A Gartner szerint négy elterjedt mítosz elhomályosítja a kiberbiztonság fontosságát a vállalatok számára, és gátolja a biztonsági programok hatékonyságát. A CISO-knak a „Minimum Effective”-gondolkodásmódot kell elfogadniuk ahhoz, hogy maximalizálják a kiberbiztonságnak az üzletre gyakorolt hatását.
„Sok CISO kiégett, és úgy érzi, hogy kevéssé tudja kontrollálni a stresszforrásokat vagy a munka-magánélet egyensúlyát” – mondta Henrique Teixeira, a Gartner vezető elemzője. „A kiberbiztonsági vezetők és csapataik maximális erőfeszítéseket tesznek, de ennek nincs maximális hatása”.
„A minimálisan hatékony gondolkodásmód egy tudatos, ROI-alapú megközelítés a kiberbiztonság jövőbe vezető irányításához” – tette hozzá Leigh McMullen, a Gartner Distinguished VP elemzője. „Bár a “minimum” gondolata kényelmetlenül hangozhat, ez a bemenetekre utal, nem pedig az eredményekre. Ez a megközelítés lehetővé teszi a kiberbiztonsági funkciók számára, hogy a puszta „erőd védelmén” túlmenően felszabadítsák valódi potenciáljukat, és kézzelfogható értéket teremtsenek”.
Mítosz #1: Több adat egyenlő jobb védelemmel
Általánosan elterjedt nézet, hogy a vezető döntéshozók kiberbiztonsági kezdeményezésekkel kapcsolatos cselekvésének legjobb módja a kifinomult adatelemzés, például egy kiberesemény bekövetkezésének valószínűségének kiszámítása. A kockázatot azonban nem praktikus ilyen módon számszerűsíteni. Továbbá ez a megközelítés nem biztosítja a kiberbiztonság és a vállalati döntéshozók közötti közös felelősségvállalást, ami szükséges az üzleti kockázatok jelentős csökkentéséhez. A Gartner kutatása szerint a CISO-k mindössze egyharmada számolt be arról, hogy a kiberkockázatok számszerűsítése sikeresen ösztönzi a cselekvést.
Mítosz #2: A több technológia egyenlő a jobb védelemmel
Az előrejelzések szerint az információbiztonsági és kockázatkezelési termékekre és szolgáltatásokra fordított kiadások világszerte 12,7 százalékkal nőnek, és 2023-ra elérik a 189,8 milliárd dollárt. Mégis, még ha a szervezetek többet is költenek kiberbiztonsági eszközökre és technológiákra, a biztonsági vezetők még mindig úgy érzik, hogy nincsenek megfelelően védve. „A kiberbiztonság gyakran megreked a sebességváltó beszerzésének gondolkodásmódjában, abban a hitben, hogy a sarkon túl már csak valami jobbnak kell lennie” – mondta McMullen. „Ehelyett a CISO-knak egy minimálisan hatékony eszközkészletet kell elfogadniuk – a legkevesebb olyan technológiát, amely szükséges a veszélyek megfigyeléséhez, kivédéséhez és az azokra való reagáláshoz. Ez lehetővé teszi, hogy a kiberbiztonság a saját architektúrájukat birtokolja, csökkentve a komplexitást és az interoperabilitás hiányát, ami miatt olyan nehéz értéket teremteni a technológiai beruházásokból.”
A szervezetek a minimálisan hatékony eszközkészlethez vezető utat úgy kezdhetik meg, hogy az emberi költséget szem előtt tartva a kiberbiztonsági eszközök kezelésével foglalkozó kiberszakemberek általános költségeit alacsonyabb szinten tartják, mint az eszköz kockázatcsökkentő előnyeit. Ezzel párhuzamosan architektúrális szemlélettel mérje fel, hogy egy adott eszköz hozzáadódik-e a vállalat védelmi képességéhez, vagy pedig csökkenti azt. A kiberbiztonsági hálós architektúra (CSMA) elvei szintén támogathatják a biztonságot az egyszerűség, az összetevhetőség és az interoperabilitás tervezése során.
Mítosz #3: Több kiberbiztonsági szakember egyenlő jobb védelemmel
„A kiberbiztonsági tehetségek iránti kereslet olyan mértékben meghaladta a kínálatot, hogy a CISO-k képtelenek felzárkózni” – mondta McMullen. „A biztonság hatalmas szűk keresztmetszetet jelent a digitális átalakulásban, és ez nagyrészt annak a mítosznak köszönhető, hogy csak a kiberbiztonsági szakemberek képesek komoly kibermunkát végezni. A megoldás a kiberbiztonsági szakértelem demokratizálása, ahelyett, hogy a tehetséghiányból próbálnánk meg felvenni a szakembereket”.
A Gartner előrejelzése szerint 2027-re az alkalmazottak 75 százaléka az informatika látókörén kívül szerez be, módosít vagy hoz létre technológiát, szemben a 2022-es 41 százalékkal. A CISO-k csökkenthetik a csapataikra nehezedő terheket azzal, hogy segítik ezeket az üzleti technológusokat a Minimum Hatékony Szakértelem, vagyis a kiberbírálat kialakításában. A Gartner nemrégiben végzett felmérése szerint a magas kiberjogi ítélőképességgel rendelkező üzleti technológusok 2,5-szer nagyobb valószínűséggel veszik figyelembe a kiberbiztonsági kockázatokat, amikor analitikai vagy technológiai képességeket fejlesztenek.
Mítosz #4: Több ellenőrzés = jobb védelemmel
A Gartner nemrégiben végzett felmérése szerint az alkalmazottak 69 százaléka kerülte meg a szervezet kiberbiztonsági útmutatásait az elmúlt 12 hónapban, és az alkalmazottak 74 százaléka hajlandó lenne megkerülni a kiberbiztonsági útmutatásokat, ha ez segítené őket vagy csapatukat egy üzleti cél elérésében.
„A kiberbiztonsági szervezetek tisztában vannak a munkaerő nem biztonságos viselkedésének elterjedtségével, de a jellemző válaszlépés, azaz a további ellenőrzések bevezetése visszafelé sül el” – mondta Teixeira. „Az alkalmazottak arról számolnak be, hogy a biztonságos viselkedés hatalmas súrlódást okoz, ami a nem biztonságos viselkedést ösztönzi. A kijátszott ellenőrzések rosszabbak, mintha egyáltalán nem lenne ellenőrzés”.
A „Minimum Effective”- hozzáállás a kiberbiztonságban a biztonsági ellenőrzések teljesítményének értékelését úgy állítja újra egyensúlyba, hogy a felhasználói élményt helyezi előtérbe a technikai funkcionalitás helyett. A Gartner előrejelzése szerint 2027-re a nagyvállalati CISO-k 50 százaléka emberközpontú biztonsági tervezési gyakorlatokat fog alkalmazni a kiberbiztonság okozta súrlódások minimalizálása és a kontrollok maximális elfogadása érdekében.