A Web3-trendek után, következzenek a kiberbiztonságot érintő idei jellemző irányok – a kettő összefügg. Utóbbit vizsgálta most a Gartner, egy nagyszabású kutatásban, amelyben meglepő módon, az első és legfontosabb megállapítás, nem a technológiára, hanem az emberre fókuszált: „A kiberbiztonság emberközpontú megközelítése elengedhetetlen a biztonsági hibák csökkentéséhez” – mondta Richard Addiscott, a Gartner Sr Director elemzője. „Az emberekre való összpontosítás az ellenőrzés tervezése és végrehajtása során, valamint az üzleti kommunikáció és a kiberbiztonsági tehetséggondozás révén segít javítani az üzleti kockázatokkal kapcsolatos döntéseket és a kiberbiztonsági személyzet megtartását.”
A kiberbiztonsági kockázatok kezelése és a hatékony kiberbiztonsági program fenntartása érdekében az SRM-vezetőknek három kulcsfontosságú területre kell összpontosítaniuk:
- az emberek alapvető szerepe a biztonsági program sikerében és fenntarthatóságában;
- a műszaki biztonsági képességek, amelyek nagyobb átláthatóságot és reagálóképességet biztosítanak a szervezet digitális ökoszisztémájában; és
- a biztonsági funkció működésének átalakítása, hogy a biztonság veszélyeztetése nélkül lehetővé tegyék az agilitást.
A következő kilenc trend széleskörű hatással lesz az SRM-vezetőkre e három területen:
Trend 1: Emberközpontú biztonsági tervezés
A biztonság emberközpontú tervezése, a munkavállalói tapasztalatok szerepét helyezi előtérbe az ellenőrzések kezelésének teljes életciklusában. 2027-re a nagyvállalati információbiztonsági vezetők (CISO-k) 50 szézaléka emberközpontú biztonsági tervezési gyakorlatokat fog alkalmazni a kiberbiztonság okozta súrlódások minimalizálása és az ellenőrzések maximális elfogadása érdekében.
„A hagyományos biztonságtudatossági programok nem tudták csökkenteni a bizonytalan munkavállalói magatartást” – mondta Addiscott. „A CISO-knak felül kell vizsgálniuk a múltbeli kiberbiztonsági incidenseket, hogy azonosítsák a kiberbiztonság által kiváltott súrlódások fő forrásait, és meghatározzák, hol könnyíthetik meg az alkalmazottak terheit emberközpontúbb ellenőrzésekkel, vagy vonják vissza azokat az ellenőrzéseket, amelyek a kockázat érdemi csökkentése nélkül növelik a súrlódásokat.”
Ha érdeklik, milyen kockázatokat rejt egy-egy IT-projekt biztonsági szempontból, feltétlenül jöjjön el 2023- május 16-i Igazságszérum konferenciánkra, ahol kerekasztalbeszélgetések és rövid előadások során nyújtunk mély ismereteket a témában.
Trend 2: A biztonsági program fenntarthatóságát szolgáló emberközpontú irányítás erősítése
A kiberbiztonsági vezetők hagyományosan a programjaikat támogató technológia és folyamatok fejlesztésére összpontosítják és kevés figyelmet fordítanak az emberekre, akik ezeket a változásokat létrehozzák. Azok a CISO-k, akik emberközpontú tehetséggondozási megközelítést alkalmaznak a tehetségek vonzása és megtartása érdekében, javulást tapasztaltak funkcionális és technikai érettségükben. A Gartner előrejelzése szerint 2026-ra a szervezetek 60 százaléka a külső munkaerő-felvételről a belső tehetségpiacokról történő „csendes felvételre” fog áttérni a rendszerszintű kiberbiztonsági és toborzási kihívások kezelése érdekében.
Trend 3: A kiberbiztonsági működési modell átalakítása az értékteremtés támogatása érdekében
A technológia a központi informatikai funkciókból az üzletágak, a vállalati funkciók, a fúziós csapatok és az egyes alkalmazottak felé mozdul el. A Gartner felmérése szerint az alkalmazottak 41 százaléka végez valamilyen technológiai munkát és ez a tendencia a következő öt évben várhatóan tovább fog növekedni.
„Az üzleti vezetők ma már széles körben elfogadják, hogy a kiberbiztonsági kockázat a legfontosabb üzleti kockázat, amelyet kezelni kell – nem pedig egy megoldandó technológiai probléma” – mondta Addiscott. “Az üzleti eredmények támogatása és felgyorsítása az egyik legfontosabb kiberbiztonsági prioritás, ugyanakkor továbbra is a legnagyobb kihívás.”
A CISO-knak módosítaniuk kell a kiberbiztonság működési modelljét, hogy integrálják a munkavégzés módját. Az alkalmazottaknak tudniuk kell, hogyan kell egyensúlyt teremteniük számos kockázat, köztük a kiberbiztonsági, pénzügyi, hírnevet érintő, verseny- és jogi kockázatok között. A kiberbiztonságnak az üzleti értékhez is kapcsolódnia kell azáltal, hogy a sikereket az üzleti eredmények és prioritások alapján mérik és jelentik.
4. trend: A fenyegetettség kezelése
A modern szervezetek támadási felülete összetett és fáradtságot okoz. A CISO-knak tovább kell fejleszteniük értékelési gyakorlatukat, hogy a fenyegetéseknek való kitettségüket a folyamatos fenyegetettségkezelési (CTEM) programok megvalósításával megértsék. A Gartner előrejelzése szerint 2026-ra a CTEM-program alapján biztonsági beruházásaikat prioritásként kezelő szervezetek kétharmaddal kevesebb betörést szenvednek majd el.
„A CISO-knak folyamatosan finomítaniuk kell a fenyegetésértékelési gyakorlatukat, hogy lépést tartsanak a szervezetük fejlődő munkamódszereivel, és a CTEM megközelítéssel ne csak a technológiai sebezhetőségeket értékeljék” – mondta Addiscott.
Trend 5: Biztonsági elvek beépítése
A törékeny biztonsági infrastruktúrát a hiányos, rosszul konfigurált vagy sebezhető elemek okozzák a védelmi rendszerben. 2027-re a biztonsági elvek az új támadások 85 százalékát megakadályozzák, és ezáltal 80 százalékkal csökkentik a jogsértések pénzügyi hatását.
6. trend: A kiberbiztonsági érvényesítése
A kiberbiztonsági validáció azokat a technikákat, folyamatokat és eszközöket foglalja magában, amelyekkel igazolható, hogy a potenciális támadók hogyan használják ki az azonosított fenyegetettséget. A kiberbiztonsági validáláshoz szükséges eszközök jelentős előrelépést tesznek az értékelések megismételhető és kiszámítható szempontjainak automatizálása terén, lehetővé téve a támadási technikák, biztonsági ellenőrzések és folyamatok rendszeres összehasonlítását. 2026-ig a szervezetek több mint 40 százaléka, köztük a közepes méretű szervezetek kétharmada konszolidált platformokra támaszkodik majd a kiberbiztonsági validációs értékelések lefuttatásához.
Trend 7: Kiberbiztonsági platformok konszolidációja
Ahogy a szervezetek a műveletek egyszerűsítésére törekednek, a gyártók egy vagy több fő kiberbiztonsági terület köré csoportosítják a platformokat. A biztonsági szolgáltatásokat például egy közös platformon keresztül kínálhatják, amely egyesíti az irányítási, a kiváltságos hozzáférési és a hozzáférés-kezelési funkciókat. Az SRM-vezetőknek folyamatosan leltárba kell venniük a biztonsági ellenőrzéseket, hogy megértsék, hol vannak átfedések és a redundanciát konszolidált platformok révén csökkenteni tudják.
8. trend: Moduláris biztonság
A szervezeteknek a monolitikus rendszerekre való támaszkodás helyett moduláris képességeket kell beépíteniük alkalmazásaikba, hogy reagálni tudjanak a gyorsuló ütemű üzleti változásokra. Az összeállítható biztonság egy olyan megközelítés, amelyben a kiberbiztonsági ellenőrzéseket architektúrális mintákba integrálják, majd moduláris szinten alkalmazzák összekapcsolható technológiai megvalósításokban. 2027-re az alapvető üzleti alkalmazások több mint 50 százaléka összeállítható architektúrával épül fel, ami új megközelítést igényel ezen alkalmazások védelméhez.
Trend 9: A vezetők bővítik kompetenciájukat a kiberbiztonsági felügyelet terén
Az igazgatótanácsok fokozott figyelmet fordítanak a kiberbiztonságra, ami a kiberbiztonsággal kapcsolatos egyértelmű elszámoltathatóság irányába mutató tendenciának köszönhető, amely a döntéshozók, vezetők fokozott felelősségét foglalja magában az irányítási tevékenységükben. A kiberbiztonsági vezetőknek olyan jelentést kell készíteniük a döntéshozók számára, amely bemutatja a kiberbiztonsági programok hatását a szervezet céljaira és célkitűzéseire.
„Az SRM-vezetőknek ösztönözniük kell az igazgatótanácsok aktív részvételét és bevonását a kiberbiztonsági döntéshozatalba” – mondta Addiscott. “Stratégiai tanácsadóként kell fellépniük, és ajánlásokat kell tenniük az igazgatótanács által meghozandó intézkedésekre, beleértve a biztonságra szánt költségvetések és erőforrások elosztását is.”
A Gartner regisztrált felhasználói bővebben is olvashatnak a felmérésről, a Top Trends in Cybersecurity 2023 című kiadványban.