Gartner Analysts to Discuss Cybersecurity Priorities and Strategic Imperatives for 2023 at the Security & Risk Management Summit 2023, February 27-28, Dubai, UAE
DUBAI, UAE., February 23, 2023 — By 2025, nearly half of cybersecurity leaders will change jobs, 25% for different roles entirely due to multiple work-related stressors, according to Gartner, Inc.
“Cybersecurity professionals are facing unsustainable levels of stress,” said Deepti Gopal, Director Analyst, Gartner. “CISOs are on the defense, with the only possible outcomes that they don’t get hacked or they do. The psychological impact of this directly affects decision quality and the performance of cybersecurity leaders and their teams.”
Given these dynamics as well as the massive market opportunities for cybersecurity professionals, talent churn poses a significant threat for security teams. Gartner research shows that compliance-centric cybersecurity programs, low executive support and subpar industry-level maturity are all indicators of an organization that does not view security risk management as critical to business success. Organizations of this type are likely to experience higher attrition as talent leaves for roles where their impact is felt and valued.
“Burnout and voluntary attrition are outcomes of poor organizational culture,” said Gopal. “While eliminating stress is an unrealistic goal, people can manage incredibly challenging and stressful jobs in cultures where they’re supported.”
Humans Are the Chief Cause of Security Incidents
Gartner predicts that by 2025, lack of talent or human failure will be responsible for over half of significant cyber incidents. The number of cyber and social engineering attacks against people is spiking as threat actors increasingly see humans as the most vulnerable point of exploitation.
A Gartner survey conducted in May and June 2022 among 1,310 employees revealed that 69% of employees have bypassed their organization’s cybersecurity guidance in the past 12 months. In the survey, 74% of employees said they would be willing to bypass cybersecurity guidance if it helped them or their team achieve a business objective.
“Friction that slows down employees and leads to insecure behavior is a significant driver of insider risk,” said Paul Furtado, VP Analyst, Gartner.
To confront this rising threat, Gartner predicts that half of medium to large enterprises will adopt formal programs to manage insider risk by 2025, up from 10% today. A focused insider risk management program should proactively and predictively identify behaviors that may result in the potential exfiltration of corporate assets or other damaging actions and provide corrective guidance, not punishment.
“CISOs must increasingly consider insider risk when developing a cybersecurity program,” said Furtado. “Traditional cybersecurity tools have limited visibility into threats that come from within.”
جارتنر: نصف قادة الأمن الإلكتروني سيغيرون وظائفهم بحلول 2025
خبراء جارتنر سيناقشون أولويات واستراتيجيات الأمن الإلكتروني للعام 2023 خلال قمة جارتنر للأمن وإدارة المخاطر في دبي يومي 27 و 28 فبرير
دبي – الإمارات العربية المتحدة 23 فبراير 2023 – توقّعت شركة "جارتنر" للأبحاث أنه وبحلول العام 2025 فإن ما يقرب من نصف قادة الأمن الإلكتروني سيعمدون إلى تغيير وظائفهم، وأن يتحوّل 25% إلى طبيعة عمل مختلفة كليا وذلك بسبب الضغوط العديدة المتعلقة بالعمل.
وقالت ديبتي غوبال، كبير المحلّلين لدى "جارتنر": "يواجه العاملون في مجال الأمن الإلكتروني مستويات من الإجهاد لا يمكن تحمّلها. كما أن رؤساء أمن المعلومات على المحكّ دوما، لا سيما وأن النتيجة المنتظرة تنحصر ما بين أن النجاة من الاختراق أو تعرضهم لذلك. إن التأثيرات النفسية لهذا الأمر تنعكس انعكاسا مباشرا على جودة اتخاذ القرار ومستويات أداء قادة أمن المعلومات والفرق العاملة معهم".
بالنظر إلى هذه المعطيات، إضافة إلى الفرص الهائلة التي تبدو سانحة بالنسبة للمختصين في مجال الأمن الإلكتروني، فإن خسارة الكفاءات المتاحة يشكّل تهديدا كبيرا بالنسبة لفرق الأمن. إذ تشير دراسة بحثية أجرتها شركة "جارتنر" إلى أن برامج الأمن الإلكتروني القائمة على تحقيق الامتثال، والدعم التنفيذي المحدود، ودرجة النضوج التي لا تبدو مكافئة لمستوى الصناعة تُمثّل مؤشرات على عدم اعتبار المؤسسة إدارة المخاطر الأمنية ضرورة لنجاح الأعمال. ومن المرجّح أن تواجه هذه الشريحة من المؤسسات معدلات أعلى لفقدان المواهب التي سوف تبحث عن فرص تلمس فيها تقديرا وتأثيرا أكبر.
وأضافت غوبال: "إن الإرهاق والاستنزاف الطوعي ناتج غالبا عن ضعف الثقافة التنظيمية. وفي حين قد لا يبدو القضاء على التوتّر هدفا واقعيا، فإن بالإمكان بعض الأشخاص تحمّل أعباء تحديات وضغوط أعمال مرهقة ذمن بيئات العمل التي توفّر لهم الدعم اللازم".
العامل البشري هو المُسبّب الرئيسي للحوادث الأمنية
تتوقّع شركة "جارتنر" أنه وبحلول العام 2025، فإن الافتقار للكفاءات أو الإخفاق البشري سوف يكون المسؤول عن أكثر من نصف حوادث الأمن الإلكتروني الكبرى. فأعداد الهجمات الإلكترونية وهجمات الهندسة الاجتماعية ضد الأشخاص تسجّل ارتفاعا في الوقت الذي تدرك فيه الأطراف التي تقف خلف هذه الهجمات أن العامل البشري يعدّ النقطة الأضعف للاختراق.
وكان استبيان أجرته الشركة ما بين مايو ويونيو من العام الماضي وشمل مشاركة 1,310 موظفين قد كشف أن حوالي 69% من الموظفين قد تجاوزا إرشادات الأمن الإلكتروني لدى مؤسساتهم خلال الإثني عشر شهرا الماضية. وقال 74% من المشاركين في الاستبيان أنهم سيكونون على استعداد لتجاوز إرشادات الأمن الإلكتروني فيما لو ساعدهم ذلك أو ساعد فرقهم في تحقيق أهدافهم التجارية المنشودة.
وقال باول فورتادو، نائب الرئيس للأبحاث لدى "جارتنر":" إن الإجراءات الصارمة التي تبطئ عمل الموظفين وتؤدي إلى ظهور ممارسات غير آمنة غالبا ما تكون السبب خلف التهديدات الداخلية".
ومن أجل التصدّي لهذه التهديدات المتزايدة، تتوقع "جارتنر" أن ما يزيد عن نصف المؤسسات المتوسطة إلى الكبيرة سوف تعمد إلى تبني برامج رسمية لإدارة مخاطر التهديدات الداخلية بحلول العام 2025، وهو ما يمثّل زيادة بمعدّل 10% عما هي عليه اليوم. ويجب أن يتمكن برنامج إدارة المخاطر الداخلية وبصورة استباقية واستشرافية من تحديد السلوكيات التي يمكن أن تتطور إلى أعمال تخريب محتمل لأصول المؤسسات أو إلحاق أية أضرار أخرى، وتقديم الإرشادات التصحيحية اللازمة، بدل من فرض العقوبات".
وأضاف فورتادو:" يتوجب على الرؤساء التنفيذيين لأمن المعلومات أن يأخذوا التهديدات الداخلية بعين الاعتبار عند وضع برامج الأمن الإلكتروني. فأدوات الأمن الإلكتروني التقليدية تقدّم نظرة محدودة على المخاطر التي يكون مصدرها من داخل المؤسسة".
