Gruppi: la sicurezza informatica deve superare un problema IT

Molte aziende hanno bisogno di espandere il numero di dipartimenti interni focalizzati sulla cybersecurity oltre l'IT, con un gruppo interdisciplinare guidato dal chief financial officer dedicato alla valutazione e alla riduzione del cybercrisk, secondo un nuovo rapporto pubblicato lunedì.

Mentre il reparto IT dovrebbe rimanere uno dei principali attori negli sforzi di cybersecurity, il CFO e il legale, la gestione del rischio, le risorse umane, le pubbliche relazioni e gli altri dipartimenti devono essere coinvolti nelle decisioni sul rischio prima che si verifichino violazioni alla sicurezza informatica. È stato rilasciato da Internet Security Alliance (ISA) e American National Standards Institute (ANSI), un gruppo senza scopo di lucro incentrato sulla definizione di standard per le industrie statunitensi.

I due gruppi commerciali hanno pubblicato il rapporto "The Financial Impact of Cyber ​​Risk", "attraverso una serie di workshop in cui hanno partecipato più di 30 organizzazioni. I partecipanti rappresentavano le prospettive di diversi dipartimenti aziendali e tra le organizzazioni coinvolte c'erano IBM, Lockheed Martin, Crimson Security, State Farm Insurance, l'Istituto di Ingegneria del Software della Carnegie Mellon University e i Dipartimenti di Giustizia, Commercio e Sicurezza Nazionale degli Stati Uniti.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

"La lezione che questo workshop ha imparato rapidamente è che la sicurezza informatica, che tradizionalmente viene considerata da alcune aziende come un problema IT, non è solo un problema IT", ha affermato Ty Sagalow, presidente dello sviluppo prodotto per l'assicurazione generale presso American International Group (AIG) e il leader del workshop. "Proprio come non è solo una questione legale da risolvere da parte del consulente legale, proprio come non è solo un problema di reputazione o un problema di comunicazione da risolvere dal capo delle relazioni pubbliche."

Il rapporto, sottotitolato " 50 domande che ogni CFO dovrebbe chiedere ", raccomanda che i CFO aziendali siano fortemente coinvolti nella focalizzazione sul cybercrisk, se non lo sono già. I direttori finanziari sono in grado di vedere il quadro generale e il budget per una maggiore spesa IT, se necessario, o assicurazione sulla sicurezza informatica o più risorse in altri dipartimenti, ha detto Sagalow. Inoltre, i CFO devono comprendere i potenziali rischi finanziari per violazioni o perdite, ha detto.

Chiesto se alcuni CIO o capi dipartimento IT vedrebbero un maggiore coinvolgimento da parte di CFO e altri dipartimenti come invasione del loro territorio, membri della task force quello che ha prodotto il rapporto dice che non dovrebbero farlo. Molti dipartimenti IT già riconoscono che sono solo una parte della soluzione ai problemi di sicurezza informatica, ha dichiarato Edward Stull, un architetto software per Direct Computer Resources e presidente di un gruppo di best practice sulla sicurezza IT per il Comitato interNazionale sugli standard IT.

Molti dipartimenti IT sono sottofinanziati, ha aggiunto Larry Clinton, presidente dell'ISA. Una maggiore attenzione da parte del CFO potrebbe portare a finanziamenti aggiuntivi e un'attenzione ulteriore alle esigenze IT, ha affermato.

Potrebbe essere ovvio perché il rapporto raccomanda che i dipartimenti legali e di pubbliche relazioni siano coinvolti nelle decisioni relative al cybercrisk. Ma anche le risorse umane hanno un ruolo da svolgere, dal momento che si stima che il 70% delle violazioni provenga dall'interno dell'organizzazione, ha affermato Stull.

Tra le domande i direttori finanziari dovrebbero chiedere ai capi dipartimento, secondo il rapporto:

- la società ha analizzato le nostre cyberliabilities?

- Qual è il potenziale per noi essere nominati in azioni legali class action dopo una violazione?

- Ci sono validi motivi per cui stiamo raccogliendo informazioni personali?

- Che cos'è la nostra più grande cybervulnerabilità?

- Abbiamo un piano di comunicazione di crisi documentato e proattivo?

L'impatto economico annuale degli attacchi informatici negli Stati Uniti è di circa $ 226 miliardi, secondo una stima del 2004 dal Congressional Research Service. È tempo che le aziende guardino alla sicurezza informatica in un modo nuovo, con più dipartimenti coinvolti nella questione, hanno dichiarato membri della task force sulla relazione. "Se le aziende considerano la cibersicurezza come un problema esclusivamente informatico, allora non saremo più sicuri di quanto possiamo essere", ha detto Sagalow.

ISA e ANSI ritengono che il rapporto rifletta un nuovo modo di guardare alla sicurezza informatica e al cybercrisk, ha aggiunto.

"La sicurezza informatica non è un problema informatico", ha aggiunto Clinton. "È un problema di gestione dei rischi a livello aziendale che interessa ogni aspetto dell'organizzazione."