Fyra vanliga myter skapar en snedvriden uppfattning om vad cybersäkerhet faktiskt kan bidra med till företagen, och de hämmar också effektiviteten av säkerhetsprogram. Det här menar åtminstone analysföretaget Gartners säkerhetsanalytiker Henrique Teixera och Leigh McMullen.
– Många informationssäkerhetschefer är utbrända och känner att de inte har tillräcklig kontroll över sina stressfaktorer eller balansen mellan arbete och privatliv. Cybersäkerhetschefer och deras team anstränger sig maximalt, men det har inte maximal effekt, säger Henrique Teixera, analytiker på Gartner under den inledande keynoten på Gartners säkerhetskonferens Security & Risk Management Summit under onsdagen.
Ett begrepp som återkom under keynoten var ”minimum effective”, det vill säga att man bör fokusera på att uppnå maximal effektivitet och resultat med minimala resurser och insatser.
De fyra myter som säkerhetsanalytikerna pekar ut är följande:
1. Mer data är lika med bättre skydd
Det är en vanligt förekommande föreställning att bästa sättet att genomdriva åtgärder från beslutsfattare på säkerhetsområdet är genom sofistikerad dataanalys, som till exempel att beräkna sannolikheten för att en cyberhändelse inträffar. Men det är inte särskilt praktiskt att kvantifiera risk på det här sättet, enligt Gartneranalytikerna.
Det leder heller inte till delat ansvar mellan cybersäkerheten och företagens beslutsfattare, vilket krävs för att minska företagsrisker.
Bara en tredjedel av informationssäkerhetscheferna anser att det är framgångsrikt att driva åtgärder genom att kvantifiera cyberrisker.
– I stället för att fortsätta sträva efter mer data och mer analys, bör ciso:s anamma en ”minimum effective”-approach. Fastställ den minsta mängd information som behövs för att dra en rak linje mellan företagens cybersäkerhetsfinansiering och mängden sårbarheter som finansieringen åtgärder.
2. Mer teknik innebär bättre skydd
De globala investeringarna i informationssäkerhet och riskhanteringsprodukter och tjänster väntas öka med 12,7 procent till 189,8 miljarder dollar år 2023.
Men trots att organisationer lägger mer pengar på cybersäkerhetsverktyg fortsätter säkerhetschefer att känna att de inte är tillräckligt skyddade.
– Cybersäkerhet fastnar ofta i en föreställning om att man måste köpa fler verktyg och man tror att det måste finnas något bättre runt hörnet, säger McMullen.
Istället bör informationssäkerhetscheferna omfamna vad de kallar en ”minimum effective toolset”, alltså att använda sig av minsta mängd teknik som behövs för att observera, försvara sig och svara på sårbarheter.
3. Fler säkerhetsproffs innebär bättre skydd
– Efterfrågan på cybersäkerhetskompetens har överträffat tillgången till en grad där informationssäkerhetschefer inte kan hinna ikapp, säger McMullen.
– Säkerhet utgör en enorm flaskhals för digital transformation, och mycket av det beror på myten att bara cybersäkerhetsproffs kan utföra seriöst cybersäkerhetsarbete. Att demokratisera cybersäkerhetskompetens, istället för att försöka rekrytera för att täcka kompetensgapet, är lösningen.
4. Fler kontroller innebär bättre skydd
En nyligen genomförd Gartner-undersökning visade att 69 procent av de anställda har åsidosatt sin organisations cybersäkerhetsriktlinjer under de senaste 12 månaderna, och 74 procent av de anställda är öppna för att åsidosätta cybersäkerhetsriktlinjer om det hjälpte dem eller deras team att uppnå ett affärsmål.
– Cybersäkerhetsorganisationer är väl medvetna om personalens genomgående osäkra beteende, men den vanliga åtgärden, att lägga till fler kontroller, har misslyckats”, säger Teixeira.
Kontroller som kringgås är värre än inga kontroller alls, fortsätter han.
”Minimum effective friction” innebär att man bedömer hur säkerhetskontroller presterar genom att prioritera användarupplevelsen istället för bara teknisk funktionalitet. Enligt Gartner kommer hälften av stora företags ciso:er år 2027 att använda människocentrerade säkerhetsdesignprinciper för att minska friktionen i samband med cybersäkerhet och maximera användningen av kontroller i stället för att bara lägga till nya.