Skip to main content
QUICK REVIEW

[论文解读] Cyber Crossroads: A Global Research Collaborative on Cyber Risk Governance

Gregory Falco, Paul Cornish|arXiv (Cornell University)|Jan 1, 2021
Information and Cyber Security参考文献 5被引用 1
一句话总结

本文提出了一项全球适用的、非商业性质的网络标准护理规范——一种网络风险治理框架,灵感源自医疗标准护理。该框架综合了56家全球组织、监管机构、保险公司及专家的洞见,构建了一个实用、可实施且适用于董事会层面的治理框架,超越技术检查清单,支持跨行业和组织规模的一致、可辩护的网络风险监督。

ABSTRACT

Spending on cybersecurity products and services is expected to top 123 billion U.S. dollars for 2020, more than double the 55 billion U.S. dollars spent in 2011.1 In that same period, cyber breaches quadrupled. Organizations globally face increasing liabilities, while boards of directors grapple with a seemingly Sisyphean challenge. Cyber Crossroads was born out of these alarming trends and a realization that the world cannot go on funneling finite resources into an indefinite, intractable problem. Cyber Crossroads brings together expertise from across the world, spanning aspects of the cyber problem (including technology, legal, risk, and economic) with the goal of creating a Cyber Standard of Care built through a global, not-for-profit research collaborative with no commercial interests. A Cyber Standard of Care should be applicable across industries and regardless of the organization size. It should be practical and implementable, with no requirement to purchase any product/service. Cyber Standard of Care should be woven into the existing governance fabric of the organization and it should not be yet another technical checklist, but a process/governance framework that can stand over time. To achieve this, we engaged with cyber risk experts and practitioners with a variety of relevant expertise, secured the advice/guidance of regulators and legal experts across jurisdictions, and interviewed leaders from 56 organizations globally to understand their challenges and identify best practices.

研究动机与目标

  • 解决网络攻击频发和网络安保支出不成比例增长所导致的网络风险治理差距。
  • 建立一项普适适用、非技术性且非商业性的网络风险治理框架,适用于所有行业和组织规模。
  • 为董事和高管提供一个清晰、可辩护的标准,以履行其在网络安全风险监督中的受托责任。
  • 通过建立合理网络风险管理行为的基准,降低法律和声誉风险。
  • 促进网络安全专家、法律顾问、保险公司和企业领袖之间的全球协作,以制定可持续、基于证据的框架。

提出的方法

  • 对56家全球组织的高级管理人员进行访谈,以识别网络风险治理中的挑战、缺口和最佳实践。
  • 与各司法管辖区的监管机构、法律顾问和网络风险从业者合作,确保法律和监管的一致性。
  • 从医疗标准护理中汲取结构和概念上的灵感,强调问责制、一致性和可辩护性。
  • 整合主要现有框架(NIST CSF、ISO/IEC 27001、COBIT 2019、CIS控制措施、PCI DSS)的洞见,以识别共同的治理原则。
  • 设计以治理为核心的框架,与现有组织结构相融合,而非强加新的技术检查清单。
  • 尽管获得了领先的风险和保险公司赞助,仍通过排除赞助方影响来维护研究的完整性。

实验结果

研究问题

  • RQ1什么构成一种可辩护的、全球适用的网络风险治理标准护理规范,可被跨行业和组织规模采纳?
  • RQ2如何将网络风险治理从技术合规提升为董事会层面的受托责任?
  • RQ3网络安全专家、保险公司、监管机构和企业领袖之间的跨行业协作在制定可信、非商业性标准中发挥什么作用?
  • RQ4治理框架如何在发生网络事件后降低法律风险和声誉损害?
  • RQ5现有网络安全框架在何种方式下可整合为统一、实用且持久的治理模型?

主要发现

  • 亟需建立网络标准护理规范,因为当前的网络风险管理实践无法跟上日益增长的网络威胁和支出。
  • 尽管投入巨大——2020年预计达1230亿美元——自2011年以来网络入侵事件已增加四倍,表明存在系统性治理缺口。
  • 现有框架如NIST CSF、ISO/IEC 27001、COBIT 2019和CIS控制措施虽具价值,但作为董事会问责的独立治理工具仍显不足。
  • 由于缺乏协调的监督,即使遵循最佳实践,组织仍可能因缺乏正式标准护理而面临法律诉讼。
  • 所提出的网络标准护理规范并非技术检查清单,而是一种与组织结构相融合的治理框架,支持长期、可辩护的决策。
  • 该框架设计为实用、无需购买产品即可实施,并适用于任何规模和行业领域的组织。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。