Analistii Gartner discuta despre modul in care CISOs pot maximiza eficienta securitatii la Summitul Gartner privind Securitate si Gestionarea Riscurilor, care are loc in perioada 5-7 iunie la National Harnor, Maryland.

Potrivit Gartner, Inc., patru mituri banale impiedica valorificarea pe deplin a securitatii cibernetice pentru intreprinderi si inhiba eficienta programelor de securitate. CISOs trebuie sa adopte o mentalitate de ”Efectivitate minima - Minimum Effective” pentru a maximiza impactul securitatii cibernetice asupra afacerii.

“Multi CISOs sunt epuizati si simt ca au control redus asupra factorilor de stres sau a echilibrului intre viata personala si profesionala”, a declarat Henrique Teixeira, Senior Director Analyst la Gartner. “Liderii din domeniul securitatii cibernetice si echipele lor depun efort maxim, dar impactul nu este deloc maxim.”

“O mentalitate de “Minimum Effective” este o abordare deliberata, axata pe ROI (Return on Investment) in conducerea spre viitor a securitatii cibernetice”, a adaugat Leigh McMullen, Distinguished VP Analyst la Gartner, completand: “Desi ideea de “minimum” poate parea inconfortabila, se refera la intrari, nu la rezultate. Aceasta abordare va permite functiilor de securitate cibernetica sa mearga dincolo de simpla “aparare a fortului” pentru a-si valorifica in mod real potentialul de a crea valoare tangibila.”

In cadrul Keynote-ului de deschidere de la Gartner Security & Risk Management Summit, care a avut loc miercuri, Teixeira si McMullen au demontat patru mituri banale de securitate si au explicat cum liderii de securitate pot crea valoare noua prin implicarea in afaceri, tehnologie si talent.

 

Adesea se considera ca cel mai bun mod de a determina decidentii executivi sa actioneze in privinta initiativelor de securitate cibernetica este prin analiza sofisticata a datelor, cum ar fi calcularea probabilitatii de producere a unui eveniment cibernetic. Cu toate acestea, nu este practic sa cuantificam riscul in acest fel. Mai mult, aceasta abordare nu ii aduce la o asumare a responsabilitatii comune intre securitatea cibernetica si decidentii din intreprindere, responsabilitate necesara pentru reducerea semnificativa a riscului in afaceri. Cercetarile Gartner au constatat ca doar o treime dintre CISOs raporteaza succesul actiunilor efectuate prin cuantificarea riscului cibernetic.

“In loc sa continuam sa urmarim mai multe date si mai multe analize, CISOs inteligenti adopta o abordare de Minimum Effective Insight”, a declarat Teixeira, completand: “Determinati cea mai mica cantitate de informatii necesara pentru a trasa o linie dreapta intre finantarea securitatii cibernetice a intreprinderii si cantitatea de vulnerabilitati pe care o are in vedere acea finantare.”

CISOs ar trebui sa utilizeze o abordare orientata catre rezultate (outcome-driven metrics - ODM) pentru a pune in aplicare Minimum Effective Insight. ODM-ul leaga metricile operationale de securitate si de risc de rezultatele comerciale pe care le sustine, explicand nivelurile de protectie existente si nivelurile alternative de protectie disponibile in functie de cheltuieli.

 

Cheltuielile globale cu produse si servicii de securitate a informatiilor si gestionare a riscurilor sunt prognozate sa creasca cu 12,7% pana la 189,8 miliarde de dolari in 2023. Cu toate acestea, chiar si atunci cand organizatiile cheltuiesc mai mult pe instrumente si tehnologii de securitate cibernetica, liderii din domeniul securitatii simt ca nu sunt protejati corespunzator. “Securitatea cibernetica ramane adesea blocata intr-o mentalitate de achizitionare a echipamentelor, crezand ca exista intotdeauna la indemana ceva mai bun”, a declarat McMullen. “In schimb, CISOs trebuie sa adopte un set minim de instrumente eficiente - Minimum Effective Insight - cele mai putine tehnologii necesare pentru a observa, apara si raspunde la expuneri. Ceea ce va permite securitatii cibernetice sa detina propria arhitectura, reducand complexitatea si lipsa de interoperabilitate care face atat de dificila generarea de valoare din investitiile in tehnologie.”

Organizatiile pot incepe calatoria catre un set minim de instrumente eficiente - Minimum Effective Insight - prin adoptarea unei abordari bazate pe urmarirea costurilor umane, mentinand cheltuielile aferente profesionistilor in domeniul securitatii cibernetice mai mici decat beneficiul adus de instrumentele de reducere a riscurilor. In paralel, adoptati o perspectiva asupra arhitecturii pentru a masura daca un anumit instrument contribuie sau nu la capacitatea de a proteja intreprinderea. Principiile arhitecturii de tip mesh a securitatii cibernetice (Cybersecurity mesh architecture - CSMA) pot sprijini, de asemenea, securitatea in proiectarea pentru simplitate, compatibilitate si interoperabilitate.

 

“Cererea de talente in domeniul securitatii cibernetice a depasit oferta pana in punctul in care CISOs nu pot tine pasul”, a declarat McMullen, mentionand: “Securitatea este un impediment major in calea transformarii digitale, iar o mare parte din acest lucru se datoreaza mitului conform caruia doar profesionistii in domeniul securitatii cibernetice pot desfasura activitati serioase in domeniul cibernetic. Solutia este democratizarea expertizei in domeniul securitatii cibernetice, in loc sa se incerce acoperirea deficitului de talente prin recrutare.”

Gartner prognozeaza ca pana in 2027, 75% dintre angajati care nu fac parte din departamentele IT vor achizitiona, modifica sau crea tehnologie, fata de 41% in 2022. CISOs pot reduce povara echipei lor ajutand acesti tehnologi ai afacerii sa dezvolte o expertiza minima eficienta - Minimum Effective Expertise - sau un rationament in domeniul cibernetic. Un sondaj recent realizat de Gartner a constatat ca afacerile de tehnologie cu un rationament excelent in domeniul cibernetic iau de 2,5 ori mai mult in considerare riscurile de securitate cibernetica in dezvoltarea analizelor sau a capacitatilor tehnologice.

 

Un studiu recent realizat de Gartner a constatat ca 69% dintre angajati au evitat indrumarile de securitate ale organizatiei lor in ultimele 12 luni, iar 74% dintre angajati ar fi dispusi sa evite indrumarile de securitate cibernetica daca asta i-ar ajuta pe ei sau echipa lor sa atinga un obiectiv de afaceri. “Organizatiile de securitate cibernetica sunt constiente de comportamentul general nesigur al fortei de munca, dar raspunsul tipic de a adauga mai multe controale are efectul contrar”, a declarat Teixeira, completand: “Angajatii raporteaza o mare cantitate de frictiune asociata cu comportamentul sigur, ceea ce genereaza comportamente nesigure. Controalele care sunt ocolite sunt mai rele decat pur si simplu absenta controlului.”

Minimum Effective Friction reconsidera evaluarea performantei controalelor de securitate acordand prioritate experientei utilizatorului mai mult decat functionalitatilor tehnice. Gartner estimeaza ca 50% dintre CISOs marilor companii vor adopta pana in 2027 practici de proiectare a securitatii centrate pe om (human-centric security design) pentru a minimiza frictiunea indusa de securitatea cibernetica si maximiza adoptarea controalelor. Afla cum sa fii un lider eficient in domeniul securitatii cibernetice din ebook-ul gratuit Gartner Four Facets of Effective CISO Leadership.

 

Analistii Gartner prezinta cele mai recente analize si sfaturi pentru liderii din domeniul securitatii si managementului riscurilor la Summiturile Gartner pentru Securitate si Managementul Riscurilor, care au loc intre 5 si 7 iunie la National Harbor, MD, intre 26 si 28 iulie la Tokyo si intre 26 si 28 septembrie la Londra. Urmareste stirile si actualizarile conferintelor pe Twitter cu hashtag-ul #GartnerSEC.