5 ההסעות המובילות מדוח WEF 2023 Global Security Outlook

מאת דן רייווד • 21 פבואר 2023

דו"ח אבטחת האבטחה העולמית השנה מהפורום הכלכלי העולמי הכיל הרבה תובנות לגבי מצב אבטחת הסייבר. דן רייווד מפרק את חמשת אמצעי הממשל, הסיכונים והציות העיקריים.

בשנה שעברה הפורום הכלכלי העולמי הודיע מתכננת שותפות ציבורית-פרטית למאבק בפשעי סייבר, ואמרה שכדי "לטפל באופן שיטתי" באיום, "חובה להעלות את העלות של ביצוע פשעי סייבר ולהגדיל את הסיכונים לפושעי סייבר".

אחרי ההכרזה הזו, השנה דוח אבטחה אבטחה גלובלי מהפורום הכלכלי העולמי (WEF) הקיפו מגמות אבטחת סייבר מרכזיות בשנת 2023. התקציר המנהלי קובע: "המשמעות של סיכון סייבר בהחלט נשמעה בסוויטות C ובחדרי ישיבות. מצד שני, האם מנהיגי סייבר ומנהיגים עסקיים מבינים זה את זה מספיק טוב כדי לעמוד באתגר הזה היא שאלה פתוחה".

נקודה זו הייתה די בולטת, שכן נושאי התקשורת, הסיכון והעמידה בציות היו כולם בולטים לאורך הדו"ח. עם מגוון רחב של נושאים מכוסים, בלוג זה יסתכל על חמש מהאפשרויות המובילות המתאימות ביותר לסיכון, ציות ורגולציה.

סיכון סייבר בולט

בסופו של דבר, הנושאים המכוסים בדוח זה משפיעים כולם על סיכוני הסייבר, אך במיוחד, ה-WEF אמר שיש תנועות משמעותיות קדימה בהבנת סיכוני הסייבר. בפרט, היא הודתה שכאשר נאספו תובנות על איומי סייבר מתעוררים, העבודה על תרגום "נושאי סיכוני סייבר לתקשורת ש-C-suites ומועצות המנהלים יכולים להשתמש בהן ביעילות" הייתה ברורה, כמו גם מה עוד צריך להיות בוצע.

בעוד ש"המודעות לנושאי סיכוני סייבר, ברמת המנהלים, עלתה", נותר אתגר עבור עסקים לקבוע כיצד להתמודד בצורה הטובה ביותר עם סיכוני סייבר. ה-WEF טוען שזה "נשאר אתגר עבור מנהיגים ארגוניים", ולמרות שהדירקטוריון נראה יותר מודע לסייבר מבעבר, השאלות שהם שואלים לגבי אבטחת סייבר מרמזות שייתכן שהם לא תפסו עד תום את ההשפעה של סיכון סייבר על הסיכון הארגוני .

תקשורת מועצת המנהלים עם מנהיגי אבטחה

ממש כמו שיש שיפור באימוץ נושאי סיכוני סייבר לתקשורת, תקשורת מועצת המנהלים עם מנהיגי אבטחה היא מגמה מרכזית בדוח השנה.

ה-WEF טוען שתקשורת זורמת יותר סביב ניהול סיכוני סייבר יעיל מתאפשרת על ידי שינויים במבנים ארגוניים, מה שמאפשר לקיים דיונים אלה. זה כולל מודעות מוגברת לסיכוני סייבר בקרב מנהלים עסקיים, כאשר 27% מדווחים על עלייה זו - בהשוואה ל-16% בשנה שעברה.

כמו כן, ה-WEF מדגיש שינוי בהתנהגויות מדווחות בקרב מנהיגי סייבר, שכן 56% ממנהיגי הסייבר נפגשים עם מנהיגים עסקיים מדי חודש או בתדירות גבוהה יותר כדי לדון בנושאים ממוקדי סייבר.

כיצד חוסן סייבר משולב בניהול סיכונים

בהמשך לתקשורת המנהלת, הרעיון של חוסן סייבר בלט במיוחד שכן נקבע כי "הגברת חוסן הסייבר מתחילה בשיפור התקשורת בין מנהיגי סייבר ועסקים" ו"תקשורת יעילה היא הבסיס להצלחה בכל תוכנית חוסן סייבר ."

דו"ח WEF הדגיש את רמת השילוב של חוסן סייבר באסטרטגיות ניהול סיכונים ארגוניים, כאשר 95% מהמנהלים העסקיים ו-93% ממנהלי הסייבר הסכימו כי חוסן הסייבר משולב באסטרטגיית ניהול הסיכונים הארגונית של הארגון שלהם.

אז איך מופעלת חוסן סייבר? יש את גורם התקשורת, שכן זה מאפשר "יותר הזדמנויות להתיישר לפי סדרי עדיפויות של אבטחת סייבר", וה-WEF טוען שאותם מנהיגים שנפגשים לעתים קרובות יותר בטוחים בחוסן הסייבר של הארגון שלהם מאשר אלו שנפגשים בתדירות נמוכה יותר. כמו כן, שליש מכל מנהיגי הסייבר אמרו שהשגת תמיכת מנהיגות היא ההיבט המאתגר ביותר בניהול חוסן הסייבר.

השפעת התקנות על ציות

טענה יכולה להיות שהתקנות קובעות ציות, ולכן אחד נשען על השני. הדו"ח של WEF טוען שמנהלי סייבר נוטים כעת לראות בחוקי פרטיות נתונים ובתקנות אבטחת סייבר כלים יעילים להפחתת סיכוני סייבר במגזר.

נקודה מרכזית אחת שהועלתה בנושא הרגולציה היא האם הם משפיעים על פעילות העסק, מכיוון שחלק מהמרכיבים של תקנות אבטחת הסייבר "נותרים כפולים ויכולים להעביר משאבים מעבודת אבטחת סייבר ליבה לפעילויות שמטרתן בעיקר להפגין תאימות ולא לשמור על אבטחת הארגון. ”

עם זאת, תקנות חיוניות מכיוון שהן משהו שמועצות המנהלים מגיבות אליו באופן פעיל ו"מהוות נקודת מוצא חשובה להטמעת טכניקות חוסן סייבר בארגון."

סטנדרט שיש לעקוב אחריו, ולא משהו שיש לראות בו כמכשול וחסימה לאופן שבו חברה פועלת? הדו"ח מצא כי 76% מהמנהיגים העסקיים ו-70% ממנהיגי הסייבר הסכימו שאכיפה נוספת תוביל לעלייה בחוסן הסייבר של הארגון שלהם, ותקנות שנאכפות כראוי יעלו את איכות אבטחת הסייבר במגזר ובשרשרת האספקה שלהם, מה , בתורו, הופכים את העסק שלהם לפחות מועד לנזק נלווה מהתקפות על ארגונים אחרים.

כיצד ניהול סיכונים הוא צעד חיובי קדימה

ניהול סיכונים הוא חלק מכריע מאבטחת סייבר; מועצות המנהלים מבינות ומתמודדות עם זה כחלק מהתקשורת והפעולות שלהם. הדו"ח טען כי לארגונים המטמיעים ניהול סיכוני סייבר על פני היבטים מרובים של פעילותם, קל יותר לפתח תגובות אסטרטגיות לשינויים בסביבת האיומים, מה שהופך את הארגון שלהם לחסן יותר בפני התקפות כשהן מתרחשות.

כמו כן, צוין שמנהיגי אבטחה צריכים לעזור לדירקטוריונים שלהם להתאים את ניהול סיכוני הסייבר לצרכים העסקיים על ידי זיהוי כיצד ניהול סיכוני סייבר וחוסן מסייעים לעמוד ביעדים העסקיים.

בסופו של דבר היה הרבה מה לקחת מדו"ח הסייבר של WEF השנה, אבל הסיכום של הדו"ח עצמו טוען כי "מנהיגי עסקים מודעים יותר לנוף האיומים ומנהיגי סייבר הופיעו לעתים קרובות יותר בפני מועצת המנהלים שלהם". זה מבטיח לשתי הקבוצות השקפה ברורה יותר לגבי החוזקות והחולשות של יכולות הסייבר של הארגונים שלהן, ובעיות סייבר משולבות כעת יותר בניהול סיכונים ארגוניים ומקבלות יותר תמיכה ברמת הדירקטוריון.

זה אמור להבטיח שעסקים יהיו מודעים יותר לאיומים הנשקפים להם כדי ליצור תוכנית ניהול סיכונים טובה יותר ומצב סיכוני סייבר אסרטיבי יותר.

דן רייווד

דן רייווד כתב על אבטחת IT מאז 2008, והוא אנליסט לשעבר ב-451 Research Practice. הוא דיבר בתערוכות כולל 44CON, SecuriTay, SteelCon, Irisscon ו-Infosecurity Europe, וכן כתב עבור מספר בלוגים של ספקים והציג בשידורי אינטרנט.