وبلاگ بلیان

Financial Cybersecurity Risk Management : Leadership Perspectives and Guidance for Systems and Institutions

جلد کتاب Financial Cybersecurity Risk Management : Leadership Perspectives and Guidance for Systems and Institutions

معرفی کتاب «Financial Cybersecurity Risk Management : Leadership Perspectives and Guidance for Systems and Institutions» نوشتهٔ Paul Rohmeyer; Jennifer L Bayuk; Larry Ponemon، منتشرشده توسط نشر Apress : Imprint: Apress در سال 2019. این کتاب در فرمت pdf، زبان انگلیسی ارائه شده است.

در دنیای به‌هم‌پیوسته‌ی مالی امروز، ریسک‌های سایبری به یکی از چالش‌های اصلی و سیستماتیک تبدیل شده‌اند که امنیت مؤسسات و بازارها را تهدید می‌کنند. کتاب Financial Cybersecurity Risk Management نوشتهٔ پال رومیر (Paul Rohmeyer) و جنیفر ال. بایوک (Jennifer L. Bayuk)، با مقدمه‌ای از دکتر لری پونمن (Larry Ponemon)، راهنمایی جامع برای مدیران و متخصصان حوزهٔ مالی است تا با دیدگاهی رهبرانه، پیچیدگی‌های این تهدیدات را تحلیل کرده و برای مدیریت و کاهش ریسک‌های سایبری چارچوبی مؤثر ایجاد کنند.

دربارهٔ کتاب —

کتاب حاضر که در سال ۲۰۱۹ توسط انتشارات Apress منتشر شده است، به دنبال پر کردن شکاف میان دانش فنی متخصصان امنیت سایبری و نیازهای راهبردی مدیران ارشد اجرایی و هیئت‌مدیره است. این کتاب با درک این واقعیت که امنیت سایبری در بخش مالی یک چالش ریسک سیستماتیک است، به تأثیر عمیقِ به‌هم‌پیوستگی سیستم‌ها و بازارهای مالی بر امنیت سازمانی می‌پردازد. به عبارت دیگر، موفقیت یک سازمان در این حوزه به شدت تحت تأثیر سطح امنیتی شرکا، طرف‌های معاملاتی و سایر سازمان‌های خارجی قرار دارد که فضایی پویا و پرریسک را ایجاد می‌کند. این کتاب که در مجموعهٔ «سری مالی کمی» (Quantitative Finance Series) از مؤسسهٔ فناوری استیونز (Stevens Institute of Technology) منتشر شده، به مدیران کمک می‌کند تا چارچوبی برای ارتباط مؤثر با تیم‌های فنی خود ایجاد کرده و بهترین راه‌کارها را برای مقابله با تهدیدات سایبری انتخاب کنند. ساختار کتاب بر اساس ده فصل کلیدی طراحی شده است که هر کدام به یک پرسش اساسی در مدیریت ریسک سایبری پاسخ می‌دهند. این فصول از «از چه می‌ترسیم؟» و «آسیب‌پذیرترین نقاط ما کجاست؟» شروع شده و تا «هزینهٔ یک نفوذ چقدر است؟»، «احتمال وقوع آن چقدر است؟»، «چه کاری می‌توانیم انجام دهیم؟» و در نهایت «چه درسی از وقایع تلخ گذشته می‌گیریم؟» ادامه می‌یابد. این رویکرد پرسش‌محور، کتاب را به ابزاری عملی و گام‌به‌گام برای تحلیل چالش‌های سایبری تبدیل کرده است. محتوای کتاب طیف وسیعی از مباحث شامل تحلیل چشم‌انداز تهدیدات و آسیب‌پذیری‌های بخش مالی، شیوه‌ها و روش‌های ارزیابی ریسک فناوری و تحلیل داده‌های امنیت سایبری را در بر می‌گیرد. نویسندگان همچنین به جنبه‌های حاکمیتی، از جمله نقش هیئت‌مدیره و گزارش‌دهی ریسک به مدیران اجرایی، توجه ویژه‌ای داشته‌اند.

دربارهٔ نویسنده

پال رومیر (Paul Rohmeyer)، استاد و مدیر برنامهٔ کارشناسی ارشد در مؤسسهٔ فناوری استیونز (Stevens Institute of Technology) است. او بیش از دو دهه سابقهٔ ارائهٔ مشاورهٔ ارشد به مؤسسات مالی متعدد در حوزه‌های مدیریت ریسک و امنیت شبکه دارد و پیش از ورود به دانشگاه، سمت‌های مدیریت فناوری اطلاعات را در شرکت‌های بزرگی نظیر AXA Financial و SAIC/Bellcore بر عهده داشته است. رومیر دارای مدارک دکتری و کارشناسی ارشد در مدیریت اطلاعات، ام‌بی‌ای در مدیریت مالی و مدرک کارشناسی اقتصاد است و گواهینامه‌های معتبری مانند CGEIT (حاکمیت فناوری اطلاعات)، PMP (مدیریت پروژه) و NSA-IAM (ارزیابی امنیت اطلاعات) را نیز کسب کرده است. جنیفر ال. بایوک (Jennifer L. Bayuk)، نویسندهٔ دوم کتاب، یکی از متخصصان برجستهٔ مدیریت ریسک سایبری است. او سابقهٔ مدیریت ریسک فناوری در یک مؤسسهٔ مالی جهانی و همچنین سمت مدیر ارشد امنیت اطلاعات (CISO) در وال‌استریت را داشته است. بایوک دارای مدرک دکتری در مهندسی سیستم‌ها و کارشناسی ارشد در علوم کامپیوتر است و تجربیات گسترده‌ای به عنوان مشاور مدیریت ریسک اطلاعات، مدیر حسابرسی داخلی فناوری اطلاعات و معمار امنیتی دارد. او همچنین کتاب تأثیرگذار دیگری با عنوان Stepping Through Cybersecurity Risk Management نوشته است که به عنوان اثری بنیادین در حوزهٔ مدیریت ریسک سایبری شناخته می‌شود. دکتر لری پونمن (Larry Ponemon)، مقدمه‌نویس کتاب، بنیان‌گذار و رئیس مؤسسهٔ پژوهشی Ponemon Institute است که به پژوهش‌های مستقل در زمینهٔ حفظ حریم خصوصی، حفاظت از داده‌ها و امنیت اطلاعات می‌پردازد. پونمن که به عنوان یکی از چهره‌های تأثیرگذار در حوزهٔ امنیت شناخته می‌شود، سابقهٔ همکاری با نهادهای معتبری همچون کمیسیون تجارت فدرال ایالات متحده و وزارت امنیت داخلی را دارد.

چرا باید این کتاب را بخوانید؟

مطالعهٔ این کتاب، بینش‌ها و ابزارهای کلیدی زیر را برای مخاطب به ارمغان می‌آورد:
  • تحلیل جامع چشم‌انداز تهدیدات: با جدیدترین تهدیدات و آسیب‌پذیری‌هایی که بخش مالی را تهدید می‌کنند، آشنا می‌شوید و درک عمیقی از ماهیت آنها پیدا می‌کنید.
  • بهبود شیوه‌های ارزیابی ریسک: روش‌شناسی‌های مؤثر و عملی برای ارزیابی ریسک فناوری و اولویت‌بندی سرمایه‌گذاری‌های امنیتی فرا می‌گیرید.
  • تدوین استراتژی‌های کارآمد: می‌آموزید که چگونه استراتژی‌های مؤثری برای درمان ریسک‌های شناسایی‌شده در سیستم‌های مالی طراحی کنید.
  • ارتقای قابلیت‌های امنیت سایبری: با اصول کلیدی برای بهبود مستمر قابلیت‌های امنیت سایبری در سراسر سازمان آشنا می‌شوید.
  • درک دیدگاه‌های حاکمیتی و هیئت‌مدیره: با انتظارات هیئت‌مدیره و مدیران ارشد از برنامه‌های امنیت سایبری و نحوهٔ گزارش‌دهی مؤثر به آنها آشنا می‌شوید.
  • استفاده از تجربیات رویدادهای واقعی: درس‌های آموخته‌شده از رویدادهای سایبری واقعی را بررسی کرده و می‌آموزید که چگونه از آنها برای توسعهٔ معماری‌های امنیتی مقاوم‌تر استفاده کنید.

این کتاب برای چه کسانی مناسب است؟

این کتاب به‌طور ویژه برای مدیران ارشد اجرایی، اعضای هیئت‌مدیره، مدیران ارشد امنیت اطلاعات (CISO) و مدیران ریسک در مؤسسات مالی، بانک‌ها، شرکت‌های بیمه و بازارهای سرمایه طراحی شده است. همچنین برای مشاوران مدیریت ریسک، حسابرسان فناوری اطلاعات و متخصصان امنیت سایبری که به دنبال درک بهتر ابعاد راهبردی و حاکمیتی این حوزه هستند، منبعی بسیار ارزشمند محسوب می‌شود. دانشجویان رشته‌های مدیریت فناوری اطلاعات، مدیریت ریسک و امنیت سایبری نیز می‌توانند از آن به عنوان یک مرجع معتبر برای آشنایی با چالش‌های واقعی این حوزه بهره ببرند. با توجه به ساختار ده‌فصلی و زبان غیربسیار فنی، این کتاب برای مخاطبانی با پیش‌زمینهٔ کسب‌وکار و مدیریت نیز قابل‌استفاده است و صرفاً به متخصصان فنی محدود نمی‌شود.

سوالات متداول

آیا مطالعهٔ این کتاب نیازمند دانش فنی عمیق در حوزهٔ امنیت سایبری است؟

این کتاب با هدف پر کردن شکاف میان دیدگاه فنی و مدیریتی نوشته شده است. اگرچه آشنایی پایه با مفاهیم امنیت سایبری مفید است، اما نویسندگان تلاش کرده‌اند تا مباحث را به گونه‌ای ارائه دهند که برای مدیران و تصمیم‌گیرندگان غیرفنی نیز قابل‌درک و کاربردی باشد. رویکرد پرسش‌محور کتاب نیز به این امر کمک می‌کند.

آیا این کتاب بر روی یک استاندارد یا چارچوب امنیتی خاصی متمرکز است؟

کتاب مستقیماً به ترویج یک چارچوب خاص نمی‌پردازد، بلکه مجموعه‌ای جامع از دیدگاه‌ها، ابزارها و روش‌های مدیریت ریسک سایبری را ارائه می‌دهد که در بخش مالی کاربرد دارند. با این حال، از استانداردهای نظارتی و صنعتی برای کمک به مدیریت ریسک‌های بخش مالی استفاده می‌کند که این رویکردی انعطاف‌پذیر و سازگار با محیط‌های گوناگون است.

تفاوت اصلی این کتاب با سایر کتاب‌های مشابه چیست؟

نقطهٔ قوت اصلی این کتاب، تأکید آن بر جنبه‌های رهبری و حاکمیتی مدیریت ریسک سایبری است. در حالی که بسیاری از کتاب‌های مشابه بر جنبه‌های فنی متمرکز هستند، این اثر به مدیران کمک می‌کند تا درک درستی از ماهیت سیستماتیک و به‌هم‌پیوستهٔ ریسک‌های سایبری در بخش مالی داشته باشند و چارچوبی برای تصمیم‌گیری و ارتباط مؤثر با ذی‌نفعان مختلف، از تیم فنی تا هیئت‌مدیره، ایجاد کنند.

Understand critical cybersecurity and risk perspectives, insights, and tools for the leaders of complex financial systems and markets. This book offers guidance for decision makers and helps establish a framework for communication between cyber leaders and front-line professionals. Information is provided to help in the analysis of cyber challenges and choosing between risk treatment options.Financial cybersecurity is a complex, systemic risk challenge that includes technological and operational elements. The interconnectedness of financial systems and markets creates dynamic, high-risk environments where organizational security is greatly impacted by the level of security effectiveness of partners, counterparties, and other external organizations. The result is a high-risk environment with a growing need for cooperation between enterprises that are otherwise direct competitors. There is a new normal of continuous attack pressures that produce unprecedented enterprise threats that must be met with an array of countermeasures. __Financial Cybersecurity Risk Management__ explores a range of cybersecurity topics impacting financial enterprises. This includes the threat and vulnerability landscape confronting the financial sector, risk assessment practices and methodologies, and cybersecurity data analytics. Governance perspectives, including executive and board considerations, are analyzed as are the appropriate control measures and executive risk reporting. **What You’ll Learn** * Analyze the threat and vulnerability landscape confronting the financial sector * Implement effective technology risk assessment practices and methodologies * Craft strategies to treat observed risks in financial systems * Improve the effectiveness of enterprise cybersecurity capabilities * Evaluate critical aspects of cybersecurity governance, including executive and board oversight * Identify significant cybersecurity operational challenges * Consider the impact of the cybersecurity mission across the enterprise * Leverage cybersecurity regulatory and industry standards to help manage financial services risks * Use cybersecurity scenarios to measure systemic risks in financial systems environments * Apply key experiences from actual cybersecurity events to develop more robust cybersecurity architectures **Who This Book Is For** Decision makers, cyber leaders, and front-line professionals, including: chief risk officers, operational risk officers, chief information security officers, chief security officers, chief information officers, enterprise risk managers, cybersecurity operations directors, technology and cybersecurity risk analysts, cybersecurity architects and engineers, and compliance officers Understand critical cybersecurity and risk perspectives, insights, and tools for the leaders of complex financial systems and markets. This book offers guidance for decision makers and helps establish a framework for communication between cyber leaders and front-line professionals. Information is provided to help in the analysis of cyber challenges and choosing between risk treatment options. Financial cybersecurity is a complex, systemic risk challenge that includes technological and operational elements. The interconnectedness of financial systems and markets creates dynamic, high-risk environments where organizational security is greatly impacted by the level of security effectiveness of partners, counterparties, and other external organizations. The result is a high-risk environment with a growing need for cooperation between enterprises that are otherwise direct competitors. There is a new normal of continuous attack pressures that produce unprecedented enterprise threats that must be met with an array of countermeasures. Financial Cybersecurity Risk Management explores a range of cybersecurity topics impacting financial enterprises. This includes the threat and vulnerability landscape confronting the financial sector, risk assessment practices and methodologies, and cybersecurity data analytics. Governance perspectives, including executive and board considerations, are analyzed as are the appropriate control measures and executive risk reporting. What You’ll Learn Analyze the threat and vulnerability landscape confronting the financial sector Implement effective technology risk assessment practices and methodologies Craft strategies to treat observed risks in financial systems Improve the effectiveness of enterprise cybersecurity capabilities Evaluate critical aspects of cybersecurity governance, including executive and board oversight Identify significant cybersecurity operational challenges Consider the impact of the cybersecurity mission across the enterprise Leverage cybersecurity regulatory and industry standards to help manage financial services risks Use cybersecurity scenarios to measure systemic risks in financial systems environments Apply key experiences from actual cybersecurity events to develop more robust cybersecurity architectures Who This Book Is For Decision makers, cyber leaders, and front-line professionals, including: chief risk officers, operational risk officers, chief information security officers, chief security officers, chief information officers, enterprise risk managers, cybersecurity operations directors, technology and cybersecurity risk analysts, cybersecurity architects and engineers, and compliance officers Table of Contents 5 About the Authors 10 Series Editor’s Foreword 12 Foreword 17 Acknowledgments 19 Chapter 1: What Are We Afraid Of? 20 Understanding the Threat Environment 20 Overview of the Risk Landscape 21 Understanding the Adversary 22 Threat Categories for Financial Organizations 25 That’s Where the Money Is–Theft of Funds 25 Information Is Power–Theft of Data 26 Clogging Up the Works–Threats of Disruption 28 Facing the Threats 30 Threat Intelligence 31 Threat Modeling 32 Implementation 34 Moving Ahead 36 Notes 37 Chapter 2: Where Are We Vulnerable? 39 Cybersecurity Weaknesses 39 Technology Vulnerabilities 40 New Technologies 45 Human Vulnerability Dimensions 47 An Illustration: Business E-mail Compromise 50 Understanding the Consequences 52 Moving Ahead 64 Notes 64 Chapter 3: What Would a Breach Cost Us? 67 Risk Quantification 67 Scenario Creation 72 Scenario Selection 76 Cost Estimation 80 Moving Ahead 88 Notes 88 Chapter 4: What Are the Odds? 90 Plausible Deniability 90 Cybersecurity Risk As Operational Risk 92 Shortage of Sufficient Historical Data 95 Probabilities Driven by Vulnerabilities 99 The Next Evolution 108 Moving Ahead 117 Notes 118 Chapter 5: What Can We Do? 122 Risk Treatment Across the Organization 123 Avoidance 123 Reduction 124 Transfer 128 Acceptance 131 Risk Treatment Across the Enterprise Architecture 132 Executing on Risk Treatment Decisions 135 Validating Effectiveness in Execution 138 Moving Ahead 140 Notes 141 Chapter 6: How Do I Manage This? 142 Governance Operating Model 143 Cybersecurity Risk Appetite 150 Cybersecurity Performance Objectives 157 Moving Ahead 171 Notes 171 Chapter 7: Should This Involve the Whole Organization? 174 Architectural View 175 Enterprise Capabilities 185 Monitoring and Reporting 193 Metrics 201 Moving Ahead 206 Notes 207 Chapter 8: How Can We Improve Our Capabilities? 210 Build a Learning Organization 211 Improve the Quality of Risk Assessments 214 Use Organizational Knowledge 220 Take Action Based on the Risk Assessment 222 Build Situational Awareness 224 Conduct Realistic Drills, Tests, and Games 228 Design of Technical Tests 232 Move from Controls-Thinking to Capabilities-Thinking 234 Moving Ahead 236 Notes 237 Chapter 9: What Can We Learn From Losses? 240 Breaches Provide the Context That Standards Lack 241 Technology-Focused Resilience Is Just the Beginning 242 The Learning Organization Revisited 243 Easier Said Than Done 244 AntiFragile 245 Learn, Study Mistakes, and Learn Again 248 Moving Ahead 249 Notes 250 Chapter 10: So What’s Next? 252 Complexity and Interconnectedness 252 Potential Cybersecurity Implications 257 Emerging Standards 260 Notes 265 Index 268 Financial cybersecurity is a complex, systemic risk challenge that includes technological and operational elements. The interconnectedness of financial systems and markets creates dynamic, high-risk environments where organizational security is greatly impacted by the level of security effectiveness of partners, counterparties, and other external organizations. The result is a high-risk environment with a growing need for cooperation between enterprises that are otherwise direct competitors. There is a new normal of continuous attack pressures that produce enterprise threats that must be met with an array of countermeasures. This book explores a range of cybersecurity topics impacting financial enterprises, including the threat and vulnerability landscape confronting the financial sector, risk assessment practices and methodologies, and cybersecurity data analytics. Governance perspectives, including executive and board considerations, are analyzed as are the appropriate control measures and executive risk reporting.-- From publisher's description Front Matter ....Pages i-xxi What Are We Afraid Of? (Paul Rohmeyer, Jennifer L. Bayuk)....Pages 1-19 Where Are We Vulnerable? (Paul Rohmeyer, Jennifer L. Bayuk)....Pages 21-48 What Would a Breach Cost Us? (Paul Rohmeyer, Jennifer L. Bayuk)....Pages 49-71 What Are the Odds? (Paul Rohmeyer, Jennifer L. Bayuk)....Pages 73-104 What Can We Do? (Paul Rohmeyer, Jennifer L. Bayuk)....Pages 105-124 How Do I Manage This? (Paul Rohmeyer, Jennifer L. Bayuk)....Pages 125-156 Should This Involve the Whole Organization? (Paul Rohmeyer, Jennifer L. Bayuk)....Pages 157-192 How Can We Improve Our Capabilities? (Paul Rohmeyer, Jennifer L. Bayuk)....Pages 193-222 What Can We Learn From Losses? (Paul Rohmeyer, Jennifer L. Bayuk)....Pages 223-234 So What’s Next? (Paul Rohmeyer, Jennifer L. Bayuk)....Pages 235-250 Back Matter ....Pages 251-259
دانلود کتاب Financial Cybersecurity Risk Management : Leadership Perspectives and Guidance for Systems and Institutions