Framtiden för cybersecurity – Deloitte
Deloitte publicerar sin “Future of Cyber Survey” efter kartläggning av över 500 C-suite chefer med ansvar för cybersäkerhet i organisationer som tjänar minst 500 miljoner dollar i årliga intäkter. Vi kommer att granska och sammanfatta några av resultaten från undersökningen i denna blogg.
När organisationer fokuserar på digitala transformationsinitiativ inser de att cyber har gått in i varje fas i ett företag, från produktdesign till tillverkning till kundanvändning. Cyber är ett företagsomfattande ansvar och inkluderar områden som Internet of Things (IoT) och molnet. Med begränsade budgetar och resurser, känner cyber c-suite chefer att deras största utmaning är integrationen av cybertransformationsinitiativ. Förmågan att tillämpa en hög nivå av cyberstrategi och säkerhet såväl som att leverera daglig ledning kommer sannolikt att trötta ut även de skickligaste cybersäkerhetsteamen.
CSOs och CIOs fann att cyberomvandling var den största utmaningen för cybersäkerhetshantering inom företagens infrastruktur med 35% respektive 34%.
Organisationerna är inriktade på två av de fem kärnramarna i National Institute of Standards Technology (NIST) – upptäcka, svara och återhämta – medan cyberstyrning hamnar på tredje högsta plats. Detta gör att andra områden, som identitets- och åtkomsthantering, hamnar i skuggan.
Deloitte fann också att cybersäkerhets-budgetar är jämnt spridda över alla områden, förmodligen för att minska riskerna. 90% av de svarande rapporterar att budgeten för cybertransformation är mindre än 10%. Detta är budgetar som skulle kunna realiseras på projekt som molnmigration, SaaS-programvara, analys och maskininlärning (ML). Detta avslöjar en klyfta i organisationsförmågan att möta cyber-efterfrågan.
Endast 4% av C-level cybersecurity-chefer säger att cybersecurity är på dagordningen en gång i månaden vid styrelsemöten. 49% säger att det är på dagordningen minst kvartalsvis.
Styrelser bör överväga bättre sammanslagning av cybersäkerhetsinitiativ på dagordningen, med viktiga resultatindikatorer för att mäta framgång.
Enligt Deloitte:
”För att driva ett effektivt genomförande av ett cyberriskprogram måste verkställande ledning strukturera sitt ledarskap kring cybersäkerhet i syfte att driva kommunikation och implementering av säkerhet i hela företaget och ha både auktoritet och expertis för att göra det. Detta uppnås vanligtvis bäst när cyberfunktionen representeras i C-suite så att den bredare organisationen bättre kan förstå prioriteringen och vikten av att anta eller skapa ett cybersäkert företag.”
Det är viktigt att se till att IT-avdelningen har en tillräckligt stark roll för att kunna leda cyberinitiativ med insikt i strategi och verksamhet som är avgörande för cybertransformation inom organisationen. CISO-rollen har makten att vara detta inom en organisation men bara 4% av de svarande sa att deras CISO sitter i styrelsen.
32% av de svarande säger att CISO rapporterar till VD. 19% sa att CISO rapporterade till CIO.
Cyber hamnar ofta under IT och kan också rapportera till CIO. IT-säkerhet likställs med cyber, men de fyller ofta olika funktion. Det betyder att cyberbudgeten ofta ligger inom IT-budgeten. Det kan vara anledningen till att resultaten visar att cyber inte ofta är prioriterat. CISO:er får därför bristande förmåga att forma strategi och prioritera.
50% av CIO:erna säger att den vanligaste outsourcade funktionen för cyber är säkerhetsoperationer, och 48% av CISO:erna säger intern hotdetektering.
Partnerskap är viktiga för att cyberinitiativ ska lyckas men felaktiga beslut och misslyckanden från tredje part kan vara kostsamma. Å andra sidan kan det också vara dyrt att hålla vissa funktioner internt. Identitets- och åtkomsthantering, till exempel, är en kategori där endast 12% av de svarande säger att de outsourcar, men det finns bevis som tyder på att outsourcing kan spara in enorma mängder tid och utvecklingskostnader.
48% av de tillfrågade säger att den största utmaningen vad gäller applikationssäkerhetsrisker är “brist på lämplig organisationsstruktur för att möjliggöra integration av säkerhet i applikationsutvecklingens livscykel”.
Deloitte säger:
”När DevSecOps-trenden får fart, kommer fler företag sannolikt att göra hotbedömning, riskbedömning och automation av säkerhetskomponenter i produktutvecklingsinitiativ, från idéer till iteration, till lansering, till verksamheter. DevSecOps förvandlar grundläggande cyber- och riskhantering från att vara värdebaserad verksamhet – vanligtvis genomförd sent i utvecklingslivscykeln – till väsentliga ramtankar under produktresan.”
Privilegerad identitet / privilegierad åtkomsthantering (PAM) rankades som högsta prioritet för identitetssäkerhetsinitiativ följt av avancerad autentisering, inklusive multifaktor-autentisering (MFA) och riskbaserad autentisering (RBA).
Det belopp som spenderas på Identity and Access Management beräknas öka snabbare än någon annan säkerhetsåtgärd. Det är grunden för den digitala ekonomin och erkänd som en viktig faktor i företags säkerhet.
Deloitte säger:
”Det är också här organisatoriska förändringar måste ske – i konsumentupplevelsen. Företaget kan inte längre låta konsumentidentiteter endast hanteras av marknadsförings- och försäljningsorganisationerna; säkerhetsorganisationen bör också ha input om konsument- och tredjepartsdata, åtkomst och efterlevnad.”
35% av de tillfrågade rankade dataintegritet som det mest bekymrande cyberhotet.
Dagens miljöer involverar en stor mängd data och som en följd av detta måste organisationer prioritera att säkra sin mest känsliga information. Ju större mängd data, desto mer vill en cyberkriminell hitta en svag punkt och utnyttja den. 90% av organisationerna upplevde till och med avslöjanden av känslig information inom sin egen produktionsmiljö under det gångna året.
Vad kan vi lära av detta?
Om du funderar på att starta en ny organisation har du möjlighet att “gro en cyber-sinnad kultur och hålla den säker med en strategisk ram för cyberrisker från början”. För befintliga organisationer måste verkställande ledning överväga hur man kan uppnå affärsresultat genom att omstrukturera strategier kring cyberrisker.
Organisationer arbetar redan hårt för att möta kraven från en cyber-framtid, men rapporten visar också att organisationer ännu inte är redo för vad som kommer och kan behöva ompröva sin strategi. Att sluta fokusera på IT-problem och börja fokusera på kulturell förändring kan vara det enda sättet att hålla takten och skifta ansvaret för cyber från en organisation till hela organisationen.