Gruplar: Siber Güvenlik, Bir BT Meselesinin Ötesine Geçmek Gerekir

Pazartesi günü yayınlanan yeni bir rapora göre, birçok işletmenin siberizmi değerlendirme ve azaltmaya adamış disiplinler arası bir grupla, BT dışındaki siber güvenliğin odaklandığı kurum içi departmanların sayısını artırması gerekiyor. Raporda, BT departmanının siber güvenlik çabalarında önemli bir rol oynaması beklenirken, CFO ve yasal risk yönetimi, insan kaynakları, halkla ilişkiler ve diğer bölümlerin siber güvenlik ihlalleri gerçekleşmeden önce riskle ilgili kararlara dahil olması gerektiği belirtildi. Internet Güvenlik İttifakı (ISA) ve Amerikan endüstrileri için standartları belirleyen kar amacı gütmeyen bir grup olan Amerikan Ulusal Standartlar Enstitüsü (ANSI) tarafından yayınlandı.

İki ticaret grubu, "Siber Riskin Finansal Etkisi" raporunu yayınladı. "30'dan fazla kuruluşun katıldığı bir dizi çalıştay yoluyla. Katılımcılar çeşitli kurumsal departmanların perspektiflerini temsil etti ve katılan kuruluşlar arasında IBM, Lockheed Martin, Crimson Security, Eyalet Çiftlik Sigortası, Carnegie Mellon Üniversitesi Yazılım Mühendisliği Enstitüsü ve ABD Adalet, Ticaret ve Yurtiçi Güvenlik Departmanları vardı.

Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılımları nasıl temizlersiniz]

"Bu çalıştayın hızlı bir şekilde öğrendiği ders, bazı şirketler tarafından geleneksel olarak bir IT sorunu olarak görülen siber güvenliğin sadece bir BT sorunu olmamasıydı" dedi. Sagalow, Amerikan Uluslararası Grubu (AIG) ve atölye lideri genel sigorta için ürün geliştirme başkanı. "Tıpkı sadece genel bir danışman tarafından çözülmesi gereken yasal bir mesele değil. Tıpkı sadece halkla ilişkiler sorumlusu tarafından çözülecek bir itibar meselesi veya iletişim konusu değil."

Rapor, altyazılı " Her CFO'nun Sorması Gereken 50 Soru, "eğer iş CFO'ları, henüz olmadıkları takdirde siberizme odaklanmaya yoğunlaşmaktadır. Sagalow, CFO'ların ihtiyaç duyulduğunda artan BT harcamaları veya siber güvenlik sigortası veya diğer bölümlerdeki daha fazla kaynak için büyük resmi ve bütçeyi görebilecek konumda olduklarını söyledi. Buna ek olarak, CFO'ların olası finansal riskleri ihlallere veya sızıntılara dayandırmaları gerektiğini belirtti.

Bazı CIO'ların veya BT departmanlarının başkanları CFO'lardan ve diğer departmanların kendi bölgelerine tecavüz olarak daha fazla katılım gösterip göstermediğini sordular. Rapor üretilen bu olmamalıdır dedi. Birçok BT departmanı, siber güvenlik sorunlarının çözümünün sadece bir parçası olduklarını zaten biliyorlardı, “Doğrudan Bilgisayar Kaynakları için bir yazılım mimarı ve Uluslararası Bilgi Teknolojileri Standartları Uluslararası Komitesi için bir IT güvenlik en iyi uygulama grubu başkanı Edward Stull” dedi.

Birçok BT departmanı yetersiz finansmana sahip, ISA'nın başkanı Larry Clinton'ı ekledi. CFO'nun artan ilgisi, ek fonlama ve BT ihtiyaçlarının daha fazla odaklanmasıyla sonuçlanabileceğini söyledi.

Raporun, hukuki ve halkla ilişkiler departmanlarının siberniz kararlarında yer almasını neden tavsiye ettiği belli olabilir. Ancak, insan kaynaklarının bile bir rolü vardır, çünkü ihlallerin yüzde 70'i organizasyonun içinden geliyor, dedi Stull.

CFO'ların raporlara göre bölüm başkanlarına sorması gereken sorular arasında:

- şirket siberliititelerimizi analiz etti?

- Bir ihlalden sonra sınıf davalarında isimlendirmenin potansiyeli nedir?

- Kişisel bilgileri toplarken geçerli sebepler var mı?

- Nedir En büyük siber zorunluluğumuz mu?

- Belgelendirilmiş ve proaktif bir kriz iletişim planımız var mı?

Kongre Araştırma Hizmeti'nden 2004 yılı tahminine göre, ABD'deki siber saldırıların yıllık ekonomik etkisi yaklaşık 226 milyar dolar. Rapor görev gücünün üyeleri, konuyla ilgili birden fazla bölümle birlikte siber güvenliğin yeni bir şekilde bakma zamanının geldiğini söyledi. "Şirketler siber güvenliği sadece bir BT meselesi olarak görüyorlarsa, olabildiğimiz kadar güvenli olmayacağız," dedi Sagalow.

Clinton, "ISA ve ANSI, raporun siber güvenlik ve siberizme yeni bir bakış açısı getirdiğini düşünüyor, ekledi.

" Siber güvenlik bir BT meselesi değil, "diye ekledi. "Kuruluşun her yönünü etkileyen kurumsal çapta bir risk yönetimi sorunu var."