Skupiny: Cybersecurity potřebuje přesunout se po IT problému

Mnoho podniků musí rozšířit počet interních oddělení, které se zaměřují na počítačovou bezpečnost mimo IT, s interdisciplinární skupinou vedenou finančním ředitelem, který se zabývá hodnocením a snižováním kybernetické kriminality, podle nové zprávy zveřejněné v pondělí. > Zatímco IT oddělení by mělo zůstat významným hráčem v úsilí v oblasti kybernetické bezpečnosti, finanční ředitel a právní, řízení rizik, lidské zdroje, vztahy s veřejností a další útvary musí být zapojeny do rozhodování o riziku, než dojde k narušení bezpečnosti počítačové bezpečnosti. To bylo vydáno Internet Security Alliance (ISA) a Americkým národním normalizačním institut (ANSI), nezisková skupina zaměřená na stanovení standardů pro americké průmyslové odvětví.

Dvě obchodní skupiny vydaly zprávu "Finanční dopady kybernetického rizika, "prostřednictvím série workshopů, na kterých se zúčastnilo více než 30 organizací. Účastníci představovali perspektivy několika firemních oddělení a mezi zúčastněnými organizacemi byly IBM, Lockheed Martin, Crimson Security, Státní zemědělská pojišťovna, Institut softwarového inženýrství Carnegie Mellon University a Ministerstvo spravedlnosti, obchodu a vnitřní bezpečnosti USA.

Další informace: Jak odstranit malware z počítače se systémem Windows

"Lekce, kterou se tento workshop rychle naučil, bylo, že kybernetická bezpečnost, kterou tradičně považují některé společnosti za problém IT, není jen problém IT," uvedl Ty Sagalow, prezident vývoje produktů pro všeobecné pojištění v American International Group (AIG) a vůdce workshopu. "Stejně jako to není jen právní záležitost, kterou by měl vyřešit generální poradce. Stejně jako to není jen otázka pověsti nebo komunikace, která by měla řešit vedoucí oddělení pro styk s veřejností."

Zpráva s názvem " 50 otázek, které by měl každý finanční ředitel požádat, "doporučuje, aby se finanční ředitelé podniků intenzivně podíleli na zaměření na cyberrisk, pokud ještě nejsou. Finanční ředitelé jsou v pozici, kdy mohou vidět velký obrázek a rozpočet na zvýšení výdajů na IT v případě potřeby, nebo pojištění kybernetiky nebo více zdrojů v jiných odděleních, řekl Sagalow. Kromě toho musí finanční ředitelé chápat potenciální finanční rizika narušení nebo úniku, řekl.

Zeptal se, jestli někteří ředitelé IT nebo IT oddělení očekávají větší angažovanost finančních ředitelů a dalších oddělení jako zasahování do jejich trávníku, členové pracovní skupiny že zpráva vyprávěla, že by neměly. Mnoho oddělení IT již uznává, že jsou jen součástí řešení problému kybernetické bezpečnosti, uvedl Edward Stull, softwarový architekt pro přímé výpočetní prostředky a předseda skupiny osvědčených postupů v oblasti bezpečnosti informačních technologií pro Mezinárodní výbor pro standardy informačních technologií.

Mnoho IT oddělení je nedostatečně financováno, dodal Larry Clinton, prezident ISA. Zvýšená pozornost od finančního ředitele by mohla mít za následek dodatečné financování a dodatečné zaměření na potřeby informačních technologií.

Může být zřejmé, proč zpráva doporučuje, aby se oddělení právní a public relations podílelo na rozhodování v kybernetickém sektoru. Ale i lidské zdroje hrají roli, protože odhaduje, že 70 procent porušení pochází z organizace, tvrdí Stull.

Mezi dotazy by se finanční ředitelé měli zeptat vedoucích oddělení podle zprávy:

- Jaký je potenciál, abychom byli pojmenováni v soudních žalobách po neúspěchu?

- Existují platné důvody, proč shromažďujeme osobní údaje?

- Co je to

Máme dokumentovaný a proaktivní plán krizové komunikace?

Roční ekonomický dopad počítačových útoků v USA činí zhruba 226 miliard dolarů, podle odhadů Kongresové výzkumné služby za rok 2004. Je čas, aby se podnikové subjekty zabývaly počítačovou bezpečností novým způsobem, s tím, že do tohoto problému se podílejí více útvarů, uvedli členové pracovní skupiny. "Pokud firmy považují kybernetickou bezpečnost za jediný problém IT, pak nebudeme mít takovou bezpečnost, jakou můžeme být," uvedl Sagalow.

ISA a ANSI se domnívají, že zpráva odráží nový způsob, jak se zaměřit na počítačovou bezpečnost a počítačovou kriminalitu, dodal. "Cybersecurity není problém IT," dodal Clinton. "Je to celopodnikový problém řízení rizik, který ovlivňuje všechny aspekty organizace."