= TRANSFORMAÇÃO
Contato Sea RCH
Pesquisa

Como os CEOs podem entrar em cima dos riscos cibernéticos

Hadley Baldwin

À medida que os ataques cibernéticos se tornam cada vez mais prevalentes, sofisticados e prejudiciais, os CEOs estão perguntando: Como podemos fortalecer nossa segurança e prontidão para responder? Mas pode ser difícil entender esses riscos cada vez mais complexos, pesar as ameaças e atingir recursos finitos, onde podem ser mais eficazes. Ataque - e resiliência cibernética - a capacidade de detectar, responder e se recuperar de um ataque cibernético. 

The resulting questions for you as a CEO include: 

1 How do I build cyber security into my overall business strategy?

Effective cyber risk management requires both cyber security – the ability to reduce the risk of a cyber attack – and cyber resilience – the ability to detect, respond and recover from a cyber attack. 

A abordagem 'certa' exige equilíbrio - definindo A APETITE DE RISCO CIBOLAÇÃO Isso equilibra a cadeia de valor e os diferenciantes estratégicos da organização com os controles necessários. Também requer definição e compreensão claras dos riscos cibernéticos como resultados de negócios, para que possam ser claramente entendidos no contexto de sua estratégia de negócios geral. Ao entender a probabilidade e o impacto desses resultados, as ameaças cibernéticas são definidas, destiladas e comunicadas de uma maneira que você e sua equipe executiva possam compreender e desenvolver a tomada de decisões de negócios. Nossos clientes geralmente descobrem que atingem um teto de retorno no investimento quando se trata de controles preventivos;  Torna -se proibitivamente caro investir mais em reduzir a probabilidade de um ataque. Portanto, muitos de nossos clientes optam por se concentrar mais em controles responsivos. As equipes e as placas executivas precisam estar bem perfuradas nos planos de resposta a incidentes para confiar na detecção, resposta e recuperação efetivamente a um grande incidente cibernético. resiliência. No entanto, posicionar o papel da função CISO e de segurança cibernética apropriadamente nem sempre é direto e não há uma resposta certa. 

You will be able to have conversations about whether to invest in preventative controls (to reduce the likelihood of a cyber incident happening) or responsive controls (to reduce the impact of a cyber incident when it does happen). Our clients often find that they reach a return-on-investment ceiling when it comes to preventative controls;  it becomes prohibitively expensive to invest more in reducing the likelihood of an attack. Therefore, many of our clients choose to focus more on responsive controls. Executive teams and Boards need to be well-drilled on incident response plans to be confident in detecting, responding and recovering effectively to a major cyber incident.

2Have we clearly defined the role and remit of the CISO and is this right for the organization?

Hiring a good CISO with the right mandate and trusting them to get on and deliver is key to building cyber resilience. However, positioning the role of the CISO and cyber security function appropriately is not always straight forward and there is no single right answer. 

Eles devem se reportar ao CFO, CIO ou outro? A função é responsável pelo conselho e comitê de auditoria e risco? O papel de definir políticas e padrões é (para outras funções atender) e depois fornecer governança e garantia, ou é o papel de realmente oferecer segurança cibernética? É um chefe de segurança de TI, ou um papel de pleno direito em todos os aspectos da segurança cibernética e da informação, incluindo fatores de risco em humanos (conscientização e treinamento) e governança de dados? 

Todos esses modelos podem funcionar, e o ajuste certo para sua organização depende da natureza do seu negócio, de sua abordagem ao gerenciamento de riscos corporativos, seu apetite por risco e de outras estruturas que você possui. De qualquer forma, os papéis e responsabilidades de gerenciar e fornecer recursos de segurança cibernética devem ser claramente definidos e compreendidos por todos os envolvidos. 

3 Minha organização entende os riscos cibernéticos e tem as capacidades de mitigá -los? Posso demonstrar isso adequadamente aos acionistas, reguladores e seguradoras? Você está recebendo os relatórios e garantia em andamento que precisa de que os riscos sejam definidos, entendidos e sendo gerenciados de maneira eficaz? Você deve ter discussões produtivas e proativas em sua equipe executiva e comitês de gerenciamento de riscos sobre isso. Se você está se perdendo no jargão técnico ou se não estiver claro sobre se sua exposição ao risco é aceitável ou não, provavelmente achará difícil atender às demandas regulatórias e regulatórias. É provável que você também precise de melhorias nos seus processos de gerenciamento de risco cibernético e resiliência. 

In the face of continually evolving cyber threats, it can be hard to maintain an intelligible view of the risks you face. Are you getting the ongoing reporting and assurance you need that the risks are defined, understood and being managed effectively? You should be having productive, proactive discussions across your executive team and risk management committees about this. If you’re getting lost in technical jargon, or if you’re not clear about whether your risk exposure is acceptable or not, you’re likely to find it difficult to meet shareholder and regulatory demands. You’re also likely to need improvements to your cyber risk and resilience management processes. 

4 Sua organização está pronta para responder e se recuperar no caso de um grande ataque cibernético? Conforme descrito acima, você deve estar bem perfurado nos planos de resposta a incidentes para confiar em detectar, responder e se recuperar efetivamente a um grande incidente cibernético. 

As the public face of your organization, it’s important that you as a senior leader understand and have confidence in how the organization will internally align in the event of an attack. As described above, you must be well-drilled on your incident response plans to be confident of detecting, responding and recovering effectively to a major cyber incident. 

Isso inclui garantir que sua equipe executiva e o conselho sejam claros sobre suas funções específicas na resposta a incidentes. Também é importante deixar claro as principais mensagens que você precisará transmitir como líder "no momento" a um ataque e depois para reconstruir a confiança com funcionários, acionistas e reguladores assim que o incidente for abordado. Por exemplo, ter manuais de resposta a incidentes atualizados com cenários pré-construídos e comunicações de rascunho ajudarão você a executar isso se a coisa real acontecer. 

Como Berkeley pode ajudar

em Berkeley, temos experiência em ajudar as equipes de liderança a responder a essas perguntas em todas as etapas de sua jornada cibernética. Podemos ajudá -lo a:

  • Definir seu Estratégia cibernética para definir metas claras e garantir o alinhamento com a estratégia de negócios
  • entrega seu cyber Transformation Program || 188== Planejamento de continuidade de negócios
  • Deliver cyber resilience capability uplifts in areas such as executive training, incident response preparation and business continuity planning
  • Forneça projetos específicos em seu portfólio cibernético com o qual você pode estar lutando
  • Reconstrua e fortaleça suas capacidades cibernéticas pós-atrito cibernético
  • Garantia cibernética, regulamentação e regulamentação externa e regulamentação, 894 Section 166 regulatory reviews
  • Engage your executive team, Board and operational stakeholders on how to manage cyber risks effectively and increase your cyber resilience. 

Chegue a seus riscos cibernéticos

Descubra as principais perguntas relacionadas a cibernéticas que outros membros da sua equipe de liderança devem considerar

NED

Saiba as perguntas certas para fazer para cortar a jarga. Leia mais.

CFO

Verifique se as partes interessadas externas estão satisfeitas. Leia mais.

Head of Procurement

Ensure your supply chain security. Leia mais. 

CISO

Improve your ability to navigate the cyber landscape. Leia mais.

CRO

Aprimore sua segurança e gerenciamento de riscos. Leia mais.

CIO

Allocate the right roles and responsibilities. Leia mais.

CHRO

Crie uma cultura de segurança em toda a sua organização. Leia mais.

Compartilhar:

Related services
Services

Cyber security and operational resilience

Arrow icon
The author
Hadley Baldwin

Hadley Baldwin, Partner

Perfil de Hadley
Conecte -se no LinkedIn

Insights relacionados

CyberBlast-thumb
Insight - Cyber ​​Security

Que ativos críticos estão no seu riscos cibernéticos "raio de explosão" e como protegê -los? ||

Arrow icon
Cyber-security-strategy-thumb
Insight - Segurança cibernética

Definindo e oferecendo uma estratégia de segurança cibernética eficaz

Arrow icon
Cyber-security-business-sense-thumb
Insight - Segurança cibernética

Fazendo o senso de negócios do Cyber ​​Risk || Quinta avenida

Arrow icon
google maps

The Berkeley Partnership LP
530 Fifth Avenue
Suite #808
Nova York, NY 10036

+1 (929) 526 2010

google maps

The Berkeley Partnership LLP
20 Farringdon Street
9º andar
Londres, EC4A 4AB

+44 (0) 20 7643 5800