Grupos: A segurança cibernética precisa ir além da questão de TI

Muitas empresas precisam expandir o número de departamentos internos que se concentram na segurança cibernética além da TI, com um grupo interdisciplinar liderado pelo diretor financeiro dedicado a avaliar e reduzir o risco cibernético, segundo um novo relatório divulgado na segunda-feira. > Embora o departamento de TI deva continuar a ser um participante importante nos esforços de segurança cibernética, o CFO e os departamentos jurídico, de gestão de riscos, recursos humanos, relações públicas e outros departamentos precisam estar envolvidos nas decisões sobre riscos antes que as violações de segurança cibernética ocorram. Foi lançado pela Internet Security Alliance (ISA) e pelo Instituto Nacional de Padrões Americanos (ANSI), um grupo sem fins lucrativos focado na definição de padrões para indústrias dos EUA.

Os dois grupos comerciais divulgaram o relatório "O impacto financeiro do risco cibernético". "através de uma série de workshops em que mais de 30 organizações participaram. Os participantes representaram as perspectivas de vários departamentos corporativos, e entre as organizações envolvidas estavam a IBM, a Lockheed Martin, a Crimson Security, a State Farm Insurance, o Instituto de Engenharia de Software da Carnegie Mellon University e os Departamentos de Justiça, Comércio e Homeland Security dos EUA. Leitura adicional: Como remover malware do seu PC Windows]

"A lição que este workshop aprendeu rapidamente foi que a segurança cibernética, que tem sido tradicionalmente vista por algumas empresas como uma questão de TI, não é apenas um problema de TI", disse Ty. Sagalow, presidente de desenvolvimento de produtos para seguros gerais da American International Group (AIG) e líder do workshop. "Assim como não é apenas uma questão legal a ser resolvida pelo conselho geral. Assim como não é apenas uma questão de reputação ou uma questão de comunicação a ser resolvido pelo chefe de relações públicas."

O relatório, com o subtítulo " 50 perguntas que todo CFO deve fazer, "recomenda que os CFOs de negócios se envolvam fortemente no foco no risco cibernético, caso ainda não estejam. Os CFOs estão em posição de ver o quadro geral e o orçamento para maiores gastos com TI, se necessário, ou seguro de segurança cibernética ou mais recursos em outros departamentos, disse Sagalow. Além disso, os CFOs precisam entender os riscos financeiros em potencial para violações ou vazamentos, disse ele.

Perguntado se alguns CIOs ou chefes de departamento de TI veriam um envolvimento maior de CFOs e outros departamentos invadindo seu território, membros da força-tarefa que produziu o relatório disse que eles não deveriam. Muitos departamentos de TI já reconhecem que são apenas parte da solução para problemas de segurança cibernética, disse Edward Stull, arquiteto de software da Direct Computer Resources e presidente de um grupo de melhores práticas de segurança de TI para o Comitê InterNacional de Padrões de Tecnologia da Informação. Muitos departamentos de TI estão subfinanciados, acrescentou Larry Clinton, presidente da ISA. Maior atenção do CFO poderia resultar em financiamento adicional e um foco adicional nas necessidades de TI, disse ele.

Pode ser óbvio por que o relatório recomenda que os departamentos jurídico e de relações públicas sejam envolvidos nas decisões de risco cibernético. Mas até mesmo os recursos humanos têm um papel a desempenhar, pois estima-se que 70% das violações vêm de dentro da organização, disse Stull.

Entre as perguntas que os CFOs devem perguntar aos chefes de departamento, segundo o relatório: A empresa analisou nossos passivos cibernéticos?

- Qual é o potencial para sermos citados em processos judiciais coletivos após uma violação?

- Existem razões válidas para coletar informações pessoais?

- O que é nossa maior cibercenerabilidade?

- Temos um plano de comunicação de crise documentado e proativo?

O impacto econômico anual dos ataques cibernéticos nos EUA é de cerca de US $ 226 bilhões, segundo uma estimativa de 2004 do Serviço de Pesquisa do Congresso. É hora de as empresas olharem para a segurança cibernética de uma nova maneira, com vários departamentos envolvidos na questão, disseram membros da força-tarefa do relatório. "Se as empresas enxergarem a segurança cibernética como apenas uma questão de TI, não estaremos tão seguros quanto pudermos", disse Sagalow.A ISA e a ANSI acreditam que o relatório reflete uma nova maneira de olhar para a cibersegurança e o risco cibernético, acrescentou ele.

"A segurança cibernética não é uma questão de TI", acrescentou Clinton. "É um problema de gerenciamento de risco em toda a empresa que afeta todos os aspectos da organização."