9 июня 2023 г.
Gartner указал четыре распространенных мифа, не позволяющих организациям достигнуть максимальной отдачи от своих мер кибербезопасности. Директорам по ИБ следует взять на вооружение принцип «минимальных действенных» усилий для достижения максимальной отдачи для бизнеса.
«Многие директора по информационной безопасности подвержены выгоранию, смирившись с тем, что не в силах контролировать факторы стресса и установить приемлемый баланс между работой и личной жизнью, — пишет в пресс-релизе Энрике Тейшейра (Henrique Teixeira), старший директор-аналитик Gartner. — Руководители служб ИБ и их команды прилагают максимум усилий, и всё же не достигают максимальной отдачи».
«Принцип минимальных действенных мер — это спланированный, основанный на окупаемости подход к обеспечению кибербезопасности в будущем, — поясняет Ли Макмаллен (Leigh McMullen), ведущий вице-президент-аналитик Gartner. — „Минимальный“ подход к кибербезопасности может казаться неприемлемым, но речь идет о прилагаемых усилиях, а не результатах. Такой подход позволит командам ИБ не просто обеспечить „оборону форта“, а реализовать весь свой потенциал, принеся ощутимые результаты».
Эксперты Gartner развеяли четыре мифа, касающихся кибербезопасности, объяснив, как руководители ИБ могут повысить ценность своих служб для организации, отказавшись от типичных заблуждений.
1. «Больше данных — значит, лучше защита»
Считается, что лучший способ побудить руководство компаний инициировать меры по обеспечению кибербезопасности — это провести сложный анализ данных, например расчет вероятности ИБ-инцидента. Однако количественно оценивать риск таким образом вряд ли имеет смысл. Кроме того, этот подход не обеспечивает необходимой совместной ответственности команды ИБ и руководства, которая позволит существенно снизить бизнес-риски. В исследовании Gartner лишь треть директоров по ИБ сообщает, что количественная оценка киберрисков привела к реальным действиям руководства.
«Вместо того, чтобы собирать и анализировать всё больше данных, лучшие директора по ИБ используют минимальный действенный анализ, — пишет Тейшейра. — Определите минимально требуемый объем информации, чтобы найти прямую зависимость между финансированием мер ИБ в организации и суммой уязвимостей, которую это финансирование устраняет».
Проводя минимальный действенный анализ, директорам по ИБ следует использовать подход, оценивающий результат (outcome-driven metrics, ODM), который выявляет связь метрик безопасности и рисков и достигаемых бизнес-результатов, наглядно показывая текущий и достигаемый уровень защиты как функцию понесенных расходов.
2. «Больше технологий — значит, лучше защита»
Прогнозируется, что в 2023 году мировые расходы на продукты и услуги ИБ и управления рисками вырастут на 12,7%, достигнув 189,8 млрд долл. И всё же, хотя на инструменты и технологии кибербезопасности тратится всё больше денег, руководители служб ИБ считают, что их компании не защищены должным образом.
«Многие в ИБ зациклены на идее покупки чего-то еще, полагая, что чем больше технологий кибербезопасности, тем лучше, — пишет Макмаллен. — Вместо этого директорам по ИБ следует использовать минимальный действенный инструментарий — как можно меньше технологий, требуемых для наблюдения, отражения атак и реагирования на инциденты. Это позволит службам ИБ успешно управлять своей архитектурой, уменьшив сложность и недостаток функциональной совместимости, весьма затрудняющих реальную отдачу от инвестиций в технологии ИБ».
Организации могут начать переход к минимальному действенному инструментарию исходя из затрат на персонал — поддерживая накладные расходы на специалистов ИБ, управляющих инструментами кибербезопасности, ниже выигрыша от этих средств в уменьшении рисков. Параллельно с этим оцените существующую архитектуру: повышает ли тот или иной инструмент защищенность организации (или, напротив, даже снижает ее). Принципы ячеистой архитектуры кибербезопасности (CSMA) также помогают достигнуть простоты, компонуемости и функциональной совместимости.
3. «Больше специалистов ИБ — значит, лучше защита»
«Спрос на специалистов кибербезопасности настолько превысил предложение, что директора по ИБ не могут укомплектовать персонал, — пишет Макмаллен. — Кибербезопасность остается узким местом в цифровой трансформации, и в значительной степени это связано с мифом о том, что только специалисты ИБ способны выполнять такую работу. Демократизация навыков в обеспечении ИБ, а не охота за профессионалами в условиях их дефицита будет самым лучшим решением».
Gartner прогнозирует, что к 2027 году 75% сотрудников будут сами приобретать, перестраивать и создавать средства ИТ вне сферы ответственности ИТ-отдела против 41% в 2022 году. Директора по ИБ могут снизить нагрузку на свои команды, помогая таким разработчикам-неспециалистам обрести минимальный необходимый опыт, т. е. понимание процессов и принципов ИБ. Недавнее исследование Gartner показало, что подразделенческие разработчики с высоким уровнем понимания ИБ в 2,5 раза вероятнее учтут риски кибербезопасности при разработке аналитических и других ИТ-функций.
4. «Больше контроля — значит, лучше защита»
Недавний опрос Gartner показал, что в последние 12 месяцев 69% сотрудников пренебрегали правилами кибербезопасности в своей организации, а 74% были готовы их обойти, если бы это помогло им или их команде достигнуть бизнес-цели.
«Службы ИБ хорошо знают о широко распространенном небезопасном поведении сотрудников, но введение дополнительных средств контроля приводит лишь к обратным результатам, — пишет Тейшейра. — Сотрудники говорят о неприятии всё новых правил, что ведет к небезопасному поведению. Средства контроля, которые можно обойти, хуже, чем полное их отсутствие».
Принцип минимального достижимого неприятия корректирует оценку эффективности средств управления кибербезопасностью, ставя на первое место пользовательский опыт, а не чисто технические аспекты. Gartner прогнозирует, что к 2027 году 50% директоров по ИБ крупных организаций перейдут к ориентированным на человека принципам проектирования систем кибербезопасности, чтобы свести к минимуму неприятие средств контроля сотрудниками и повысить результативность.
Источник: Пресс-служба компании Gartner