På den nylige Gartner Security & Risk Management konference, kastede analytikere lys over fire almindelige myter, der underminerer det fulde potentiale og effektiviteten af cybersikkerhed i virksomheder.
Gartner understreger vigtigheden af at vedtage en "Minimum Effektiv" tankegang for chief information security officers (CISO'er) for at maksimere cybersikkerhedens indvirkning på virksomheden.
"Mange CISO'er er udbrændte og føler, at de ikke har meget kontrol over deres stressfaktorer eller balance mellem arbejde og privatliv. Cybersikkerhedsledere og deres teams yder den maksimale indsats, men det har ikke den maksimale effekt" Henrique Teixeira, Senior Director Analyst hos Gartner
Ifølge Leigh McMullen, Distinguished VP Analyst hos Gartner, er en Minimum Effective-tankegang en bevidst tilgang fokuseret på investeringsafkast (ROI), der kan drive cybersikkerhed ud over blot forsvar, frigøre dens sande værdi og skabe håndgribelige fordele.
Under topmødets indledende keynote afslørede Teixeira og McMullen følgende myter og gav indsigt i, hvordan sikkerhedsledere kan skabe ny værdi på tværs af forretningsengagement, teknologi og talent:
Myte 1: Flere data er lig med bedre beskyttelse
I modsætning til hvad mange tror, så driver sofistikeret dataanalyse, såsom beregning af sandsynligheden for en cyberhændelse, ikke nødvendigvis handling fra udøvende beslutningstagere eller fører til effektiv cybersikkerhed. At kvantificere risici på denne måde er upraktisk, og det formår ikke at etablere delt ansvarlighed mellem cybersikkerhed og virksomheders beslutningstagere. Gartners forskning viser, at kun en tredjedel af CISO'er lykkes med at drive handling gennem kvantificering af cyberrisiko. I stedet for at søge flere data og analyser, anbefaler Gartner, at man anvender en Minimum Effective Insight-tilgang. Dette indebærer at bestemme den mindste mængde information, der kræves for at etablere en klar sammenhæng mellem virksomhedens cybersikkerhedsfinansiering og de sårbarheder, der behandles.
CISO'er rådes til at bruge en outcome-driven metrics (ODM) tilgang, der forbinder sikkerheds- og risikooperationelle metrics til de forretningsresultater, de understøtter. Ved at forklare de eksisterende beskyttelsesniveauer og de alternative beskyttelsesniveauer, der kunne opnås baseret på forbrug, muliggør denne tilgang informeret beslutningstagning.
Myte 2: Mere teknologi er lig med bedre beskyttelse
Selvom organisationer øger deres udgifter til cybersikkerhedsværktøjer og -teknologier, føler sikkerhedsledere sig ofte utilstrækkeligt beskyttet. Gartner advarer mod at falde i en tankegang om gearkøb og altid på udkig efter det næstbedste. I stedet bør CISO'er anvende en minimumseffektiv værktøjstilgang, der anvender de færreste teknologier, der er nødvendige for at observere, forsvare og reagere på eksponeringer. Denne tilgang tillader cybersikkerhed at tage ejerskab over sin arkitektur, hvilket reducerer kompleksitet og interoperabilitetsproblemer, der hæmmer værdiskabelse fra teknologiinvesteringer.
For at påbegynde rejsen til et minimumseffektivt værktøjssæt bør organisationer vurdere de menneskelige omkostninger ved at administrere cybersikkerhedsværktøjer og afveje det op imod de fordele, disse værktøjer giver ved at mindske risici. Derudover kan en arkitektonisk visning hjælpe med at bestemme, om et givet værktøj tilføjer eller trækker fra organisationens evne til at beskytte sig selv. Principperne for cybersecurity mesh architecture (CSMA), som understreger enkelhed, sammensætning og interoperabilitet, kan understøtte disse bestræbelser.
Myte 3: Flere IT-eksperter er lig med bedre beskyttelse
Efterspørgslen efter cybersikkerhedstalenter har overgået det tilgængelige udbud og har skabt en flaskehals, der hæmmer den digitale transformationsindsats. Gartner foreslår, at snarere end at forsøge at bygge bro over talentgabet gennem ansættelse alene, bør CISO'er fokusere på at demokratisere cybersikkerhedsekspertise. Gartner forudser, at i 2027 vil 75 % af medarbejderne erhverve, ændre eller skabe teknologi uden IT's synlighed, hvilket understreger behovet for at involvere forretningsteknologer i cybersikkerhedsindsatsen.
CISO'er kan reducere byrden på deres teams ved at hjælpe forretningsteknologer med at udvikle Minimum Effective Expertise, også kendt som cyberdom. Forretningsteknologer med høj cyberdømmekraft er 2,5 gange mere tilbøjelige til at overveje cybersikkerhedsrisici, når de udvikler analyse- eller teknologikapaciteter. Denne tilgang giver medarbejderne mulighed for at bidrage til cybersikkerhed og letter en distribueret tilgang til håndtering af cybersikkerhedsudfordringer.
"Minimum Effective Mindset" er en bevidst, ROI-drevet tilgang til at føre cybersikkerhed ind i fremtiden. Selvom ideen om 'minimum' kan virke ubehagelig, refererer den til input, og ikke resultater. Denne tilgang vil gøre det muligt for cybersikkerhedsfunktioner at gå ud over blot at "forsvare fortet" til at frigøre deres sande potentiale til at skabe håndgribelig værdi" Leigh McMullen, Distinguished VP Analyst hos Gartner
Myte 4: Flere kontroller er lig med bedre beskyttelse
På trods af, at organisationer har implementeret flere kontroller, afslører en nylig Gartner-undersøgelse, at medarbejderne ofte går uden om cybersikkerhedsvejledning, hvor 69 % har indrømmet at have gjort det i det seneste år. Denne adfærd er drevet af opfattelsen af, at sikker praksis skaber friktion og hindrer produktivitet. Gartner advarer mod den knæfaldende reaktion med at tilføje flere kontroller, da dette kan give bagslag og føre til endnu større manglende overholdelse.
For at løse dette problem er Gartner fortaler for en Minimum Effective Friction-tilgang, som prioriterer brugeroplevelse sammen med teknisk funktionalitet, når de vurderer ydeevnen af sikkerhedskontroller. Ved at minimere cybersikkerheds-induceret friktion kan organisationer øge brugertilfredsheden, mens de stadig maksimerer kontrolovertagelsen. Gartner forudser, at i 2027 vil 50 % af store virksomheders CISO'er anvende menneskecentrerede sikkerhedsdesignpraksis for at opnå denne balance.
Som konklusion understreger Gartners indsigt behovet for et minimumseffektivt mindset for at frigøre den sande værdi af cybersikkerhed. Ved at aflive disse almindelige myter kan CISO'er øge effektiviteten af deres sikkerhedsprogrammer, tilpasse cybersikkerhed til forretningsmål og skabe håndgribelig værdi for deres organisationer. For at lære mere om effektiv cybersikkerhedsledelse tilbyder Gartner en gratis e-bog med titlen "Four Facets of Effective CISO Leadership."
Gartners forpligtelse til at yde vejledning og støtte til cybersikkerhedsledere er tydelig gennem begivenheder som Gartner Security & Risk Management Summit. Disse topmøder præsenterer den seneste forskning, indsigt og råd til sikkerheds- og risikostyringsledere verden over, hvilket gør dem i stand til at holde sig opdateret og informeret.
Comments