Wouter Hoeffnagel - 30 maart 2023

Gartner: Deze acht trends kenmerken cybersecurity in de komende jaren

De helft van alle Chief Information Security Officers (CISO's) gaat een mensgericht ontwerp toepassen om operationele wrijving op het gebied van cyberbeveiliging te verminderen. Grote organisaties richten zich op het implementeren van zero-trustprogramma's. De helft van de leiders op het gebied van cyberbeveiliging zal tevergeefs hebben geprobeerd om kwantificering van cyberrisico's te gebruiken om besluitvorming te stimuleren.

Gartner: Deze acht trends kenmerken cybersecurity in de komende jaren image

Dit voorspelt Gartner. "Er is geen twijfel dat CISO's en hun teams volledig gericht moeten zijn op wat er vandaag gebeurt om ervoor te zorgen dat hun organisaties zo veilig mogelijk zijn", zegt Richard Addiscott, Senior Director Analyst. “Maar ze moeten ook tijd vrijmaken om op te kijken van hun dagelijkse uitdagingen en de horizon af te tasten om te zien wat er op het pad komt dat van invloed kan zijn op hun beveiligingsprogramma's in de komende paar jaar.

"Deze voorspellingen zijn een signaal voor sommige dingen die we zien opkomen en zouden moeten worden overwogen door elke CISO die een effectief en duurzaam cyberbeveiligingsprogramma wil opzetten." Gartner raadt leiders op het gebied van cyberbeveiliging aan om de volgende aannames voor strategische planning in hun beveiligingsstrategieën voor de komende twee jaar op te nemen.

Formeel mensgerichte ontwerppraktijken in cybersecurityprogramma's

Tot 2027 neemt 50% van de CISO's formeel mensgerichte ontwerppraktijken op in hun cyberbeveiligingsprogramma's om operationele frictie te minimaliseren en de acceptatie van controle te maximaliseren.

Onderzoek van Gartner toont aan dat meer dan 90% van de werknemers die aangeeft een reeks onveilige acties te ondernemen tijdens werkactiviteiten wisten dat hun acties het risico voor de organisatie zouden vergroten, maar dit toch deden. Het mensgerichte beveiligingsontwerp is gemodelleerd met het individu - niet technologie, dreiging of locatie - als de focus van controleontwerp en -implementatie om wrijving te minimaliseren.

Privacy als concurrentievoordeel

Tegen 2024 bedekt moderne privacyregelgeving het merendeel van de consumentengegevens. Minder dan 10% van de organisaties heeft dan echter privacy met succes ingezet als concurrentievoordeel, voorspelt Gartner. Organisaties beginnen in te zien dat een privacyprogramma hen in staat kan stellen om gegevens breder te gebruiken, zich te onderscheiden van concurrenten en vertrouwen op te bouwen bij klanten, partners, investeerders en toezichthouders.

Gartner raadt beveiligingsleiders aan om een uitgebreide privacystandaard af te dwingen in overeenstemming met de AVG om zich te onderscheiden in een steeds competitiever wordende markt en ongehinderd te groeien.

Alomvattend, volwassen en meetbaar zero-trust-programma

Tegen 2026 beschikt 10% van de grote organisaties over een alomvattend, volwassen en meetbaar zero-trust-programma, ten opzichte van minder dan 1% vandaag. Een volwassen, wijdverspreide zero-trust-implementatie vereist integratie en configuratie van meerdere verschillende componenten, wat behoorlijk technisch en complex kan worden. Succes is sterk afhankelijk van de vertaling naar bedrijfswaarde. Door klein te beginnen, maakt een steeds evoluerende zero-trust-mentaliteit het gemakkelijker om de voordelen van een programma beter te begrijpen en een deel van de complexiteit stap voor stap te beheren.

Tech verwerven buiten zicht van IT

Tegen 2027 verwerft, wijzigt of creëert 75% van de werknemers technologie buiten het zicht van de IT-afdeling. Dit percentage lag in 2022 op 41%.

De rol en verantwoordelijkheid van de CISO verschuift van controle-eigenaar naar facilitator van risicobeslissingen. Het herzien van het operationele model voor cyberbeveiliging is de sleutel tot de komende veranderingen, stelt Gartner. De marktonderzoeker adviseert om verder te denken dan technologie en automatisering om medewerkers nauw te betrekken om de besluitvorming te beïnvloeden en ervoor te zorgen dat ze over de juiste kennis beschikken om op een geïnformeerde manier te handelen.

Besluitvorming stimuleren via kwantificering van cyberrisico's

Tegen 2025 probeerde 50% van de leiders op het gebied van cyberbeveiliging tevergeefs om kwantificering van cyberrisico's te gebruiken om de besluitvorming van ondernemingen te stimuleren.

Uit onderzoek van Gartner blijkt dat 62% van de gebruikers van kwantificering van cyberrisico's zachte winsten in geloofwaardigheid en bewustzijn van cyberrisico's noemen, maar dat slechts 36% op actie gebaseerde resultaten heeft behaald. Het gaat daarbij onder meer om het verminderen van risico's, geld besparen of daadwerkelijke beslissingsinvloed. Gartner adviseert beveiligingsleiders hun focus te leggen op kwantificering waar besluitvormers om vragen, in plaats van zelfgestuurde analyses te produceren die ze moeten overtuigen om het bedrijf om zich te bekommeren.

Werkgerelateerde stressfactoren

Tegen 2025 verandert bijna de helft van de leiders op het gebied van cyberbeveiliging van baan en 25% van functie door meerdere werkgerelateerde stressfactoren.

Versneld door de pandemie en het personeelstekort in de hele branche, nemen de werkstressoren van cyberbeveiligingsprofessionals toe en worden ze onhoudbaar. Gartner suggereert dat hoewel het elimineren van stress onrealistisch is, mensen uitdagende en stressvolle banen aankunnen in culturen waar ze worden ondersteund. Het helpt met het veranderen van de Rules of Engagement voor het bevorderen van culturele verschuivingen.

Security-expertise in besturen

Tegen 2026 zit in 70% van de besturen één lid met expertise op het gebied van cyberbeveiliging, voorspelt Gartner. Om te worden erkend als zakenpartners op het gebied van cyberbeveiliging, moeten leiders de risicobereidheid van het bestuur en de onderneming erkennen. Dit betekent niet alleen laten zien hoe het cyberbeveiligingsprogramma voorkomt dat er ongunstige dingen gebeuren, maar ook hoe het het vermogen van de onderneming verbetert om effectief risico's te nemen.

Gartner raadt CISO's aan om op de verandering vooruit te lopen om cyberbeveiliging te promoten en te ondersteunen bij het bestuur en een hechtere relatie op te bouwen om het vertrouwen en de ondersteuning te verbeteren.

Dreigingen valideren en prioriteren

Tot en met 2026 maakt meer dan 60% van de mogelijkheden voor detectie, onderzoek en respons (TDIR) van bedreigingen gebruik van zogeheten 'exposure management'-data voor het valideren en prioriteren van gedetecteerde bedreigingen. Dit is een stijging ten opzichte van de minder 5 die dat vandaag de dag doet.

Naarmate het aanvalsoppervlak van de organisatie groter wordt als gevolg van toegenomen connectiviteit, het gebruik van SaaS en cloudapplicaties, krijgen bedrijven behoefte aan een breder scala aan zichtbaarheid en een centrale plek om voortdurend te controleren op bedreigingen en blootstelling. TDIR-mogelijkheden bieden een uniform platform of ecosysteem van platforms waar detectie, onderzoek en reactie kunnen worden beheerd, waardoor beveiligingsteams een volledig beeld krijgen van risico's en mogelijke gevolgen.

Meer informatie over de topprioriteiten voor beveiligings- en risicoleiders in 2023 is beschikbaar in het gratis Gartner ebook: 2023 Leadership Vision for Security & Risk Management Leaders. Gartner-analisten presenteren hun nieuwste onderzoek en advies voor leiders op het gebied van beveiliging en risicobeheer tijdens de Gartner Security & Risk Management Summits. Deze vinden op 28 en 29 maart plaats in Sydney, van 5 tot en met 7 juni in National Harbor, MD, van 26 tot en met 28 juli in Tokio en van 26 tot en met 28 september in Londen.

Axians 12/11/2024 t/m 26/11/2024 BN+BW