Kumpulan: Keamanan Siber Perlu Bergerak Di Luar Isu IT

Banyak perniagaan perlu memperluas bilangan jabatan dalaman yang menumpukan kepada keselamatan siber di luar IT, dengan kumpulan interdisipliner yang dipimpin oleh ketua pegawai kewangan yang berdedikasi untuk menilai dan mengurangkan cyberrisk, menurut laporan baru yang dikeluarkan pada hari Isnin.

Walaupun jabatan IT sepatutnya kekal sebagai pemain utama dalam usaha keselamatan siber, CFO dan pengurusan risiko, sumber manusia, perhubungan awam dan jabatan-jabatan lain perlu terlibat dalam keputusan mengenai risiko sebelum pelanggaran cybersecurity berlaku, kata laporan itu. Ia dikeluarkan oleh Perikatan Keselamatan Internet (ISA) dan Institut Piawaian Kebangsaan Amerika (ANSI), sebuah kumpulan bukan untung yang memberi tumpuan kepada menetapkan piawaian untuk industri AS.

Kedua-dua kumpulan perdagangan mengeluarkan laporan itu, "Impak Kewangan Risiko Siber, "melalui satu siri bengkel di mana lebih daripada 30 organisasi mengambil bahagian. Para peserta mewakili perspektif beberapa jabatan korporat, dan antara organisasi yang terlibat ialah IBM, Lockheed Martin, Crimson Security, Insurans Ladang Negeri, Institut Kejuruteraan Perisian Carnegie Mellon, dan Jabatan Keadilan AS, Perdagangan dan Keselamatan Dalam Negeri AS.

[Bacaan lanjut: Bagaimana untuk membuang malware dari PC Windows Anda]

"Pelajaran yang dijalankan oleh bengkel ini dengan cepat ialah keselamatan siber, yang secara tradisinya dilihat oleh sesetengah syarikat sebagai isu IT, bukan sekadar isu IT," kata Ty Sagalow, presiden pembangunan produk untuk insurans am di American International Group (AIG) dan pemimpin bengkel. "Sama seperti itu bukan sekadar isu undang-undang yang dapat diselesaikan oleh penasihat umum. Sama seperti itu bukan sekadar isu reputasi atau isu komunikasi yang akan diselesaikan oleh ketua perhubungan awam."

Laporan itu, subtitle " 50 Soalan Setiap CFO Harus Bertanya, "mengesyorkan bahawa CFO perniagaan menjadi sangat terlibat dalam memberi tumpuan kepada cyberrisk jika mereka belum lagi. CFO berada dalam kedudukan untuk melihat gambar dan bajet yang besar untuk meningkatkan perbelanjaan IT, jika perlu, atau insurans keselamatan siber atau lebih banyak sumber di jabatan lain, kata Sagalow. Di samping itu, CFO perlu memahami risiko kewangan yang berpotensi untuk pelanggaran atau kebocoran, katanya.

Ditanya apakah sesetengah ketua jabatan CIO atau IT akan melihat peningkatan keterlibatan CFO dan jabatan lain sebagai mencerobohi rumput mereka, anggota pasukan petugas yang menghasilkan laporan tersebut tidak seharusnya. Banyak jabatan IT sudah menyedari bahawa mereka hanya sebahagian daripada penyelesaian masalah keselamatan siber, kata Edward Stull, arkitek perisian untuk Direct Computer Resources dan pengerusi kumpulan amalan terbaik keselamatan IT untuk Jawatankuasa InterNasional mengenai Piawaian Teknologi Maklumat.

Banyak jabatan IT dikurangkan, kata Larry Clinton, presiden ISA. Peningkatan perhatian dari CFO boleh menyebabkan pembiayaan tambahan dan fokus tambahan terhadap keperluan IT, katanya.

Mungkin jelas mengapa laporan mencadangkan jabatan perundangan dan perhubungan awam terlibat dalam keputusan cyberrisk. Walaupun sumber manusia mempunyai peranan untuk bermain, kira-kira 70 peratus daripada pelanggaran datang dari dalam organisasi, kata Stull.

Antara soalan CFO harus meminta ketua jabatan, menurut laporan:

- Memiliki Syarikat menganalisis kebolehan siber kami?

- Apa potensi bagi kita untuk dinamakan dalam tindakan undang-undang tindakan kelas selepas pelanggaran?

- Adakah terdapat alasan yang sah yang kami mengumpul maklumat peribadi?

- Apa itu

- Adakah kita mempunyai rancangan komunikasi krisis yang didokumentasikan dan proaktif?

Kesan ekonomi tahunan terhadap cyberattacks di Amerika Syarikat adalah kira-kira $ 226 bilion, menurut anggaran tahun 2004 dari Perkhidmatan Penyelidikan Kongres. Sudah tiba masanya untuk perniagaan melihat keselamatan siber dengan cara yang baru, dengan pelbagai jabatan yang terlibat dalam isu ini, kata anggota pasukan petugas laporan. "Jika syarikat melihat keselamatan siber sebagai semata-mata isu IT, maka kita tidak akan selamat seperti yang kita boleh," kata Sagalow.

ISA dan ANSI percaya laporan itu mencerminkan cara baru untuk melihat keselamatan siber dan cyberrisk, katanya.

"Keselamatan siber bukan masalah IT," tambah Clinton. "Ia merupakan isu pengurusan risiko seluruh perusahaan yang memberi kesan kepada setiap aspek organisasi."