Gdyby wszystkie zabezpieczenia działały prawidłowo, temat cyberbezpieczeństwa nie byłby tak mocno wałkowany przez specjalistów, a naruszenia byłyby sporadycznym przejawem ponadprzeciętnych zdolności hakera. Taki stan rzeczy jest oczywiście fikcją. Pytanie dlaczego, skoro firmy wydają miliony na zabezpieczenia, kopie zapasowe, testy penetracyjne, szkolenia pracowników i wiele więcej produktów i usług z zakresu cybersec, a co rusz dochodzi do naruszeń, czasami z wykorzystaniem banalnych metod czy luk.

Poza tym, że ciemna strona IT rozwija się równie szybko jak jasna strona, powodów może być wiele. Eksperci Gartnera – Henrique Teixeira, starszy dyrektor ds. analityków w firmie Gartner i Leigh McMullen, Distinguished VP Analyst – podczas szczytu firmy Gartner Security & Risk Management Summit omówili, w jaki sposób CISO mogą zmaksymalizować skuteczność zabezpieczeń oraz obalili cztery popularne mity dotyczące bezpieczeństwa i wyjaśnili, w jaki sposób liderzy ds. bezpieczeństwa mogą tworzyć nową wartość poprzez zaangażowanie biznesowe, technologię i talenty. Ich zdaniem, te 4 mity często przesłaniają pełną wartość cyberbezpieczeństwa dla przedsiębiorstwa, hamując skuteczność programów zabezpieczających. CISO (Chief Information Security Officers) są zmuszeni do przyjęcia podejścia „minimum skuteczne”, aby zmaksymalizować wpływ cyberbezpieczeństwa na biznes. Pomimo maksymalnego wysiłku, wiele zespołów cyberbezpieczeństwa nie odnosi maksymalnych efektów, co prowadzi do wypalenia i poczucia braku kontroli nad stresorami. Czas przełamać mity i odkryć prawdziwy potencjał cyberbezpieczeństwa.

Mit nr 1: Więcej danych to lepsza ochrona

Choć zaawansowana analiza danych może wydawać się kluczem do kierowania decyzjami związanymi z cyberbezpieczeństwem, badania Gartnera wykazały, że tylko jedna trzecia CISO napędza działania poprzez kwantyfikację ryzyka cybernetycznego. Kwitnące w społeczności CISO podejście do „minimum efektywnego wglądu” sugeruje, że potrzebujemy najmniejszej ilości informacji, które pozwolą wytyczyć prostą linię między finansowaniem cyberbezpieczeństwa a lukami w zabezpieczeniach.

Do tego celu stosowane jest podejście oparte na metrykach wyników (ODM), które łączą wskaźniki operacyjne bezpieczeństwa i ryzyka z wynikami biznesowymi, wyjaśniając obecnie stosowane poziomy ochrony i dostępne alternatywne poziomy ochrony w zależności od wydatków.

Mit nr 2: Więcej technologii to lepsza ochrona

Pomimo przewidywanych wydatków na produkty i usługi związane z bezpieczeństwem informacji i zarządzaniem ryzykiem, które w 2023 r. wyniosą 189,8 mld USD, liderzy bezpieczeństwa nadal nie czują się odpowiednio chronieni. W odpowiedzi na ten mit, CISO powinni zamiast szukać „najnowszej i najlepszej” technologii, skoncentrować się na minimalnym efektywnym zestawie narzędzi – najmniejszej liczbie technologii wymaganych do monitorowania, obrony i reagowania na zagrożenia.

Mit nr 3: Więcej specjalistów ds. cyberbezpieczeństwa to lepsza ochrona

W obliczu braku talentów z dziedziny cyberbezpieczeństwa, CISO nie powinni polegać na zwiększeniu liczby specjalistów ds. cyberbezpieczeństwa, ale raczej na demokratyzacji wiedzy specjalistycznej w zakresie bezpieczeństwa. Zdolności nie muszą być skoncentrowane wyłącznie wśród specjalistów ds. cyberbezpieczeństwa. Gartner przewiduje, że do 2027 r. 75% pracowników będzie nabywać, modyfikować lub tworzyć technologię poza zasięgiem działu IT, co stanowi wzrost w porównaniu z 41% w 2022 r.

Zatem CISO mogą zmniejszyć obciążenie swoich zespołów, pomagając tym technologom biznesowym w budowaniu minimalnej efektywnej wiedzy specjalistycznej lub oceny cybernetycznej. Wiedza o cyberbezpieczeństwie nie musi być ograniczona do jednej grupy, ale może być dystrybuowana w całej organizacji, zwiększając zdolność przedsiębiorstwa do reagowania na zagrożenia.

Mit nr 4: Więcej kontroli oznacza lepszą ochronę

Biorąc pod uwagę, że 74% pracowników byłoby skłonnych obejść wytyczne dotyczące cyberbezpieczeństwa, gdyby pomogło im to lub ich zespołowi osiągnąć cel biznesowy, więcej kontroli niekoniecznie oznacza lepszą ochronę. Zwiększanie liczby kontroli często prowadzi do większej liczby tarć związanych z bezpiecznym zachowaniem, które napędzają niebezpieczne zachowania.

Do 2027 r. Gartner przewiduje, że 50% CISO w dużych przedsiębiorstwach przyjmie praktyki projektowania zabezpieczeń skoncentrowane na człowieku, aby zminimalizować problemy związane z bezpieczeństwem cybernetycznym i zmaksymalizować wdrożenie kontroli. Kontrole powinny być projektowane z myślą o użytkownikach, a nie jako bariera do obejścia.

Wnioskując, podejście „minimum skuteczne” może pomóc przełamać powszechne mity w cyberbezpieczeństwie i pozwolić funkcjom cyberbezpieczeństwa uwolnić swój prawdziwy potencjał twórczy. CISO muszą przestać myśleć o większych danych, technologiach, zespołach i kontrolach jako panaceum na wszystkie problemy związane z cyberbezpieczeństwem. Zamiast tego powinni skupić się na minimalnym efektywnym zestawie narzędzi, wiedzy i kontroli, które mogą naprawdę przynieść wartość dla ich organizacji.