Četiri mita koji prikrivaju punu vrijednost kibernetičke sigurnosti

Četiri uobičajena mita zamagljuju punu vrijednost kibernetičke sigurnosti za poduzeće i koče učinkovitost sigurnosnog programa, prema Gartneru. CISO-i moraju prihvatiti "minimalno učinkovit" način razmišljanja kako bi maksimizirali utjecaj kibernetičke sigurnosti na poslovanje.

“Mnogi CISO-ovi su iscrpljeni i osjećaju da imaju slabu kontrolu nad stresorima ili ravnotežom između posla i privatnog života”, rekao je Henrique Teixeira, viši direktor analitičar u Gartneru. "Voditelji kibernetičke sigurnosti i njihovi timovi ulažu maksimalne napore, ali to nema maksimalan učinak."

"Minimalno učinkovit način razmišljanja je promišljen pristup usmjeren na ROI za vođenje kibernetičke sigurnosti u budućnost", dodao je Leigh McMullen, istaknuti potpredsjednik analitičara u Gartneru. “Iako se ideja o 'minimumu' može činiti neugodnom, ona se odnosi na ulaze, a ne na ishode. Ovaj pristup omogućit će funkcijama kibernetičke sigurnosti da idu dalje od puke 'obrane utvrde' do otključavanja njihovog pravog potencijala za stvaranje opipljive vrijednosti.”

Mit #1: Više podataka znači bolju zaštitu –

Općenito se vjeruje da je najbolji način da se izvršni donositelji odluka potaknu na djelovanje u vezi s inicijativama za kibersigurnost kroz sofisticiranu analizu podataka, kao što je izračunavanje vjerojatnosti da će se dogoditi kibernetički događaj. Međutim, nije praktično kvantificirati rizik na ovaj način. Nadalje, ovaj pristup ne pruža zajedničku odgovornost između kibernetičke sigurnosti i donositelja odluka u poduzeću koja je neophodna za značajno smanjenje poslovnog rizika. Istraživanje tvrtke Gartner pokazalo je da samo jedna trećina CISO-a izvješćuje o uspjehu koji potiče akciju kroz kvantificiranje cyber rizika.

"Umjesto da nastave tražiti više podataka i više analiza, pametni CISO-ovi koriste pristup minimalno učinkovitog uvida", rekao je Teixeira. "Odredite najmanju količinu informacija potrebnu za povlačenje ravne crte između financiranja kibernetičke sigurnosti poduzeća i količine ranjivosti koju financiranje rješava."

CISO-i bi trebali koristiti pristup mjerenja usmjeren na rezultate (ODM) za djelovanje Minimalni učinkoviti uvid. ODM-ovi povezuju operativne metrike sigurnosti i rizika s poslovnim rezultatima koje podržavaju objašnjavajući razine zaštite koje su trenutno na snazi i alternativne razine zaštite dostupne na temelju potrošnje.

Mit #2: Više tehnologije jednako je bolja zaštita –

Predviđa se da će svjetska potrošnja na informacijsku sigurnost i proizvode i usluge za upravljanje rizicima porasti za 12,7% kako bi dosegla 189,8 milijardi dolara u 2023. Ipak, iako organizacije troše više na alate i tehnologije za kibernetičku sigurnost, voditelji sigurnosti i dalje smatraju da nisu pravilno zaštićeni.

"Kibersigurnost često zapne u razmišljanju o nabavi opreme, vjerujući da iza ugla mora biti nešto bolje", rekao je McMullen. “Umjesto toga, CISO-i moraju prihvatiti minimalno učinkovit set alata – najmanje tehnologija potrebnih za promatranje, obranu i odgovor na izloženosti. To će omogućiti kibernetičkoj sigurnosti da posjeduje svoju arhitekturu, smanjujući složenost i nedostatak interoperabilnosti koji otežava generiranje vrijednosti od ulaganja u tehnologiju.”

Organizacije mogu započeti putovanje prema minimalno učinkovitom skupu alata uzimajući u obzir ljudske troškove, držeći režijske troškove kibernetičkih stručnjaka koji upravljaju alatima za kibernetičku sigurnost nižima od koristi alata za ublažavanje rizika. Paralelno, uzmite arhitektonski pogled kako biste izmjerili je li bilo koji alat dodatak ili oduzimanje mogućnosti zaštite poduzeća. Načela mrežne arhitekture kibernetičke sigurnosti (CSMA) također mogu podržati sigurnost u projektiranju za jednostavnost, mogućnost sastavljanja i interoperabilnost.

Mit #3: Više stručnjaka za kibernetičku sigurnost jednako je bolja zaštita –

“Potražnja za talentima za kibernetičku sigurnost premašila je ponudu do te mjere da CISO-i ne mogu sustići”, rekao je McMullen. “Sigurnost je veliko usko grlo digitalne transformacije, a to je većinom zbog mita da samo stručnjaci za kibernetičku sigurnost mogu obavljati ozbiljan kibernetički posao. Rješenje je demokratizacija stručnosti u području kibernetičke sigurnosti, umjesto pokušaja zapošljavanja iz nedostatka talenata.

Gartner predviđa da će do 2027. 75% zaposlenika nabaviti, modificirati ili stvoriti tehnologiju izvan vidljivosti IT-a, što je porast u odnosu na 41% u 2022. CISO-i mogu smanjiti teret na svojim timovima pomažući tim poslovnim tehnolozima da izgrade minimalnu učinkovitu stručnost ili cyber prosudbu. Nedavno istraživanje Gartnera pokazalo je da poslovni tehnolozi s visokom kibernetičkom prosudbom imaju 2,5 puta veću vjerojatnost da će uzeti u obzir rizike kibernetičke sigurnosti pri razvoju analitičkih ili tehnoloških sposobnosti.

Mit #4: Više kontrola znači bolju zaštitu –

Nedavno istraživanje Gartnera pokazalo je da je 69% zaposlenika zaobišlo smjernice svoje organizacije o kibernetičkoj sigurnosti u proteklih 12 mjeseci, a 74% zaposlenika bilo bi spremno zaobići smjernice o kibernetičkoj sigurnosti ako bi njima ili njihovom timu pomoglo u postizanju poslovnog cilja.

“Organizacije za kibernetičku sigurnost su dobro svjesni prožimajućeg nesigurnog ponašanja radne snage, ali tipična reakcija dodavanja više kontrola ima negativan učinak,” rekao je Teixeira. “Zaposlenici prijavljuju veliku količinu trenja povezanog sa sigurnim ponašanjem, što dovodi do nesigurnog ponašanja. Kontrole koje se zaobilaze gore su od nepostojanja kontrola.”

Minimum Effective Friction ponovno uravnotežuje procjenu kibernetičke sigurnosti izvedbe sigurnosnih kontrola kako bi se dao prioritet korisničkom iskustvu, a ne samo tehničkoj funkcionalnosti. Gartner predviđa da će do 2027. 50% CISO-ova velikih poduzeća usvojiti prakse sigurnosnog dizajna usmjerene na čovjeka kako bi se minimiziralo trvenje izazvano kibersigurnošću i maksimiziralo usvajanje kontrole.