Fremtiden for cybersikkerhed – Deloitte
Deloitte offentliggør sin “Future of Cyber Survey” efter undersøgelse af over 500 C-suite-ledere med ansvar for cybersikkerhed i organisationer, der tjener mindst 500 millioner dollars i årlige indtægter. Vi vil gennemgå og sammenfatte nogle af resultaterne af undersøgelsen i denne blog.
Når organisationer fokuserer på digitale transformationsinitiativer, er de klar over, at cyber er gået ind i hver fase af en virksomhed, fra produktdesign, fremstilling til kundebrug. Cyber er et virksomhedsdækkende ansvar og inkluderer områder som Internet of Things (IoT) og skyen. Med begrænsede budgetter og ressourcer, føles cyber c-suite-direktører som deres største udfordring er integrationen af cybertransformationsinitiativer. Evnen til at anvende et højt niveau af cyberstrategi og sikkerhed såvel som at levere dag til dag styring vil sandsynligvis beskatte selv de mest dygtige cybersikkerhedshold.
CSO’er og CIO’er fandt, at cybertransformation var den største udfordring for cybersikkerhedsstyring på tværs af virksomhedsinfrastrukturer med henholdsvis 35% og 34%.
Organisationer er fokuseret på to ud af fem af de grundlæggende rammer for National Institute of Standards Technology (NIST) – opdage, reagere og gendanne – mens cyber-governance absorberer det tredje øverste sted. Dette efterlader andre områder, som identitets- og adgangsstyring, efterladt.
Deloitte fandt også, at cybersecurity-budgetter er jævnt spredt over alle områder, formodentlig for at mindske risikoen. Med 90% af de adspurgte rapporterer, at budgetter til cybertransformation er under 10%. Dette er budgetter, der ville blive realiseret på projekter som cloud migration, software-as-a-service (SaaS) implementering, analyse og maskinindlæring (ML). Dette afslører et hul i organisatoriske evner til at imødekomme cyber-efterspørgsel.
Kun 4% af C-Level cybersecurity-ledere siger, at cybersikkerhed er på dagsordenen en gang om måneden på bestyrelsesmøder. 49% siger, at det er på dagsordenen mindst kvartalsvis.
Bestyrelser bør overveje bedre sammenlægning af cybersikkerhedsinitiativer på dagsordenen med nøgleprestationsindikatorer til måling af succes.
Ifølge Deloitte:
”For at drive effektiv udførelse af et cyberrisikoprogram skal udøvende ledelse strukturere deres ledelse inden for cybersikkerhed for at drive kommunikation og implementering af sikkerhed på tværs af virksomheden og har både autoritet og ekspertise til at gøre det. Dette opnås typisk bedst, når cyberfunktionen er repræsenteret i C-suiten, så den bredere organisation bedre kan forstå prioriteten og vigtigheden af at vedtage eller oprette en cybersikker virksomhed. ”
Det er vigtigt at sikre, at it-funktionen har en højtstående rolle til at med sikkerhed føre cyberinitiativer med synsvidde ind i strategi og operationer, der er kritiske for cybertransformation inden for organisationen. CISO-rollen har magten til at være denne i en organisation, men kun 4% af de adspurgte sagde, at CISO sidder i bestyrelsen.
32% af de adspurgte siger, at CISO rapporterer til CEO. 19% siger, at CISO’er rapporterer til CIO.
Cyber sidder ofte fast under IT og rapporterer muligvis også til CIO. IT-sikkerhed sidestilles med cyber, men de er ofte ikke den samme funktion. Dette betyder, at cyberbudgettet ofte hviler inden for it-budgettet. Dette kan være grunden til, at vi ser resultaterne, at cyber ikke ofte er en prioritet. CISO’er sidder med en manglende evne til at forme strategi og skifte prioritet.
50% af CIO’erne siger, at den mest almindelige outsourcede funktion af cyber er sikkerhedsoperationer, og 48% af CISO’erne valgte insider trusselregistrering.
Partnerskaber er vigtige for, at cyberinitiativer kan få succes, men forkerte beslutninger og fiaskoer fra tredjepart kan være dyre. På den anden side kan det også være dyrt at holde nogle funktioner internt. Identitets- og adgangsstyring, for eksempel, er en, hvor kun 12% af de adspurgte siger, at de outsource, men der er bevis for, at outsourcing kan være en enorm sparer af tid og udviklingsomkostninger.
48% af de adspurgte siger, at den største udfordring for applikationssikkerhedsrisiko er ”manglen på passende organisatorisk struktur for at muliggøre integration af sikkerhed i applikationsudviklingslivscyklus”.
Ifølge Deloitte:
“Efterhånden som DevSecOps-trenden vinder fart, vil flere virksomheder sandsynligvis foretage trusselmodellering, risikovurdering og sikkerhedsopgave-automatisering grundlæggende komponenter i produktudviklingsinitiativer, fra ideation til iteration, til lancering, til operationer. DevSecOps omdanner grundlæggende cyber- og risikostyring fra at være compliancebaserede aktiviteter – typisk udført sent i udviklingslivscyklussen – til væsentlige indramningstankegange over hele produktrejsen.”
Privilegeret identitet / privilegeret adgangshåndtering (PAM) blev rangeret som den højeste prioritet for identitetssikkerhedsinitiativer efterfulgt af avanceret godkendelse, herunder multifaktor-godkendelse (MFA) og risikobaseret autentificering (RBA).
Det beløb, der bruges på Identity and Access Management, forventes at stige hurtigere end nogen anden sikkerhedsforanstaltning. Det er grundlaget for den digitale økonomi og anerkendt som en vigtig faktor i sikkerhedsstillelse.
Ifølge Deloitte:
”Det er også her organisatoriske ændringer skal finde sted – i forbrugeroplevelsen. Virksomheden kan ikke længere henvise til forbrugeridentiteter, der kun styres af marketing- og salgsorganisationerne; sikkerhedsorganisationen skal også have input til forbruger- og tredjepartsdata, adgang og overholdelse.”
35% af de adspurgte rangerede dataintegritet som de fleste vedrørende cyber-trussel.
Dagens miljøer involverer lodder med data, og som sådan er organisationer nødt til at prioritere deres mest følsomme data for at sikre. Jo flere data, jo mere vil en cyberkriminalitet finde et svagt sted og udnytte det. 90% af organisationerne oplevede endda afsløringer af følsomme data inden for et produktionsmiljø i det forløbne år.
Hvad kan vi lære af dette?
Bestemt hvis du overvejer at starte en ny organisation, har du muligheden for at “vokse en cyberindstillet kultur og sikre ved designtilnærmelse med en strategisk cyberrisikoramme fra starten”. For allerede eksisterende organisationer skal udøvende ledelse overveje, hvordan man opnår forretningsresultater ved at genudvikle strategier til cyberrisiko.
Organisationer arbejder allerede hårdt for at imødekomme kravene fra en cyber-overalt fremtid, men rapporten viser også, at organisationer endnu ikke er klar til, hvad der kommer, og kan være nødt til at revidere deres strategi. At bevæge sig væk fra at fokusere på it-problemer til at fokusere på kulturelt skift er muligvis den eneste måde at holde tempoet og skifte ansvaret for cyber fra en organisation til hele organisationen.