Fazendo a sensação comercial de risco cibernético

In line with current trends, the cost of cyber attacks to businesses worldwide is expected to rise to more than $20 trillion by 2027. It’s not just individual companies that are at risk of being hacked or held to ransom. Recent events show how whole economies can be paralysed in a matter of hours.

Por que as ameaças de segurança cibernética estão aumentando? Parte da resposta está na combinação de proliferação digital e nos ecossistemas digitais cada vez mais estendidos de hoje, muitos dos quais são espalhados por várias terceiras partes. As empresas são tão seguras quanto os links mais fracos em sua cadeia de valor.

O outro grande fator para aumentar os níveis de ameaça é o conflito geopolítico. Perpetradores patrocinados pelo Estado e gangues criminosas estão usando técnicas desenvolvidas em guerra cibernética para interromper os negócios e a infraestrutura crítica. Eles também estão adicionando avanços habilitados para tecnologia, como generativo Intelligence Artificial (Genai) e manipulação DeepFake para seu arsenal já formidável. Comissão de Valores Mobiliários dos EUA (SEC) Regras de segurança cibernética. As demandas específicas do setor incluem a Lei de Resiliência Operacional Digital da UE (DORA) para empresas de serviços financeiros. Isso não apenas eleva a prontidão para proteção e incidentes, mas também a responsabilidade em nível executivo, especialmente agora existem disposições no Reino Unido e nos EUA para responsabilizar os diretores da empresa individualmente por grandes falhas de segurança cibernética.   

Increasing demand for cyber security from regulators

Regulation is also ramping up, from the EU Networks and Information Systems Directive (NIS-2) to mandatory incident reporting under new US Securities and Exchange Commission (SEC) cybersecurity rules. Sector-specific demands include the incoming EU Digital Operational Resilience Act (DORA) for financial services businesses. 

Common themes cutting across this latest regulatory push include safeguarding critical infrastructure and boosting transparency over attacks and their impact. This not only raises the bar for protection and incident readiness, but also executive-level accountability, especially now there are provisions in the UK and US to hold company directors individually liable for major cyber security failures.   

As seguradoras estão aumentando o foco, exigindo mais informações sobre a maturidade das salvaguardas e resiliência antes de concordar em subscrever riscos cibernéticos. Estamos ajudando nossos clientes a fortalecer proativamente suas capacidades cibernéticas e resiliência operacional. Nosso apoio se estende a ajudar os clientes a definir sua estratégia de segurança e a cumprir os roteiros resultantes para aumentar sua postura de segurança, para garantir que eles estão gerenciando seu risco cibernético de maneira eficaz com suas equipes e conselhos executivos. Também recebemos solicitações de assistência após um ataque - ajudando nossos clientes a realizar análises de segurança cibernética e entregar o programa de remediação para fazer as coisas logo após o fato. Um bom exemplo são os projetos de identidade e gerenciamento de acesso (IDAM). Mas você pode cortar a complexidade e simplificar o processo. Ajudamos vários clientes, como Primark, IAG e Brambles, a oferecer esses complexos projetos de segurança, assumindo funções de liderança do projeto.  

When we’re called in as cyber security consultants

With the threats rising, as cyber security consultants, we’re helping our clients proactively strengthen their cyber capabilities and operational resilience. Our support extends from helping clients to set their security strategy and deliver on the resulting roadmaps to increase their security posture, through to ensuring they are managing their cyber risk effectively with their executive teams and Boards. We also receive requests for assistance after an attack – helping our clients to perform cyber security reviews and deliver remediation program to make things right after the fact. 

Struggling to cut through the changing cyber threat landscape

Are businesses keeping pace with these fast-shifting threats? In many cases, no. Frequently, Chief Information Security Officers (CISOs) and their cyber security teams find themselves battling to cope with under-resourcing and Calta de especialistas cibernéticos. De uma maneira que as equipes e os conselhos executivos possam genuinamente entender. Isso pode criar vários desafios com o gerenciamento e os relatórios de riscos cibernéticos. Por exemplo, alguns relatórios estão repletos de jargões técnicos e sem contexto de negócios, enquanto outros são genéricos demais para fornecer informações reais para a liderança executiva. Da mesma forma, algumas avaliações de risco são baseadas em quantificação mal evidenciada ou tendência a medir demais, enquanto outras dependem excessivamente de emoção e intuição. NÃO. Como isso funcionaria? Como você pode aplicá -lo no seu negócio? Seis prioridades se destacam: For CISOs and their teams, the difficulties are compounded by the challenges of assessing, articulating and communicating today’s cyber risks in a way that executive teams and Boards can genuinely understand. This can create multiple challenges with cyber risk management and reporting. For example, some reports are crammed with technical jargon and lacking in business context, while others are too generic to provide real insight for executive leadership. Similarly, some risk evaluations are based on poorly evidenced quantification or a tendency to measure too much, while others are overly reliant on emotion and intuition. 

The underlying challenge is how to cut through the noise to understand how the threat environment is impacting the organization and whether current controls are mitigating the risks to an acceptable level or not. 

The way forward for your cyber security

With leadership teams finding it hard to see the real picture, there’s clearly a need for a simplified model that can distil cyber security and make it intelligible for senior management, without diluting the underlying detail of the risk assessment and measurement. How would this work? How could you apply it in your business? Six priorities stand out:

1. Esclareça os resultados em termos de negócios

O ponto de partida está dividindo o cenário de ameaças e os riscos cibernéticos resultantes em um conjunto de resultados de negócios fáceis de entender. Em nossa opinião, como consultores de segurança cibernética, existem nove resultados de negócios discretos que podem resultar de um ataque cibernético (consulte o gráfico para a lista completa). O gerenciamento de um conjunto finito de riscos definidos em termos de resultados comerciais deve sustentar tudo o que você faz na segurança cibernética. 

2. Avalie o impacto potencial

Com as ameaças destiladas, você pode avaliar a probabilidade e o impacto de cada resultado julgando a ameaça externa contra sua prontidão para encontrá -lo. Por exemplo, uma combinação de criptografia e fortes controles de acesso pode ter dificultado mais para hacktivistas e atores estaduais roubarem dados confidenciais. Mas você ainda pode estar vulnerável a uma violação interna de um membro descontente da equipe devido a controles de prevenção de perda de dados internos. 

3. Medir os recursos necessários para responder

A próxima etapa é garantir que você entenda os recursos (ou controles) necessários para mitigar esses riscos. Estruturas reconhecidas pela indústria, como o Instituto Nacional de Padrões e Tecnologia (NIST), o inventário de controles de segurança do Center for Internet (CIS) pode ser guias úteis para garantir que você esteja cobrindo todas as bases. É importante ressaltar que você deve ter uma linha de visão clara de seus controles para seus riscos e um mecanismo transparente para avaliar a cobertura e a eficácia de suas salvaguardas. riscos prioritários e levantando suas capacidades cibernéticas para construir resiliência. Como resultado, sua equipe executiva e o conselho estarão em uma posição mais forte para proporcionar desafios e supervisão no gerenciamento dos riscos e na direção dos recursos onde eles podem ter mais impacto. Como parte dessa análise, as equipes cibernéticas também podem dar vida a intervenções recomendadas e enquadrá -las na linguagem que faz sentido para a gerência sênior. Alguns ameaças subestimadas e subdididas anteriormente podem precisar de intervenção urgente. Mas também pode ser possível reduzir em outras áreas, liberando tempo e dinheiro para mitigar ameaças mais prementes.

4.Target and tackle weaknesses 

By understanding the threat landscape and cyber risks in clear business terms, you can build a realistic cyber security roadmap targeted at remediating your highest priority risks and levelling-up your cyber capabilities to build resilience. As a result, your executive team and Board will be in a stronger position to provide challenge and oversight in managing the risks and directing resources where they can have the most impact. As part of this analysis, cyber teams can also bring recommended interventions to life and frame them in language that makes sense to senior management. Some previously underestimated and under-addressed threats may need urgent intervention. But it may also be possible to scale back in other areas, releasing time and money to mitigate more pressing threats.  

5. Crie avaliações de risco na estratégia de negócios

Exemplos incluem julgar o trade-off entre um lançamento antecipado de uma inovação habilitada para a tecnologia antes dos concorrentes ou se retenção até que os riscos potenciais sejam mais efetivamente entendidos e gerenciados. 

Em todos os casos, a avaliação deve ser guiada por uma sensação clara de como uma cultura de segurança é criada e incorporada em toda a organização, pois todos têm um papel a desempenhar na construção de resiliência cibernética, não apenas da CISOs ou da equipe de segurança. 

A outra grande vantagem de ter uma visão orientada aos negócios do risco cibernético é uma abordagem mais informada para definir tolerâncias de risco. Você não pode eliminar completamente os riscos cibernéticos - sua empresa parou se o fizesse. Mas, ao articular claramente e avaliar a probabilidade e o impacto de possíveis resultados comerciais, é mais fácil determinar um nível aceitável de risco e ter conversas sobre se deve direcionar o investimento em controles preventivos (para reduzir a probabilidade de um incidente cibernético que aconteça) ou controles responsivos (para reduzir o impacto de um incidente cibernético quando aconteceu). Fortalecer a garantia das partes interessadas

6. Strengthen stakeholder assurance

Use as avaliações de risco para garantir que as seguradoras e os reguladores que a gerência sênior estão fornecendo o nível certo de supervisão e desafio do gerenciamento de riscos cibernéticos. Vimos evidências claras disso em Nossas revisões da Seção 166. Por exemplo, os reguladores podem estar preocupados com o fato de certas medidas de risco não estarem melhorando, apesar do investimento considerável. Mas, na investigação, o problema pode não ser salvaguardas insuficientes, mas relatórios ininteligíveis que não demonstram claramente o progresso que está sendo feito. 

Vamos conversar

Estamos trabalhando com empresas em todos os setores para ajudá -los a entender os riscos cibernéticos que enfrentam e fortalecem segurança e resiliência. Fale conosco se quiser saber mais.