Gartner: Mensgerichte focus nodig voor effectief cybersecurity programma
Beslissers op het gebied van beveiliging en risicobeheer (SRM – safety & risk management) moeten de verdeling van investeringen over technologie en mensgerichte elementen heroverwegen bij het creëren en implementeren van cyberbeveiligingsprogramma's in overeenstemming met negen belangrijkste trends in de branche. Dat stelt marktonderzoeker Gartner.
"Een mensgerichte benadering van cyberbeveiliging is essentieel om beveiligingsfouten te verminderen", meent Richard Addiscott, Sr. Director Analist bij Gartner. "Door ons te concentreren op mensen bij het ontwerp en de implementatie van controles, maar ook via zakelijke communicatie en talentbeheer op het gebied van cyberbeveiliging, kunnen beslissingen over bedrijfsrisico's en het behoud van cyberbeveiligingspersoneel worden verbeterd."
Drie belangrijke domeinen
Om cyberbeveiligingsrisico's aan te pakken en een effectief cyberbeveiligingsprogramma te ondersteunen, moeten SRM-leiders zich concentreren op drie belangrijke domeinen:
- De essentiële rol van mensen voor het succes en de duurzaamheid van het beveiligingsprogramma.
- Technische beveiligingsmogelijkheden die zorgen voor meer zichtbaarheid en reactievermogen in het hele digitale ecosysteem van de organisatie.
- Het herstructureren van de manier waarop de beveiligingsfunctie werkt om flexibiliteit mogelijk te maken zonder de beveiliging in gevaar te brengen.
Negen trends
De volgende negen trends zullen een brede impact hebben op SRM-leiders op deze drie gebieden:
Trend 1: mensgericht beveiligingsontwerp
Op de mens gericht beveiligingsontwerp geeft prioriteit aan de rol van werknemerservaring gedurende de levenscyclus van controlebeheer. Tegen 2027 zal 50 procent van de Chief Information Security Officers (CISO's) van grote ondernemingen gebruik hebben gemaakt van mensgerichte beveiligingsontwerppraktijken om door cyberbeveiliging veroorzaakte wrijving te minimaliseren en de acceptatie van controle te maximaliseren.
"Traditionele beveiligingsbewustzijnsprogramma's zijn er niet in geslaagd om onveilig gedrag van werknemers te verminderen", stelt Addiscott. "CISO's moeten cyberbeveiligingsincidenten uit het verleden bekijken om de belangrijkste bronnen van door cyberbeveiliging veroorzaakte frictie te identificeren en te bepalen waar ze de last voor werknemers kunnen verlichten door meer mensgerichte controles of door controles te schrappen die frictie toevoegen zonder het risico op betekenisvolle wijze te verminderen."
Trend 2: verbetering personeelsbeheer voor duurzaamheid beveiligingsprogramma's
Traditioneel hebben leiders op het gebied van cyberbeveiliging zich gericht op het verbeteren van technologie en processen die hun programma's ondersteunen, met weinig aandacht voor de mensen die deze veranderingen creëren. CISO's die een mensgerichte benadering van talentmanagement hanteren om talent aan te trekken en te behouden, hebben verbeteringen gezien in hun functionele en technische volwassenheid.
Gartner voorspelt dat tegen 2026 60 procent van de organisaties zal overschakelen van externe werving naar ‘stille werving’ van interne talentmarkten om systemische uitdagingen op het gebied van cyberbeveiliging en werving aan te pakken.
Trend 3: operationeel model cyberbeveiliging transformeren om waardecreatie te ondersteunen
Technologie verschuift van centrale IT-functies naar branches, bedrijfsfuncties, fusieteams en individuele werknemers. Uit een Gartner-enquête bleek dat 41% van de werknemers enige vorm van technologiewerk verricht, een trend die naar verwachting de komende vijf jaar zal blijven groeien.
Bedrijfsleiders accepteren volgens Addiscott nu algemeen dat cyberbeveiligingsrisico's een van de belangrijkste bedrijfsrisico's zijn om te beheren - niet een technologisch probleem om op te lossen. "Het ondersteunen en versnellen van bedrijfsresultaten is een kernprioriteit op het gebied van cyberbeveiliging, maar blijft een grote uitdaging."
CISO's moeten het bedrijfsmodel van hun cyberbeveiliging aanpassen om te integreren hoe het werk wordt gedaan. Werknemers moeten weten hoe ze een aantal risico's moeten afwegen, waaronder cyberbeveiligings-, financiële, reputatie-, concurrentie- en juridische risico's. Cyberbeveiliging moet ook verband houden met bedrijfswaarde door succes te meten en te rapporteren ten opzichte van bedrijfsresultaten en prioriteiten.
Trend 4: beheer van blootstelling aan bedreigingen
Het aanvalsoppervlak van moderne organisaties is complex en zorgt voor vermoeidheid. CISO's moeten hun beoordelingspraktijken ontwikkelen om inzicht te krijgen in hun blootstelling aan bedreigingen door programma's voor continu beheer van bedreigingsblootstelling (CTEM) te implementeren. Gartner voorspelt dat organisaties die hun beveiligingsinvesteringen prioriteren op basis van een CTEM-programma tegen 2026 twee derde minder inbreuken zullen maken.
"CISO's moeten hun dreigingsevaluatiepraktijken voortdurend verfijnen om gelijke tred te houden met de evoluerende werkpraktijken van hun organisatie, met behulp van een CTEM-benadering om meer te evalueren dan alleen technologische kwetsbaarheden", aldus Addiscott.
Trend 5: Identity Fabric-immuniteit
Fragiele identiteitsinfrastructuur wordt veroorzaakt door onvolledige, verkeerd geconfigureerde of kwetsbare elementen in het identiteitsweefsel. Tegen 2027 zullen de immuniteitsprincipes van identiteitsconstructies 85 procent van de nieuwe aanvallen voorkomen en daarmee de financiële impact van inbreuken met 80% verminderen.
Identity fabric-immuniteit beschermt volgens Addiscott niet alleen de bestaande en nieuwe IAM-componenten in de fabric met Identity Threat and Detection Response (ITDR), maar versterkt het ook door het te voltooien en correct te configureren.
Trend 6: validatie van cyberbeveiliging
Cybersecurity-validatie brengt de technologie, processen en tools die worden gebruikt om te valideren hoe potentiële aanvallers misbruik maken van een geïdentificeerde dreigingsblootstelling. De tools die nodig zijn voor validatie van cyberbeveiliging boeken aanzienlijke vooruitgang bij het automatiseren van herhaalbare en voorspelbare aspecten van beoordelingen, waardoor regelmatige benchmarks van aanvalstechnieken, beveiligingscontroles en -processen mogelijk worden.
Tot 2026 zal meer dan 40 procent van de organisaties, waaronder twee derde van de middelgrote organisaties, vertrouwen op geconsolideerde platforms om cyberbeveiligingsvalidatiebeoordelingen uit te voeren.
Trend 7: consolidatie cyberbeveiligingsplatform
Terwijl organisaties hun activiteiten willen vereenvoudigen, consolideren leveranciers platforms rond een of meer grote cyberbeveiligingsdomeinen. Identiteitsbeveiligingsdiensten kunnen bijvoorbeeld worden aangeboden via een gemeenschappelijk platform dat functies voor beheer, bevoorrechte toegang en toegangsbeheer combineert. SRM-leiders moeten continu beveiligingscontroles inventariseren om te begrijpen waar overlappingen bestaan en de redundantie te verminderen door middel van geconsolideerde platforms.
Trend 8: ‘composable’ bedrijven hebben ‘composable’ beveiliging nodig
Organisaties moeten overstappen van vertrouwen op monolithische systemen naar het bouwen van modulaire mogelijkheden in hun applicaties om te reageren op het steeds snellere tempo van zakelijke veranderingen. Modulaire of samenstelbare beveiliging is een benadering waarbij cyberbeveiligingscontroles worden geïntegreerd in architecturale patronen en vervolgens op modulair niveau worden toegepast in samenstelbare technologie-implementaties. Tegen 2027 zal meer dan 50 procent van de kernbedrijfsapplicaties gebouwd zijn met behulp van een composable architectuur, wat een nieuwe aanpak vereist voor het beveiligen van die applicaties.
"Samenstelbare beveiliging is ontworpen om samenstelbare bedrijven te beschermen", aldus Addiscott. “Het maken van applicaties met composable componenten introduceert onontdekte afhankelijkheden. Voor CISO's is dit een belangrijke kans om privacy en security by design in te bedden door op componenten gebaseerde, herbruikbare security control-objecten te creëren.”
Trend 9: besturen breiden competentie in toezicht op cyberbeveiliging uit
De toegenomen aandacht van het bestuur voor cyberbeveiliging wordt gedreven door de trend naar expliciete verantwoordelijkheid voor cyberbeveiliging om meer verantwoordelijkheden voor bestuursleden op te nemen in hun bestuursactiviteiten. Leiders op het gebied van cyberbeveiliging moeten besturen voorzien van rapportage die de impact van cyberbeveiligingsprogramma's op de doelen en doelstellingen van de organisatie aantoont.
"SRM-leiders moeten actieve bestuursparticipatie en betrokkenheid bij besluitvorming op het gebied van cyberbeveiliging aanmoedigen", aldus Addiscott tot slot. "Fungeer als strategisch adviseur en geef aanbevelingen voor acties die door het bestuur moeten worden ondernomen, inclusief toewijzing van budgetten en middelen voor beveiliging."