Ansvariga för it-säkerheten på företag och organisationer kan prata länge om alla utmaning de står inför, men vad är det egentligen som stressar och frustrerar dem allra mest? Enligt en färsk undersökning som vår systerpublikation CSO tagit del av är det först och främst den egna organisationens tillkortakommanden som håller it-säkerhetsansvariga vakna om nätterna.

Undersökningen i fråga heter The Life and Times of Cybersecurity Professionals och har tagits fram av ESG i samarbetet med Information Systems Security Association, ISSA, i USA. Undersökningen visar det knappast är själva sårbarheterna, angreppen och liknande som stressar de undersökta, utan mest att den egna organisationens utveckling gör att det interna säkerhetsarbetet ofta blir ett lappande och lagande i efterhand.

Här är de fem största orsakerna till frustration bland it-säkerhetsfolket:

  • 40 procent av respondenterna säger att det mest stressande inom jobbet som it-säkerhetsansvarig är att hålla jämna steg med säkerhetsbehoven för nya initiativ och projekt inom den egna organisationen. Många inom organisationen jobbar för fullt med att utveckla nya affärmodeller, utveckla nya applikationer, flytta gamla applikationer till molnet, och digitalisera organisationen och affärerna, men det är sällan it-säkerhet ligger högt på prioritetslistan.Tempot i denna utveckling gör det ofta svårt att möta de nya risker som alltid uppkommer med nya tekniska lösningar. De kräver dessutom ny kunskap som kanske inte alltid finns inom organisationen.
 
  • Av de som svarat på undersökningen anser 39 procent att den mest stressande aspekten av arbetet som it-säkerhetsansvarig är få reda på vilka it-projekt som startats av andra grupper och avdelningar inom organisationen utan att ha någon överblick eller kunskap om de säkerhetsrisker som det nya initiativet kan medföra. Till skillnad från välkända it-projekt kommer dessa initiativ ofta som en överraskning som gör dem ännu svårare att hantera. Inte sällan ställs it-säkerhetsansvariga inför fullbordat faktum och måste städa upp i efterhand eller på andra sätt försöka rädda situationen.
 
  • 38 procent av de som svarade på undersökningen ansåg att det mest frustrerande med deras jobb är att få användarna inom den egna organisationen att förstå it-säkerhet, att förstå vilka risker som finns, och att få dem att förändra sitt beteende till det bättre. De flesta större organisationer genomför förvisso utbildningar för personalen, och it-avdelningen gör vad de kan för att automatisera it-säkerheten för användarna, men många it-säkerhetsansvariga tycker inte att it-säkerhet tas på tillräckligt stort allvar bland användarna och utbildningarna håller inte alltid tillräckligt hög kvalitet. Användare i gemen fortsätter att utgöra den svaga länken för organisationens it-säkerhet och lyckade angrepp sker ofta den vägen.
  • 37 procent av it-säkerhetsansvariga tycker att det mest frustrerande att få organisationen att bättre förstå it-säkerhetsrisker, speciellt på ledningsnivå. Det positiva inom detta område är att det kommer allt fler verktyg som kan vara till hjälp. Nya verktyg blir allt mer sofistikerade och bättre på att övervaka och rapportera om riskerna i realtid. Denna typ av verktyg kan hjälpa it-säkerhetsansvariga och beslutsfattare att fatta datadrivna beslut om policys och motåtgärder i god tid. Å andra sidan finns det fortfarande gott om företag och organisationer som ser it-säkerhet som ett nödvändigt ont, och är måttligt intresserade av att faktiskt agera på riskanalyser. Kanske kan det hjälpa om tillräckligt många it-säkerhetsansvariga röstar med fötterna.
  • Till sist tycker 36 procent av de tillfrågade it-säkerhetsansvariga att arbetsbelastning och kompetensbrist är det mest stressande i arbetet. Det är helt enkelt ont om folk som kan de här sakerna. Visst finns det olika sätt att lindra kompetensbristen, som att försöka integrera tekniska system, automatisera processer och även att outsourca vissa funktioner, men till sist är det svårt att komma runt att organisationen behöver rätt kompetenser för att kunna möta riskerna. På längre sikt är detta även en viktig fråga för samhället i stort; vi behöver kollektivt lyfta frågan och se till att vi får fler och bättre utbildningar.

Undersökningsrapporten från ESG finns att ladda ned här (kräver personuppgifter).

Läs också:
Nu står god AI mot ond AI i säkerhetskriget
Åtta it-säkerhetstrender att ha koll på under 2019