Computerworld News Service: Selvom it-afdelingen skal stå for en stor del af virksomhedens arbejde med cybersikkerhed, skal økonomidirektøren, den juridiske afdeling, risk management, HR, PR og andre afdelinger også være involveret i sikkerhedsbeslutningerne for at undgå, at der sker alvorlige brud på cybersikkerheden.
Det fremgår af en ny rapport fra ISA (Internet Security Alliance) og ANSI (American National Standards Institute), en nonprofit-organisation med fokus på at sætte standarder for amerikanske brancher.
De to organisationer udsendte rapporten 'The Financial Impact of Cyber Risk' gennem en række workshops, hvor mere end 30 organisationer deltog.
Der var flere forskellige typer afdelinger repræsenteret på workshoppen, hvor man blandt andre kunne møde IBM, Lockheed Martn, Crimson Security, State Farm Insurance, Carnegie Mellon Universitys Software Engineering Institue og the U.S. Departments of Justice, Commerce and Homeland Security.
50 spørgsmål du burde stille
"Deltagerne fandt hurtigt ud af, at cybersikkerhed, der traditionelt er blevet betragtet som et problem for it-afdelingen, ikke kun handler om it," fortæller leder af workshoppen, Ty Sagalow, chef for product development for general insurance ved American International Group og.
"Lige som det ikke er et juridisk spørgsmål, der kan løses af den juridiske chef, eller et spørgsmål om et ry eller et kommunikationsproblem, der kan løses af pr-chefen."
Rapporten, der har undertitlen '50 Questions Every CFO Should Ask', anbefaler, at økonomidirektøren øger sit fokus på cyberrisici.
Økonomidirektøren har en position, hvor han har et overordnet overblik over virksomhedens situation og kan budgettere med øget it-forbrug eller flere ressourcer i andre afdelinger, siger Ty Sagalow.
Derudover er det vigtigt, at økonomidirektøren forstår de potentielle økonomiske risici ved brud eller utætheder, siger han.
Fælles opgave
Den arbejdsgruppe, der har udarbejdet rapporten, mener ikke, at CIO'er eller it-chefer vil opfatte et øget fokus på cybersikkerhed fra økonomidirektøren eller andre afdelinger som et indgreb i deres område.
Mange it-afdelinger anerkender allerede, at de kun er en del af løsningen på deres virksomheds problemer med cybersikkerhed, fortæller Edward Stull, software architect hos Direct Computer Resources og formand for en best practise-gruppe med fokus på it-sikkerhed, der hører under InterNational Committee for Information Technology Standards.
Mange it-afdelinger er underfinansierede, tilføjer Larry Clinton, formand for ISA.
Øget opmærksomhed fra økonomidirektørens side kan føre til yderligere finansering eller øget fokus på virksomhedens it-behov, siger han.
Det virker måske åbenlyst, hvorfor rapporten anbefaler, at den juridiske afdeling og pr-afdelingen er med til at tage beslutninger om cybersikkerhed.
Men selv HR-afdelingen har noget at skulle have sagt, da man vurderer, at 70 procent af en virksomheds sikkerhedsbrud sker internt i virksomheden, fortæller Edward Stull.
Spørgsmål til lederne
Rapporten anbefaler, at en økonomidirektør bør stille lederne for de andre afdelinger følgende spørgsmål:
- Har vi analyseret vores cyberproblemer?
- Hvor stor er muligheden for, at vi bliver navngivet i et gruppesøgsmål efter et sikkerhedsbrud?
- Er der en god grund til, at vi indsamler personlige oplysninger?
- Hvad er vores største cybersårbarhed?
- Har vi en dokumenteret og proaktiv krisekommunikationsplan?
Det er på tide, at virksomhederne anskuer cybersikkerhed på en ny måde og involverer flere afdelinger, mener arbejdsgruppen, der står bag rapporten.
"Hvis man betragter cybersikkerhed udelukkende som et it-problem, kan man ikke opnå det optimale niveau af beskyttelse," siger Ty Sagalow.
ISA og ANSI mener, at rapporten afspejler et helt nyt syn på cybersikkerhed og cyberrisici, tilføjer han.
"Cybersikkerhed er ikke et it-problem," tilføjer Larry Clinton. "Det er et risk management-problem, der påvirker alle aspekter af organisationen."
Oversat af Mille Bindslev