldam sua abordagem. A política de segurança é frequentemente atolada em indecisão prolongada. O relatório do fórum traz uma visão de olhos claros para ajudar a agilizar o desenvolvimento de políticas. disseminação?

Countries will continue to pursue their own cybersecurity policies; every country has unique capabilities, risks, and values that shape its approach. Security policy is often mired in prolonged indecision. The Forum’s report brings a clear-eyed view to help expedite policy development.

Key Policy Topics

The Forum’s report identifies 14 key policy issues with respect to cybersecurity:

Research, Data, and Intelligence Sharing. What is the government’s role in sharing threat intelligence and promoting its dissemination?
zero dias. Até que ponto o governo deve compartilhar essas vulnerabilidades com o setor privado? To what extent should the government be involved in the research, collaboration, and purchase of zero-day vulnerabilities and exploits? To what extent should the government share these vulnerabilities with the private sector?
responsabilidade de vulnerabilidade. Como a responsabilidade deve mudar quando os produtos atingem o fim de sua vida útil? Who is liable for securing software, and what are the tradeoffs associated with different liability regimes? How should liability shift when products reach the end of their useful life?
Atribuição. How should governments engage with the private sector when the private sector publicly alleges that a particular actor is responsible for an attack?
Interrupção da botnet. Como as botnets existentes devem ser pesquisadas e estudadas? Como os atores ao longo do ecossistema interrompem as botnets? What should be done to prevent the proliferation of botnets? How should existing botnets be researched and studied? How should actors throughout the ecosystem disrupt botnets?
Monitoramento. Que tráfego os não usuários devem ser capazes de monitorar para promover a segurança e outros interesses nacionais? To what extent should different actors be able to monitor internet traffic and enforce security protocols? What traffic should nonusers be able to monitor in order to promote security and other national interests?
Atribuindo funções de segurança da informação nacional. sobre dados? Which entities and organizations should serve in national information security roles?
Encryption. Who should be able to access sensitive data and communications?
Cross-Border Data Flows. What are the security and nonsecurity implications when countries exert control over data?
Requisitos de notificação. Que sanções os formuladores de políticas devem aplicar -se a organizações comprometidas? When should companies be required to notify relevant stakeholders that they have been breached or have otherwise experienced a cyberincident? What sanctions should policymakers apply to compromised organizations?
dever de assistência. Limiares. How should public resources be drawn upon in the wake of a cyberincident?
Active Defense. What technical measures should the private sector be empowered to use to deter and respond to cyberthreats?
Liability Thresholds. Qual é o dever razoável de cuidar que uma organização deve ter? Quem deve sofrer os danos residuais resultantes de cibervocidores quando uma organização investiu suficientemente em controles de segurança?
CyberSurance. Quais entidades devem ser priorizadas para esses incentivos? What incentives, if any, should be offered to obtain cyberinsurance? Which entities should be prioritized for these incentives?

Temas e abordagens comuns

Across these topics, there are multiple linkages and interdependencies. For example, an effective intelligence-sharing policy helps constrain the spread of malicious software, and wider adoption of encryption may limit the ability to monitor and police network traffic. In practice, what these cross-topic connections mean for business leaders and policymakers is that cybersecurity policymaking efforts should be more collaborative and deliberative. Policy should stem from an ongoing iterative process, not from ad hoc and crisis-driven responses that lead to patchwork legislation. The report makes five recommendations on how to pursue collaborative policies.

Primeiro, o escopo aceitável de ação para os setores público e privado deve ser mais claramente definido. Por exemplo, a política atual em torno do compartilhamento de dados e inteligência é dificultada pela ausência de orientações claras sobre o que constitui a colaboração protegida do setor. E no contexto público-privado, o setor privado geralmente reluta em compartilhar dados com o setor público devido a preocupações de que os dados servirão um dia como base para as ações regulatórias.

Segundo, os limites da atividade permitida para os profissionais de segurança precisam ser bem descritos. Hoje, em muitas jurisdições, os pesquisadores legítimos de segurança cibernética - coloquialmente chamados de hackers de "chapéu branco", em oposição aos hackers maliciosos do "chapéu preto" - são incertos quanto às técnicas e ferramentas que eles são legalmente capacitados para usar quando testam sistemas.

Terceiro, as decisões políticas tomadas em contextos nacionais devem considerar implicações internacionais - o cenário não reconhece não limites geográficos. Para prever os efeitos de longo prazo de uma posição política, é útil considerar o impacto de uma resposta simétrica de política internacional.

Quarto, políticas para promover a conformidade e, portanto, a segurança deve encontrar um equilíbrio apropriado entre o delineando os objetivos regulatórios e a especificação de controles reais de segurança, porque este último pode resultar em encargos indevidos de custos de conformidade. Em um esforço para desenvolver estruturas de governança de segurança cibernética, formuladores de políticas e, em particular, os reguladores, começaram a especificar processos e tecnologias exaustivas para as organizações implementarem. Mas a conformidade aprimorada por si só não promoverá necessariamente o resistência cibernética.

Por último, a política de segurança deve se concentrar nos esforços preventivos para minimizar a frequência das compensações mais controversas que são feitas em resposta a problemas de segurança. Por exemplo, debate significativo e energia intelectual foram dedicados à questão de como as vulnerabilidades de software devem ser divulgadas. Consideravelmente menos atenção foi dada aos padrões de qualidade de codificação de software. Software mais seguro reduziria as apostas do debate. Líderes de todo o setores públicos e privados apreciam que a mitigação desse risco requer colaboração contínua. O relatório do fórum, que pode ser visto

Cyberrisk will continue to be one of the most pressing challenges in the fourth industrial revolution. Leaders across the public and private sectors appreciate that mitigating this risk requires continued collaboration. The Forum’s report, which can be viewed Aqui , ajuda todas as partes interessadas a avançar em direção a esse objetivo.

Aerospace e defesa

Indústria automotiva

Indústria de produtos de consumo

Na indústria de produtos de consumo

Education

Dentro da educação

energia

Dentro de energia

Instituições financeiras

Dentro de instituições financeiras

Indústria de assistência médica

No setor de saúde

bens industriais

Dentro de bens industriais

Insurance Industry

No setor de seguros

Investidores principais e equidade privada

Dentro de investidores principais e private equity

Setor público

No setor público

Indústria de varejo

No setor de varejo

Technology, Media, and Telecommunications

Dentro de tecnologia, mídia e telecomunicações

Transporte e logística

Dentro de transporte e logística

Travel and Tourism

Dentro de viagem e turismo

Inteligência artificial

Dentro da inteligência artificial

Business and Organizational Purpose

Resiliência dos negócios

Transformação de negócios

Na transformação dos negócios

Mudança climática e sustentabilidade

Dentro da mudança climática e sustentabilidade

Finanças e estratégia corporativa

Dentro de finanças e estratégia corporativa

Gerenciamento de custos

Insights do cliente

Dentro de informações do cliente

Digital, Tecnologia e Dados

Dentro de digital, tecnologia e dados

Estratégia e entrega de inovação

Dentro da estratégia de inovação e entrega

Business International

Dentro de negócios internacionais

Manufacturing

Na fabricação

Marketing e vendas

Dentro de marketing e vendas

M&A, Transactions, and PMI

Dentro de fusões e aquisições, transações e PMI

Operações

Dentro das operações

Estratégia da organização

Dentro da estratégia organizacional

estratégia de pessoas

Dentro da estratégia das pessoas

Preço e Gerenciamento de Receita

Dentro de preços e gerenciamento de receita

Gerenciamento e conformidade de riscos

Dentro de gerenciamento de riscos e conformidade

Impacto social

Dentro do impacto social

Orçamento baseado em zero

Pensamento mais recente

No último pensamento

A agenda do CEO

BCG Henderson Institute

Minhas assinaturas

Liderança

Pessoas e cultura

Dentro de pessoas e cultura

Escritórios

Rumo a um modelo para colaboração público-privada em segurança cibernética

Key Policy Topics

Temas e abordagens comuns

Autores

Conteúdo relacionado