Grupe: Cybersecurity treba kretati izvan IT problema

Mnoge tvrtke trebaju proširiti broj unutarnjih odjela koji se usredotočuju na sigurnost kibernetike izvan IT-a, s interdisciplinarnom skupinom na čelu s glavnim financijskim službenikom posvećenom procjeni i smanjenju cyber-rizika, prema novom izvješću objavljenom u ponedjeljak. > Dok IT odjel bi trebao ostati glavni igrač u naporima cybersecuritya, CFO i pravni, menadžment rizika, ljudski resursi, odnosi s javnošću i ostali odjeli moraju biti uključeni u odluke o riziku prije nego što se kršenja cybersecurity dogode, navodi se u izvješću. Izdana je od strane Internet Security Alliance (ISA) i američkog nacionalnog instituta za standarde (ANSI), neprofitne skupine koja je usredotočena na postavljanje standarda za američke industrije.

Dvije trgovinske skupine objavile su izvješće "Financijski učinak cyber rizika, "kroz niz radionica u kojima je sudjelovalo više od 30 organizacija. Sudionici su predstavljali perspektive nekoliko korporativnih odjela, a među uključenim organizacijama bili su IBM, Lockheed Martin, Crimson Security, State Farm Insurance, Institut za programiranje inženjera Sveučilišta Carnegie Mellon i američki odjeli pravosuđa, trgovine i domovinske sigurnosti.

"Pouka koju je ova radionica brzo naučila bila je činjenica da je kibernetska sigurnost, koju su neke tvrtke tradicionalno promatrale kao IT problem, nije samo IT problem", rekao je Ty Sagalow, predsjednik razvoja proizvoda za opće osiguranje u American International Group (AIG) i voditelj radionice. "Baš kao što to nije samo pravno pitanje koje mora riješiti generalni savjetnik, baš kao što to nije samo pitanje ugleda ili komunikacijsko pitanje koje treba riješiti voditeljica odnosa s javnošću".

Izvješće pod naslovom " 50 pitanja koja bi svaki financijski direktor trebao tražiti ", preporučuje da se poslovni financijski rukovoditelji snažno uključe u fokusiranje na cyber-rizik ako to već nisu. CFO-i su u poziciji da vide veliku sliku i proračun za povećanu IT potrošnju, ako je potrebno, ili osiguravanje cybersecurity osiguranja ili više resursa u drugim odjelima, rekao je Sagalow. Osim toga, financijski rukovoditelji trebaju razumjeti potencijalne financijske rizike zbog kršenja ili propuštanja, kazao je.

Upitan hoće li neki CIO-i ili odjeli za informatičke odjele vidjeti veću uključenost CFO-a i drugih odjela, kako se utječu na svoje travnjake, članovi radne skupine koji su proizveli izvješće, rekli su da ne bi trebali. Mnogi IT odjeli već prepoznaju da su oni samo dio rješenja za probleme u cybersecurityu, izjavio je Edward Stull, softverski arhitekt za izravan računalni resurs i predsjednik skupine najboljih dobara za IT sigurnost za Međunarodni odbor za informatičke tehnologije.

Mnogi IT odjeli su nedovoljno financirani, dodao je Larry Clinton, predsjednik ISA-e. Povećana pažnja od CFO-a mogla bi rezultirati dodatnim financiranjem i dodatnim usredotočenjem na IT potrebe, kazao je.

Možda je očigledno zašto izvješće preporučuje da pravni i odjeli za odnose s javnošću budu uključeni u donošenje internetskih odluka. No, čak i ljudski resursi imaju ulogu, budući da se procjenjuje da 70 posto kršenja proizlazi iz organizacije, rekao je Stull.

Među pitanjima koja bi trebala tražiti voditelje odjela, prema izvješću:

tvrtka je analizirala naše kiberilnosti?

- Koji je potencijal za nas da imamo ime u klasičnim tužbama nakon kršenja?

- Postoje li valjani razlozi za prikupljanje osobnih podataka?

- Što je naša najveća cybervulnerability?

- Imamo dokumentirani i proaktivni plan komunikacije krize?

Godišnji ekonomski učinak cyberattacksa u SAD-u iznosi oko 226 milijardi dolara, prema procjeni iz Kongresne službe za istraživanje u 2004. godini. Vrijeme je da tvrtke gledaju na sigurnost kibernetike na novi način, s više odjela uključenih u taj problem, izjavio je članovi radne skupine za izvješća. "Ako tvrtke pogledaju cybersecurity kao isključivo IT problem, onda nećemo biti sigurni koliko i mi možemo", rekao je Sagalow.ISA i ANSI vjeruju da izvješće odražava novi način gledanja na cybersecurity i cyberrisk, dodao je.

"Cybersecurity nije IT problem", dodala je Clinton. "To je problem upravljanja cijelim poduzećem koji utječe na svaki aspekt organizacije."