Kelompok: Keamanan Dunia Maya Harus Bergerak Melampaui Masalah TI

Banyak bisnis perlu memperluas jumlah departemen in-house yang fokus pada cybersecurity di luar IT, dengan kelompok interdisipliner yang dipimpin oleh kepala keuangan yang berdedikasi untuk menilai dan mengurangi cyberrisk, menurut laporan baru yang dirilis Senin.

Sementara departemen TI harus tetap menjadi pemain utama dalam upaya cybersecurity, CFO dan hukum, manajemen risiko, sumber daya manusia, hubungan masyarakat dan departemen lain perlu dilibatkan dalam keputusan tentang risiko sebelum pelanggaran cybersecurity terjadi, kata laporan itu. Itu dirilis oleh Internet Security Alliance (ISA) dan American National Standards Institute (ANSI), sebuah kelompok nirlaba yang fokus pada pengaturan standar untuk industri AS.

Kedua kelompok perdagangan merilis laporan, "Dampak Keuangan Risiko Cyber, "melalui serangkaian lokakarya di mana lebih dari 30 organisasi berpartisipasi. Peserta mewakili perspektif dari beberapa departemen perusahaan, dan di antara organisasi yang terlibat adalah IBM, Lockheed Martin, Crimson Security, Asuransi Pertanian Negara, Institut Rekayasa Perangkat Lunak Carnegie Mellon University, dan Departemen Kehakiman, Perdagangan, dan Keamanan Dalam Negeri AS.

[Bacaan lebih lanjut: Bagaimana cara menghapus malware dari PC Windows Anda]

"Pelajaran yang dipelajari lokakarya ini dengan cepat adalah bahwa cybersecurity, yang secara tradisional dipandang oleh beberapa perusahaan sebagai masalah TI, bukan hanya masalah IT," kata Ty Sagalow, presiden pengembangan produk untuk asuransi umum di American International Group (AIG) dan pemimpin bengkel. "Persis seperti itu bukan hanya masalah hukum yang harus dipecahkan oleh penasihat umum. Sama seperti itu bukan hanya masalah reputasi atau masalah komunikasi yang harus dipecahkan oleh kepala hubungan masyarakat."

Laporan, subtitle " 50 Pertanyaan Setiap CFO Harus Bertanya, "merekomendasikan bahwa CFO bisnis menjadi sangat terlibat dalam fokus pada cyberrisk jika mereka belum melakukannya. CFO berada dalam posisi untuk melihat gambaran besar dan anggaran untuk peningkatan belanja TI, jika diperlukan, atau asuransi cybersecurity atau lebih banyak sumber daya di departemen lain, kata Sagalow. Selain itu, CFO perlu memahami potensi risiko keuangan terhadap pelanggaran atau kebocoran, katanya.

Ditanya apakah beberapa CIO atau kepala departemen TI akan melihat peningkatan keterlibatan dari CFO dan departemen lain sebagai melanggar batas wilayah mereka, anggota gugus tugas yang menghasilkan laporan mengatakan mereka tidak seharusnya. Banyak departemen TI telah menyadari bahwa mereka hanya bagian dari solusi untuk masalah keamanan dunia maya, kata Edward Stull, seorang arsitek perangkat lunak untuk Sumber Daya Komputer Langsung dan ketua kelompok praktik terbaik keamanan TI untuk Komite Internasional tentang Standar Teknologi Informasi.

Banyak departemen TI kekurangan dana, tambah Larry Clinton, presiden ISA. Peningkatan perhatian dari CFO dapat menghasilkan pendanaan tambahan dan fokus tambahan pada kebutuhan TI, katanya.

Mungkin jelas mengapa laporan merekomendasikan departemen hukum dan hubungan masyarakat terlibat dalam keputusan cyberrisk. Tetapi bahkan sumber daya manusia memiliki peran untuk dimainkan, karena diperkirakan 70 persen dari pelanggaran berasal dari dalam organisasi, kata Stull.

Di antara pertanyaan yang harus diajukan oleh CFO kepada kepala departemen, menurut laporan:

- Memiliki perusahaan menganalisis cyberliabilities kami?

- Apa potensi bagi kami untuk disebutkan dalam gugatan class action setelah pelanggaran?

- Apakah ada alasan yang sah kami mengumpulkan informasi pribadi?

- Apa itu kemampuan cyber kita yang terbesar?

- Apakah kita memiliki rencana komunikasi krisis yang terdokumentasi dan proaktif?

Dampak ekonomi tahunan dari serangan dunia maya di AS adalah sekitar $ 226 milyar, menurut perkiraan tahun 2004 dari Congressional Research Service. Sudah waktunya bagi bisnis untuk melihat cybersecurity dengan cara baru, dengan beberapa departemen yang terlibat dalam masalah ini, kata anggota gugus tugas laporan. "Jika perusahaan melihat cybersecurity hanya sebagai masalah IT, maka kita tidak akan seaman yang kita bisa," kata Sagalow.

ISA dan ANSI percaya laporan itu mencerminkan cara baru dalam memandang cybersecurity dan cyberrisk, tambahnya.

"Cybersecurity bukanlah masalah IT," tambah Hillary. "Ini adalah masalah manajemen risiko tingkat perusahaan yang mempengaruhi setiap aspek organisasi."