Grupper: Cybersecurity behöver flyttas utöver en IT-fråga

Många företag måste expandera antalet internavdelningar som fokuserar på cybersäkerhet utöver IT, med en tvärvetenskaplig grupp som leds av finanschefen för att utvärdera och minska cyberrisk, enligt en ny rapport som släpptes måndagen.

Även om IT-avdelningen borde vara en viktig aktör inom cybersäkerhetsinsatserna, måste ekonomidirektören och den juridiska, riskhantering, personal, PR och andra avdelningar vara inblandade i beslut om risk innan cybersäkerhetsbrott inträffar, berättar rapporten. Det släpptes av Internet Security Alliance (ISA) och American National Standards Institute (ANSI), en ideell grupp med inriktning på att ställa in standarder för amerikanska industrier.

De två handelsgrupperna släppte rapporten "Cyber ​​Riskens ekonomiska konsekvenser, "genom en serie workshops där mer än 30 organisationer deltog. Deltagarna representerade perspektiven hos flera företagsavdelningar och bland de involverade organisationerna var IBM, Lockheed Martin, Crimson Security, State Farm Insurance, Carnegie Mellon Universitys Software Engineering Institute och US Department of Justice, Commerce and Homeland Security.

Ytterligare läsning: Hur man tar bort skadlig kod från din Windows-dator]

"Den lektion som denna verkstad lärde sig snabbt var att cybersäkerhet, som traditionellt sett har tittats av vissa företag som en IT-fråga, inte bara är en IT-fråga, säger Ty Sagalow, VD för produktutveckling för allmänförsäkring hos American International Group (AIG) och verkstadsledare. "Precis som det är inte bara en juridisk fråga som ska lösas av den allmänna rådgivaren. Precis som det är inte bara ett rykteproblem eller en kommunikationsfråga som ska lösas av chefen för PR."

Rapporten, underrubriken " 50 frågor varje ekonomidirektör borde fråga "rekommenderar att företagens ekonomidirektörer blir tungt involverade i att fokusera på cyberrisk om de inte redan är. Ekonomidirektörer kan se den stora bilden och budgeten för ökad IT-utgift, om det behövs, eller cybersäkerhetsförsäkring eller fler resurser i andra avdelningar, sa Sagalow. Dessutom måste ekonomidirektörer förstå de potentiella finansiella riskerna för brott eller läckage, säger han.

Frågade om några av cheferna eller IT-avdelningarna skulle se ökat engagemang från ekonomidirektörer och andra avdelningar som störande på deras gräs, ledamöter av arbetsgruppen som gav rapporten sagt att de inte borde göra det. Många IT-avdelningar erkänner redan att de bara är en del av lösningen på cybersäkerhetsfrågor, säger Edward Stull, en programarkitekt för Direct Computer Resources och ordförande för en IT-säkerhets bästa praxisgrupp för International Committee on Information Technology Standards.

Många IT-avdelningar är underfinansierade, tillade Larry Clinton, ISA: s president. Ökad uppmärksamhet från finansdirektören kan leda till ytterligare finansiering och ytterligare fokus på IT-behov, säger han.

Det kan vara uppenbart varför i rapporten rekommenderas att juridiska och PR-avdelningarna deltar i cyberriska beslut. Men även mänskliga resurser har en roll att spela, eftersom uppskattningsvis 70 procent av överträdelser kommer inifrån organisationen, säger Stull.

Bland de frågor som CFOs borde fråga avdelningschefer, enligt rapporten:

- Har företag analyserade våra cyberliabilities?

- Vad är möjligheten för oss att bli namngiven i rättegångsförfaranden efter ett brott?

- Finns det giltiga skäl att vi samlar in personuppgifter?

- Vad är det vår största cybervulnerability?

- Har vi en dokumenterad och proaktiv kriskommunikationsplan?

Den årliga ekonomiska påverkan av cyberattack i USA är cirka 226 miljarder dollar, enligt en 2004-uppskattning från Congressional Research Service. Det är dags för företagen att titta på cybersäkerhet på ett nytt sätt, med flera avdelningar som är involverade i frågan, sade medlemmar av rapportens arbetsgrupp. "Om företag ser cybersäkerhet som enbart en IT-fråga, så kommer vi inte att vara så säkra som vi kan vara, säger Sagalow.

ISA och ANSI tror att rapporten återspeglar ett nytt sätt att titta på cybersäkerhet och cyberrisk, tillade han.

"Cybersecurity är inte en IT-fråga", tillade Clinton. "Det är en företagsövergripande riskhanteringsproblem som berör alla aspekter av organisationen."