Čelnici upravljanja sigurnošću i rizikom (SRM) moraju preispitati svoju ravnotežu ulaganja u tehnologiju i elemente usmjerene na ljude kada kreiraju i implementiraju programe kibernetičke sigurnosti u skladu s devet vrhunskih industrijskih trendova, prema Gartneru. "Pristup kibernetičkoj sigurnosti usmjeren na čovjeka ključan je za smanjenje sigurnosnih propusta", rekao je Richard Addiscott, viši direktor analitičara u Gartneru.
"Usredotočenost na ljude u dizajnu i implementaciji kontrole, kao i kroz poslovne komunikacije i upravljanje talentima za kibernetičku sigurnost, pomoći će u poboljšanju poslovnih odluka o riziku i zadržavanju osoblja za kibernetičku sigurnost", tvrdi Addiscott.
Kako bi se pozabavili rizicima kibernetičke sigurnosti i održali učinkovit program kibernetičke sigurnosti, voditelji SRM-a moraju biti usredotočeni na tri ključne domene: (i) bitna uloga ljudi za uspjeh i održivost sigurnosnog programa; (ii) tehničke sigurnosne mogućnosti koje pružaju veću vidljivost i odziv u cijelom digitalnom ekosustavu organizacije; i (iii) restrukturiranje načina rada sigurnosne funkcije kako bi se omogućila agilnost bez ugrožavanja sigurnosti.
Trend 1: Sigurnosni dizajn usmjeren na čovjeka
Sigurnosni dizajn usmjeren na čovjeka daje prioritet ulozi iskustva zaposlenika kroz životni ciklus upravljanja kontrolama. Do 2027. godine 50% direktora za informacijsku sigurnost u velikim poduzećima (CISO) usvojit će prakse sigurnosnog dizajna usmjerene na čovjeka kako bi se minimiziralo trvenje izazvano kibersigurnošću i maksimiziralo usvajanje kontrole.
Trend 2: Poboljšanje upravljanja ljudima za održivost sigurnosnog programa
Tradicionalno, čelnici kibernetičke sigurnosti usredotočeni su na poboljšanje tehnologije i procesa koji podržavaju njihove programe, s malo fokusa na ljude koji stvaraju te promjene. CISO-i koji koriste pristup upravljanja talentima usmjeren na ljude kako bi privukli i zadržali talente primijetili su poboljšanja u svojoj funkcionalnoj i tehničkoj zrelosti. Do 2026. Gartner predviđa da će se 60% organizacija prebaciti s vanjskog zapošljavanja na "tiho zapošljavanje" s internih tržišta talenata kako bi se pozabavili problemima sistemske kibernetičke sigurnosti i zapošljavanja.
Trend 3: Transformacija operativnog modela kibernetičke sigurnosti za podršku stvaranju vrijednosti
Tehnologija se seli iz središnjih IT funkcija u poslovne linije, korporativne funkcije, fuzijske timove i pojedinačne zaposlenike. Istraživanje Gartnera pokazalo je da 41% zaposlenika obavlja neku vrstu tehnološkog posla, a očekuje se da će taj trend nastaviti rasti u sljedećih pet godina. CISO-i moraju modificirati svoj operativni model kibernetičke sigurnosti kako bi integrirali način na koji se posao obavlja. Zaposlenici moraju znati kako uravnotežiti nekoliko rizika uključujući kibersigurnosne, financijske, reputacijske, konkurentske i pravne rizike. Kibernetička sigurnost također se mora povezati s poslovnom vrijednošću mjerenjem i izvješćivanjem o uspjehu u odnosu na poslovne rezultate i prioritete.
Trend 4: Upravljanje izloženošću prijetnjama
Površina napada modernih poduzeća je složena i stvara umor. CISO-i moraju razviti svoje prakse procjene kako bi razumjeli svoju izloženost prijetnjama implementacijom programa kontinuiranog upravljanja izloženošću prijetnjama (CTEM). Gartner predviđa da će do 2026. godine organizacije koje daju prednost svojim ulaganjima u sigurnost temeljenu na CTEM programu pretrpjeti dvije trećine manje provala.
Trend 5: Imunitet strukture identiteta
Krhku infrastrukturu identiteta uzrokuju nepotpuni, pogrešno konfigurirani ili ranjivi elementi u strukturi identiteta. Do 2027. načela imuniteta strukture identiteta spriječit će 85% novih napada i time smanjiti financijski učinak kršenja za 80%.
Trend 6: Validacija kibernetičke sigurnosti
Validacija kibernetičke sigurnosti objedinjuje tehnike, procese i alate koji se koriste za provjeru načina na koji potencijalni napadači iskorištavaju identificiranu izloženost prijetnji. Alati potrebni za provjeru kibernetičke sigurnosti značajno napreduju u automatizaciji ponovljivih i predvidljivih aspekata procjena, omogućujući redovita mjerila tehnika napada, sigurnosnih kontrola i procesa. Do 2026. više od 40% organizacija, uključujući dvije trećine srednjih poduzeća, oslanjat će se na konsolidirane platforme za provođenje procjena valjanosti kibernetičke sigurnosti.
Trend 7: Konsolidacija platforme kibernetičke sigurnosti
Dok organizacije žele pojednostaviti operacije, dobavljači konsolidiraju platforme oko jedne ili više glavnih domena kibernetičke sigurnosti. Na primjer, usluge sigurnosti identiteta mogu se ponuditi putem zajedničke platforme koja kombinira značajke upravljanja, povlaštenog pristupa i upravljanja pristupom. Voditelji SRM-a trebaju kontinuirano popisivati sigurnosne kontrole kako bi razumjeli gdje postoje preklapanja i smanjili redundanciju putem konsolidiranih platformi.
Trend 8: Kompazibilne tvrtke trebaju komponibilnu sigurnost
Organizacije moraju prijeći s oslanjanja na monolitne sustave na izgradnju modularnih mogućnosti u svojim aplikacijama kako bi odgovorile na ubrzani tempo poslovnih promjena. Kompozibilna sigurnost pristup je u kojem su kontrole kibernetičke sigurnosti integrirane u arhitektonske obrasce i zatim se primjenjuju na modularnoj razini u implementacijama komponibilne tehnologije. Do 2027. više od 50% osnovnih poslovnih aplikacija bit će izgrađeno korištenjem arhitekture koja se može sastaviti, što zahtijeva novi pristup osiguravanju tih aplikacija.
Trend 9: Odbori proširuju svoje kompetencije u nadzoru kibernetičke sigurnosti
Povećani fokus odbora na kibernetičku sigurnost potaknut je trendom prema eksplicitnoj razini odgovornosti za kibernetičku sigurnost kako bi se uključile povećane odgovornosti članova odbora u njihovim aktivnostima upravljanja. Čelnici kibernetičke sigurnosti moraju upravama osigurati izvješća koja pokazuju utjecaj programa kibernetičke sigurnosti na ciljeve organizacije.