Quattro miti da sfatare che oscurano il pieno valore della cybersecurity
Secondo Gartner, quattro miti da sfatare stanno oscurando il pieno valore della cybersecurity per le aziende e inibiscono l’efficacia dei programmi di sicurezza. Per questo motivo i CISO devono adottare una mentalità “minimamente efficace” per massimizzare l’impatto della cybersicurezza sull’azienda. “Molti CISO sono esausti e sentono di avere poco controllo sui loro fattori di stress o sull’equilibrio della loro vita lavorativa” ha dichiarato Henrique Teixeira, Senior Director Analyst di Gartner. “I leader della cybersecurity e i loro team si impegnano al massimo, ma non hanno il massimo impatto sulla sicurezza”.
“La mentalità dell’efficacia minima è un approccio deliberato e orientato al ROI per guidare la cybersecurity verso il futuro” ha aggiunto Leigh McMullen, Distinguished VP Analyst di Gartner. “Anche se l’idea di ‘minimo’ può sembrare scomoda, si riferisce agli input, non ai risultati. Questo approccio consentirà alle funzioni di cybersecurity di andare oltre la mera “difesa del fortino” e di liberare il loro vero potenziale per creare un valore tangibile.”
Durante il keynote di apertura del Gartner Security & Risk Management Summit che si è tenuto nei giorni scorsi, Teixeira e McMullen hanno sfatato quattro miti comuni sulla sicurezza e spiegato come i leader della sicurezza possono creare nuovo valore attraverso il coinvolgimento del business, la tecnologia e il talento.
Mito 1: Più dati equivalgono a una protezione migliore
Si ritiene comunemente che il modo migliore per spingere i responsabili delle decisioni esecutive ad agire sulle iniziative di cybersecurity sia l’analisi sofisticata dei dati, come il calcolo della probabilità che si verifichi un evento informatico. Tuttavia, non è pratico quantificare il rischio in questo modo. Inoltre, questo approccio non consente di condividere la responsabilità tra i responsabili della cybersecurity e i decisori aziendali, necessaria per ridurre concretamente il rischio aziendale. Una ricerca di Gartner ha rilevato che solo un terzo dei CISO riferisce di aver avuto successo nel guidare l’azione attraverso la quantificazione del rischio informatico.
“Piuttosto che continuare a cercare più dati e più analisi, i CISO più accorti adottano un approccio di tipo Minimum Effective Insight”, ha affermato Teixeira. “Determinano cioè la quantità minima di informazioni necessarie per tracciare una linea retta tra i fondi destinati alla cybersecurity dell’azienda e la quantità di vulnerabilità che tali fondi affrontano”. I CISO dovrebbero utilizzare un approccio metrico orientato ai risultati (ODM) per agire sul Minimum Effective Insight. Gli ODM collegano le metriche operative di sicurezza e rischio ai risultati aziendali che supportano, spiegando i livelli di protezione attualmente in vigore e i livelli di protezione alternativi disponibili in base alla spesa.
Mito 2: Più tecnologia equivale a una protezione migliore
Si prevede che la spesa mondiale per i prodotti e i servizi di sicurezza informatica e di gestione del rischio crescerà del 12,7% fino a raggiungere 189,8 miliardi di dollari nel 2023. Tuttavia, anche se le aziende spendono di più in strumenti e tecnologie di cybersecurity, i responsabili della sicurezza ritengono di non essere adeguatamente protetti.
“La cybersecurity spesso rimane bloccata in una mentalità di acquisizione di strumenti, credendo che dietro l’angolo ci sia qualcosa di meglio”, ha affermato McMullen. “Invece, i CISO devono adottare un set di strumenti minimo efficace, ovvero il minor numero di tecnologie necessarie per osservare, difendere e rispondere alle esposizioni. In questo modo la cybersecurity sarà padrona della propria architettura, riducendo la complessità e la mancanza di interoperabilità che rendono così difficile generare valore dagli investimenti tecnologici”.
Le organizzazioni possono iniziare il percorso verso un set di strumenti minimo efficace mantenendo il costo dei professionisti della cybersecurity che gestiscono gli strumenti di cybersecurity inferiore al beneficio dello strumento nella mitigazione dei rischi. Parallelamente, è necessario adottare una visione architettonica per misurare se un determinato strumento è in grado di aggiungere o sottrarre risorse alla capacità di proteggere l’azienda. I principi della Cybersecurity Mesh Architecture (CSMA) possono anche supportare la sicurezza progettando per la semplicità, la componibilità e l’interoperabilità.
Mito 3: Più professionisti della cybersecurity equivalgono a una protezione migliore
“La domanda di talenti nel campo della cybersecurity ha superato nettamente l’offerta“, ha dichiarato McMullen. “La sicurezza è un enorme collo di bottiglia per la trasformazione digitale e molto di questo è dovuto al mito che solo i professionisti della cybersecurity possono fare un lavoro serio in campo informatico. La soluzione è invece la democratizzazione delle competenze in materia di cybersicurezza, piuttosto che il tentativo di assumere personale che non ha talento”.
Gartner prevede che entro il 2027 il 75% dei dipendenti acquisirà, modificherà o creerà tecnologia al di fuori della visibilità dell’IT, rispetto al 41% del 2022. I CISO possono ridurre l’onere per i loro team aiutando questi tecnologi aziendali a costruire una Minimum Effective Expertise. Una recente indagine di Gartner ha rilevato che i tecnologi aziendali con un’elevata capacità di giudizio informatico sono 2,5 volte più propensi a prendere in considerazione i rischi di cybersecurity quando sviluppano capacità analitiche o tecnologiche.
Mito 4: Più controlli equivalgono a una protezione migliore
Un’altra indagine di Gartner ha rilevato che il 69% dei dipendenti ha aggirato le linee guida sulla cybersecurity della propria organizzazione negli ultimi 12 mesi e che il 74% dei dipendenti sarebbe disposto ad aggirarle se ciò aiutasse loro o il loro team a raggiungere un obiettivo aziendale.
“Le organizzazioni che si occupano di cybersecurity sono ben consapevoli del comportamento pervasivo non sicuro della forza lavoro, ma la tipica risposta di aggiungere più controlli le si sta ritorcendo contro”, ha dichiarato Teixeira. “I dipendenti riferiscono di un’enorme quantità di attriti legati a comportamenti sicuri, che spingono a comportamenti non sicuri. I controlli che vengono aggirati sono peggio di nessun controllo”.
Il Minimum Effective Friction riequilibra la valutazione delle prestazioni dei controlli di sicurezza da parte della cybersecurity, dando priorità all’esperienza dell’utente piuttosto che alla sola funzionalità tecnica. Gartner prevede che entro il 2027 il 50% dei CISO delle grandi aziende adotterà pratiche di progettazione della sicurezza incentrate sull’uomo per ridurre al minimo l’attrito indotto dalla cybersicurezza e massimizzare l’adozione dei controlli.