Top 5 takeaways fra WEF 2023 Global Security Outlook Report
Indholdsfortegnelse:
Dette års Global Security Outlook-rapport fra World Economic Forum indeholdt en hel del indsigt i cybersikkerhedens tilstand. Dan Raywood nedbryder de fem vigtigste styrings-, risiko- og compliance-takeaways.
Sidste år World Economic Forum annoncerede planlægger et offentlig-privat partnerskab til bekæmpelse af cyberkriminalitet, og siger, at for at "systematisk adressere" truslen, "er det bydende nødvendigt at hæve omkostningerne ved at udføre cyberkriminalitet og øge risikoen for cyberkriminelle".
Efter denne meddelelse er dette års Global Security Outlook-rapport fra World Economic Forum (WEF) omfattede store cybersikkerhedstendenser i 2023. I resuméet hedder det: “Betydningen af cyberrisiko er bestemt blevet hørt i C-suiter og bestyrelseslokaler. På den anden side, om cyberledere og virksomhedsledere forstår hinanden godt nok til at klare denne udfordring er et åbent spørgsmål.”
Denne pointe var ret sigende, da emnerne kommunikation, risiko og compliance holdning alle var fremtrædende i hele rapporten. Med en bred vifte af emner dækket, vil denne blog se på fem af de bedste takeaways, der mest svarer til risiko, overholdelse og regulering.
Cyberrisiko skiller sig ud
I sidste ende har de emner, der er dækket af denne rapport, alle indvirkning på cyberrisiko, men især sagde WEF, at der var betydelige bevægelser fremad i forståelsen af cyberrisiko. Især indrømmede den, at da indsigt om nye cybertrusler blev indsamlet, var arbejdet med at oversætte "cyberrisikoproblemer til kommunikation, som C-suiter og bestyrelser kan bruge effektivt" tydeligt, såvel som hvad der ellers mangler at blive Færdig.
Mens "bevidstheden om problemer med cyberrisiko på ledelsesniveau er steget", er der stadig en udfordring for virksomheder at afgøre, hvordan de bedst kan håndtere cyberrisici. WEF hævder, at dette "forbliver en udfordring for organisatoriske ledere", og selvom bestyrelser ser ud til at være mere cyberbevidste end før, indebærer de spørgsmål, de stiller om cybersikkerhed, at de måske ikke helt har forstået effekten af cyberrisiko på virksomhedens risiko. .
Bestyrelseskommunikation med sikkerhedsledere
Ligesom der er en forbedring i indførelse af cyberrisikospørgsmål i kommunikation, er bestyrelseskommunikation med sikkerhedsledere en nøgletendens i dette års rapport.
WEF hævder, at mere flydende kommunikation omkring effektiv cyberrisikostyring bliver muliggjort af ændringer i organisatoriske strukturer, hvilket gør det muligt for disse diskussioner at finde sted. Dette inkluderer øget bevidsthed om cyberrisiko blandt virksomhedsledere, hvor 27 % rapporterer denne stigning – sammenlignet med 16 % sidste år.
WEF fremhæver også et skift i rapporteret adfærd blandt cyberledere, da 56 % af cyberledere mødes med virksomhedsledere månedligt eller oftere for at diskutere cyberfokuserede emner.
Hvordan cyberresiliens er integreret i risikostyring
I forlængelse af bestyrelsens kommunikation, var begrebet cyberresiliens særligt fremtrædende, da det blev fastslået, at "boosting cyberresilience starter med at forbedre kommunikationen mellem cyber- og virksomhedsledere" og "effektiv kommunikation er grundlaget for succes i ethvert cyber-resilience-program ."
WEF-rapporten fremhævede graden af integration af cyberresiliens i virksomhedens risikostyringsstrategier, hvor 95 % af virksomhedsledere og 93 % af cyberledere er enige om, at cyberresiliens er integreret i deres organisations virksomhedsrisikostyringsstrategi.
Så hvordan aktiveres cyberresiliens? Der er kommunikationsfaktoren, da dette giver "flere muligheder for at tilpasse sig cybersikkerhedsprioriteter", og WEF hævder, at de ledere, der mødes oftere, er mere sikre på deres organisations cyberresiliens end dem, der mødes sjældnere. En tredjedel af alle cyberledere sagde også at opnå ledelsesstøtte var det mest udfordrende aspekt af styring af cyberresiliens.
Reglernes indvirkning på overholdelse
Et argument kunne være, at reglerne bestemmer compliance, og derfor læner man sig op af det andet. WEF-rapporten hævder, at cyberledere nu er mere tilbøjelige til at se databeskyttelseslove og cybersikkerhedsregler som effektive værktøjer til at reducere cyberrisici på tværs af en sektor.
En central pointe i emnet regulering er, om de påvirker en virksomheds drift, da nogle elementer i cybersikkerhedsreglerne "forbliver duplikative og kan flytte ressourcer fra kernecybersikkerhedsarbejde til aktiviteter, der primært har til formål at demonstrere overholdelse snarere end at holde en organisation sikker. ”
Forskrifter er imidlertid essentielle, da de er noget bestyrelser aktivt reagerer på og "er et værdifuldt udgangspunkt for at integrere cyberresiliensteknikker på tværs af en organisation."
En standard at følge, snarere end noget der skal ses som en hindring og hindring for hvordan en virksomhed opererer? Rapporten fandt, at 76 % af virksomhedsledere og 70 % af cyberledere var enige om, at yderligere håndhævelse ville føre til en stigning i deres organisations cyberresiliens, og tilstrækkeligt håndhævede reguleringer vil højne kvaliteten af cybersikkerhed på tværs af deres sektor og deres forsyningskæder, hvilket vil , til gengæld gør deres virksomhed mindre tilbøjelig til at blive udsat for sideskader fra angreb på andre organisationer.
Hvordan risikostyring er et positivt skridt fremad
Risikostyring er en afgørende del af cybersikkerhed; bestyrelser forstår og tackler dette som en del af deres kommunikation og handlinger. Rapporten hævdede, at organisationer, der integrerer cyberrisikostyring på tværs af flere aspekter af deres aktiviteter, finder det lettere at udvikle strategiske reaktioner på ændringer i trusselsmiljøet, hvilket gør deres organisation mere modstandsdygtig over for angreb, når de opstår.
Det blev også udtalt, at sikkerhedsledere skulle hjælpe deres bestyrelser med at tilpasse cyberrisikostyring til forretningsbehov ved at identificere, hvordan cyberrisikostyring og robusthed hjælper med at opfylde forretningsmål.
I sidste ende var der meget at tage med fra dette års WEF-cyberrapport, men rapportens eget resumé hævder, at "virksomhedsledere er mere opmærksomme på trusselslandskabet, og cyberledere dukkede hyppigere op for deres bestyrelse." Dette sikrer, at begge grupper har et klarere overblik over styrkerne og svaghederne ved deres organisationers cyberkapacitet, og cyberspørgsmål er nu mere integreret i virksomhedens risikostyring og modtager mere support på bestyrelsesniveau.
Dette skal sikre, at virksomheder er mere opmærksomme på de trusler, de udgør for at skabe et bedre risikostyringsprogram og en mere selvsikker cyberrisikoposition.
