Una cyber resilience efficace deve essere una strategia aziendale basata sul rischio e supportata da iniziative coordinate. È essenziale avere un approccio collaborativo guidato dai dirigenti verso tutti i componenti dell'ecosistema, i partner, i partecipanti alla supply chain e i clienti. Deve gestire in modo proattivo i rischi, le minacce, le vulnerabilità e gli effetti sulle informazioni critiche e sugli asset di supporto, rafforzando al contempo la preparazione generale.
Una cyber resilience di successo implica anche la governance, la gestione del rischio, la comprensione della proprietà dei dati e la gestione degli incidenti. La valutazione di queste caratteristiche richiede anche esperienza e capacità di giudizio.
Inoltre, un'organizzazione deve bilanciare i rischi informatici con le opportunità realizzabili e i vantaggi competitivi. Deve valutare se una prevenzione economicamente vantaggiosa sia fattibile e se, invece, può rilevare e correggere rapidamente, con un buon effetto a breve termine sulla cyber resilience.
Per farlo, un'azienda deve trovare il giusto equilibrio tra tre tipi di controlli: preventivi, correttivi e di rilevamento. Questi controlli impediscono, correggono e rilevano gli incidenti che minacciano la cyber resilience di un'organizzazione.