De communicatie tussen securityteams en de bedrijfstop laat structureel te wensen over. Dit leidt tot een blinde vlek binnen organisaties voor cyberdreigingen.
Dat blijkt uit onderzoek van Dynatrace. In het jaarlijke “The State of Application Security”-rapport zegt 87 procent van de ondervraagde CISO’s dat zij moeite hebben om securityteams en de C-suite op één lijn te krijgen.
Voor het wereldwijde onderzoek ondervroeg Coleman Parkes in opdracht van Dynatrace 1.300 CISO’s, terwijl het bedrijf ook tien interviews afnam met CEO’s en CFO’s van bedrijven met meer dan 1.000 werknemers.
Te technische taal?
Dit komt veelal omdat securityteams te technisch hun verhaal vertellen, vindt zeven op de tien van de ondervraagde bestuurders. Volgens driekwart van de CISO’s ligt het probleem een laag dieper: de securitytools zelf genereren geen informatie die de business-context recht doen. Securityspecialisten hebben dus doorgaans gewoonweg niet de software óm hun bevindingen met de bestuurderslaag te delen.
Dynatrace-CTO Bernd Greifeneder verwoordt het probleem als volgt: “Veel CISO’s hebben moeite om securityteams en senior executives op één lijn te krijgen omdat ze hun conversaties niet kunnen verleggen van bits en bytes naar business-risico’s. CISO’s moeten een manier vinden om deze horde te nemen en een cultuur creëren van gedeelde verantwoordelijkheid voor cybersecurity.”
AI-dreiging
Die cultuuromslag is volgens Greifeneder broodnodig, want “cyberdreigingen hebben verwoestende gevolgen voor organisaties en hun klanten, dus het probleem is terecht een zorg op bestuursniveau geworden.”
Een nipte meerderheid (52 procent) van CISO’s is dan ook bezorgd om nieuwe cybercrime-risico’s gevoed door AI. Nu helpt kunstmatige intelligentie ook aan de verdedigingskant, omdat AI-tools meer data kunnen vatten dan een mens. Toch vermoedt wederom 52 procent van de CISO’s dat AI aanvalscampagnes eenvoudiger te schalen zal maken. Ook is 45 procent bezorgd over het gemak waarmee ontwikkelaars AI-assistentie gebruiken voor hun programmeertaken. Dit kan volgens deze CISO’s leiden tot meer kwetsbaarheden.
Het AI-mes snijdt aan twee kanten, merkt Greifeneder op. De efficiëntie van zowel securityteams als cybercriminelen gaat omhoog, maar AI-gegenereerde code introduceert meer kwetsbaarheden waar deze aanvallers automatisch op scannen. “Bovendien moeten organisaties voldoen aan nieuwe regels zoals het SEC-mandaat, dat vereist dat ze de impact van aanvallen binnen vier dagen identificeren en rapporteren.” Kortom: security wordt lastiger om bij te houden én kent een hogere tijdsdruk dan ooit.
Complexe cloud
De complexiteit van cloudomgevingen maakt het securityteams tevens lastiger dan ooit. 83 procent van de ondervraagde CISO’s stipt daarom het belang van DevSecOps-automatisering aan. Dit zou veel van de door AI geïntroduceerde kwetsbaarheden opvangen. 71 procent van CISO’s vindt dat deze tak van sport zelfs van kritiek belang is om applicatiesecurity te optimaliseren.
Biedt die automatisering dan ook de oplossing voor organisaties? Greifeneder meent van wel. “Organisaties moeten dringend hun securitytools en -praktijken moderniseren om hun applicaties en data te beschermen tegen moderne, geavanceerde cyberbedreigingen. De meest effectieve aanpak wordt gebouwd op een uniform platform dat volwassen DevSecOps-automatisering aanstuurt en AI inzet om om te gaan met gedistribueerde data op welke schaal dan ook. Deze platformen bieden de inzichten waar het hele bedrijf achter kan staan en die ze kunnen gebruiken om compliance met strenge regelgeving aan te tonen.”
Lees ook: Dynatrace brengt AIOps-platform naar OpenTelemetry