La consultora tecnològica Gartner aborda quatre mites populars que treuen valor a la ciberseguretat i inhibeixen l’eficàcia dels programes de seguretat de les organitzacions.

La signatura d’anàlisi i recerca Gartner ha avançat quatre mites de la seguretat cibernètica per les empreses i inhibeixen l’eficàcia final dels programes de seguretat implantats. En aquest sentit, la consultora tecnològica ha assegurat que els CISO han d’adoptar una mentalitat de “mínima eficàcia” per maximitzar l’impacte de la seguretat cibernètica pel negoci. Henrique Teixeira, analista sènior del segell, defensa que molts CISO estan esgotats i senten que tenen poc control sobre factors estressants o sobre l’equilibri entre el treball i la vida personal. Els líders de ciberseguretat i els seus equips estan posant el màxim esforç, però no estan tenint el màxim impacte.

Una mentalitat mínimament efectiva és un concepte que es correspon amb un enfocament deliberat, impulsat pel ROI per liderar la ciberseguretat al futur. Si bé la idea de mínim pot semblar incòmoda, es refereix a les entrades, no als resultats. Aquest enfocament permetrà que les funcions de ciberseguretat vagin més enllà de simplement defensar les entitats per desbloquejar el seu veritable potencial per crear valor tangible. Així, durant la Cimera de Gestió de Riscs i Seguretat, s’han desmentit quatre mites comuns sobre seguretat i van explicar com els líders de seguretat poden crear valor nou a través del compromís comercial, la tecnologia i el talent.

Més dades, millor protecció:

De manera habitual es creu que la millor manera d’impulsar l’acció dels prenedors de decisions executius sobre iniciatives de seguretat cibernètica és a través d’una anàlisi de dades sofisticada, com el càlcul de la probabilitat que ocorri un esdeveniment cibernètic. No obstant això, no és pràctic quantificar el risc d’aquesta manera. A més, aquest enfocament no brinda responsabilitat compartida entre la seguretat cibernètica i alta direcció per reduir materialment el risc comercial. La recerca de Gartner ha trobat que només un terç dels CISO informen que l’èxit impulsa l’acció a través de la quantificació del risc cibernètic.

Més tecnologia equival a una millor protecció:

Es preveu que la despesa mundial en productes i serveis de gestió de riscs i seguretat de la informació creixi un 12,7% fins a esgarrapar els 190.000 milions de dòlars el 2023. No obstant això, encara que les organitzacions gasten més en eines i tecnologies de ciberseguretat, els líders en seguretat continuen sentint que no estan degudament protegits.

Les organitzacions poden començar el viatge cap a un conjunt d’eines efectiu mínim adoptant una perspectiva de costs humans; és a dir, mantenint les despeses generals dels ciber-professionals que administren les eines de ciberseguretat per sota del benefici de l’eina per a mitigar els riscs. Paral·lelament, s’ha d’adoptar una vista arquitectònica per mesurar si una eina determinada se suma o se sostreu a la capacitat de protegir l’empresa. Els principis de l’arquitectura de malla de ciberseguretat (CSMA) també poden recolzar la seguretat en el disseny de la simplicitat, la composició i la interoperabilitat.

Més talent, cotes més altes de protecció:

La demanda de talent en ciberseguretat ha superat l’oferta fins al punt que els CISO no poden posar-se al dia. La seguretat és necessària per la transformació digital, i molt d’això es deu al mite que només els professionals de ciberseguretat poden fer un treball cibernètic seriós. La solució és democratitzar l’experiència en seguretat cibernètica, en lloc d’intentar contractar per sortir de la bretxa de talent.

En aquest context, la consultora prediu que pel 2027, el 75% dels empleats adquirirà, modificarà o crearà tecnologia fora de la visibilitat de TI, enfront del 41% en 2022. Els CISO poden reduir la càrrega dels seus equips en ajudar aquests tecnòlegs comercials a desenvolupar l’experiència mínima efectiva o el judici cibernètic. Una enquesta recent de Gartner assevera que els tecnòlegs de negocis amb alt judici cibernètic tenen 2,5 vegades més probabilitats de considerar els riscos de seguretat cibernètica en desenvolupar capacitats analítiques o tecnològiques.

Més control no és igual a millor protecció:

Segons una enquesta recent de la signatura d’anàlisi, el 69% dels empleats han passat per alt la guia de seguretat cibernètica de la seva organització en els últims dotze mesos, i el 74% dels empleats estarien disposats a passar per alt la guia de seguretat cibernètica si els ajudés a ells o al seu equip a aconseguir un objectiu comercial. Les organitzacions de ciberseguretat són molt conscients del comportament no segur generalitzat de la força laboral, però la resposta típica d’agregar més controls és contraproduent. Els empleats reporten una gran quantitat de friccions relacionades amb el comportament segur, la qual cosa genera un comportament insegur. Els controls que s’eludeixen són pitjors que cap control.

Així, la fricció efectiva mínima reequilibra l’avaluació de ciberseguretat de l’acompliment dels controls de seguretat per prioritzar l’experiència de l’usuari en lloc de la funcionalitat tècnica únicament. Gartner prediu que per a 2027, el 50% dels CISO de grans empreses hauran adoptat pràctiques de disseny de seguretat centrades en l’ésser humà per a minimitzar la fricció induïda per la ciberseguretat i maximitzar l’adopció del control.