Według firmy Gartner, liderzy ds. zarządzania bezpieczeństwem i ryzykiem (SRM) muszą ponownie przemyśleć równowagę między inwestycjami w technologię i elementy skoncentrowane na człowieku podczas tworzenia i wdrażania programów cyberbezpieczeństwa zgodnie z dziewięcioma najważniejszymi trendami branżowymi.
Aby zająć się zagrożeniami cyberbezpieczeństwa i utrzymać skuteczny program bezpieczeństwa cybernetycznego, liderzy SRM muszą skoncentrować się na trzech kluczowych domenach: (i) kluczowa rola ludzi w sukcesie i trwałości programu bezpieczeństwa; (ii) techniczne możliwości w zakresie bezpieczeństwa, które zapewniają lepszą widoczność i szybkość reakcji w całym cyfrowym ekosystemie organizacji; oraz (iii) restrukturyzacja sposobu działania funkcji bezpieczeństwa w celu umożliwienia sprawności bez narażania bezpieczeństwa.
Następujące dziewięć trendów będzie miało duży wpływ na liderów SRM w tych trzech obszarach:
Trend 1: Projektowanie zabezpieczeń zorientowane na człowieka
Projektowanie zabezpieczeń zorientowane na człowieka nadaje priorytet roli doświadczenia pracowników w całym cyklu życia zarządzania kontrolami. Do 2027 r. 50% dyrektorów ds. bezpieczeństwa informacji (CISO) w dużych przedsiębiorstwach przyjmie praktyki projektowania zabezpieczeń skoncentrowane na człowieku, aby zminimalizować tarcia związane z cyberbezpieczeństwem i zmaksymalizować przyjęcie kontroli.
„Tradycyjne programy podnoszenia świadomości w zakresie bezpieczeństwa nie zdołały ograniczyć niebezpiecznych zachowań pracowników. CiSO muszą przeanalizować przeszłe incydenty związane z cyberbezpieczeństwem, aby zidentyfikować główne źródła tarć wywołanych cyberbezpieczeństwem i określić, gdzie mogą zmniejszyć obciążenie pracowników poprzez kontrole bardziej skoncentrowane na człowieku lub wycofać kontrole, które zwiększają tarcia bez znaczącego zmniejszenia ryzyka”.
Richard Addiscott, Starszy dyrektor ds. analityków w firmie Gartner
Trend 2: Poprawa zarządzania ludźmi w celu zapewnienia trwałości programów bezpieczeństwa
Tradycyjnie liderzy cyberbezpieczeństwa skupiali się na ulepszaniu technologii i procesów wspierających ich programy, nie skupiając się zbytnio na ludziach, którzy tworzą te zmiany. CISO, którzy stosują podejście do zarządzania talentami skoncentrowane na człowieku, aby przyciągać i zatrzymywać talenty, zauważyli poprawę w zakresie dojrzałości funkcjonalnej i technicznej. Gartner przewiduje, że do 2026 r. 60% organizacji przejdzie od zatrudniania zewnętrznego do „cichego zatrudniania” z wewnętrznych rynków talentów, aby sprostać systemowym wyzwaniom związanym z cyberbezpieczeństwem i rekrutacją.
Trend 3: Transformacja modelu operacyjnego cyberbezpieczeństwa w celu wspierania tworzenia wartości
Technologia przenosi się z centralnych funkcji IT do linii biznesowych, funkcji korporacyjnych, zespołów fuzyjnych i indywidualnych pracowników. Ankieta firmy Gartner wykazała, że 41% pracowników wykonuje jakąś pracę związaną z technologią, i oczekuje się, że trend ten będzie się nadal rozwijał w ciągu najbliższych pięciu lat.
„Liderzy biznesowi powszechnie akceptują obecnie fakt, że ryzyko związane z cyberbezpieczeństwem jest najważniejszym ryzykiem biznesowym, którym należy zarządzać, a nie problemem technologicznym do rozwiązania. Wspieranie i przyspieszanie wyników biznesowych jest głównym priorytetem cyberbezpieczeństwa, ale pozostaje głównym wyzwaniem”.
Richard Addiscott, Starszy dyrektor ds. analityków w firmie Gartner
CISO muszą zmodyfikować model operacyjny swojego cyberbezpieczeństwa, aby zintegrować sposób wykonywania pracy. Pracownicy muszą wiedzieć, jak zrównoważyć szereg zagrożeń, w tym cyberbezpieczeństwo, ryzyko finansowe, reputacyjne, konkurencyjne i prawne. Cyberbezpieczeństwo musi również łączyć się z wartością biznesową poprzez mierzenie i raportowanie sukcesu w odniesieniu do wyników i priorytetów biznesowych.
Trend 4: Zarządzanie narażeniem na zagrożenia
Powierzchnia ataku nowoczesnych przedsiębiorstw jest złożona i męcząca. CISO muszą rozwijać swoje praktyki oceny, aby zrozumieć swoje narażenie na zagrożenia, wdrażając programy ciągłego zarządzania narażeniem na zagrożenia (CTEM). Gartner przewiduje, że do 2026 r. organizacje, które priorytetowo traktują inwestycje w zabezpieczenia w oparciu o program CTEM, odnotują o dwie trzecie mniej naruszeń.
„CiSO muszą nieustannie doskonalić swoje praktyki oceny zagrożeń, aby nadążać za zmieniającymi się praktykami pracy w swoich organizacjach, stosując podejście CTEM do oceny czegoś więcej niż tylko luk w zabezpieczeniach technologii”.
Richard Addiscott, Starszy dyrektor ds. analityków w firmie Gartner
Trend 5: odporność struktury tożsamości
Kruchość infrastruktury tożsamości jest spowodowana niekompletnymi, błędnie skonfigurowanymi lub wrażliwymi elementami struktury tożsamości. Do 2027 r. zasady odporności struktur tożsamości zapobiegną 85% nowych ataków, a tym samym zmniejszą skutki finansowe naruszeń o 80%.
„Odporność Identity Fabric nie tylko chroni istniejące i nowe komponenty IAM w infrastrukturze za pomocą ITDR, ale także wzmacnia ją, uzupełniając i odpowiednio konfigurując”
Richard Addiscott, Starszy dyrektor ds. analityków w firmie Gartner
Trend 6: Weryfikacja cyberbezpieczeństwa
Walidacja cyberbezpieczeństwa łączy techniki, procesy i narzędzia używane do sprawdzania, w jaki sposób potencjalni atakujący wykorzystują zidentyfikowane zagrożenie. Narzędzia wymagane do walidacji cyberbezpieczeństwa poczyniły znaczne postępy w automatyzacji powtarzalnych i przewidywalnych aspektów ocen, umożliwiając regularne testy porównawcze technik ataków, kontroli bezpieczeństwa i procesów. Do 2026 roku ponad 40% organizacji, w tym dwie trzecie średnich przedsiębiorstw, będzie polegać na skonsolidowanych platformach do przeprowadzania ocen weryfikacyjnych bezpieczeństwa cybernetycznego.
Trend 7: Konsolidacja platform cyberbezpieczeństwa
Organizacje dążą do uproszczenia operacji, a dostawcy konsolidują platformy wokół jednej lub kilku głównych dziedzin cyberbezpieczeństwa. Na przykład usługi bezpieczeństwa tożsamości mogą być oferowane za pośrednictwem wspólnej platformy, która łączy w sobie funkcje zarządzania, uprzywilejowanego dostępu i zarządzania dostępem. Liderzy SRM muszą stale inwentaryzować kontrole bezpieczeństwa, aby zrozumieć, gdzie występują nakładki i zmniejszyć redundancję dzięki skonsolidowanym platformom.
Trend 8: Komponowalne firmy potrzebują komponowalnych zabezpieczeń
Organizacje muszą przejść od polegania na systemach monolitycznych do budowania modułowych możliwości w swoich aplikacjach, aby reagować na coraz szybsze tempo zmian biznesowych. Zabezpieczenia komponowalne to podejście, w którym kontrole bezpieczeństwa cybernetycznego są zintegrowane z wzorcami architektonicznymi, a następnie stosowane na poziomie modułowym w komponowalnych implementacjach technologicznych. Do 2027 roku ponad 50% podstawowych aplikacji biznesowych będzie tworzonych przy użyciu architektury komponowalnej, co wymaga nowego podejścia do zabezpieczania tych aplikacji.
„Zabezpieczenia komponowalne mają na celu ochronę biznesu komponowalnego. Tworzenie aplikacji z komponowalnymi komponentami wprowadza nieodkryte zależności. Dla CISO jest to znacząca okazja do uwzględnienia prywatności i bezpieczeństwa już na etapie projektu poprzez tworzenie obiektów kontroli bezpieczeństwa opartych na komponentach, wielokrotnego użytku”.
Richard Addiscott, Starszy dyrektor ds. analityków w firmie Gartner
Trend 9: Rady poszerzają swoje kompetencje w zakresie nadzoru nad bezpieczeństwem cybernetycznym
Większa koncentracja zarządu na bezpieczeństwie cybernetycznym jest spowodowana tendencją do wyraźnego określania odpowiedzialności za cyberbezpieczeństwo w celu uwzględnienia zwiększonej odpowiedzialności członków zarządu w ich działaniach zarządczych. Liderzy ds. bezpieczeństwa cybernetycznego muszą dostarczać zarządom raporty pokazujące wpływ programów bezpieczeństwa cybernetycznego na cele i zadania organizacji.
„Liderzy SRM muszą zachęcać do aktywnego udziału zarządu i zaangażowania w podejmowanie decyzji dotyczących bezpieczeństwa cybernetycznego. Pełnić rolę doradcy strategicznego, przedstawiając rekomendacje działań do podjęcia przez zarząd, w tym alokację budżetów i środków na bezpieczeństwo.”
Richard Addiscott, Starszy dyrektor ds. analityków w firmie Gartner