Jumatate dintre directorii responsabili de securitatea informatiilor (Chief Information Security Officer - CISO) vor adopta un design centrat pe angajati pentru a reduce frictiunile operationale din procesele de securitate cibernetica, marile companii se vor concentra pe implementarea programelor zero-trust, iar 50% dintre liderii din domeniul securitatii cibernetice vor incerca fara succes sa utilizeze cuantificarea riscurilor cibernetice pentru a stimula procesul decizional din cadrul organizatiei lor, conform principalelor previziuni in materie de securitate cibernetica dezvaluite de Gartner.
In discursul de deschidere de la Gartner Security & Risk Management Summit, eveniment ce a avut loc la Sydney in 28 si 29 martie, Richard Addiscott, Senior Director Analyst si Lisa Neubauer, Senior Director, Advisory la Gartner, au discutat despre cele mai importante predictii ale expertilor Gartner in securitate cibernetica, menite sa ajute liderii din domeniul securitatii si cel al managementului riscului sa obtina succesul in era digitala.
„Nu exista nicio indoiala ca directorii responsabili de securitatea informatiilor si echipele lor trebuie sa se concentreze asupra a ceea ce se intampla astazi pentru a se asigura ca organizatiile lor detin cel mai ridicat nivel de securitate posibil”, a spus Addiscott. „Dar, in acelasi timp, trebuie sa isi faca timp sa ridice privirea de la problemele lor cotidiene si sa scruteze orizontul pentru a identifica viitoarele provocari care le-ar putea afecta in urmatorii doi ani initiativele din domeniul securitatii. Aceste predictii atrag atentia asupra unor posibile evolutii viitoare si ar trebui luate in considerare de orice CISO care doreste sa construiasca un program de securitate cibernetica eficient si durabil”, a adaugat Addiscott.
Gartner recomanda liderilor de securitate cibernetica sa includa urmatoarele ipoteze de planificare strategica in strategiile lor de securitate pentru urmatorii doi ani.
Pana in 2027, 50% dintre CISO vor adopta in mod oficial in programele lor de securitate cibernetica practici de proiectare a sistemelor centrate pe angajati pentru a minimiza frictiunile operationale si a maximiza adoptarea controlului.
Cercetarile Gartner arata ca peste 90% dintre angajatii care au recunoscut ca in timpul activitatilor lor de serviciu au intreprins o serie de actiuni fara a respecta masurile de securitate stiau ca actiunile lor ar creste riscul pentru organizatie, dar au facut-o oricum. Designul de securitate centrat pe angajati este modelat avand ca in centrul atentiei individul - nu tehnologia, amenintarile sau locatia - pentru proiectarea mecanismelor de control si implementarea acestora in scopul de a minimiza frictiunile de la nivel operational.
Pana in 2024, reglementarile moderne privind confidentialitatea vor proteja majoritatea datelor consumatorilor, dar mai putin de 10% dintre organizatii vor utiliza cu succes confidentialitatea ca un instrument pentru obtinerea avantajului competitiv.
Organizatiile incep sa recunoasca faptul ca un program de protejare a confidentialitatii le poate permite sa utilizeze datele pe scara mai larga, sa se diferentieze de concurenti si sa construiasca relatii de incredere cu clientii, partenerii, investitorii si autoritatile de reglementare. Gartner recomanda liderilor de securitate sa aplice un standard comprehensiv de confidentialitate a datelor in conformitate cu GDPR pentru a se diferentia pe o piata din ce in ce mai competitiva si pentru a creste nestingherit.
Pana in 2026, 10% dintre companiile mari vor avea un program zero-trust complet, matur si masurabil, in crestere fata de mai putin de 1% in prezent.
O implementare matura si pe scara larga a programelor zero-trust necesita integrarea si configurarea mai multor componente diferite, activitati care pot deveni destul de tehnice si complexe. Succesul depinde in mare masura de impactul pe care il are asupra valorii afacerii. Incepand de la scara mica, o mentalitate zero-trust in continua evolutie ii face pe utilizatori sa inteleaga mai usor si mai bine beneficiile unui astfel de program si sa gestioneze pas cu pas o parte din complexitate.
Pana in 2027, 75% dintre angajati vor achizitiona, modifica sau crea tehnologie in afara ariei de vizibilitate a IT-ului - in crestere de la 41% in 2022.
Rolul CISO si sfera lor de responsabilitate se transforma de la a fi titularii instrumentelor de control la a fi facilitatori ai deciziilor legate de riscuri. Redefinirea modelului operational al securitatii cibernetice este cheia schimbarilor viitoare. Gartner recomanda sa se priveasca dincolo de tehnologie si automatizare in stabilirea unei relatii mai profunde cu angajatii pentru a influenta luarea deciziilor si pentru a se asigura ca au cunostintele adecvate de a actiona intr-un mod informat.
Pana in 2025, 50% dintre liderii din domeniul securitatii cibernetice vor fi incercat, fara succes, sa foloseasca cuantificarea riscului cibernetic pentru a stimula procesul decizional din cadrul organizatiei lor.
Cercetarile Gartner indica faptul ca 62% dintre cei care adopta cuantificarea riscului cibernetic mizeaza pe cresterea usoara a credibilitatii si constientizarii riscurilor cibernetice, dar doar 36% au obtinut rezultate bazate pe actiuni, inclusiv reducerea riscurilor, economii financiare sau influentarea reala a deciziilor. Liderii din domeniul securitatii cibernetice ar trebui sa se concentreze pe cuantificarea solicitata de factorii de decizie, in loc sa convinga liderii de business sa se bazeze pe analize realizate de ei.
Pana in 2025, aproape jumatate dintre liderii din domeniul securitatii cibernetice isi vor schimba locul de munca, 25% pentru roluri cu totul diferite din cauza multiplilor factori de stres legati de activitate.
Accelerati de pandemie si de lipsa de personal din industrie, factorii de stres la locul de munca ai profesionistilor in securitate cibernetica sporesc si devin dificil de gestionat. Gartner sugereaza ca desi eliminarea stresului este nerealista, in culturile organizationale in care sunt sprijiniti oamenii pot gestiona provocarile si stresul de la locul de munca. Un rol important in acest sprijin il joaca schimbarea regulilor de promovare a schimbarile culturale.
Pana in 2026, 70% din consiliile de conducere ale companiilor vor include un membru cu expertiza in securitate cibernetica.
Pentru ca liderii din domeniul securitatii cibernetice sa fie recunoscuti ca parteneri de afaceri, trebuie sa cunoasca apetitul pentru risc al organizatiei si al membrilor consiliului de conducere. Aceasta inseamna nu doar a arata modul in care programul de securitate cibernetica poate preveni aparitia unor evenimente nedorite, ci si cum imbunatateste acesta capacitatea organizatiei de a-si asuma riscuri in mod eficient. Gartner recomanda CISO sa sustina eforturile de schimbare pentru a promova si sustine securitatea cibernetica in consiliile de conducere si sa stabileasca relatii mai stranse pentru a imbunatati increderea si sprijinul de care au nevoie.
Pana in 2026, peste 60% dintre capabilitatile de detectare, investigare si raspuns a amenintarilor (Threat Detection, Investigation and Response - TDIR) vor folosi datele de gestionare a expunerii pentru a valida si prioritiza amenintarile detectate, fata de mai putin de 5% in prezent.
Pe masura ce suprafetele de expunere a organizatiilor la atacuri se extind datorita conectivitatii sporite, a utilizarii SaaS si a aplicatiilor cloud, companiile au nevoie de o gama mai larga de vizibilitate si de un loc central pentru a monitoriza in mod constant amenintarile si expunerea la riscuri. Capacitatile TDIR pun la dispozitie o platforma sau un ecosistem unificat de platforme unde detectarea, investigarea si raspunsul pot fi gestionate, oferind echipelor operationale de securitate o imagine completa a riscurilor si a impactului potential.
Aflati mai multe despre prioritatile de top pentru liderii de securitate si risc in 2023 in e-book-ul Gartner disponibil gratuit: 2023 Leadership Vision for Security & Risk Management Leaders.