Gartner: Benut de Hype, versterk cybersecurity

Ze stelden dat organisaties in een turbulent tijdperk verkeren, waarin de uitersten van ongeremd technologisch optimisme en overmatige bezorgdheid elkaar bedreigen. Hype, of het nu wordt veroorzaakt door AI, opkomende technologieën of recente cyberaanvallen, kan strategische doelen ondermijnen. Lee en McMullen moedigden cybersecurityleiders aan om de energie van hype te gebruiken om hun beveiligingsprogramma’s en veerkracht te versterken.

Hype omarmen in plaats van vermijden

De sprekers benadrukten dat hoewel de verleiding groot is om de constante stroom van AI-hype te negeren, dit een vergissing zou zijn. Hype bevat vaak een kern van waarheid en is een teken van verandering. Nieuwe technologieën zullen blijven komen, of cybersecurityteams er nu klaar voor zijn of niet. Daarom pleitten ze ervoor om niet de angst te voeden, maar de hype te benutten.

werd gepresenteerd als een cruciaal hulpmiddel om deze benadering te navigeren. Oorspronkelijk ontworpen om de volwassenheid en adoptie van technologieën te evalueren, kan de Hype Cycle ook worden toegepast op andere fenomenen, zoals trends of transformaties. Door de voorspelbare patronen van hype te bestuderen, kunnen cybersecurityleiders anticiperen en de energie van anderen gebruiken om hun eigen agenda te bevorderen. Dit stelt hen in staat om risico's en kansen te identificeren. De sprekers illustreerden hoe een technologie op de 'Peak of Inflated Expectations' het grootste risico op impulsieve beslissingen met zich meebrengt, terwijl technologieën die de 'Trough of Disillusionment' overleven, hun werkelijke waarde in de praktijk hebben bewezen.

Verandering in de strategische aanpak

Om de hype te benutten, introduceerden Lee en McMullen drie hoofdstrategieën. De eerste is het afstemmen van cybersecurity op de missie van de organisatie. In plaats van in te spelen op de angst na een cyberincident, moeten leiders de discussie verplaatsen naar feiten en strategische keuzes. Ze introduceerden het concept van Protection Level Agreements (PLA’s) en Outcome-Driven Metrics (ODM’s). Een PLA is een formele overeenkomst over het bedrag dat een bedrijf bereid is te investeren voor een gewenst niveau van cyberbeveiliging, uitgedrukt in meetbare ODM's.

Als voorbeeld gaven ze een scenario waarbij een CEO vraagt naar bescherming tegen ransomware na een aanval bij een concurrent. In plaats van nieuwe tools te pushen, kan een CISO ODM's presenteren, zoals het percentage kritieke systemen dat over effectieve herstelprocedures beschikt. Door vervolgens de kosten van het verhogen van dit percentage te presenteren, wordt de discussie een feitelijk gesprek over risico's en afwegingen, in plaats van een debat gebaseerd op angst. De sprekers noemden het Institute for Cancer Research in Londen als een succesvol voorbeeld, waar deze aanpak leidde tot een stijging van 37% in het cybersecuritybudget.

AI: van risico naar kans

De tweede strategie richtte zich op AI, de 'koning van de overtrokken verwachtingen'. Lee en McMullen benadrukten dat cybersecurityleiders AI-geletterdheid moeten ontwikkelen en ermee moeten experimenteren. Door AI intern te gebruiken voor saaie en repetitieve taken, zoals het automatisch verhelpen van kwetsbaarheden in code of het beantwoorden van beleidsvragen, kunnen teams hun vaardigheden opbouwen en tegelijkertijd productiviteit verhogen.

Ze presenteerden succesvolle praktijkvoorbeelden van ‘tactische AI’. Het reisbedrijf Sabre ontwikkelde een AI-tool genaamd 'Viper' die 55% van de openstaande kwetsbaarheden in code automatisch verhelpt, wat honderdduizenden ontwikkeluren bespaart. Werkdag, een HR-softwarebedrijf, creëerde de chatbot 'PolicyBot' die 90% van de beleidsgerelateerde vragen afhandelt, wat resulteert in een gebruikerservaring van meer dan 95%. Door eerst intern te experimenteren, kunnen cybersecurityteams hun organisaties beter begeleiden bij het veilig en effectief implementeren van AI-oplossingen.

Veerkracht en leiderschap

De derde en laatste strategie ging over veerkracht in een tijdperk van verandering en burnout. Met het toenemende aantal veranderingen en de verminderde steun van werknemers, pleitten de sprekers voor een aanpak die verrassingen elimineert en autonomie bevordert. Door de rationaliteit en verwachte impact van veranderingen te communiceren en werknemers te betrekken bij het ontwerpproces, kan de weerstand tegen verandering worden verminderd.

Ze waarschuwden: “Burnout breeds breaches” (Burnout leidt tot inbreuken). Om dit tegen te gaan, moet leiderschap een kerncompetentie worden. Door routinetaken te automatiseren met behulp van AI, kan personeel zich richten op complexere en meer bevredigende taken, wat de betrokkenheid en veerkracht vergroot.

Door deze drie strategieën – missiegedreven transparantie, AI-experimentatie en veerkrachtig leiderschap – kunnen cybersecurityleiders de energie van hype benutten om hun programma’s te versterken en hun organisaties veerkrachtiger te maken. In plaats van de constante strijd tegen hype, kunnen ze het gebruiken als een strategisch instrument.

Door: Witold Kepinski