Gartner: vier mythen verdoezelen volledige waarde van cyberbeveiliging

"Veel CISO's zijn opgebrand en hebben het gevoel dat ze weinig controle hebben over hun stressfactoren of de balans tussen werk en privé", meent Henrique Teixeira, Senior Director Analist bij Gartner. "Cybersecurity-leiders en hun teams doen hun uiterste best, maar hun inspanningen hebben geen maximale impact."

"Een minimumeffectieve mentaliteit is een bewuste, op ROI gebaseerde aanpak om cyberbeveiliging naar de toekomst te leiden", voegt Leigh McMullen, Distinguished VP Analist bij Gartner, toe. “Hoewel het idee van 'minimum' misschien ongemakkelijk lijkt, verwijst het naar de inspanningen, niet naar de uitkomsten. Deze aanpak stelt cyberbeveiligingsfuncties in staat om verder te gaan dan alleen ‘het fort verdedigen’, om hun ware potentieel te ontsluiten en zo tastbare waarde te creëren.”

Tijdens de Opening Keynote van de Gartner Security & Risk Management Summit ( dinsdag 6-woensdag 7 juni) hebben Teixeira en McMullen vier veelvoorkomende beveiligingsmythen ontkracht en uitgelegd hoe security-beslissers nieuwe waarde kunnen creëren op het gebied van zakelijke betrokkenheid, technologie en talent.

Mythe 1: meer data = betere bescherming

Algemeen wordt aangenomen dat de beste manier om actie te ondernemen op het gebied van cyberbeveiligingsinitiatieven, geavanceerde gegevensanalyse is. Denk aan het berekenen van de waarschijnlijkheid dat een cybergebeurtenis plaatsvindt. Het is echter niet praktisch om risico's op deze manier te kwantificeren.

Verder zorgt deze aanpak niet voor gedeelde verantwoordelijkheid tussen cyberbeveiliging en zakelijke besluitvormers die nodig zijn om de bedrijfsrisico's wezenlijk te verminderen. Onderzoek van Gartner heeft uitgewezen dat slechts een derde van de CISO's melding maakt van het aansturen van actie door cyberrisico's te kwantificeren.

"In plaats van door te gaan met het nastreven van meer gegevens en meer analyse, houden slimme CISO's zich bezig met een Minimum Effective Insight-benadering", aldus Teixeira. "Bepaal de minste hoeveelheid informatie die nodig is om een rechte lijn te trekken tussen de financiering van de onderneming voor cyberbeveiliging en de mate van kwetsbaarheid die door de financiering wordt aangepakt."

CISO's moeten een resultaatgestuurde metrische gegevens (ODM)-benadering gebruiken voor actie Minimaal effectief inzicht. ODM's koppelen beveiligings- en operationele risicostatistieken aan de bedrijfsresultaten die ze ondersteunen door de huidige beschermingsniveaus en de alternatieve beschikbare beschermingsniveaus op basis van uitgaven uit te leggen.

Mythe 2: meer technologie = betere bescherming

De wereldwijde uitgaven aan informatiebeveiliging en risicobeheerproducten en -diensten zullen naar verwachting met 12,7 procent toenemen tot 189,8 miljard dollar in 2023. Maar zelfs nu organisaties meer uitgeven aan cyberbeveiligingstools en -technologieën, hebben security-beslissers nog steeds het gevoel dat ze niet goed beschermd zijn.

"Cybersecurity blijft vaak steken in de overtuiging dat er om de hoek iets beters moet zijn", zegt McMullen. “In plaats daarvan moeten CISO's een minimale effectieve toolset omarmen: de minste hoeveelheid technologieën die nodig zijn om kwetsbaarheden te observeren, te verdedigen en erop te reageren. Hierdoor kan cyberbeveiliging eigenaar worden van hun architectuur, waardoor de complexiteit en het gebrek aan interoperabiliteit worden verminderd die het zo moeilijk maken om waarde te genereren uit investeringen in technologie.”

Organisaties kunnen de roadmap naar een minimaal effectieve toolset in gang zetten door de menselijke kosten te bekijken, waarbij de overhead voor cyberprofessionals die cyberbeveiligingstools beheren lager is dan het voordeel van de tool bij het beperken van risico's. Neem tegelijkertijd een architecturale kijk om te meten of een bepaald hulpmiddel bijdraagt aan of afdoet aan het vermogen om de onderneming te beschermen. Cybersecurity mesh-architectuur (CSMA)-principes kunnen ook beveiliging ondersteunen bij het ontwerpen voor eenvoud, composability en interoperabiliteit.

Mythe 3: meer cyberbeveiligingsprofessionals = betere bescherming

"De vraag naar cybersecurity-talent is zo groot dat CISO’s onvoldoende talent kunnen binnenhalen", aldus McMullen. “Beveiliging is een enorm knelpunt voor digitale transformatie, en dat komt grotendeels door de mythe dat alleen cyberbeveiligingsprofessionals serieus cyberwerk kunnen doen. Het democratiseren van expertise op het gebied van cyberbeveiliging, in plaats van te proberen uit het tekort aan talent te komen, is de oplossing.”

Gartner voorspelt dat tegen 2027 75 procent van de werknemers technologie zal verwerven, wijzigen of creëren buiten de zichtbaarheid van IT (shadow IT), tegen 41 procent in 2022. CISO's kunnen de belasting van hun teams verminderen door deze bedrijfstechnologen te helpen bij het opbouwen van Minimum Effective Expertise, ofwel cyberoordeel. Uit een recent onderzoek van Gartner bleek dat bedrijfstechnologen met een hoog cyberoordeel 2,5 keer meer geneigd zijn om cyberbeveiligingsrisico's in overweging te nemen bij het ontwikkelen van analytische of technologische mogelijkheden.

Mythe 4: meer controle = betere bescherming

Uit recent Gartner-onderzoek bleek dat 69 procent van de werknemers de cyberbeveiligingsrichtlijnen van hun organisatie in de afgelopen 12 maanden heeft omzeild. 74 procent zou bereid zijn de cyberbeveiligingsrichtlijnen te omzeilen als het hen of hun team helpt in het bereiken van een zakelijke doestelling.

"Cybersecurity-organisaties zijn zich terdege bewust van het alomtegenwoordige onveilige gedrag van het personeel, maar de typische reactie van het toevoegen van meer controles werkt averechts", aldus Teixeira. “Werknemers melden een enorme hoeveelheid wrijving rond veilig gedrag, wat leidt tot onveilig gedrag. Controles die worden omzeild, zijn erger dan helemaal geen controles.”

Minimale effectieve frictie brengt de beoordeling van cyberbeveiliging van de prestaties van beveiligingscontroles opnieuw in evenwicht om prioriteit te geven aan gebruikerservaring in plaats van alleen technische functionaliteit. Gartner voorspelt dat tegen 2027 de helft van de CISO's van grote ondernemingen mensgerichte beveiligingsontwerppraktijken zal hebben toegepast om door cyberbeveiliging veroorzaakte wrijving te minimaliseren en de acceptatie van controle te maximaliseren.