Groepen: cyberbeveiliging moet verder gaan dan een IT-probleem

Veel bedrijven moeten het aantal interne afdelingen dat zich richt op cyberbeveiliging verder ontwikkelen dan IT, met een interdisciplinaire groep onder leiding van de chief financial officer die zich bezighoudt met het beoordelen en verminderen van cyberrisk, volgens een nieuw rapport van maandag.

Hoewel de IT-afdeling een belangrijke speler moet blijven op het gebied van cybersecurity, moeten de CFO en de juridische, risicobeheer-, human resources-, public relations- en andere afdelingen betrokken worden bij beslissingen over risico's voordat cybersecurity-inbreuken plaatsvinden, aldus het rapport. Het werd uitgebracht door de Internet Security Alliance (ISA) en het American National Standards Institute (ANSI), een non-profitorganisatie die zich richt op het vaststellen van standaarden voor Amerikaanse industrieën.

De twee handelsgroepen brachten het rapport uit: "The Financial Impact of Cyber ​​Risk, "via een reeks workshops waaraan meer dan 30 organisaties hebben deelgenomen. Deelnemers vertegenwoordigden de perspectieven van verschillende afdelingen van het bedrijf en onder de betrokken organisaties waren IBM, Lockheed Martin, Crimson Security, State Farm Insurance, het Software Engineering Institute van Carnegie Mellon University en de Amerikaanse ministeries van Justitie, Handel en Binnenlandse Veiligheid.

[Verder lezen: hoe u malware van uw Windows-pc verwijdert]

"De les die deze workshop snel heeft geleerd, was dat cyberbeveiliging, die traditioneel door sommige bedrijven als een IT-probleem wordt gezien, niet alleen een IT-probleem is," zei Ty Sagalow, voorzitter van productontwikkeling voor schadeverzekeringen bij American International Group (AIG) en de workshopleider. "Net zoals het niet alleen een juridisch probleem is dat door de general counsel wordt opgelost, net zoals het niet alleen een reputatieprobleem of een communicatieprobleem is dat door het hoofd van de public relations wordt opgelost."

Het rapport, ondertiteld " 50 Vragen Elke CFO zou moeten vragen: "beveelt aan dat zakelijke CFO's sterk betrokken raken bij cyberrisk als ze dat nog niet zijn. CFO's kunnen het grote plaatje en het budget voor verhoogde IT-uitgaven, indien nodig, of een cyberbeveiligingsverzekering of meer bronnen op andere afdelingen bekijken, zei Sagalow. Daarnaast moeten CFO's inzicht hebben in de mogelijke financiële risico's voor inbreuken of lekken, zei hij.

Gevraagd of sommige CIO's of hoofden van IT-afdelingen een grotere betrokkenheid van CFO's en andere afdelingen zouden zien als het aantasten van hun terrein, leden van de taskforce dat produceerde het rapport zei dat ze dat niet zouden moeten doen. Veel IT-afdelingen erkennen al dat ze slechts een deel van de oplossing voor cyberbeveiligingsproblemen zijn, zei Edward Stull, een software-architect voor Direct Computer Resources en voorzitter van een groep best practices voor IT-beveiliging voor de InterNational Committee on Information Technology Standards.

Veel IT-afdelingen zijn ondergefinancierd, voegde Larry Clinton, president van ISA, eraan toe. Verhoogde aandacht van de CFO zou kunnen leiden tot extra financiering en een extra focus op IT-behoeften, zei hij.

Het kan duidelijk zijn waarom het rapport aanbeveelt dat juridische en public relations-afdelingen worden betrokken bij cyberriskbeslissingen. Maar zelfs personeel heeft een rol te spelen, aangezien naar schatting 70 procent van de schendingen van binnenuit de organisatie komt.

Van de vragen die CFO's afdelingshoofden moeten stellen, volgens het rapport:

- Heeft de bedrijf heeft onze cyberliabilities geanalyseerd?

- Wat is het potentieel voor ons om te worden genoemd in class-action rechtszaken na een schending?

- Zijn er geldige redenen waarom we persoonlijke gegevens verzamelen?

- Wat is onze grootste cybervulnerability?

- Hebben we een gedocumenteerd en proactief crisiscommunicatieplan?

De jaarlijkse economische impact van cyberaanvallen in de VS bedraagt ​​ongeveer $ 226 miljard, volgens een schatting van 2004 van de Congressional Research Service. Het is tijd voor bedrijven om cybersecurity op een nieuwe manier te bekijken, met meerdere afdelingen die bij de kwestie zijn betrokken, zeiden de leden van de rapportageteam. "Als bedrijven cybersecurity beschouwen als een IT-probleem, dan zullen we niet zo veilig zijn als we maar kunnen", zei Sagalow.

ISA en ANSI geloven dat het rapport een nieuwe manier van kijken naar cybersecurity en cyberrisk weerspiegelt, voegde hij eraan toe.

"Cybersecurity is geen IT-probleem," voegde Clinton eraan toe. "Het is een ondernemingsbrede risicobeheerkwestie die elk aspect van de organisatie beïnvloedt."