Gartner Symposium, Barcelona: Den traditionelle måde at arbejde med it-sikkerhed på fungerer ikke længere.
Du får intet som helst ud af at bombardere virksomhedens øverste ledelse og bestyrelsen med et hav af informationer og rapporter om, hvordan det står til med it-sikkerheden.
Information om, hvor lang tid man er om at patche forskellige applikationer og systemer, giver eksempelvis ikke den store mening i de øverste ledelseslag.
Og slet ikke i en tid, hvor digitaliseringen buldrer afsted og er med til at forandre mange virksomheder.
Læs også: Derfor er du tvunget til at dele dine data og algoritmer med resten af verden
Det forklarede Gartners chief of research på sikkerheds- og risikoområdet til en sal med it-chefer og sikkerhedsansvarlige på Gartners Symposium i Barcelona.
"Vi taler ikke om den absolutte beskyttelse i disse dage - vi taler om, hvad den rette mængde beskyttelse er," sagde han.
"Den perfekte beskyttelse findes ikke. Der findes kun vores valgmuligheder."
Alle bliver ramt af angreb
Årsagen til det skift er, at det ikke længere giver den store mening at have en tro på, at man kan beskytte sig så meget, at de it-kriminelle aldrig får held med deres angreb.
I stedet skal udgangspunktet være et helt andet:
"I vil blive angrebet, og derfor bør jeres fokus skifte til 'detection' og 'response'. I 2020 bør 60 procent af jeres investeringer i sikkerhed gå til detection og response."
"Du skal forklare ledelsen, at I ikke kan beskytte jer selv tilstrækkeligt. De tror, at det er et teknisk spørgsmål, der kan løses af tekniske mennesker. Men det eneste, vi kan gøre, er at træffe nogle valg," forklarede Gartner-rådgiveren.
Her er din nye sikkerheds-strategi
En global Gartner-undersøgelse blandt næsten 3.000 CIO'er har vist, at 89 procent af dem mener, at den øgede digitalisering bringer nye typer og niveauer af risici og trusler på banen.
Hvor løsningen på øgede trusler historisk set har været at investere i ny teknologi, så er sikkerhedsansvarlige og CIO'er nødt til at håndtere udfordringen på en anden måde nu, mener Paul Proctor.
"Vi har en ny situation med den digitale virksomhed. Vi har en mulighed for at få det gjort rigtigt denne gang," sagde han og kom med denne anbefaling:
"Du skal se på værdien af det, du ønsker at opnå og holde det op imod den risiko, du er villig til at løbe."
"Hvor stor en risiko er acceptabel?" lyder et kernespørgsmål i dag ifølge Gartner, der fremhæver følgende:
"Risikobaserede beslutninger balancerer behovet for beskyttelse med behovet for at drive virksomheden. Dit ansvar er at forklare dem (ledelsen og bestyrelsen, red.), hvad deres valgmuligheder er."
Læs også: Algoritmernes tid er kommet - snart vil de ændre alt for din virksomhed
Paul Proctor forklarede, at alt for mange it-afdelinger og sikkerhedsteams fejlagtigt tror, at de gør deres arbejde godt, hvis de bare sætter en masse metrikker op og således kan rapportere tingenes tilstand til virksomhedens øverste ledelse.
"Nutidens sikkerhedsteams er ikke rustet til det, der vil komme," lød hans påstand.
"I har masser af metrikker og er gode til at måle ting i driften. Men hvad er det for nogle metrikker, der er relevante for de ledere, der ikke er fra it?"
"Din risikostyring er spild af tid, hvis du ikke får informationer, der gør dig i stand til at finde ud af, hvor der skal være beskyttelse, og hvor der ikke skal."
Fokuser på værdiskabelsen
Paul Proctor anbefaler, at man viser virksomhedsledelsen, hvordan en proaktiv risikoindsats rent faktisk tilfører virksomheden værdi - for det er værdiskabelsen, man forstår og kan forholde sig til i den øverste ledelse.
Hvis man eksempelvis har udfordringer med at patche applikationer - og dermed har en øget risiko for at bloive ramt af angreb - vil det kunne ramme supply chain-applikationerne.
Læs også: Derfor er du tvunget til at dele dine data og algoritmer med resten af verden
Det vil så igen kunne betyde, at man ikke når det mål, virksomheden har for kvartalet - og det er den besked, ledelsen kan forholde sig til.
"Hvis du viser dem ting, der rent faktisk betyder noget for dem og for deres beslutninger, vil de gerne have mere information. De er nødt til at se det, fordi det gør deres beslutninger bedre," forklarede Paul Proctor.
Seks vigtige principper for it-sikkerhed
Gartner har seks principper for effektiv beskyttelse og it-sikkerhed i den moderne, digitale virksomhed:
1) Du skal stoppe med at fokusere på 'check box compliance' og i stedet skifte til risikobaserede beslutninger.
2) Du skal stoppe med kun at fokusere på beskyttelsen af infrastrukturen og i stedet begynde at understøtte forretningens mål.
3) Du skal holde op med kun at være en, der beskytter. Vær i stedet en, der faciliterer.
4) Du skal stoppe med at forsøge at kontrollere data og informationer. I stedet skal du finde ud af, hvordan de skal bevæge sig rundt i systemet.
5) Accepter at der er teknologiske begrænsninger og bliv mere menneske-orienteret.
6) Stop med at forsøge at lave den perfekte beskyttelse af organisationen og invester i stedet i detection og response.
Læs mere fra Gartners Symposium her:
Derfor er du tvunget til at dele dine data og algoritmer med resten af verden
Algoritmernes tid er kommet - snart vil de ændre alt for din virksomhed
