Grupy: Cyberbezpieczeństwo musi wyjść poza problem IT

Wiele firm musi zwiększyć liczbę wewnętrznych działów, które koncentrują się na cyberbezpieczeństwie wykraczającym poza IT, z interdyscyplinarną grupą kierowaną przez dyrektora finansowego zajmującego się oceną i ograniczaniem cyberprzestępczości, zgodnie z nowym raportem opublikowanym w poniedziałek.

Chociaż dział IT powinien nadal odgrywać ważną rolę w działaniach związanych z bezpieczeństwem cybernetycznym, w raporcie napisano, że dyrektor finansowy i dział prawny, zarządzanie ryzykiem, zasoby ludzkie, public relations i inne działy muszą być zaangażowane w podejmowanie decyzji dotyczących ryzyka przed wystąpieniem cyberbezpieczeństwa. Został wydany przez Internet Security Alliance (ISA) i American National Standards Institute (ANSI), grupę non-profit skupiającą się na wyznaczaniu standardów dla amerykańskich branż.

Dwie grupy handlowe opublikowały raport "Finansowy wpływ cyberbezpieczeństwa", "poprzez serię warsztatów, w których uczestniczyło ponad 30 organizacji. Uczestnicy reprezentowali perspektywy kilku działów korporacyjnych, a wśród zaangażowanych organizacji byli: IBM, Lockheed Martin, Crimson Security, State Farm Insurance, Software Engineering Institute Carnegie Mellon University oraz Departament Sprawiedliwości, Handlu i Bezpieczeństwa Wewnętrznego USA.

[Więcej informacji: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

"Lekcja, którą szybko przekonały się te warsztaty, była taka, że ​​cyberbezpieczeństwo, które tradycyjnie postrzegane jest przez niektóre firmy jako problem IT, nie jest tylko problemem informatycznym" - powiedział Ty Sagalow, prezes ds. Rozwoju produktów w zakresie ubezpieczeń ogólnych w American International Group (AIG) i lidera warsztatu. "Tak jak nie jest to kwestia prawna do rozwiązania przez głównego doradcę, tak jak nie jest to tylko kwestia reputacji lub kwestia komunikacji, którą powinien rozwiązać szef public relations."

Raport podtytuł " 50 pytań, które powinien zadać każdy dyrektor finansowy, "zaleca, aby dyrektorzy finansowi firmy silnie angażowali się w skupianie się na cyber ryzyku, jeśli jeszcze tego nie zrobili. Dyrektorzy finansowi są w stanie zobaczyć duży obraz i budżet na zwiększenie wydatków na IT, jeśli jest taka potrzeba, lub ubezpieczenie cybernetyczne lub więcej zasobów w innych działach, powiedział Sagalow. Co więcej, dyrektorzy finansowi muszą rozumieć potencjalne ryzyko finansowe związane z naruszeniami lub wyciekami, powiedział.

Zapytany, czy niektórzy dyrektorzy ds. Informatyki lub szefowie działów informatycznych zauważyliby większe zaangażowanie dyrektorów finansowych i innych działów, jak wkraczają na ich teren, członkowie grupy roboczej które stworzyły raport, powiedziały, że nie powinny. Wiele działów IT zdaje sobie sprawę, że są one tylko częścią rozwiązania problemów związanych z cyberbezpieczeństwem, powiedział Edward Stull, architekt oprogramowania dla Direct Computer Resources i przewodniczący grupy najlepszych praktyk bezpieczeństwa IT dla Międzynarodowego Komitetu ds. Standardów Informacyjnych.

Wiele działów IT jest niedofinansowanych, dodał Larry Clinton, prezes ISA. Większa uwaga ze strony dyrektora finansowego może doprowadzić do dodatkowych funduszy i dodatkowego skupienia się na potrzebach informatycznych.

Może być oczywiste, dlaczego w raporcie zaleca się, aby działy prawne i public relations były zaangażowane w decyzje dotyczące cyberbezpieczeństwa. Ale nawet zasoby ludzkie mają do odegrania pewną rolę, ponieważ szacuje się, że 70 proc. Naruszeń pochodzi z wewnątrz organizacji, powiedział Stull.

Wśród pytań, na które dyrektorzy finansowi powinni pytać szefów departamentów, zgodnie z raportem:

- Czy firma przeanalizowała naszą cyberpodatność?

- Jaki potencjał możemy nazwać w pozwach zbiorowych po naruszeniu?

- Czy istnieją uzasadnione powody, dla których gromadzimy dane osobowe?

- Co to jest nasza największa cyberwskazliwość?

- Czy mamy udokumentowany i proaktywny plan komunikacji kryzysowej?

Roczny wpływ cyberataków na gospodarkę w Stanach Zjednoczonych wynosi około 226 miliardów dolarów, według szacunków z 2004 r. z Congressional Research Service. Nadszedł czas, aby firmy spojrzały na cyberbezpieczeństwo w nowy sposób, a wiele działów zaangażowało się w tę kwestię, powiedzieli członkowie grupy roboczej ds. Raportów. "Jeśli firmy postrzegają cyberbezpieczeństwo wyłącznie jako problem informatyczny, nie będziemy tak bezpieczni, jak tylko możemy być" - powiedział Sagalow.

ISA i ANSI uważają, że raport odzwierciedla nowy sposób spojrzenia na cyberbezpieczeństwo i cyberskryt, dodał.

"Cyberbezpieczeństwo nie jest problemem IT," dodał Clinton. "Jest to problem zarządzania ryzykiem w skali całego przedsiębiorstwa, który dotyczy każdego aspektu organizacji."