Securitate — June 7, 2023 at 1:36 pm

4 mituri care împiedică valorificarea pe deplin a securității cibernetice

by

Potrivit Gartner, Inc., patru mituri banale împiedică valorificarea pe deplin a securității cibernetice pentru întreprinderi și inhibă eficiența programelor de securitate. CISOs trebuie să adopte o mentalitate de ”Efectivitate minimă – Minimum Effective” pentru a maximiza impactul securității cibernetice asupra afacerii.

Gartner Myths - img181„Mulți CISOs sunt epuizați și simt că au control redus asupra factorilor de stres sau a echilibrului între viața personală și profesională”, a declarat Henrique Teixeira, Senior Director Analyst la Gartner. „Liderii din domeniul securității cibernetice și echipele lor depun efort maxim, dar impactul nu este deloc maxim.”

„O mentalitate de “Minimum Effective” este o abordare deliberată, axată pe ROI (Return on Investment) în conducerea spre viitor a securității cibernetice”, a adăugat Leigh McMullen, Distinguished VP Analyst la Gartner, completând: „Deși ideea de “minimum” poate părea inconfortabilă, se referă la intrări, nu la rezultate. Această abordare va permite funcțiilor de securitate cibernetică să meargă dincolo de simpla “apărare a fortului” pentru a-și valorifica în mod real potențialul de a crea valoare tangibilă.”

În cadrul Keynote-ului de deschidere de la Gartner Security & Risk Management Summit, care a avut loc miercuri, Teixeira și McMullen au demontat patru mituri banale de securitate și au explicat cum liderii de securitate pot crea valoare nouă prin implicarea în afaceri, tehnologie și talent.

Mitul nr. 1: Mai multe date înseamnă o protecție mai bună

Adesea se consideră că cel mai bun mod de a determina decidenții executivi să acționeze în privința inițiativelor de securitate cibernetică este prin analiza sofisticată a datelor, cum ar fi calcularea probabilității de producere a unui eveniment cibernetic.

Cu toate acestea, nu este practic să cuantificăm riscul în acest fel. Mai mult, această abordare nu îi aduce la o asumare a responsabilității comune între securitatea cibernetică și decidenții din întreprindere, responsabilitate necesară pentru reducerea semnificativă a riscului în afaceri. Cercetările Gartner au constatat că doar o treime dintre CISOs raportează succesul acțiunilor efectuate prin cuantificarea riscului cibernetic.

„În loc să continuăm să urmărim mai multe date și mai multe analize, CISOs inteligenți adoptă o abordare de Minimum Effective Insight”, a declarat Teixeira, completând: „Determinați cea mai mică cantitate de informații necesară pentru a trasa o linie dreaptă între finanțarea securității cibernetice a întreprinderii și cantitatea de vulnerabilități pe care o are în vedere acea finanțare.”

CISOs ar trebui să utilizeze o abordare orientată către rezultate (outcome-driven metrics – ODM) pentru a pune în aplicare Minimum Effective Insight. ODM-ul leagă metricile operaționale de securitate și de risc de rezultatele comerciale pe care le susține, explicând nivelurile de protecție existente și nivelurile alternative de protecție disponibile în funcție de cheltuieli.

Mitul nr. 2: Mai multe tehnologii înseamnă o protecție mai bună

Cheltuielile globale cu produse și servicii de securitate a informațiilor și gestionare a riscurilor sunt prognozate să crească cu 12,7% până la 189,8 miliarde de dolari în 2023. Cu toate acestea, chiar și atunci când organizațiile cheltuiesc mai mult pe instrumente și tehnologii de securitate cibernetică, liderii din domeniul securității simt că nu sunt protejați corespunzător.

„Securitatea cibernetică rămâne adesea blocată într-o mentalitate de achiziționare a echipamentelor, crezând că există întotdeauna la îndemână ceva mai bun”, a declarat McMullen. „În schimb, CISOs trebuie să adopte un set minim de instrumente eficiente – Minimum Effective Insight – cele mai puține tehnologii necesare pentru a observa, apăra și răspunde la expuneri. Ceea ce va permite securității cibernetice să dețină propria arhitectură, reducând complexitatea și lipsa de interoperabilitate care face atât de dificilă generarea de valoare din investițiile în tehnologie.”

Organizațiile pot începe călătoria către un set minim de instrumente eficiente – Minimum Effective Insight – prin adoptarea unei abordări bazate pe urmărirea costurilor umane, menținând cheltuielile aferente profesioniștilor în domeniul securității cibernetice mai mici decât beneficiul adus de instrumentele de reducere a riscurilor. În paralel, adoptați o perspectivă asupra arhitecturii pentru a măsura dacă un anumit instrument contribuie sau nu la capacitatea de a proteja întreprinderea. Principiile arhitecturii de tip mesh a securității cibernetice (Cybersecurity mesh architecture – CSMA) pot sprijini, de asemenea, securitatea în proiectarea pentru simplitate, compatibilitate și interoperabilitate.

Mitul nr. 3: Mai mulți profesioniști în domeniul securității cibernetice înseamnă o protecție mai bună

„Cererea de talente în domeniul securității cibernetice a depășit oferta până în punctul în care CISOs nu pot ține pasul”, a declarat McMullen, menționând: „Securitatea este un impediment major în calea transformării digitale, iar o mare parte din acest lucru se datorează mitului conform căruia doar profesioniștii în domeniul securității cibernetice pot desfășura activități serioase în domeniul cibernetic. Soluția este democratizarea expertizei în domeniul securității cibernetice, în loc să se încerce acoperirea deficitului de talente prin recrutare.”

Gartner prognozează că până în 2027, 75% dintre angajați care nu fac parte din departamentele IT vor achiziționa, modifica sau crea tehnologie, față de 41% în 2022. CISOs pot reduce povara echipei lor ajutând acești tehnologi ai afacerii să dezvolte o expertiză minimă eficientă – Minimum Effective Expertise – sau un raționament în domeniul cibernetic. Un sondaj recent realizat de Gartner a constatat că afacerile de tehnologie cu un raționament excelent în domeniul cibernetic iau de 2,5 ori mai mult în considerare riscurile de securitate cibernetică în dezvoltarea analizelor sau a capacităților tehnologice.

Mitul nr. 4: Mai multe controale înseamnă o protecție mai bună

Un studiu recent realizat de Gartner a constatat că 69% dintre angajați au evitat îndrumările de securitate ale organizației lor în ultimele 12 luni, iar 74% dintre angajați ar fi dispuși să evite îndrumările de securitate cibernetică dacă asta i-ar ajuta pe ei sau echipa lor să atingă un obiectiv de afaceri.

„Organizațiile de securitate cibernetică sunt conștiente de comportamentul general nesigur al forței de muncă, dar răspunsul tipic de a adăuga mai multe controale are efectul contrar”, a declarat Teixeira, completând: „Angajații raportează o mare cantitate de fricțiune asociată cu comportamentul sigur, ceea ce generează comportamente nesigure. Controalele care sunt ocolite sunt mai rele decât pur și simplu absența controlului.”

gartner logoMinimum Effective Friction reconsideră evaluarea performanței controalelor de securitate acordând prioritate experienței utilizatorului mai mult decât funcționalităților tehnice. Gartner estimează că 50% dintre CISOs marilor companii vor adopta până în 2027 practici de proiectare a securității centrate pe om (human-centric security design) pentru a minimiza fricțiunea indusă de securitatea cibernetică și maximiza adoptarea controalelor. Află cum să fii un lider eficient în domeniul securității cibernetice din ebook-ul gratuit Gartner Four Facets of Effective CISO Leadership.