Csoportok: A számítástechnikai biztonságnak szüksége van egy informatikai kérdésen túl

Számos vállalkozásnak ki kell terjesztenie a nemzetgazdaságon kívüli informatikai biztonságra összpontosító házon belüli szervezeti egységek számát egy interdiszciplináris csoporttal, amelyet a pénzügyminiszter vezetett a cyberrisk értékelésére és csökkentésére, egy új hétfői jelentés szerint.

Bár az informatikai részleg továbbra is fontos szerepet játszik a kiberbiztonsági erőfeszítésekben, a CFO-t és a jogi, kockázatkezelési, humán erőforrásokat, PR-t és egyéb osztályokat be kell vonni a kockázatokról szóló döntésekbe, mielőtt a kiberbiztonság megsértése történne. Az Internet Security Alliance (ISA) és az Amerikai Nemzeti Szabványügyi Intézet (ANSI) kiadta a nonprofit csoportot, amely szabványokat állított fel az amerikai iparágak számára.

A két kereskedelmi csoport kiadta a "The Cyber ​​Risk" pénzügyi hatását, "olyan workshopokon keresztül, amelyekben több mint 30 szervezet vett részt. A résztvevők több vállalati szervezeti egység perspektíváit képviselték, az érintett szervezetek közül pedig az IBM, a Lockheed Martin, a Crimson Security, a State Farm Insurance, a Carnegie Mellon Egyetem Szoftverfejlesztési Intézete és az USA Igazságügyi, Kereskedelmi és Honvédelmi Minisztériuma.

[További tudnivalók: Hogyan távolítsuk el a rosszindulatú programokat a Windows számítógépről]

"A workshop hamar megtanulta, hogy a kiberbiztonság, amelyet hagyományosan egyes vállalatok IT-problémaként tekintettek meg, nem csak informatikai probléma." Sagalow, az American International Group (AIG) általános biztosítási termékfejlesztési elnöke és a műhely vezetője. "Olyan, mintha nem csak jogi kérdés lenne az általános tanácsos által megoldani, mint ahogyan nem csak hírnév, vagy kommunikációs kérdés megoldása a közönség vezetője számára."

A " 50 Kérdések Minden CFO kéne, "azt ajánlja, hogy az üzleti CFO-k nagymértékben részt vesznek a cyber-kockázatokra való összpontosításban, ha még nem. A CFO-k képesek megnézni a nagy képet és költségvetést a megnövekedett informatikai ráfordítások szükség esetén, illetve a számítógépes biztonság biztosítását vagy más erőforrásokat más részlegekben, mondta Sagalow. A pénzügyi igazgatónak meg kell értenie a sérülések vagy szivárgások esetleges pénzügyi kockázatát. "

Arra kérdezték, hogy egyes informatikai részlegek vagy informatikai osztályvezetők jobban bevonják-e a CFO-kat és más osztályokat, hogy a jelentés szerint nem kellene. Számos informatikai részleg már felismerte, hogy csak részese a kiberbiztonsági problémák megoldásának, mondta Edward Stull, a Direct Computer Resources szoftverfejlesztője és az információtechnológiai szabványok Nemzetközi Bizottságának informatikai biztonsági gyakorlatának elnöke.

Számos informatikai részleg alulfinanszírozott, közölte Larry Clinton, az ISA elnöke. A CFO fokozott figyelemmel kísérése további finanszírozást és további figyelmet szentel az informatikai szükségleteknek.

Nyilvánvaló, hogy a jelentés szerint a jogi és a PR-részlegek bevonása a cyber-kockázati döntésekbe. De még az emberi erőforrások is szerepet játszanak, a becslések szerint a jogsértések 70 százaléka származik a szervezeten belül, mondta Stull.

A kérdések közül a főigazgatónak a jelentés szerint kérnie kell a osztályvezetőket:

- Mi a lehetősége arra, hogy osztályszüneti jogvitákban megnevezzük a jogsértés után?

- Valódi okok vannak-e arra, hogy személyes adatokat gyűjtsünk?

- Mi az a legnagyobb cybervulnerability?

- van egy dokumentált és proaktív válságkommunikációs terv?

A cyber-támadások éves gazdasági hatása az Amerikai Egyesült Államokban körülbelül 226 milliárd dollár, a 2004-es becslés szerint a Congressional Research Service. Eljött az ideje annak, hogy a vállalkozások új módon vizsgálják meg a kiberbiztonságot, több ügyféllel, akik részt vesznek a kérdésben, mondta a jelentés munkacsoportjának tagjai. "Ha a vállalatok a számítógépes biztonságot kizárólag IT-kérdésként tekintik, akkor nem leszünk olyan biztonságosak, mint mi lehetünk" - mondta Sagalow.Az ISA és az ANSI úgy vélik, hogy a jelentés tükrözi a számítógépes biztonság és a cyber-sújtás újfajta módját: "A tudomány biztonsága nem informatikai kérdés" - tette hozzá Clinton. "Ez egy vállalati szintű kockázatkezelési kérdés, amely hatással van a szervezet minden aspektusára."