A FRAMEWORK FOR ASSESSING CYBER RESILIENCE

A Report for the World Economic Forum
Prepared by: Brianna Keys, Aashish Chhajer, Zilong Liu, and Daniel Horner
Dr. Stuart Shapiro, supervising
April 28, 2016

 

Executive Summary

Cyber resilience is of growing importance in our hyperconnected world, no longer relegated to simply the concerns of IT Departments. Cyber resilience is more than just about cybersecurity. It incorporates business practices and entails being able to absorb attacks, recover from them, and restore business operations as quickly as possible. At its annual meeting in Davos in 2011, the World Economic Forum (Forum) established a project, Partnering for Cyber Resilience, to promote resilience throughout the global economy. The next phase of this project includes conducting a comparative assessment of resilience across industries and sectors. Our report seeks to set the foundation for that global assessment.
After reviewing frameworks and standards created by public sector organizations and academics, we adapted a comprehensive set of metrics that we believe can effectively measure cyber resilience across industries and sectors. The framework is based on Linkov et al and supplemented with the National Institute of Standards and Technology’s (NIST) Framework for Improving Critical Infrastructure Cybersecurity. The shell of the matrix can be seen below. The columns are the National Academy of Sciences’ categories of disaster resilience, with the addition of “Detect” from the NIST framework. The rows are the operational domains of the Network-Centric Warfare doctrine. The cells contain a total of 72 metrics, interrelated and interdependent, that seek to measure different components of cyber resilience.

 

 

We developed a set of recommendations for best practices for ten of the metrics from our framework. The metrics were chosen by the Forum and our team as some of the top priorities for becoming cyber resilient. The best practices outlined seek to guide organizations to evaluate existing policies and/or develop new protocols in an effort to become cyber resilient.
PricewaterhouseCoopers’ Global State of Information Security Survey (GSISS) is an annual global survey, now in its 18th year, that polls more than 10,000 executives from companies of all sizes and across industries and sectors in 127 countries. We matched the GSISS questions to nearly half of the metrics in our framework, proving the survey to be a potential data source to measure cyber resilience.
The “Physical” and “Information” rows, as well as the “Absorb” and “Adapt to” columns contained the most metrics that could not be measured by the GSISS. Thus, to fill in the gaps left after applying the GSISS to our framework, we developed a supplementary questionnaire that could be used in conjunction with the GSISS to assess resilience.
Our biggest challenge throughout this project was facing limitations on access to the data necessary to assess cyber resilience. While many organizations do collect data on threats and security incidents, they are understandably reluctant to make that data public, which made quantitative analyses impossible. Ideally we would have been able to examine data from a variety of industries across all sectors; however the developing nature of the field coupled with concerns of privacy and propriety regarding risk and incident data ultimately limited the scope of our assessment.
Moving forward, we believe that information sharing will be key to increasing cyber resilience. Of the Forum’s key principles in Partnering for Cyber Resilience, first and foremost is recognition of interdependence. This recognition entails acknowledging that in our hyperconnected world, the system is only as strong as the weakest link. In order to strengthen cybersecurity and increase cyber resilience, data must be made available to those working toward that goal. We also encourage further collection of more varied data through surveys such as the GSISS and our supplementary questionnaire.

 

 

---

사이버 복원력은 더 이상 단순히 IT 부서의 관심사로 밀려나지 않고 초연결된 우리 세계에서 점점 더 중요해지고 있다. 사이버 복원력은 단순히 사이버 보안에 관한 것이 아니다. 비즈니스 관행을 통합하고 공격을 최대한 신속하게 흡수하고 복구하며 비즈니스 운영을 복구할 수 있는 것을 의미한다. 세계경제포럼(포럼)은 2011년 다보스 연차총회에서 글로벌 경제 전반에 걸쳐 복원력을 증진하기 위한 프로젝트 'Partnering for Cyber Resilience'를 설립했다. 이 프로젝트의 다음 단계는 산업과 부문에 걸쳐 복원력을 비교 평가하는 것이다. 우리 보고서는 그러한 글로벌 평가의 토대를 마련하고자 한다.
공공 부문 조직과 학계가 만든 프레임워크와 표준을 검토한 후, 우리는 산업과 부문 전반에 걸쳐 사이버 복원력을 효과적으로 측정할 수 있다고 믿는 포괄적인 메트릭 세트를 채택했다. 이 프레임워크는 Linkov et al.을 기반으로 하며 미국 국립표준기술연구소(NIST)의 사이버 보안 개선 프레임워크를 보완했다. 매트릭스의 쉘은 아래에서 볼 수 있다. 열은 NIST 프레임워크에서 "Detect"를 추가한 미국 국립과학원의 재해 복원력 범주이다. 행은 네트워크 중심 전쟁 교리의 운영 도메인이다. 셀에는 사이버 복원력의 다양한 구성 요소를 측정하려는 상호 관련 및 상호 의존적 총 72개의 메트릭이 포함되어 있다.

우리는 우리의 프레임워크에서 10개의 메트릭에 대한 베스트 프랙티스에 대한 권장 사항을 개발했다. 포럼과 우리 팀은 메트릭을 사이버 복원력을 높이기 위한 최우선 과제로 선정했다. 요약된 베스트 프랙티스는 사이버 복원력을 높이기 위해 조직이 기존 정책을 평가하거나 새로운 프로토콜을 개발하도록 안내하는 것을 목표로 한다.
프라이스워터하우스쿠퍼스의 글로벌 정보보안 실태조사(GSISS)는 18년째를 맞는 연례 글로벌 설문조사로 127개국의 모든 규모의 기업과 산업 및 부문에 걸쳐 10,000명 이상의 경영진을 대상으로 설문조사를 실시한다. 우리는 GSISS 질문을 우리 프레임워크의 메트릭의 거의 절반과 일치시켜 이번 설문조사가 사이버 복원력을 측정할 수 있는 잠재적인 데이터 소스임을 입증했다.
"물리적"과 "정보" 행, "흡수"와 "적응" 열은 GSISS에서 측정할 수 없는 가장 많은 지표를 포함하고 있었다. 따라서 GSISS를 프레임워크에 적용한 후 남은 공백을 메우기 위해 GSISS와 함께 복원력을 평가할 수 있는 보완 설문지를 개발했다.
이 프로젝트를 수행하는 동안 우리가 직면한 가장 큰 과제는 사이버 복원력을 평가하는 데 필요한 데이터에 대한 접근의 한계였다. 많은 조직이 위협과 보안 사고에 대한 데이터를 수집하지만, 당연히 그 데이터를 공개하는 것을 꺼리기 때문에 정량적 분석이 불가능했다. 이상적으로 우리는 모든 부문에 걸쳐 다양한 산업의 데이터를 조사할 수 있었을 것이다. 그러나 위험 및 사고 데이터에 대한 개인 정보 보호 및 적정성에 대한 우려와 함께 이 분야의 발전적 특성으로 인해 궁극적으로 평가 범위가 제한되었다.
앞으로 우리는 정보 공유가 사이버 복원력을 높이는 데 핵심이 될 것이라고 믿는다. 사이버 복원력 파트너링 포럼의 핵심 원칙 중 가장 우선적인 것은 상호 의존성에 대한 인식이다. 이러한 인식은 초연결 세계에서 시스템이 가장 약한 링크만큼만 강력하다는 것을 인정하는 것을 의미한다. 사이버 보안을 강화하고 사이버 복원력을 높이기 위해서는 그 목표를 향해 일하는 사람들이 데이터를 이용할 수 있도록 해야 한다. 또한 GSISS와 같은 설문조사와 추가 설문조사를 통해 더 다양한 데이터를 수집할 것을 권장한다.