Webinaire Cybersécurité par Inwin Digital Expert et Groupe Prorisk
De nombreuses entreprises ont besoin d'étendre le nombre de départements internes axés sur la cybersécurité au-delà de l'informatique, avec un groupe interdisciplinaire dirigé par le directeur financier dédié à l'évaluation et à la réduction du cyberrisque, selon un nouveau rapport publié lundi. Alors que le département informatique doit rester un acteur majeur dans les efforts de cybersécurité, le directeur financier et les départements juridique, gestion des risques, ressources humaines, relations publiques et autres doivent être impliqués dans les décisions sur les risques avant que les violations de la cybersécurité ne se produisent. Il a été publié par l'Internet Security Alliance (ISA) et l'American National Standards Institute (ANSI), un groupe sans but lucratif axé sur l'établissement de normes pour les industries américaines.
Les deux groupes de commerce ont publié le rapport:, "à travers une série d'ateliers auxquels plus de 30 organisations ont participé. Les participants représentaient les perspectives de plusieurs départements ministériels, parmi lesquels IBM, Lockheed Martin, Crimson Security, State Farm Insurance, l'Institut de génie logiciel de l'Université Carnegie Mellon et les départements américains de la justice, du commerce et de la sécurité intérieure. Pour en savoir plus: Comment supprimer les logiciels malveillants de votre PC Windows]
«La leçon que cet atelier a rapidement apprise était que la cybersécurité, qui était traditionnellement considérée par certaines entreprises comme un problème informatique, n'est pas seulement un problème informatique» Sagalow, président du développement de produits pour l'assurance générale chez American International Group (AIG) et le chef d'atelier. "Tout comme il ne s'agit pas simplement d'une question juridique à régler par l'avocat général, tout comme il ne s'agit pas simplement d'une question de réputation ou de communication du chef des relations publiques."
On leur a demandé si certains directeurs informatiques ou chefs de département des technologies de l'information verront une implication accrue des directeurs financiers et des autres départements dans leur lutte contre les abus, les membres du groupe de travail. qui a produit le rapport a déclaré qu'ils ne devraient pas. Selon Edward Stull, architecte logiciel pour Direct Computer Resources et président d'un groupe de meilleures pratiques en matière de sécurité informatique pour le Comité international sur les normes de la technologie de l'information, de nombreux départements informatiques reconnaissent déjà qu'ils ne constituent qu'une partie de la résolution des problèmes de cybersécurité. De nombreux départements informatiques sont sous-financés, a ajouté Larry Clinton, le président de l'ISA.
Il est peut-être évident que le rapport recommande que les départements des relations juridiques et publiques soient impliqués dans les décisions sur les cyberrisques. Mais même les ressources humaines ont un rôle à jouer, car on estime que 70% des violations proviennent de l'intérieur de l'organisation, a déclaré M. Stull.
Parmi les questions que les directeurs financiers doivent poser aux chefs de département, - Quel est le potentiel pour que nous soyons nommés dans des recours collectifs après une violation?
- Y a-t-il des raisons valables de collecter des informations personnelles?
- Qu'est-ce que
- Avons-nous un plan de communication de crise documenté et proactif?
L'impact économique annuel des cyberattaques aux États-Unis est d'environ 226 milliards de dollars, selon une estimation de 2004 du Congressional Research Service. Il est temps pour les entreprises d'envisager la cybersécurité d'une nouvelle manière, avec plusieurs départements impliqués dans la question, ont déclaré les membres du groupe de travail sur le rapport. "Si les entreprises considèrent la cybersécurité comme un problème purement informatique, nous ne serons pas aussi sûrs que nous le pouvons", a déclaré M. Sagalow.L'ISA et l'ANSI estiment que le rapport reflète une nouvelle manière d'envisager la cybersécurité et le cyberrisque, at-il ajouté.
"La cybersécurité n'est pas un problème informatique", a ajouté Mme Clinton. "C'est un problème de gestion des risques à l'échelle de l'entreprise qui affecte tous les aspects de l'organisation."
Auditeur: la SEC des États-Unis doit améliorer la cybersécurité
L'agence n'a pas fixé plusieurs faiblesses au début de 2008 La Securities and Exchange Commission (SEC) des États-Unis a pris des mesures pour améliorer la sécurité de l'information, mais elle n'a toujours pas corrigé plusieurs vulnérabilités découvertes en février 2008.
Oracle doit être empêché de prendre le contrôle de MySQL, a déclaré Richard Stallman, un éminent militant et développeur Selon Richard Stallman, développeur et éminent militant du logiciel libre, Oracle doit cesser de prendre le contrôle de MySQL
Dans une lettre adressée mardi à la commissaire européenne à la concurrence, Neelie Kroes, Stallman - ensemble Knowledge Ecology International et Open Rights Group ont exhorté le principal organisme de réglementation antitrust d'Europe à exiger la cession de MySQL en échange de l'approbation réglementaire du projet d'acquisition de Sun Microsystems par Oracle.
L'Alliance Internet Security appelle à un nouvel accent sur les incitations à la cybersécurité et l'éducation aux entreprises. L'alliance, dans un rapport publié jeudi, a également appelé à une cybersécurité internationale permanente. centres de collaboration, nouvelles normes de sécurité pour les communications VoIP (Voice over Internet Protocol) et programmes pour éduquer les dirigeants d'entreprise sur les avantages des efforts de cybersécurité améliorés.
Beaucoup de groupes ont appelé à une meilleure éducation à la sécurité de l'information. est souvent négligé, a déclaré Joe Buonomo, président et chef de la direction de Direct Computer Resources, un fournisseur de produits de sécurité des données.