Reactieve aanpak van beveiliging belemmert bedrijven
Organisaties zijn eerder reactief als het gaat om het opzetten van hun cyberbeveiliging. Door een dergelijk beleid is het moeilijk om de waarde van cybersecurityinvesteringen vast te stellen en de bedrijfsresultaten daarop af te stemmen. Dit blijkt uit een nieuw onderzoek van Forrester Consulting in opdracht van WithSecure (voorheen bekend als F-Secure Business).
83% van de in het onderzoek ondervraagde respondenten is geïnteresseerd in 83% van de in het onderzoek ondervraagde respondenten is geïnteresseerd in resultaatgerichte beveiligingsoplossingen en -diensten, of is van plan deze in te voeren of breidt ze uit. Uit het onderzoek bleek echter ook dat de meeste organisaties cyberbeveiliging momenteel reactief benaderen. 60% van de respondenten zegt te reageren op individuele cyberbeveiligingsproblemen wanneer deze zich voordoen.
Er zijn verschillen per sector: 71% van de maakindustrie benadrukte deze reactiviteit, vergeleken met iets meer dan de helft van de sterk gereguleerde financiële dienstensector.
Huidige aanpak problematisch
Ongeacht de sector vindt de overgrote meerderheid van de respondenten dat de reactieve aanpak problematisch is voor hun organisaties. 90% van hen zei te worstelen met uitdagingen wanneer zij reageren op cyberbeveiligingsproblemen. Dit ondanks het feit dat de budgetten voor cyberbeveiliging toenemen: 71% van de respondenten bevestigt namelijk dat zij elk jaar meer uitgeven aan cybersecurity.
Zichtbaarheid van cyberrisico's, het vinden van de vereiste vaardigheden en middelen, en snel en doeltreffend reageren waren de meest voorkomende uitdagingen die door de respondenten werden genoemd.
"Tegenwoordig zijn de meeste investeringen in cyberbeveiliging gericht op het verminderen van cyberrisico's. Echter, de risico’s die worden ingeperkt zijn vaak niet de meest essentiële voor het bereiken van de gewenste bedrijfsresultaten. Investeringen leiden dus niet per se tot betere bedrijfsresultaten of cyberbeveiliging krijgt helemaal niet de juiste financiering", legt Christine Bejerasco, Chief Security Officer van WithSecure™, uit.
Volgens het Forrester-onderzoek is outcome-based cybersecurity een aanpak die bedrijfsleiders in staat stelt cybersecurity te vereenvoudigen door alleen die mogelijkheden te benutten die meetbaar de gewenste resultaten opleveren, in tegenstelling tot traditionele bedreigings-, activiteiten- of ROI-gebaseerde methodes.
De meest voorkomende resultaten die de respondenten met de beveiliging wilden bereiken, waren onder meer risicobeheer. 44% van de respondenten wilde het risico beperken om hun belangrijkste doelstellingen op het gebied van cyberbeveiliging te bereiken. 40% verwacht dat een goede beveiliging de klantervaring zou verbeteren. 34% tot slot noemt inkomstengroei als het gewenste resultaat.
Hoewel veel respondenten duidelijke resultaten voor ogen hadden, beweerde slechts één op de vijf organisaties dat de prioriteiten op het gebied van cyberbeveiliging en de bedrijfsresultaten volledig op elkaar waren afgestemd.
Obstakels
Er zijn tal van obstakels die de inspanningen om cyberbeveiliging af te stemmen op bedrijfsresultaten bemoeilijken. Denk aan het beheer van een complexe IT-omgeving, het omgaan met conflicterende cyberbeveiligings- en bedrijfsdoelstellingen en het handhaven van de gewenste resultaten van detectietechnologieën.
Maar ook de beoordeling van de mate waarin beveiligingsprioriteiten de bedrijfsresultaten ondersteunen was problematisch. Belangrijke uitdagingen die door de respondenten naar voren werden gebracht, waren onder meer:
42% had onvoldoende inzicht in de huidige en beoogde maturiteit waaraan de beveiligingswaarde moet worden getoetst.
37% had problemen met het meten van de waarde van cyberbeveiliging.
36% had moeite met het vastleggen van consistente en zinvolle gegevens.
28% ondervond problemen bij het overwinnen van de beveiligingsparadox bij het communiceren van waarde (investeringen in effectieve beveiliging leiden tot minder mogelijkheden om waarde aan te tonen).
23% ondervond uitdagingen bij het omzetten van cyberbeveiligingscijfers naar een relevante briefing voor het bestuur.
De volledige studie, The Value Of Putting Security Outcomes First: Rethink Cybersecurity To Amplify Resilience, Productivity, And Competitiveness, is zowel hieronder als via deze link beschikbaar.