: La ciberseguridad necesita avanzar más allá de un problema de TI

Muchas empresas necesitan expandir el número de departamentos internos que se enfocan en seguridad cibernética más allá de TI, con un grupo interdisciplinario liderado por el director financiero dedicado a evaluar y reducir el ciberriesgo, según un nuevo informe publicado el lunes.

Mientras que el departamento de TI debe seguir siendo un actor importante en los esfuerzos de seguridad cibernética, el CFO y los departamentos legales, de gestión de riesgos, recursos humanos, relaciones públicas y otros deben participar en las decisiones sobre riesgos antes de que ocurran infracciones de seguridad cibernética, según el informe. Fue lanzado por Internet Security Alliance (ISA) y el American National Standards Institute (ANSI), un grupo sin fines de lucro enfocado en establecer estándares para las industrias estadounidenses.

Los dos grupos comerciales publicaron el informe, "El impacto financiero del riesgo cibernético", "a través de una serie de talleres en los que participaron más de 30 organizaciones. Los participantes representaron las perspectivas de varios departamentos corporativos, y entre las organizaciones involucradas se encontraban IBM, Lockheed Martin, Crimson Security, State Farm Insurance, el Instituto de Ingeniería de Software de la Universidad Carnegie Mellon y los Departamentos de Justicia, Comercio y Seguridad Nacional de EE. UU.

[Lectura adicional: Cómo eliminar el malware de su PC con Windows]

"La lección que este taller aprendió rápidamente fue que la ciberseguridad, que tradicionalmente ha sido vista por algunas empresas como un problema de TI, no es solo un problema de TI", dijo Ty Sagalow, presidente de desarrollo de productos para seguros generales en American International Group (AIG) y el líder del taller. "Al igual que no es solo un problema legal para ser resuelto por el abogado general. Al igual que no es solo un problema de reputación o una cuestión de comunicación que debe resolver el jefe de relaciones públicas."

El informe, subtitulado " 50 preguntas que todo CFO debería formular: "recomienda que los CFO empresariales participen activamente en centrarse en el ciberriesgo si aún no lo hacen. Los directores financieros están en condiciones de ver la gran imagen y el presupuesto para un mayor gasto de TI, si es necesario, o un seguro de seguridad cibernética o más recursos en otros departamentos, dijo Sagalow. Además, los CFO necesitan comprender los posibles riesgos financieros por brechas o filtraciones, dijo.

Cuando se les preguntó si algunos directores de TI o jefes de departamento de TI verían una mayor participación de los CFO y otros departamentos como invasores de su territorio, los miembros del equipo de trabajo que produjo el informe dijo que no deberían. Muchos departamentos de TI ya reconocen que son solo parte de la solución a los problemas de seguridad cibernética, dijo Edward Stull, arquitecto de software de Direct Computer Resources y presidente de un grupo de mejores prácticas de seguridad de TI para el Comité de Normas de Tecnología de la Información de InterNational.

Muchos departamentos de TI carecen de fondos suficientes, agregó Larry Clinton, presidente de ISA. La mayor atención del director financiero podría resultar en fondos adicionales y un enfoque adicional en las necesidades de TI, dijo.

Puede ser obvio por qué el informe recomienda que los departamentos de relaciones públicas y legales participen en las decisiones de ciberriesgos. Pero incluso los recursos humanos tienen un papel que jugar, ya que se estima que el 70 por ciento de las violaciones provienen de la organización, dijo Stull.

Entre las preguntas que los CFO deberían hacerle a los jefes de departamento, según el informe:

compañía analizó nuestras ciberriesgabilidades?

- ¿Cuál es el potencial para que seamos nombrados en demandas colectivas después de una infracción?

- ¿Hay razones válidas para recopilar información personal?

- ¿Qué es? ¿nuestra mayor vulnerabilidad cibernética?

- ¿Tenemos un plan de comunicaciones de crisis documentado y proactivo?

El impacto económico anual de los ataques cibernéticos en EE. UU. es de aproximadamente $ 226 mil millones, según un cálculo de 2004 del Servicio de Investigación del Congreso. Es hora de que las empresas consideren la ciberseguridad de una nueva manera, con múltiples departamentos involucrados en el problema, dijeron los miembros del grupo de trabajo del informe. "Si las empresas ven la ciberseguridad como un problema exclusivo de TI, entonces no vamos a estar tan seguros como podamos", dijo Sagalow.

ISA y ANSI creen que el informe refleja una nueva forma de ver la ciberseguridad y el ciberriesgo, agregó.

"La ciberseguridad no es un problema de TI", agregó Clinton. "Es un problema de gestión de riesgos en toda la empresa que afecta a todos los aspectos de la organización".