Gruppen: Cybersicherheit muss über ein IT-Problem hinausgehen

Viele Unternehmen müssen die Zahl der unternehmensinternen Abteilungen, die sich auf Cybersicherheit konzentrieren, über die IT hinaus mit einer interdisziplinären Gruppe unter der Leitung des Chief Financial Officer für die Bewertung und Reduzierung von Cyberrisk erweitern, heißt es in einem neuen, am Montag veröffentlichten Bericht.

Während die IT-Abteilung eine wichtige Rolle bei Cyber-Sicherheitsanstrengungen spielen sollte, müssen der CFO und die Rechtsabteilung, das Risikomanagement, die Personalabteilung, die Öffentlichkeitsarbeit und andere Abteilungen in Risikoentscheidungen einbezogen werden, bevor es zu Cyber-Sicherheitsverletzungen kommt. Es wurde von der Internet Security Alliance (ISA) und dem American National Standards Institute (ANSI) veröffentlicht, einer Non-Profit-Gruppe, die sich auf die Festlegung von Standards für US-Industrien konzentriert.

Die beiden Handelsgruppen veröffentlichten den Bericht "Finanzielle Auswirkungen von Cyber-Risiken "durch eine Reihe von Workshops, an denen mehr als 30 Organisationen teilgenommen haben. Die Teilnehmer repräsentierten die Perspektiven verschiedener Unternehmensabteilungen. Unter den beteiligten Organisationen waren IBM, Lockheed Martin, Crimson Security, die State Farm Insurance, das Software Engineering Institute der Carnegie Mellon University und die US-Justiz-, Handels- und Heimatschutzbehörden.

Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

"Die Lektion, die dieser Workshop schnell gelernt hat, ist, dass Cybersicherheit, die von einigen Unternehmen traditionell als IT-Problem angesehen wird, nicht nur ein IT-Problem ist", sagte Ty Sagalow, Präsident der Produktentwicklung für allgemeine Versicherungen bei der American International Group (AIG) und Leiter des Workshops. "So wie es nicht nur eine rechtliche Frage ist, die vom General Counsel gelöst werden muss. So wie es nicht nur eine Reputation oder ein Kommunikationsproblem ist, das der Leiter der Öffentlichkeitsarbeit lösen muss."

Der Bericht, mit Untertiteln " 50 Fragen, die jeder CFO stellen sollte, "empfiehlt, dass sich die CFOs von Unternehmen stark in die Konzentration auf Cyber-Risiken einbringen, wenn dies nicht bereits der Fall ist. CFOs sind in der Lage, das Gesamtbild und Budget für erhöhte IT-Ausgaben, falls erforderlich, oder eine Cyber-Sicherheitsversicherung oder mehr Ressourcen in anderen Abteilungen zu sehen, sagte Sagalow. Darüber hinaus müssen CFOs die potenziellen finanziellen Risiken für Verstöße oder Leaks verstehen, sagte er.

Gefragt, ob einige CIOs oder IT-Abteilungsleiter eine stärkere Beteiligung von CFOs und anderen Abteilungen sehen würden, die in ihren Zuständigkeitsbereich geraten, Mitglieder der Task Force Der Bericht sagte, sie sollten es nicht tun. Viele IT-Abteilungen erkennen bereits, dass sie nur ein Teil der Lösung für Cybersicherheitsprobleme sind, sagte Edward Stull, ein Softwarearchitekt für Direct Computer Resources und Vorsitzender einer Best Practices-Gruppe für IT-Sicherheit für den Internationalen Ausschuss für Informationstechnologie-Standards.

Viele IT-Abteilungen sind unterfinanziert, fügte Larry Clinton, Präsident der ISA, hinzu. Die verstärkte Aufmerksamkeit des CFO könnte zusätzliche Finanzmittel und einen zusätzlichen Fokus auf IT-Bedürfnisse zur Folge haben, sagte er.

Es ist offensichtlich, warum der Bericht empfiehlt, dass die Rechts- und Öffentlichkeitsarbeit in Cyberrisk-Entscheidungen einbezogen wird. Englisch: www.germnews.de/archive/dn/1995/02/12.html Aber auch die Humanressourcen spielen eine Rolle, da schätzungsweise 70 Prozent der Verstoesse aus der Organisation kommen, sagte Stull.

Zu ​​den Fragen sollten CFOs Abteilungsleiter nach dem Bericht fragen:

- Hat die Unternehmen hat unsere Cyberliabilitäten analysiert?

- Wie groß ist die Wahrscheinlichkeit, dass wir nach einem Verstoß in Sammelklagen benannt werden?

- Gibt es berechtigte Gründe, warum wir persönliche Informationen sammeln?

- Was ist? unsere größte Cybervulnerabilität?

- Haben wir einen dokumentierten und proaktiven Krisenkommunikationsplan?

Die jährlichen wirtschaftlichen Auswirkungen von Cyberangriffen in den USA belaufen sich laut einer Schätzung des Congressional Research Service aus dem Jahr 2004 auf etwa 226 Milliarden US-Dollar. Es ist an der Zeit, dass die Unternehmen die Cybersicherheit auf eine neue Art und Weise betrachten, wobei mehrere Abteilungen in das Thema involviert sind, so die Mitglieder der Taskforce "Bericht". "Wenn Unternehmen Cybersicherheit nur als IT-Problem betrachten, werden wir nicht so sicher sein wie wir", sagte Sagalow.

ISA und ANSI sind der Meinung, dass der Bericht eine neue Sichtweise auf Cybersicherheit und Cyberrisk darstellt, fügte er hinzu.

"Cybersicherheit ist kein IT-Problem", fügte Clinton hinzu. "Es ist ein unternehmensweites Risikomanagement, das jeden Aspekt der Organisation betrifft."