TOP osam predviđanja za kibernetičku sigurnost u 2023. i 2024. godini

Pedeset posto direktora za informacijsku sigurnost (CISO) usvojit će dizajn usmjeren na ljude kako bi smanjili operativne trenje kibernetičke sigurnosti, prema najboljim predviđanjima kibernetičke sigurnosti koje je otkrio Gartner. Velika poduzeća usredotočit će se na provedbu programa nultog povjerenja, a polovica čelnika kibernetičke sigurnosti neuspješno će pokušati upotrijebiti kvantifikaciju kibernetičkog rizika za poticanje donošenja poslovnih odluka, kaže studija.

"Nema sumnje da CISO-i i njihovi timovi moraju biti laserski usredotočeni na ono što se događa danas kako bi osigurali da su njihove organizacije što sigurnije", rekao je Richard Addiscott, viši direktor analitičar u Gartneru.

“Ali također trebaju pronaći vremena da podignu pogled sa svojih svakodnevnih izazova i skeniraju horizont kako bi vidjeli što dolazi niz stazu što bi moglo utjecati na njihove sigurnosne programe u sljedećih nekoliko godina. Ova su predviđanja signalna baklja za neke od onih stvari za koje vidimo da se pojavljuju i trebale bi ih razmotriti svaki CISO koji želi izgraditi učinkovit i održiv program kibernetičke sigurnosti“, ističe Addiscott.

Gartner preporučuje da čelnici kibernetičke sigurnosti ugrade sljedeće pretpostavke strateškog planiranja u svoje sigurnosne strategije za sljedeće dvije godine.

1. Do 2027. godine 50% CISO-ova službeno će usvojiti prakse dizajna usmjerene na čovjeka u svoje programe kibernetičke sigurnosti kako bi se smanjilo operativno trenje i maksimalno povećalo usvajanje kontrole.

Istraživanje Gartnera pokazuje da je više od 90% zaposlenika koji su priznali poduzimanje niza nesigurnih radnji tijekom radnih aktivnosti znalo da će njihove radnje povećati rizik za organizaciju, ali su to ipak učinili. Sigurnosni dizajn usmjeren na čovjeka modeliran je s pojedincem - a ne tehnologijom, prijetnjom ili lokacijom - kao fokusom dizajna kontrole i implementacije kako bi se trenje svelo na minimum.

2. Do 2024. moderna regulacija privatnosti pokrivat će većinu podataka potrošača, ali manje od 10% organizacija uspješno će privatnost iskoristiti kao oružje kao konkurentsku prednost.

Organizacije počinju uviđati da im program privatnosti može omogućiti širu upotrebu podataka, razlikovati se od konkurencije i izgraditi povjerenje kupaca, partnera, investitora i regulatora. Gartner preporučuje voditeljima sigurnosti da provedu sveobuhvatan standard privatnosti u skladu s GDPR-om kako bi se razlikovali na sve konkurentnijem tržištu i neometano rasli.

3. Do 2026. 10% velikih poduzeća imat će sveobuhvatan, zreo i mjerljiv program nultog povjerenja, u odnosu na manje od 1% danas.

Zrela, široko rasprostranjena implementacija nultog povjerenja zahtijeva integraciju i konfiguraciju više različitih komponenti, što može postati prilično tehničko i složeno. Uspjeh uvelike ovisi o prijevodu na poslovnu vrijednost. Počevši s malim, stalno razvijajući način razmišljanja o nultom povjerenju olakšava bolje shvaćanje prednosti programa i upravljanje dijelom složenosti korak po korak.

4. Do 2027. godine 75% zaposlenika nabavit će, modificirati ili stvoriti tehnologiju izvan vidljivosti IT-a – porast u odnosu na 41% 2022. godine.

Uloga i djelokrug odgovornosti CISO-a pomiču se s toga da budu vlasnici kontrole na posrednike u odlučivanju o riziku. Preoblikovanje operativnog modela kibernetičke sigurnosti ključno je za promjene koje dolaze. Gartner preporučuje razmišljanje izvan tehnologije i automatizacije kako bi se dublje surađivalo sa zaposlenicima kako bi se utjecalo na donošenje odluka i osiguralo da imaju odgovarajuće znanje za obavljanje na informiran način.

5. Do 2025. 50% voditelja kibernetičke sigurnosti pokušat će, neuspješno, upotrijebiti kvantifikaciju kibernetičkog rizika za poticanje donošenja poslovnih odluka.

Istraživanje Gartnera pokazuje da 62% korisnika kvantifikacije kibernetičkog rizika navodi slabe dobitke u vjerodostojnosti i svijesti o kibernetičkom riziku, ali samo 36% postiglo je rezultate temeljene na djelovanju, uključujući smanjenje rizika, uštedu novca ili stvarni utjecaj na odluku. Čelnici sigurnosti trebali bi usmjeriti vatrenu moć na kvantifikaciju koju zahtijevaju donositelji odluka, umjesto na izradu samousmjerenih analiza za koje moraju uvjeriti poslovanje da im je stalo.

6. Do 2025. godine gotovo će polovica voditelja kibersigurnosti promijeniti posao, 25% za različite uloge u potpunosti zbog višestrukih stresora povezanih s poslom.

Ubrzani pandemijom i nedostatkom osoblja u cijeloj industriji, stresovi na poslu stručnjaka za kibersigurnost rastu i postaju neodrživi. Gartner sugerira da, iako je uklanjanje stresa nerealno, ljudi mogu upravljati izazovnim i stresnim poslovima u kulturama u kojima imaju podršku. Promjena pravila angažmana radi poticanja kulturnih promjena pomoći će.

7. Do 2026. 70% odbora uključivat će jednog člana sa stručnim znanjem o kibernetičkoj sigurnosti.

Da bi čelnici kibernetičke sigurnosti bili prepoznati kao poslovni partneri, moraju priznati sklonost uprave i poduzeća riziku. To ne znači samo pokazati kako program kibernetičke sigurnosti sprječava da se nepovoljne stvari dogode, već i kako poboljšava sposobnost poduzeća da učinkovito preuzme rizike. Gartner preporuča CISO-ovima da budu ispred promjena kako bi promicali i podržavali kibernetičku sigurnost u odboru i uspostavili bliži odnos radi poboljšanja povjerenje i podršku.

8. Do 2026. više od 60% mogućnosti otkrivanja, istraživanja i odgovora na prijetnje (TDIR) koristit će podatke o upravljanju izloženošću za provjeru valjanosti i određivanje prioriteta otkrivenih prijetnji, što je porast u odnosu na manje od 5% danas.

Kako se organizacijske površine napada šire zbog povećane povezanosti i upotrebe SaaS-a i aplikacija u oblaku, tvrtkama je potreban širi raspon vidljivosti i središnje mjesto za stalno praćenje prijetnji i izloženosti. Mogućnosti TDIR-a pružaju jedinstvenu platformu ili ekosustav platformi na kojima se može upravljati otkrivanjem, istragom i odgovorom, dajući timovima za sigurnosne operacije potpunu sliku rizika i potencijalnog utjecaja.