Demasiadas organizaciones están adoptando un enfoque reactivo para adquirir servicios y soluciones de seguridad cibernética, alcanzando el teléfono solo después de que ha surgido un problema y, por lo tanto, obstaculizando la capacidad de los profesionales de seguridad para demostrar valor y alinearse adecuadamente con los resultados comerciales, según un estudio publicado. hoy por WithSecure.
Producido junto con analistas de Forrester Consulting, el estudio destaca la necesidad de que las organizaciones consideren la llamada seguridad basada en resultados en sus adquisiciones, que los autores del estudio creen que en última instancia mejorará la resiliencia, la competitividad y la productividad.
La seguridad basada en resultados, que no es un término nuevo de ninguna manera, se describe mejor como un enfoque que permite a las organizaciones simplificar su seguridad cibernética cultivando solo las capacidades que pueden brindar de manera mensurable los resultados que desean como empresa, en lugar de tradicionales. métodos basados en amenazas, actividades o retorno de la inversión.
Los resultados comerciales más comunes que los encuestados querían que respaldara la seguridad incluían la gestión de riesgos, la experiencia del cliente y el crecimiento de los ingresos, pero solo uno de cada cinco encuestados afirmó que sus prioridades de seguridad y los resultados comerciales estaban completamente alineados.
“Hoy en día, la mayoría de las inversiones en seguridad cibernética están dirigidas a la reducción de los riesgos cibernéticos. Sin embargo, el problema surge cuando los riesgos que se están mitigando no son los más importantes para los resultados que la empresa quiere lograr”, dijo Christine Bejerasco, directora de seguridad de WithSecure.
“Esto podría resultar en que las inversiones en seguridad cibernética se desconecten por completo del negocio o que la seguridad cibernética no obtenga los fondos adecuados en absoluto”.
El estudio encontró que hay apetito por tal enfoque. De hecho, el 83 % de las organizaciones que respondieron dijeron que estaban interesadas en adoptar o expandir su adopción de servicios y soluciones de seguridad basados en resultados. Sin embargo, este deseo aún no se ha convertido en realidad, ya que el 60% dice que en su mayoría reaccionaron a los problemas individuales de seguridad cibernética cuando llegaron.
La demanda de seguridad basada en resultados se reflejó aún más en la estadística de que el 90% de los encuestados tuvo problemas con los enfoques reactivos existentes y los encuestados acordaron abrumadoramente que esto era problemático para ellos. Algunos de los desafíos que citaron para seguir un camino reactivo fueron la falta de visibilidad de los riesgos cibernéticos, la incapacidad de encontrar las habilidades y los recursos necesarios y los problemas para responder de manera rápida y efectiva a los incidentes.
Pero eso no quiere decir que no haya obstáculos inherentes a la realineación hacia una seguridad basada en resultados. Algunos de los desafíos planteados en la investigación incluyeron la gestión de un entorno de TI más complejo, estrategias de afrontamiento cuando los objetivos comerciales y cibernéticos entran en conflicto y el mantenimiento de los resultados deseados de las tecnologías de detección existentes.
WithSecure descubrió que evaluar qué tan bien las prioridades de seguridad realmente ayudan a respaldar los resultados comerciales podría resultar igualmente problemático, y se destacan desafíos importantes que incluyen una comprensión insuficiente de la madurez actual y del estado objetivo contra el cual se puede evaluar el valor de la seguridad; dificultades para medir el valor del título en general; capturar datos consistentes y significativos; superar la paradoja de que la seguridad verdaderamente efectiva da como resultado menos oportunidades para demostrar un valor significativo; y, finalmente, traducir métricas de seguridad a menudo complejas en algo que la junta pueda entender.
el papel completo, El valor de anteponer los resultados de seguridad: Repensar la seguridad cibernética para aumentar la resiliencia, la productividad y la competitividadse puede descargar desde WithSecure.