Grupper: Cybersecurity trenger å bevege seg utenfor en IT-utgave

Mange bedrifter trenger å utvide antall interne avdelinger som fokuserer på cybersikkerhet utover IT, med en tverrfaglig gruppe ledet av finansdirektør dedikert til å vurdere og redusere cyberrisk, ifølge en ny rapport utgitt mandag.

Mens IT-avdelingen skal forbli en viktig aktør i sikkerhetsarbeidet, må CFO og juridisk, risikostyring, menneskelige ressurser, PR og andre avdelinger være involvert i beslutninger om risiko før cybersikkerhetsbrudd skje, sier rapporten. Det ble utgitt av Internet Security Alliance (ISA) og American National Standards Institute (ANSI), en ideell gruppe fokusert på å sette standarder for amerikanske næringer.

De to handelsgruppene ga ut rapporten, "The Financial Impact of Cyber ​​Risk, "gjennom en serie workshops hvor mer enn 30 organisasjoner deltok. Deltakerne representerte perspektiver for flere bedriftsavdelinger, og blant de involverte organisasjonene var IBM, Lockheed Martin, Crimson Security, State Farm Insurance, Carnegie Mellon Universitys Software Engineering Institute, og US Department of Justice, Commerce and Homeland Security.

Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

"Lærdommen som denne workshopen lærte raskt var at cybersikkerhet, som tradisjonelt er sett av noen selskaper som et IT-problem, ikke bare er et IT-problem," sa Ty Sagalow, president for produktutvikling for generell forsikring hos American International Group (AIG) og verkstedsleder. "På samme måte som det ikke bare er et juridisk problem som skal løses av generalsekretæren, akkurat som det ikke bare er et rykteproblem eller et kommunikasjonsproblem som skal løses av lederen av PR."

Rapporten, under overskriften " 50 spørsmål hver finansdirektør bør spørre, "anbefaler at CFOer i næringslivet blir sterkt involvert i å fokusere på cyberrisk hvis de ikke allerede er. Finansdirektørene er i stand til å se det store bildet og budsjettet for økt IT-utgifter, om nødvendig, eller cybersikkerhetsforsikring eller flere ressurser i andre avdelinger, sa Sagalow. I tillegg må økonomidirektørene forstå de potensielle økonomiske risikoene for brudd eller lekkasje, sa han.

Spurt om noen CIO'er eller IT-avdelingshofer ville se økt involvering fra finansdirektører og andre avdelinger som innblanding på deres torv, medlemmer av arbeidsstyrken som produserte rapporten sa de ikke burde. Mange IT-avdelinger anerkjenner allerede at de bare er en del av løsningen på cybersikkerhetsproblemer, sier Edward Stull, en programvarearkitekt for Direct Computer Resources, og leder av en IT-sikkerhet best practices gruppe for International Committee on Information Technology Standards.

Mange IT-avdelinger er underfinansiert, legger Larry Clinton, ISAs president. Økt oppmerksomhet fra økonomidirektøren kan resultere i tilleggsfinansiering og et ytterligere fokus på IT-behov, sa han.

Det kan være åpenbart hvorfor rapporten anbefaler at juridiske og PR-avdelingene blir involvert i nettbaserte beslutninger. Men selv menneskelige ressurser har en rolle å spille, ettersom anslagsvis 70 prosent av bruddene kommer fra innsiden av organisasjonen, sier Stull.

Blandt spørsmålene bør finansdirektørene spørre avdelingshofer, ifølge rapporten:

- Har Selskapet analyserte våre cyberliabilities?

- Hva er potensialet for at vi skal bli navngitt i søksmål etter et brudd?

- Er det gyldige grunner til at vi samler inn personlig informasjon?

- Hva er det Vår største cybervulnerability?

- Har vi en dokumentert og proaktiv krise kommunikasjonsplan?

Den årlige økonomiske virkningen av cyberattacks i USA er om lag 226 milliarder dollar, ifølge et 2004-estimat fra Congressional Research Service. Det er på tide for bedrifter å se på cybersikkerhet på en ny måte, med flere avdelinger involvert i problemet, sa medlemmer av rapportens arbeidsstyrke. "Hvis selskaper ser cybersikkerhet ut som et IT-problem, så kommer vi ikke til å være så sikre som vi kan være," sa Sagalow.

ISA og ANSI mener at rapporten viser en ny måte å se på cybersikkerhet og cyberrisk, la han til.

"Cybersecurity er ikke et IT-problem," tilføyte Clinton. "Det er et bedriftens brede risikostyringsproblem som påvirker alle aspekter av organisasjonen."