Grupper: Cybersecurity Behov for at bevæge sig ud over en it-udgave

Mange virksomheder skal udvide antallet af interne afdelinger, der fokuserer på cybersikkerhed ud over IT, med en tværfaglig gruppe ledet af finanschefen dedikeret til at vurdere og reducere cyberrisk, ifølge en ny rapport, der blev udgivet mandag.

Selv om it-afdelingen skal forblive en vigtig aktør inden for cybersikkerhedsindsats, skal økonomidirektøren og den juridiske, risikostyring, menneskelige ressourcer, PR og andre afdelinger være involveret i beslutninger om risiko inden cybersikkerhedsbrud sker, siger rapporten. Den blev udgivet af Internet Security Alliance (ISA) og American National Standards Institute (ANSI), en nonprofitgruppe med fokus på at sætte standarder for amerikanske industrier.

De to handelsgrupper udgav rapporten "Cyber ​​Riskens økonomiske konsekvenser, "gennem en række workshops hvor mere end 30 organisationer deltog. Deltagerne repræsenterede perspektiverne for flere virksomhedsafdelinger, og blandt de involverede organisationer var IBM, Lockheed Martin, Crimson Security, State Farm Insurance, Carnegie Mellon University's Software Engineering Institute og de amerikanske justits-, handels- og hjemlandssikkerhedsdepartementer.

Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

"Den lektion, som denne workshop lærte hurtigt var, at cybersikkerhed, som traditionelt er set af nogle virksomheder som et IT-problem, ikke kun er et it-problem," sagde Ty Sagalow, formand for produktudvikling for generel forsikring hos American International Group (AIG) og værkstedslederen. "Ligesom det er ikke bare et juridisk spørgsmål, der skal løses af den generelle rådgiver. Ligesom det er ikke bare et ry-problem eller et kommunikationsspørgsmål, der skal løses af lederen af ​​PR."

Rapporten, under overskriften " 50 spørgsmål hver finansdirektør skal spørge, "anbefaler, at erhvervslivets økonomidirektører bliver stærkt involveret i at fokusere på cyberrisk, hvis de ikke allerede er. CFO'er er i stand til at se det store billede og budget for øget it-udgifter, om nødvendigt, eller cybersecurity forsikring eller flere ressourcer i andre afdelinger, Sagalow sagde. Derudover skal økonomidirektørerne forstå de potentielle økonomiske risici for overtrædelser eller lækager, sagde han.

Spurgt, om nogle CIO'er eller it-afdelingsleder ville se øget engagement fra økonomidirektører og andre afdelinger som indgreb på deres torv, medlemmer af taskforcen der producerede rapporten sagde, at de ikke burde. Mange IT-afdelinger erkender allerede, at de kun er en del af løsningen på cybersikkerhedsproblemer, siger Edward Stull, en softwarearkitekt for Direct Computer Resources og formand for en IT-sikkerheds bedste praksisgruppe for International Committee on Information Technology Standards.

Mange IT-afdelinger er underfinansieret, tilføjede Larry Clinton, ISAs præsident. Øget opmærksomhed fra økonomidirektøren kunne resultere i yderligere finansiering og et yderligere fokus på it-behov, sagde han.

Det kan være indlysende, hvorfor rapporten anbefaler, at juridiske og PR-afdelinger er involveret i cyberriske beslutninger. Men selv menneskelige ressourcer har en rolle at spille, da det anslås, at 70 procent af overtrædelserne kommer fra indersiden af ​​organisationen, siger Stull.

Blandt spørgsmålene bør økonomidirektørerne spørge afdelingschefer i henhold til rapporten:

Virksomheden analyserede vores cyberliabilities?

- Hvad er muligheden for at blive navngivet i retssager efter klageadgang?

- Er der gyldige grunde til at vi indsamler personlige oplysninger?

- Hvad er der vores største cybervulnerability?

- Har vi en dokumenteret og proaktiv krisekommunikationsplan?

Den årlige økonomiske virkning af cyberattacks i USA er omkring 226 mia. USD, ifølge et 2004-skøn fra Congressional Research Service. Det er på tide for virksomhederne at kigge på cybersikkerhed på en ny måde, med flere afdelinger involveret i problemet, sagde medlemmer af rapporten task force. "Hvis virksomheder ser cybersikkerhed som udelukkende et it-problem, så vil vi ikke være så sikre som vi kan være," sagde Sagalow.

ISA og ANSI mener, at rapporten afspejler en ny måde at se på cybersikkerhed og cyberrisk, tilføjede han.

"Cybersecurity er ikke et it-problem," tilføjede Clinton. "Det er et virksomhedsorienteret risikostyringsproblem, der berører alle aspekter af organisationen."