Como os CFOs podem entrar em cima dos riscos cibernéticos
ataques cibernéticos estão se tornando cada vez mais prevalentes, sofisticados e prejudiciais. Mas tomar decisões de investimento em um ambiente com restrição de caixa é difícil.
Equilibrando o investimento na redução de risco e na criação de valor é fundamental. Com a evolução do cenário de ameaças cibernéticas, o desafio central para você como diretor financeiro (CFO) é como responder e garantir que as partes interessadas externas (acionistas, auditores, seguradoras) sejam satisfeitas.
The resulting questions for you as a CFO include:
1How do we prioritise cyber security investment considering the cost pressures we’re facing?
Como em qualquer tipo de investimento, os gastos cibernéticos devem ser sustentados por um caso de negócios que justifica os benefícios da despesa. Às vezes, pode ser difícil construir um buy-in se não houver uma ameaça ou ataque recente. Isso destaca a importância de ter um apetite de risco cibernético claro e acordado e articulação dos riscos potenciais e o impacto de um ataque em termos de negócios, que pode ser qualquer combinação de danos financeiros, operacionais, relacionados à conformidade ou reputação.
Por exemplo, o que constitui um nível de perda financeira "inaceitável", em relação à sua receita ou EBIT anual? Isso permitirá que você priorize os investimentos necessários para reduzir seus riscos cibernéticos para os níveis aceitáveis. Ponto. Outros. No entanto, posicionar o papel da função CISO e de segurança cibernética apropriadamente nem sempre é direto e não há uma resposta certa.
As a CFO, you should play a key role in both gauging the related financial risks and establishing the organisation’s risk appetite for cyber incidents, building these into the broader business strategy. You can also judge what new cyber defence investments are genuinely critical on the one side, whilst ensuring you are making the most of existing capabilities on the other.
2Have we clearly defined the role and remit of the CISO and is this right for the organisation?
Hiring a good CISO with the right mandate and trusting them to get on and deliver is key to building cyber resilience. However, positioning the role of the CISO and cyber security function appropriately is not always straight forward and there is no single right answer.
deve se reportar ao CFO, CIO ou outro? A função é responsável pelo conselho e comitê de auditoria e risco? O papel de definir políticas e padrões é (para outras funções atender) e depois fornecer governança e garantia, ou é o papel de realmente oferecer segurança cibernética? É um chefe de segurança de TI, ou um papel de pleno direito em todos os aspectos de Cyber and Information Security, incluindo fatores de risco humano (conscientização e treinamento) e governança de dados?
Todos esses modelos podem funcionar, e o ajuste certo para sua organização depende da natureza do seu negócio, sua abordagem ao gerenciamento de riscos corporativos, seu apetite por risco e as outras estruturas que você possui. De qualquer forma, as funções e responsabilidades para gerenciar e fornecer recursos de segurança cibernética devem ser claramente definidas e compreendidas por todos os envolvidos. Relações, é importante ter uma história clara para contar sobre suas prioridades de proteção cibernética, como você pretende alcançá -las e o desempenho da sua organização contra seus objetivos cibernéticos. Ser capaz de articular claramente os riscos e a eficácia de controle correspondente em termos de negócios tangíveis ajudará a criar confiança e confiança em suas partes interessadas externas, além de garantir que você esteja configurado para acompanhar os regulamentos em evolução. Alinhando claramente seus riscos e controles a uma estrutura de segurança cibernética padrão do setor (como o NIST) também pode ajudar a criar confiança de que você está cobrindo as bases. Você deve fazer backup com garantia independente de auditores internos e externos. órgãos regulatórios e agências policiais. Você deve ter uma posição clara sobre como lidar com essa situação, para não perder tempo debatendo um curso de ação dentro de sua equipe executiva. Após um ataque, o plano de resposta anterior deve ser revisitado para refletir lições sobre como reduzir o risco e aprimorar a resposta a ocorrências futuras semelhantes. Podemos ajudá -lo a:
3How do we ensure our governance and reporting keep pace with the increasing demands for cyber transparency, including external disclosures and information for insurers?
Working closely with auditors, regulators and investor relations, it’s important to have a clear story to tell about your cyber protection priorities, how you intend to achieve them and your organisation’s performance against its cyber goals. Being able to clearly articulate the risks and corresponding control effectiveness in tangible business terms will help build trust and confidence across your external stakeholders, as well ensuring that you are set up to keep pace with evolving regulations. Clearly aligning your risks and controls to an industry standard cyber security framework (such as NIST) can also help to build confidence that you’re covering the bases. You should back this up with independent assurance from both internal and external auditors.
4Do we have a clear position on whether we would pay a ransom in a ransomware scenario?
If the unthinkable happens and your critical data is held to ransom, you need to have a clear response plan that is well drilled, including clear steps for engaging external support and notifying the relevant regulatory bodies and law enforcement agencies. You should have a clear position on how you would handle such a situation, so that you do not waste time debating a course of action within your executive team. After an attack, the previous response plan should be revisited to reflect lessons on how to reduce the risk of, and enhance the response to, similar future occurrences.
How Berkeley can help
At Berkeley, we have experience of helping CFOs answer these questions through all stages of their cyber journey. We can help you to:
- Definir seu Estratégia cibernética para definir metas claras e garantir o alinhamento com a estratégia de negócios
- Deliver sua capacidade de resistência cibernética e de resistência cibernética e capacidade de resistência ao cibernamento e capacidade de resistência ao cibernamento e ao respostas do cibernético e da capacidade de resistência ao cibernamento e na capacidade de resistência cibernética e na capacidade de resistência cibernética e na capacidade de resistência cibernética e na capacidade de resistência cibernética e na capacidade de resistência cibernética. Planejamentotransformation programme
- Deliver cyber resilience capability uplifts in areas such as executive training, incident response preparation and business continuity planning
- Entregue projetos específicos em seu portfólio cibernético com o qual você pode estar lutando
- Reconstrua e fortaleça suas capacidades cibernéticas após o ataque cibernético
- Seção 166 Regulatório para atender a uma faixa de demandas internas e externas, incluindo | As partes interessadas sobre como gerenciar riscos cibernéticos de maneira eficaz e aumentar sua resiliência cibernética. Section 166 regulatory reviews
- Engage your executive team, Board and operational stakeholders on how to manage cyber risks effectively and increase your cyber resilience.
Chegue a seus riscos cibernéticos
Descubra as principais perguntas relacionadas a cibernéticas que outros membros da sua equipe de liderança devem considerar
CEO
Fortalecer sua segurança e prontidão para responder. Leia mais.
CIO
Allocate the right roles and responsibilities. Leia mais.
Head of Procurement
Ensuring your supply chain security. Leia mais.
NED
Know the right questions to ask to cut through the jargon. Leia mais.
CRO
Aprimore sua segurança e gerenciamento de riscos. Leia mais.
CISO
Melhore sua capacidade de navegar na paisagem cibernética. Leia mais.
CHRO
Crie uma cultura de segurança em toda a sua organização. Leia mais.
Related services
The author
