Financial Cybersecurity Risk Management : Leadership Perspectives and Guidance for Systems and Institutions
معرفی کتاب «Financial Cybersecurity Risk Management : Leadership Perspectives and Guidance for Systems and Institutions» نوشتهٔ Paul Rohmeyer; Jennifer L Bayuk; Larry Ponemon، منتشرشده توسط نشر Apress : Imprint: Apress در سال 2019. این کتاب در فرمت pdf، زبان انگلیسی ارائه شده است.
در دنیای بههمپیوستهی مالی امروز، ریسکهای سایبری به یکی از چالشهای اصلی و سیستماتیک تبدیل شدهاند که امنیت مؤسسات و بازارها را تهدید میکنند. کتاب Financial Cybersecurity Risk Management نوشتهٔ پال رومیر (Paul Rohmeyer) و جنیفر ال. بایوک (Jennifer L. Bayuk)، با مقدمهای از دکتر لری پونمن (Larry Ponemon)، راهنمایی جامع برای مدیران و متخصصان حوزهٔ مالی است تا با دیدگاهی رهبرانه، پیچیدگیهای این تهدیدات را تحلیل کرده و برای مدیریت و کاهش ریسکهای سایبری چارچوبی مؤثر ایجاد کنند.
دربارهٔ کتاب —
کتاب حاضر که در سال ۲۰۱۹ توسط انتشارات Apress منتشر شده است، به دنبال پر کردن شکاف میان دانش فنی متخصصان امنیت سایبری و نیازهای راهبردی مدیران ارشد اجرایی و هیئتمدیره است. این کتاب با درک این واقعیت که امنیت سایبری در بخش مالی یک چالش ریسک سیستماتیک است، به تأثیر عمیقِ بههمپیوستگی سیستمها و بازارهای مالی بر امنیت سازمانی میپردازد. به عبارت دیگر، موفقیت یک سازمان در این حوزه به شدت تحت تأثیر سطح امنیتی شرکا، طرفهای معاملاتی و سایر سازمانهای خارجی قرار دارد که فضایی پویا و پرریسک را ایجاد میکند. این کتاب که در مجموعهٔ «سری مالی کمی» (Quantitative Finance Series) از مؤسسهٔ فناوری استیونز (Stevens Institute of Technology) منتشر شده، به مدیران کمک میکند تا چارچوبی برای ارتباط مؤثر با تیمهای فنی خود ایجاد کرده و بهترین راهکارها را برای مقابله با تهدیدات سایبری انتخاب کنند. ساختار کتاب بر اساس ده فصل کلیدی طراحی شده است که هر کدام به یک پرسش اساسی در مدیریت ریسک سایبری پاسخ میدهند. این فصول از «از چه میترسیم؟» و «آسیبپذیرترین نقاط ما کجاست؟» شروع شده و تا «هزینهٔ یک نفوذ چقدر است؟»، «احتمال وقوع آن چقدر است؟»، «چه کاری میتوانیم انجام دهیم؟» و در نهایت «چه درسی از وقایع تلخ گذشته میگیریم؟» ادامه مییابد. این رویکرد پرسشمحور، کتاب را به ابزاری عملی و گامبهگام برای تحلیل چالشهای سایبری تبدیل کرده است. محتوای کتاب طیف وسیعی از مباحث شامل تحلیل چشمانداز تهدیدات و آسیبپذیریهای بخش مالی، شیوهها و روشهای ارزیابی ریسک فناوری و تحلیل دادههای امنیت سایبری را در بر میگیرد. نویسندگان همچنین به جنبههای حاکمیتی، از جمله نقش هیئتمدیره و گزارشدهی ریسک به مدیران اجرایی، توجه ویژهای داشتهاند.
دربارهٔ نویسنده
پال رومیر (Paul Rohmeyer)، استاد و مدیر برنامهٔ کارشناسی ارشد در مؤسسهٔ فناوری استیونز (Stevens Institute of Technology) است. او بیش از دو دهه سابقهٔ ارائهٔ مشاورهٔ ارشد به مؤسسات مالی متعدد در حوزههای مدیریت ریسک و امنیت شبکه دارد و پیش از ورود به دانشگاه، سمتهای مدیریت فناوری اطلاعات را در شرکتهای بزرگی نظیر AXA Financial و SAIC/Bellcore بر عهده داشته است. رومیر دارای مدارک دکتری و کارشناسی ارشد در مدیریت اطلاعات، امبیای در مدیریت مالی و مدرک کارشناسی اقتصاد است و گواهینامههای معتبری مانند CGEIT (حاکمیت فناوری اطلاعات)، PMP (مدیریت پروژه) و NSA-IAM (ارزیابی امنیت اطلاعات) را نیز کسب کرده است. جنیفر ال. بایوک (Jennifer L. Bayuk)، نویسندهٔ دوم کتاب، یکی از متخصصان برجستهٔ مدیریت ریسک سایبری است. او سابقهٔ مدیریت ریسک فناوری در یک مؤسسهٔ مالی جهانی و همچنین سمت مدیر ارشد امنیت اطلاعات (CISO) در والاستریت را داشته است. بایوک دارای مدرک دکتری در مهندسی سیستمها و کارشناسی ارشد در علوم کامپیوتر است و تجربیات گستردهای به عنوان مشاور مدیریت ریسک اطلاعات، مدیر حسابرسی داخلی فناوری اطلاعات و معمار امنیتی دارد. او همچنین کتاب تأثیرگذار دیگری با عنوان Stepping Through Cybersecurity Risk Management نوشته است که به عنوان اثری بنیادین در حوزهٔ مدیریت ریسک سایبری شناخته میشود. دکتر لری پونمن (Larry Ponemon)، مقدمهنویس کتاب، بنیانگذار و رئیس مؤسسهٔ پژوهشی Ponemon Institute است که به پژوهشهای مستقل در زمینهٔ حفظ حریم خصوصی، حفاظت از دادهها و امنیت اطلاعات میپردازد. پونمن که به عنوان یکی از چهرههای تأثیرگذار در حوزهٔ امنیت شناخته میشود، سابقهٔ همکاری با نهادهای معتبری همچون کمیسیون تجارت فدرال ایالات متحده و وزارت امنیت داخلی را دارد.
چرا باید این کتاب را بخوانید؟
مطالعهٔ این کتاب، بینشها و ابزارهای کلیدی زیر را برای مخاطب به ارمغان میآورد:
تحلیل جامع چشمانداز تهدیدات: با جدیدترین تهدیدات و آسیبپذیریهایی که بخش مالی را تهدید میکنند، آشنا میشوید و درک عمیقی از ماهیت آنها پیدا میکنید.
بهبود شیوههای ارزیابی ریسک: روششناسیهای مؤثر و عملی برای ارزیابی ریسک فناوری و اولویتبندی سرمایهگذاریهای امنیتی فرا میگیرید.
تدوین استراتژیهای کارآمد: میآموزید که چگونه استراتژیهای مؤثری برای درمان ریسکهای شناساییشده در سیستمهای مالی طراحی کنید.
ارتقای قابلیتهای امنیت سایبری: با اصول کلیدی برای بهبود مستمر قابلیتهای امنیت سایبری در سراسر سازمان آشنا میشوید.
درک دیدگاههای حاکمیتی و هیئتمدیره: با انتظارات هیئتمدیره و مدیران ارشد از برنامههای امنیت سایبری و نحوهٔ گزارشدهی مؤثر به آنها آشنا میشوید.
استفاده از تجربیات رویدادهای واقعی: درسهای آموختهشده از رویدادهای سایبری واقعی را بررسی کرده و میآموزید که چگونه از آنها برای توسعهٔ معماریهای امنیتی مقاومتر استفاده کنید.
این کتاب برای چه کسانی مناسب است؟
این کتاب بهطور ویژه برای مدیران ارشد اجرایی، اعضای هیئتمدیره، مدیران ارشد امنیت اطلاعات (CISO) و مدیران ریسک در مؤسسات مالی، بانکها، شرکتهای بیمه و بازارهای سرمایه طراحی شده است. همچنین برای مشاوران مدیریت ریسک، حسابرسان فناوری اطلاعات و متخصصان امنیت سایبری که به دنبال درک بهتر ابعاد راهبردی و حاکمیتی این حوزه هستند، منبعی بسیار ارزشمند محسوب میشود. دانشجویان رشتههای مدیریت فناوری اطلاعات، مدیریت ریسک و امنیت سایبری نیز میتوانند از آن به عنوان یک مرجع معتبر برای آشنایی با چالشهای واقعی این حوزه بهره ببرند. با توجه به ساختار دهفصلی و زبان غیربسیار فنی، این کتاب برای مخاطبانی با پیشزمینهٔ کسبوکار و مدیریت نیز قابلاستفاده است و صرفاً به متخصصان فنی محدود نمیشود.
سوالات متداول
آیا مطالعهٔ این کتاب نیازمند دانش فنی عمیق در حوزهٔ امنیت سایبری است؟
این کتاب با هدف پر کردن شکاف میان دیدگاه فنی و مدیریتی نوشته شده است. اگرچه آشنایی پایه با مفاهیم امنیت سایبری مفید است، اما نویسندگان تلاش کردهاند تا مباحث را به گونهای ارائه دهند که برای مدیران و تصمیمگیرندگان غیرفنی نیز قابلدرک و کاربردی باشد. رویکرد پرسشمحور کتاب نیز به این امر کمک میکند.
آیا این کتاب بر روی یک استاندارد یا چارچوب امنیتی خاصی متمرکز است؟
کتاب مستقیماً به ترویج یک چارچوب خاص نمیپردازد، بلکه مجموعهای جامع از دیدگاهها، ابزارها و روشهای مدیریت ریسک سایبری را ارائه میدهد که در بخش مالی کاربرد دارند. با این حال، از استانداردهای نظارتی و صنعتی برای کمک به مدیریت ریسکهای بخش مالی استفاده میکند که این رویکردی انعطافپذیر و سازگار با محیطهای گوناگون است.
تفاوت اصلی این کتاب با سایر کتابهای مشابه چیست؟
نقطهٔ قوت اصلی این کتاب، تأکید آن بر جنبههای رهبری و حاکمیتی مدیریت ریسک سایبری است. در حالی که بسیاری از کتابهای مشابه بر جنبههای فنی متمرکز هستند، این اثر به مدیران کمک میکند تا درک درستی از ماهیت سیستماتیک و بههمپیوستهٔ ریسکهای سایبری در بخش مالی داشته باشند و چارچوبی برای تصمیمگیری و ارتباط مؤثر با ذینفعان مختلف، از تیم فنی تا هیئتمدیره، ایجاد کنند.
Understand critical cybersecurity and risk perspectives, insights, and tools for the leaders of complex financial systems and markets. This book offers guidance for decision makers and helps establish a framework for communication between cyber leaders and front-line professionals. Information is provided to help in the analysis of cyber challenges and choosing between risk treatment options.Financial cybersecurity is a complex, systemic risk challenge that includes technological and operational elements. The interconnectedness of financial systems and markets creates dynamic, high-risk environments where organizational security is greatly impacted by the level of security effectiveness of partners, counterparties, and other external organizations. The result is a high-risk environment with a growing need for cooperation between enterprises that are otherwise direct competitors. There is a new normal of continuous attack pressures that produce unprecedented enterprise threats that must be met with an array of countermeasures. __Financial Cybersecurity Risk Management__ explores a range of cybersecurity topics impacting financial enterprises. This includes the threat and vulnerability landscape confronting the financial sector, risk assessment practices and methodologies, and cybersecurity data analytics. Governance perspectives, including executive and board considerations, are analyzed as are the appropriate control measures and executive risk reporting. **What You’ll Learn** * Analyze the threat and vulnerability landscape confronting the financial sector * Implement effective technology risk assessment practices and methodologies * Craft strategies to treat observed risks in financial systems * Improve the effectiveness of enterprise cybersecurity capabilities * Evaluate critical aspects of cybersecurity governance, including executive and board oversight * Identify significant cybersecurity operational challenges * Consider the impact of the cybersecurity mission across the enterprise * Leverage cybersecurity regulatory and industry standards to help manage financial services risks * Use cybersecurity scenarios to measure systemic risks in financial systems environments * Apply key experiences from actual cybersecurity events to develop more robust cybersecurity architectures **Who This Book Is For** Decision makers, cyber leaders, and front-line professionals, including: chief risk officers, operational risk officers, chief information security officers, chief security officers, chief information officers, enterprise risk managers, cybersecurity operations directors, technology and cybersecurity risk analysts, cybersecurity architects and engineers, and compliance officers Understand critical cybersecurity and risk perspectives, insights, and tools for the leaders of complex financial systems and markets. This book offers guidance for decision makers and helps establish a framework for communication between cyber leaders and front-line professionals. Information is provided to help in the analysis of cyber challenges and choosing between risk treatment options. Financial cybersecurity is a complex, systemic risk challenge that includes technological and operational elements. The interconnectedness of financial systems and markets creates dynamic, high-risk environments where organizational security is greatly impacted by the level of security effectiveness of partners, counterparties, and other external organizations. The result is a high-risk environment with a growing need for cooperation between enterprises that are otherwise direct competitors. There is a new normal of continuous attack pressures that produce unprecedented enterprise threats that must be met with an array of countermeasures. Financial Cybersecurity Risk Management explores a range of cybersecurity topics impacting financial enterprises. This includes the threat and vulnerability landscape confronting the financial sector, risk assessment practices and methodologies, and cybersecurity data analytics. Governance perspectives, including executive and board considerations, are analyzed as are the appropriate control measures and executive risk reporting. What You’ll Learn Analyze the threat and vulnerability landscape confronting the financial sector Implement effective technology risk assessment practices and methodologies Craft strategies to treat observed risks in financial systems Improve the effectiveness of enterprise cybersecurity capabilities Evaluate critical aspects of cybersecurity governance, including executive and board oversight Identify significant cybersecurity operational challenges Consider the impact of the cybersecurity mission across the enterprise Leverage cybersecurity regulatory and industry standards to help manage financial services risks Use cybersecurity scenarios to measure systemic risks in financial systems environments Apply key experiences from actual cybersecurity events to develop more robust cybersecurity architectures Who This Book Is For Decision makers, cyber leaders, and front-line professionals, including: chief risk officers, operational risk officers, chief information security officers, chief security officers, chief information officers, enterprise risk managers, cybersecurity operations directors, technology and cybersecurity risk analysts, cybersecurity architects and engineers, and compliance officers Table of Contents 5 About the Authors 10 Series Editor’s Foreword 12 Foreword 17 Acknowledgments 19 Chapter 1: What Are We Afraid Of? 20 Understanding the Threat Environment 20 Overview of the Risk Landscape 21 Understanding the Adversary 22 Threat Categories for Financial Organizations 25 That’s Where the Money Is–Theft of Funds 25 Information Is Power–Theft of Data 26 Clogging Up the Works–Threats of Disruption 28 Facing the Threats 30 Threat Intelligence 31 Threat Modeling 32 Implementation 34 Moving Ahead 36 Notes 37 Chapter 2: Where Are We Vulnerable? 39 Cybersecurity Weaknesses 39 Technology Vulnerabilities 40 New Technologies 45 Human Vulnerability Dimensions 47 An Illustration: Business E-mail Compromise 50 Understanding the Consequences 52 Moving Ahead 64 Notes 64 Chapter 3: What Would a Breach Cost Us? 67 Risk Quantification 67 Scenario Creation 72 Scenario Selection 76 Cost Estimation 80 Moving Ahead 88 Notes 88 Chapter 4: What Are the Odds? 90 Plausible Deniability 90 Cybersecurity Risk As Operational Risk 92 Shortage of Sufficient Historical Data 95 Probabilities Driven by Vulnerabilities 99 The Next Evolution 108 Moving Ahead 117 Notes 118 Chapter 5: What Can We Do? 122 Risk Treatment Across the Organization 123 Avoidance 123 Reduction 124 Transfer 128 Acceptance 131 Risk Treatment Across the Enterprise Architecture 132 Executing on Risk Treatment Decisions 135 Validating Effectiveness in Execution 138 Moving Ahead 140 Notes 141 Chapter 6: How Do I Manage This? 142 Governance Operating Model 143 Cybersecurity Risk Appetite 150 Cybersecurity Performance Objectives 157 Moving Ahead 171 Notes 171 Chapter 7: Should This Involve the Whole Organization? 174 Architectural View 175 Enterprise Capabilities 185 Monitoring and Reporting 193 Metrics 201 Moving Ahead 206 Notes 207 Chapter 8: How Can We Improve Our Capabilities? 210 Build a Learning Organization 211 Improve the Quality of Risk Assessments 214 Use Organizational Knowledge 220 Take Action Based on the Risk Assessment 222 Build Situational Awareness 224 Conduct Realistic Drills, Tests, and Games 228 Design of Technical Tests 232 Move from Controls-Thinking to Capabilities-Thinking 234 Moving Ahead 236 Notes 237 Chapter 9: What Can We Learn From Losses? 240 Breaches Provide the Context That Standards Lack 241 Technology-Focused Resilience Is Just the Beginning 242 The Learning Organization Revisited 243 Easier Said Than Done 244 AntiFragile 245 Learn, Study Mistakes, and Learn Again 248 Moving Ahead 249 Notes 250 Chapter 10: So What’s Next? 252 Complexity and Interconnectedness 252 Potential Cybersecurity Implications 257 Emerging Standards 260 Notes 265 Index 268 Financial cybersecurity is a complex, systemic risk challenge that includes technological and operational elements. The interconnectedness of financial systems and markets creates dynamic, high-risk environments where organizational security is greatly impacted by the level of security effectiveness of partners, counterparties, and other external organizations. The result is a high-risk environment with a growing need for cooperation between enterprises that are otherwise direct competitors. There is a new normal of continuous attack pressures that produce enterprise threats that must be met with an array of countermeasures. This book explores a range of cybersecurity topics impacting financial enterprises, including the threat and vulnerability landscape confronting the financial sector, risk assessment practices and methodologies, and cybersecurity data analytics. Governance perspectives, including executive and board considerations, are analyzed as are the appropriate control measures and executive risk reporting.-- From publisher's description Front Matter ....Pages i-xxi What Are We Afraid Of? (Paul Rohmeyer, Jennifer L. Bayuk)....Pages 1-19 Where Are We Vulnerable? (Paul Rohmeyer, Jennifer L. Bayuk)....Pages 21-48 What Would a Breach Cost Us? (Paul Rohmeyer, Jennifer L. Bayuk)....Pages 49-71 What Are the Odds? (Paul Rohmeyer, Jennifer L. Bayuk)....Pages 73-104 What Can We Do? (Paul Rohmeyer, Jennifer L. Bayuk)....Pages 105-124 How Do I Manage This? (Paul Rohmeyer, Jennifer L. Bayuk)....Pages 125-156 Should This Involve the Whole Organization? (Paul Rohmeyer, Jennifer L. Bayuk)....Pages 157-192 How Can We Improve Our Capabilities? (Paul Rohmeyer, Jennifer L. Bayuk)....Pages 193-222 What Can We Learn From Losses? (Paul Rohmeyer, Jennifer L. Bayuk)....Pages 223-234 So What’s Next? (Paul Rohmeyer, Jennifer L. Bayuk)....Pages 235-250 Back Matter ....Pages 251-259