Ny forskning publicerad av WithSecure belyser den roll som resultatbaserad säkerhet spelar för att förbättra organisationers motståndskraft, konkurrenskraft och produktivitet.
Organisationer har en reaktiv inställning till cybersäkerhet som kväver deras framsteg när det gäller att visa värde och anpassa sig till affärsresultat. Det visaren ny studie utförd av Forrester Consulting på uppdrag av WithSecure.
83 procent av de svarande var intresserade av, planerade att införa eller utöka sin användning av resultatbaserade säkerhetslösningar och tjänster. Men studien fann också att de flesta organisationer för närvarande närmar sig cybersäkerhet på en reaktiv basis. 60 procent av respondenterna uppgav att de reagerar på individuella cybersäkerhetsproblem först när de väl uppstår.
Det fanns dock en viss skillnad beroende på bransch: 71 procent av verksamma i tillverkningsindustrin lyfte fram denna reaktivitet, jämfört med drygt hälften i den starkt reglerade sektorn för finansiella tjänster.
Oavsett bransch ansåg respondenterna i stort att det reaktiva tillvägagångssättet var problematiskt för deras organisationer. 90 procent av dem sa att de kämpar med utmaningarna med att de reagerar på cybersäkerhetsproblem först när de väl uppstår. Detta trots det faktum att cybersäkerhetsbudgetarna växer - 71 procent av de tillfrågade håller med om att de spenderar mer och mer pengar på cybersäkerhet för varje år som går.
Att synliggöra cyberrisker, hitta kompetens och de resurser som krävs, samt att reagera snabbt och effektivt var de vanligaste utmaningarna som de svarande lyfte fram.
"Idag är de flesta investeringar i cybersäkerhet inriktade på att minska cyberrisker. Problemet uppstår dock när de risker som minskas inte är de primära för de resultat som verksamheten vill uppnå. Detta kan antingen leda till att investeringar i cybersäkerhet helt kopplas bort från verksamheten eller att cybersäkerhet inte får rätt finansiering alls,” förklarade WithSecure, Chief Security Officer Christine Bejerasco.
Enligt Forrester-studien är resultatbaserad cybersäkerhet ett tillvägagångssätt som gör det möjligt för företagsledare att förenkla cybersäkerhet genom att endast kultivera de förmågor som mätbart levererar de önskade resultaten i motsats till traditionella hot-, aktivitetsbaserade eller ROI-baserade metoder.
De vanligaste resultaten som respondenterna ville att säkerheten skulle stödja var riskhantering, där 44 procent av de svarande ville minska risken för att nå sina främsta cybersäkerhetsmål; kundupplevelse. 40 procent av de svarande vill förbättra kundupplevelsen genom säkerhetsinsatser medan 34 procent framhävde intäktsökning som ett önskat resultat.
Även om många svarande hade tydliga resultat som de vill att säkerheten ska hjälpa dem att uppnå, hävdade bara en av fem organisationer att cybersäkerhetsprioriteringar och affärsresultat går hand i hand.
Det finns många hinder som problematiserar ansträngningar för att anpassa cybersäkerhet till affärsresultat, inklusive - men inte begränsat till - att hantera en komplex IT-miljö, hantera motstridiga cybersäkerhets- och affärsmål, samt bibehålla önskade resultat av detektionstekniker.
Det var däremot lika problematiskt att bedöma hur väl säkerhetsprioriteringar hjälpte till att stödja affärsresultat. Betydande utmaningar som framhävdes av respondenterna var:
- 42 procent hade en otillräcklig förståelse för den nuvarande och den mognadsgrad mot vilken säkerhetsvärdet bör bedömas.
- 37 procent uttryckte svårigheter med att mäta värdet för cybersäkerhet.
- 36 procent utmanades av att fånga in konsekventa och meningsfulla data.
- 28 procent fann utmaningar i att övervinna säkerhetsparadoxen i att kommunicera värde (investeringar i effektiv säkerhet ger färre möjligheter att visa värde).
- 23 procent såg utmaningar i att översätta mättal inom cybersäkerhet till något meningsfullt för styrelsen.
Källa: WithSecure