Группы: кибербезопасность должна двигаться дальше ИТ-проблемы

Многим предприятиям необходимо расширить число внутренних отделений, которые сосредоточены на кибербезопасности, помимо ИТ, с междисциплинарной группой, возглавляемой главным финансовым директором, занимающимся оценкой и сокращением киберрисков, согласно новому докладу, опубликованному в понедельник.

Хотя ИТ-отдел должен оставаться крупным игроком в усилиях по кибербезопасности, финансовый директор и юридические лица, управление рисками, человеческие ресурсы, связи с общественностью и другие ведомства должны участвовать в принятии решений о риске до того, как произойдут нарушения кибербезопасности, говорится в докладе. Он был выпущен Альянсом интернет-безопасности (ISA) и Американским институтом национальных стандартов (ANSI), некоммерческой группой, ориентированной на установление стандартов для американских отраслей.

Две торговые группы опубликовали отчет «Финансовое влияние кибер-риска», «через серию семинаров, в которых приняли участие более 30 организаций. Участники представляли перспективы нескольких корпоративных отделов, а среди организаций были IBM, Lockheed Martin, Crimson Security, State Farm Insurance, Институт программного обеспечения Университета Карнеги-Меллона и Департаменты юстиции, торговли и национальной безопасности США.

[Дальнейшее чтение: Как удалить вредоносное ПО с вашего ПК с Windows]

«Урок, который этот семинар быстро узнал, заключался в том, что кибербезопасность, традиционно рассматриваемая некоторыми компаниями как проблема ИТ, - это не только проблема ИТ», - сказал Тай Сагалов, президент по разработке продуктов для общего страхования в American International Group (AIG) и руководитель цеха. «Точно так же, как не только юридический вопрос, который должен решить главный адвокат. Так же, как это не просто проблема репутации или проблема коммуникации, которую должен решить глава отдела по связям с общественностью».

Отчет подзаголовок " 50 вопросов, которые каждый финансовый директор должен спросить, «рекомендует, чтобы финансовые руководители бизнеса стали активно заниматься фокусированием на киберрисках, если они еще не были. По словам Сагалоу, финансовые директора могут увидеть большую картину и бюджет для увеличения расходов на ИТ, если это необходимо, или страхования кибербезопасности или дополнительных ресурсов в других отделах. Кроме того, финансовые директора должны понимать потенциальные финансовые риски, связанные с нарушениями или утечками, сказал он.

Отвечая на вопрос, будут ли руководители ИТ-директоров или ИТ-отделов видеть более активное участие финансовых директоров и других ведомств в посягательстве на их торф, члены целевой группы которые подготовили отчет, сказали, что не должны. Многие ИТ-подразделения уже признают, что они являются лишь частью решения проблем кибербезопасности, - сказал Эдвард Стюлл, архитектор программного обеспечения Direct Computer Resources, и руководитель группы передовых практик в области ИТ-безопасности для Межнационального комитета по стандартам информационных технологий.

Многие ИТ-подразделения недофинансированы, добавил Ларри Клинтон, президент ISA. По его словам, повышенное внимание со стороны финансового директора может привести к дополнительному финансированию и дополнительной фокусировке на ИТ-потребностях.

Очевидно, почему в докладе рекомендуется, чтобы департаменты по юридическим вопросам и связям с общественностью принимали участие в решениях киберрисков. Но даже человеческие ресурсы играют определенную роль, поскольку, по оценкам, 70 процентов нарушений происходит внутри организации, сказал Стюлл.

Среди вопросов, которые должны быть заданы руководителям отдела, согласно докладу:

- Имеет ли компания проанализировала наши кибернетические возможности?

- Какой потенциал для нас может быть назван в судебных процессах класса после нарушения?

- Существуют ли веские причины, по которым мы собираем личную информацию?

- Что такое наша самая большая киберубезопасность?

- У нас есть документированный и упреждающий план коммуникаций с кризисом?

Ежегодное экономическое влияние кибератак в США составляет около 226 миллиардов долларов, согласно оценке, полученной в Исследовательской службе Конгресса в 2004 году. Пришло время для бизнеса взглянуть на кибербезопасность по-новому, с несколькими департаментами, участвующими в этом вопросе, сказали члены целевой группы отчетов. «Если компании рассматривают кибербезопасность как единственную проблему ИТ, тогда мы не будем такими же безопасными, как мы можем быть», сказал Сагалов.

ISA и ANSI считают, что отчет отражает новый взгляд на кибербезопасность и киберриск, добавил он.

«Кибербезопасность - это не проблема ИТ», - добавила Клинтон. «Это проблема управления рисками для всего предприятия, которая затрагивает все аспекты организации».