Kravet på balanserad säkerhet

(1)

En kunskapsledarartikel från Forrester Consulting på uppdrag av Dell

November 2019

Kravet på balanserad

säkerhet

(2)

Innehållsförteckning

Sammanfattning

Företag behöver balanserad säkerhet för att stärka EX och öka driftseffektiviteten Nya hot och komplicerad IT är fortlöpande utmaningar

Säkerhetsinfrastrukturen måste utvecklas med tiden

Balanserad säkerhet är till fördel för medarbetare och verksamheten Viktiga rekommendationer

Bilaga 1

2 3 6 9

11 12

OM FORRESTER CONSULTING

Forrester Consulting levererar oberoende och objektiva forskningsbaserade konsulttjänster som hjälper ledare att lyckas i sina organisationer. Forresters konsulttjänster sträcker sig från korta strategisessioner till anpassade projekt.

Tjänsterna ger dig direktkontakt med forskningsanalytiker som använder expertkunskaper för att lösa just dina affärsutmaningar. Om du vill ha mer information kan du besöka forrester.com/consulting.

Åsikterna återspeglar bedömningar som gjorts vid denna tidpunkt. De kan komma att ändras. Forrester^®, Technographics^®, Forrester Wave, RoleView, TechRadar och Total Economic Impact är varumärken som tillhör Forrester Research, Inc. Alla övriga varumärken tillhör sina respektive innehavare.

Om du vill ha mer information kan du gå till forrester.com. [E-42637]

Projektledare:

Tarun Avasthy,

Market Impact Consultant Bidragande forskning:

Forresters infrastruktur- och driftforskningsgrupp

(3)

Sammanfattning

Balanserad säkerhet kräver att företag övergår från att hantera sekretess och datasäkerhet som efterlevnadskrav till att förespråka sekretess och använda sina teknikkunskaper för att skilja varumärket från mängden.

Alla felsteg eller förändringar när det gäller IT-infrastrukturen kan och kommer att öka komplexiteten, och därför är det viktigt att skapa en balanserad säkerhetsstrategi. En balanserad säkerhetsstrategi minskar komplexiteten genom att hålla jämna steg med den tekniska utvecklingen, såväl som förändringar i branschen och utveckling av regelefterlevnad.

I mars 2019 gav Dell i uppdrag till Forrester Consulting att utvärdera de framväxande säkerhetstrenderna och den teknik som krävs för att skydda och skapa möjligheter för medarbetarna. Vår studie visade att medarbetarnas produktivitet ökar om man stärker medarbetarna samtidigt som man följer säkerhetsprotokollen. Forrester genomförde en onlineundersökning bland 887 företags- och IT-beslutsfattare för att utforska detta ämne.

HUVUDRESULTAT

›Hot som utvecklas hela tiden tvingar medelstora företag att vara mer proaktiva än reaktiva. Det rapporteras ofta i nyheterna om stora säkerhetsintrång och/eller cyberattacker, vilket gör att medelstora företag måste tänka mer framåt när det gäller hur man hanterar säkerhet.

›Det räcker inte att bara lägga pengar på säkerhet. Medelstora företag måste se till att ha en möjliggörande kultur, fortlöpande kunskapsutveckling för medarbetarna och, kanske viktigast av allt, en sund och stabil säkerhetsinfrastruktur.

›Begränsande IT-policyer leder till att medarbetarna går runt de bästa IT-säkerhetsmetoderna för att kunna utföra sitt arbete. Det är inte ovanligt att man tänjer på reglerna på arbetsplatsen, men att helt undvika IT-policyer för att utföra sitt arbete är riskabelt.

1 | Kravet på balanserad säkerhet

(4)

Företag behöver balanserad säkerhet för att stärka EX och öka driftseffektiviteten

Ett mångsidigt tekniklandskap och förändrade arbetsstilar hos medarbetarna har öppnat dörren för ett antal risker som hotar företagets säkerhetsställning och dess rykte. En stabil och balanserad säkerhetsinfrastruktur ser till att företagets resultat maximeras och skyddas. Samtidigt är medarbetarupplevelsen (Employee Experience eller EX) ett verksamhetsinitiativ som blir allt viktigare, eftersom fler företag är intresserade av att utveckla en strategi för arbetsstyrkan som minskar friktionen och gör det möjligt för medarbetarna att slutföra sina viktigaste arbetsuppgifter på ett effektivt sätt.

Det räcker inte att bara satsa på teknik om man vill förbättra

medarbetarupplevelsen. Organisationer, särskilt medelstora företag, måste även investera i att skapa en kultur som ger medarbetarna möjligheter, fortlöpande kunskapsutveckling och stabil säkerhet för att hantera risken samtidigt som man stöder verksamhetens resultat.

Om man vill leverera utmärkt EX behöver företagen en balanserad syn på säkerhet inom tre huvudområden (se bild 1):

›Öka medarbetarnas produktivitet. Det höga tempot på dagens arbetsplatser ställer höga kognitiva krav på medarbetarna. Därför är stöd till dem så att de kan bemästra sitt arbete en viktig del av högt EX. Många säkerhetsåtgärder gör dock det motsatta och stör deras produktivitetsnivåer. Med detta i åtanke strävar medelstora företag efter att förbättra medarbetarnas produktivitet de kommande 12 månaderna (88 %). I takt med att tekniken hela tiden utvecklas sa de tillfrågade även att de ska minska personalomsättningen och öka medarbetarnas inlärning (79 %), så att talangglappet är så litet som möjligt.

›Öka informationssäkerheten. För att medarbetarna ska vara framgångsrika behöver de även obehindrad åtkomst till den information som krävs för att de ska kunna utföra sitt arbete, oavsett var de arbetar från och vilka enheter de använder.

Företagen utsätts dock för en stor mängd cyberattacker och händelser som kan störa verksamheten och utsätta känsliga data för risk, vare sig det gäller personuppgifter för kunder/medarbetare eller känslig företagsinformation. Dessutom finns det frågor som tredjepartsrisk och säkerhet i leverantörskedjan, som innebär att organisationerna måste utöka sin syn på risker mot verksamheten till sådant som ligger utanför deras egen miljö. Det är inte särskilt förvånande att 86 % av företagen sa att de kommer att prioritera informationssäkerhet.

›Förbättra driftseffektiviteten. Säkerhetsteam som stöder verksamheten måste skapa mycket mer konsekventa processer för sitt arbete. De måste även sträva efter att vara proaktiva snarare än reaktiva när det gäller hur man hanterar säkerhet.

Medelstora företag bör gå vidare från en standardmetod där man ser säkerheten som en lista man bockar av främst baserat på efterlevnadskrav, till en mer strategisk och riskbaserad syn på säkerhet. Det kräver att man har processer som stöder riskinformation, hotidentifiering och svar på hot, riskbedömning samt motståndskraft i verksamheten för att uppfylla löftet om att genomföra och leverera projekt (83 %).

Medelstora företag bör investera i att skapa en kultur med möjligheter för medarbetarna, fortlöpande

kunskapsutveckling och en strävan mot en stabil

säkerhetsinfrastruktur.

(5)

Nya hot och komplicerad IT är fortlöpande utmaningar

När säkerhetscheferna ställs inför konkurrerande prioriteringar, nya tekniker och nya lagstadgade krav måste de åstadkomma ett kontinuerligt skydd och se till att angriparna inte lyckas.

När vi frågade deltagarna i undersökningen vilka deras främsta säkerhetsutmaningarna upptäckte vi dock följande (se bild 2):

›Hotens föränderliga natur gör att medelstora företag håller sig vaksamma och att de ständigt försöker komma ikapp.

IT-avdelningen måste ha en stabil och anpassningsbar strategi för att skapa motstånd mot angriparna. 65 % av organisationerna har problem med att dagens säkerhetsattacker hela tiden

förändras. Ledare inom organisationen ser att cyberattacker och andra händelser nämns i nyheterna och undrar om det kan hända i deras organisation, och det kan då vara till hjälp att bedöma och förmedla information om både varför och hur angrepp sker (eller varför inte, beroende på miljön och kontrollerna). Den här reaktiva metoden får dock inte styra den övergripande säkerhetsstrategin.

”Vilka av följande teknikbaserade initiativ prioriterar din avdelning eller avdelning under de kommande 12 månaderna?”

Bild 1

Bas: 887 företag och IT-beslutsfattare som är involverade i beslutsfattande för bärbara datorer, datorsystem och andra enheter Källa: en studie utförd av Forrester Consulting på uppdrag av Dell, september 2019

Viktig prioritet Hög prioritet Förbättra medarbetarnas produktivitet 38 % 49 %

Förbättra den övergripande driftseffektiviteten 40 % 47 %

Förbättra informationssäkerheten 48 % 38 %

Förbättra våra kunders upplevelse när de gör affärer

med vår organisation 38 % 46 %

Förbättra utförandet och projekt leveransen 31 % 52 %

Utöka användningen av molninfrastruktur (IaaS, PaaS) 32 % 47 % Öka den totala medarbetar upplevelsen

med vår organisation 28 % 52 % Förbättra personalens inlärning och kvarhållande 31 % 48 %

Samarbete och kunskapsförmedling 29 % 50 %

Utöka användningen av molntjänster (SaaS) 33 % 46 %

(6)

›Komplicerade IT-miljöer innebär större risker och större utmaningar för IT-avdelningen. Felsteg eller förändringar när det gäller IT-infrastrukturen kan och kommer att öka komplexiteten, och därför är det viktigt att skapa en stabil säkerhetsstrategi.

En säkerhetsstrategi som kan hålla jämna steg med tekniska förändringar, störningar i branschen och regelverk och efterlevnad som utvecklas kan fungera som en katalysator för positiva förändringar. En strategi som gör det möjligt att bygga upp säkerheten från grunden är att föredra framför att lägga på

säkerheten efter att något har hänt. Detsamma gäller en strategi som tar en närmare titt på att samla säkerhetsprodukterna i miljön för att möjliggöra enklare hantering av IT. För närvarande ser 60 % av de tillfrågade komplexiteten i IT-miljön som ett hot mot organisationen.

4

”Vilka av följande är IT-säkerhetsproblem för din organisation?”

Bild 2

Bas: 887 företags- och IT-beslutsfattare som är involverade i beslutsfattande för bärbara datorer, datorer och andra enheter Källa: En studie utförd av Forrester Consulting på uppdrag av Dell, september 2019

Stor utmaning Utmaning

IT-hot som förändras/utvecklas (interna och externa) 24 % 40 %

Komplexiteten i vår IT-miljö 21 % 39 %

Personalens beteende 22 % 36 % Utbildning av personal/slutanvändare

om efterlevnad och verktyg 18 % 39 % Svårigheter att rekrytera och anställa ny personal 21 % 36 %

Balansera medarbetarupplevelsen och

användarvänligheten med säkerhetskontroller 17 % 40 % Andra prioriteringar i organisationen som har företräde

framför säkerhetsinitiativ 17 % 39 % Efterlevnad av nya sekretesslagar 19 % 37 %

Otillräcklig budget 20 % 36 %

Enkel hantering av säkerhetslösningar 18 % 38 %

(7)

MEDARBETARNA MÅSTE KÄNNA SIG DELAKTIGA FÖR ATT INTE KRINGGÅ IT-POLICYN

Medarbetarna väljer minsta motståndets väg för att kunna utföra sitt arbete. När medarbetare vill installera egna program/appar som hjälper dem att utföra arbetet svarade 54 % av de tillfrågade från medelstora företag att de förhindrar, avråder från och förbjuder medarbetarna att göra detta, men de vet att de ändå sker. Medarbetarna behöver känna att de får stöd från företaget (se bild 3).

Medarbetarna behöver utföra sitt arbete på ett sätt som inte stör produktiviteten, och säkerhetspersonalen måste se till att företaget skyddas. 58 % av de tillfrågade rapporterar att medarbetarna ibland kringgår IT-policyer för att utföra arbetsuppgifter, vilket utsätter företaget för risk. Det är därför viktigt att balansera EX och användarvänlighet mot säkerhetskontroller, men 57 % säger att det här fortsätter vara en utmaning. Om organisationerna dessutom inte kan mäta hur effektivt säkerhetsprogrammet är (52 %) kommer det att vara en ständig kapplöpning där mållinjen, en balanserad säkerhetsstrategi, hela tiden ligger bakom nästa kulle.

5

”Vad är IT-organisationens policy vad gäller att använda/installera egen programvara för vanliga informationsarbetare?”

Bild 3

Vi tillåter det i allmänhet. 28 % Vi uppmuntrar slutanvändarna att installera programvara

som hjälper dem i deras jobb. 17 % Vi förbjuder det och gör allt vi kan för att förhindra

eller ta bort det. 25 % Vi avråder från det.

46 %

54 %

18 % Vi förbjuder det men är medvetna om att det ändå sker. 13 %

(8)

Säkerhetsinfrastrukturen måste utvecklas med tiden

Tanken på en perimeter runt företaget är i dag gammaldags och omodern. Medarbetarna arbetar från olika platser och behöver tillgång till information var de än befinner sig. Konsumentmarknaden påverkar hur medarbetarna arbetar i företagsmiljön och med vilka enheter.

Ett digitalt företag har ingen perimeter. I dag kan organisationen utökas till molnet, stödja en mobil arbetskraft, digitalisera fysiska miljöer med anslutning via sensorer och andra internetanslutna enheter. Man kan se hur de sätt som medarbetarna exponerar känsliga data och angriparna kan utsätta miljön och data för risk kombineras i allt högre grad. I dagens arbets- och hotmiljö måste säkerhetsstrategin och arkitekturen utvecklas så att de blir datacentrerade och bygger på en säkerhetsmetod med noll förtroende.

Noll förtroende är en koncept- och arkitekturmodell för hur

säkerhetsteamen ska göra om nätverken till säkra mikroperimetrar, använda obfuscation för att stärka datasäkerheten, begränsa riskerna som är kopplade till allt för omfattande användarbehörigheter, samt använda analys och automatisering för att åstadkomma avsevärda förbättringar av säkerhetsidentifiering och svar. Den här metoden hjälper till att förbättra datasäkerheten avsevärt. Många organisationer har redan en metod med noll förtroende. De tillfrågade i undersökningen identifierade följande infrastrukturprioriteringar som visar att man är redo för noll förtroende (se bild 4):

›Utbilda slutanvändarna för att förbättra säkra

datahanteringsmetoder. Angripare riktar in sig på medarbetare och underleverantörer för att få tillgång till immateriell egendom.

På arbetsplatsen använder medarbetarna anslutna enheter som interagerar med molntjänster i företagets system/nätverk, men när de är på annan plats, till exempel i farten, hemma eller på offentliga platser som flygplatser och kaféer, kommer medarbetarna fortfarande att behöva komma åt känslig information och data från personliga enheter som inte är lika väl skyddade som företagets system/nätverk. Det är inte säkert att man effektivt förmedlar och skapar förståelse för att medarbetarna måste hantera data på ett ansvarsfullt sätt med säkra metoder.

›Utbilda IT-personalen för att minimera riskerna. Det är viktigt att IT-personalens kunskaper utvecklas hela tiden för att säkerställa att de personer som ansvarar för teknik och säkerhetsinfrastrukturer känner till de senaste bästa metoderna. Om man vill göra det möjligt för IT-teamet att lyckas är det viktigt att förstå nya teknikalternativ och hur risker och hotlandskapet utvecklas. Därför uppgav 79 % av de tillfrågade att de kommer att förbättra IT-personalens utbildning.

Det här är goda nyheter på två sätt: 1) Det ser till att IT-personalen har aktuella kunskaper och strategier, och 2) det hjälper till att minska personalomsättningen då det är en stor efterfrågan på talanger.

6

(9)

7

›Titta på säkerhetsstrategin igen. Företagen blir alltmer medvetna om att uppfyllande av efterlevnadskraven inte är samma sak som att skapa stabil säkerhet. Affärspartner från tredje part kommer att kräva bevis på starka säkerhets- och riskhanteringsmetoder som ett villkor för att samarbeta. En strategi som ser framåt stöder organisationens arbete med att skapa ett stabilt säkerhetsprogram.

Dessutom kan de förutse områden som behöver förbättras eller var man behöver få in nya förmågor för att bemöta problem, baserat på företagets prioriteringar. 80 % av de tillfrågade uppgav att de prioriterar behovet av att utveckla och genomföra en säkerhetsstrategi för IT, enheter och data.

”Vilka av följande initiativ kommer troligtvis att vara företagets främsta prioriteringar för IT-infrastruktur under de kommande 12 månaderna?”

Bild 4

Avgörande prioritet Hög prioritet

Förbättra säkerhetsinfrastrukturen 40 % 43 %

Säkerställa säkerhetskopiering av växande datakrav 32 % 50 %

Infrastrukturens prestanda när efterfrågan växer 30 % 52 % Utveckla och genomföra en säkerhetsstrategi för

IT, enheter och data (slutpunkt till kant) 29 % 51 % Förbättra IT-personalens utbildning 32 % 48 %

Möjlighet att skala upp IT i takt med att verksamheten växer 32 % 46 %

Utveckla en heltäckande molnstrategi för IT-infrastrukturen 34 % 45 % Köpa eller uppgradera katastrofåterställning och

funktioner för affärskontinuitet 29 % 47 % Öka samarbetet mellan olika branscher 29 % 46 %

Använda offentliga molnplattformar: IaaS eller PaaS 30 % 44 %

83 %

82 %

81 %

80 %

79 %

76 %

75 %

74 %

(10)

TAKTIK FÖR ATT FÖRBÄTTRA SÄKERHETEN

I den digitala tidsåldern finns det cyberhot överallt och intrång skapar rubriker nästan dagligen, vilket kostar företag deras rykten, kapital och framtida tillväxt och expansion. Med andra ord är säkerheten för organisationens slutresultat beroende av tekniker som skyddar data, d.v.s. den digitala verksamhetens grundläggande valuta. Dataintrång är ett olyckligt faktum i livet. 50 % av beslutsfattare för global

nätverkssäkerhet säger att deras företag utsattes för minst ett intrång som de känner till det senaste året, och det ökar till 55 % för tillfrågade från storföretag. Med detta i åtanke avslöjade organisationerna vilka delar av säkerheten som de skulle vilja förbättra (se bild 5):

›Säker fildelning som stöd för medarbetarnas samarbete. Både teknik och medarbetare har en viktig roll när det gäller att göra det möjligt för organisationer att samarbeta och på så sätt skapa ett långsiktigt ekonomiskt värde. 80 % av de tillfrågade uppgav att de kommer att använda en säker fildelningslösning för att förbättra sina säkerhetsfunktioner. Det ska dock inte bara användas inom företagets väggar, eftersom medarbetare på annan plats och personer som reser i arbetet också måste kunna komma åt och dela filer när så behövs.

›Autentisering som stöd för säker medarbetaråtkomst till data.

I sin enklaste form håller autentiseringslösningar skurkarna borta och de snälla inne. När så många dataintrång sker världen över står behovet av att genomdriva kontroller högt på dagordningen. 73 % av de tillfrågade uppgav att de kommer att använda olika typer av autentisering, och 38 % av de tillfrågade angav autentisering som det främsta strategiska arbete de skulle utföra för att förbättra säkerheten. Dessa processer får dock inte hindra medarbetarnas produktivitet eller vara i vägen för att utföra arbete – smidigheten i användarnas autentiseringsupplevelse gör stor skillnad.

›Kryptering för att kontrollera data och uppfylla

efterlevnadskrav. 73 % av de tillfrågade uppgav att de skulle använda krypteringsverktyg, medan 68 % specifikt nämnde

slutpunktskryptering för medarbetarnas bärbara datorer (fullständig hårddiskkryptering) som det de ansåg vara viktigt för att förbättra säkerheten. I en värld där det är lätt för en medarbetare att tappa bort en enhet eller få den stulen är detta ett klokt val. Kryptering av data i vila finns också i många varianter, och organisationerna kan välja baserat på sina behov, t.ex. fullständig disk, filnivå, media, e-post, app-/fältnivå, transparent/databaskryptering.

›Säkerhetsutvärdering för att förstå den aktuella

säkerhetsmognaden. Även om de flesta säkerhetsteam har infört en mängd kontroller och standarder som ska skydda verksamheten är det många som inte objektivt kan identifiera var det finns

säkerhetsluckor. De kämpar sedan för att avgöra om de har bemött alla de viktiga frågorna eller om någon del av de bästa metoderna fortfarande inte har tagits upp. 77 % av de tillfrågade är medvetna om detta och vill förbättra säkerheten genom att utveckla exakta åtgärdsplaner som ser till att alla komponenter uppfyller deras önskade funktionstillstånd.

(11)

”Vad skulle du vilja göra för att förbättra säkerheten?”

Bild 5

Rang 1 Rang 2 Rang 3 Rang 4 Rang 5

Använda en säker fildelningslösning Utvärdera den befintliga styrkan i säkerhetsfunktionerna

och exponera riskområden

Använda olika typer av autentisering 38 %

Använda krypteringsverktyg ^{15 %}

Använda slutpunktskryptering på bärbara datorer ^{32 %}

Skicka personal till utbildningsprogram

Samarbeta med tredjepartsleverantörer som är specialiserade på säkerhet

12 % 25 %

15 %

24 % 28 %

17 %

9 %

21 %

15 % 22 %

16 % 11 % 15 %

9 % 19 %

9 %

16 % 14 % 11 % 16 %

11 % 19 %

13 %

80 % 77 % 73 % 70 % 68 % 67 % 65 %

3 %

6 % 3 % 6 %

3 % 6 %

11 %

8 % 5 %

Balanserad säkerhet är till fördel för medarbetare och verksamheten

Säkerhetsarbetet kommer att göra det möjligt för ett företag att bli säkrare, snarare än att störa framstegen med utmaningar i arbetet mot större intäktsgenerering. Om de vill få bort hinder från verksamheten måste beslutsfattare ha en människocentrerad och riskbaserad syn på att utforma säkerhetsupplevelsen. När man lyckas balansera en bra medarbetarupplevelse med stark säkerhet kan man hjälpa till med följande (se bild 6):

›Möjliggöra distansarbete för att stödja produktivitet och konkurrensfördelar. Stöd för fjärranslutet arbete är en konkurrensmässig fördel när man anlitar och bevarar talanger, oavsett om medarbetarna vill ha stöd för en bättre balans mellan arbete och fritid eller om organisationen anställer den bästa personen för jobbet oberoende av möjligheter att pendla till ett kontor. Tekniken gör det möjligt att arbeta på distans och säkerhet är en viktig grund för hur företaget ska kunna möjliggöra distansarbete på ett säkert sätt. 69 % av de tillfrågade uppgav att de ger tillgång till företagets data på enheter när medarbetarna arbetar utanför kontoret.

›Uppmuntra samarbete för att främja innovation. Medarbetarna vill dela med sig av sina erfarenheter och de vill kunna dela filer och idéer med sina kollegor. Både den mänskliga kontakten och verktygen som underlättar den kopplingen är förutsättningar för att skapa en miljö, eller en kultur, med innovation. Det gäller särskilt om man har medarbetare på olika platser, d.v.s. medarbetare som inte alltid möts ansikte mot ansikte med sina kollegor på ett kontor. För närvarande säger 49 % av de tillfrågade att de kämpar med att göra det möjligt för medarbetarna att dela data på ett enkelt och säkert sätt. Det finns utrymme för förbättringar för att uppnå fördelarna.

(12)

›Förbättra kundupplevelsen och minska personalomsättningen.

Om man förbättrar medarbetarnas glädje genom bättre EX ger det även nöjda kunder som får bättre support och interaktioner med dina medarbetare. Nöjda medarbetare är mer benägna att göra rätt val, d.v.s. val som är rätt för kunderna.¹ En studie visade att företag med nöjda medarbetare såg en 81 % högre kundnöjdhet och hälften så hög personalomsättning.²

”Vilka åtgärder har företaget vidtagit för att möjliggöra distansarbete eller flexibelt arbete?”

Bild 6

Håller helt med Håller med Vi tillhandahåller medarbetarna med företagsägda enheter som hjälper 33 % 42 %

medarbetarna mer produktiva. 29 % 45 %

Vi tillhandahåller medarbetarna med enheter som hjälper dem att

skilja på arbete och fritid. 32 % 41 %

olika typer av medarbetare. 28 % 43 %

Arbetsplatsen och mötesrummen granskas varje år och

uppdateras vid behov. 27 % 42 %

Vi möjliggör åtkomst till företagsdata på enheter och verktyg, som

tillhandahålls när medarbetarna inte är på kontoret. 23 % 46 %

IT hjälper medarbetarna med att överföra information mellan

enheter så att de kan utföra sina arbetsuppgifter mer effektivt. 23 % 45 % Vi uppmuntrar till att använda appar på enheter som hjälper

medarbetarna att utföra sitt arbete. 24 % 40 %

Vi ger medarbetarna en lista över godkända enhetstillverkare för

BYOD-enheter av säkerhetsskäl. 21 % 34 %

Vi ersätter de medarbetare som lägger ut egna pengar när de

köper en enhet de själva väljer som används i arbetet. 20 % 31 %

75 % 74 % 73 % 71 % 69 % 69 % 68 % 65 % 55 % 51 %

10

(13)

Viktiga rekommendationer

Investeringar i säkerhetsinfrastrukturen och kontrollerna är en viktig del av säkerhetsprogrammet. Det räcker dock inte med bara teknikinvesteringar. Fastställ rätt nivå av balanserad säkerhet för organisationen, baserat på just era behov och er risktolerans.

Vidta fyra åtgärder i dag för att ge din organisation möjlighet att lyckas med att uppnå rätt balans mellan säkerhet och medarbetarupplevelse:

Bedöm den nuvarande säkerhetsmognaden. Processen med att gå igenom själva bedömningen kan också ge insyn i procedurer eller processer som är interna kunskaper. Eftersom en del av de här procedurerna/processerna inte är dokumenterade kommer det framöver att vara viktigt att få fram detaljerna, om viktiga teammedlemmar går i pension eller lämnar organisationen. En bedömning ger insyn i organisationens befintliga kontroller, processer och tillsyn för säkerhet så att man kan avgöra vilka områden som har potentiella luckor och som behöver åtgärdas. Den här bedömningen är avgörande för att ge en riktning åt det fortsatta arbetet, eftersom ni kan se var uppmärksamheten behöver läggas och varför.

Identifiera vad som är känsliga data, varför och var de finns.

Detta omfattar att förstå vilka data som regleras av efterlevnadskrav och värdet av dessa data för organisationen totalt sett. Om man bortser från frågor gällande säkerhetskontroller och lämplig

datahantering ger en förståelse för data även en grund för att stödja sekretess och etisk användning av personuppgifter. Med en tydligare bild och förståelse av data är det lättare att avgöra vad som krävs för att skydda och använda data på lämpligt sätt.

Förstå organisationens risktoleransnivå. Även om regelverk kräver vissa åtgärder och aktiviteter avgör risktoleransnivån vilka typer av kontroller och nivån av kontroll som organisationen väljer att implementera. Förstå riskerna för data och organisationen för att fatta riskbaserade beslut gällande säkerhetskontroller så att det blir en balans mellan medarbetarnas behov och produktiviteten.

Utvärdera hur medarbetarna arbetar och utför sina arbetsuppgifter. Kartlägg hur säkerhetskontrollerna påverkar medarbetarnas arbetsupplevelse och vilken effekt det har på deras arbetsdag och produktivitet. Olika medarbetarprofiler, från de roller de har till vilka data de har åtkomst till för att utföra sitt arbete, påverkar också deras teknikbehov, vilka risker det är troligt att de möter och vilka typer av säkerhetskontroller som behöver implementeras för att hjälpa till att minska dessa risker. Implementera nödvändiga säkerhetskontroller snarare än sådant som orsakar onödig friktion.

(14)

Bilaga A: Metodik

I den här studien genomförde Forrester en onlineundersökning bland 887 företags- och IT-ledare inom olika branscher på marknaden. De frågor deltagarna fick svara på berörde hur deras utgifter för säkerhet har förändrats, vad som påverkar deras säkerhetsstrategi, utmaningar med efterlevnad och regelverk, samt hur framtidens säkerhet ser ut för deras organisation. Studien påbörjades i mars 2019 och kunskapsledarartikeln färdigställdes i augusti 2019.

Bilaga B: Demografi

Bas: 887 företags- och IT-beslutsfattare som är involverade i beslutsfattande för bärbara datorer, datorer och andra enheter Källa: En studie utförd av Forrester Consulting på uppdrag av Dell, mars 2019

”I vilket land befinner du dig?” ”Hur många medarbetare uppskattar du arbetar för företaget/

organisationen världen över?”

”Hur stora uppskattar du att organisationens årliga intäkter är (USD)?” (N = 861)

USA 25 %

68 % 100 till 499 medarbetare 32 %

500 till 999 medarbetare

Japan 12 %

Tyskland 12 % Storbritannien 12 % Australien 10 %

Kanada 5 % Malaysia 4 %

100 till 199 miljoner USD 18 % 200 till 299 miljoner USD 15 % 300 till 399 miljoner USD 18 % 400 till 499 miljoner USD 15 % 500 till 999 miljoner USD 23 %

1 till 5 miljarder USD 7 %

>5 miljarder USD 3 % Sydafrika 4 %

Singapore 3 % Frankrike 2 % Spanien 2 % Nya Zeeland 2 % Schweiz 2 % Nederländerna 1 % Norge 1 % Belgien 1 % Sverige 1 % Danmark 1 %

”När det gäller de beslut om teknik- och tjänsteinköp som du påverkar mest, hur många medarbetare eller medlemmar i organisationens arbetsstyrka påverkar de direkt?”

Mellan 101 och 500 personer

Mellan 501 och 2 500 personer

Mellan 2 501 och 10 000 personer 77 %

22 %

0 %

”Vilken titel beskriver bäst din position i organisationen?”

Chef (leder ett team med

utövare)

Vice VD (ansvarig för en/flera stora

avdelningar)

Chef på ledningsnivå

(t.ex. VD, marknadschef)

27 % 19 %

13 %

Direktör (leder ett team med chefer och medarbetare

på hög nivå) 41 %

(15)

Bilaga C

SLUTNOTER

1 Källa: ”Transform The Employee Experience To Drive Business Performance,” Forrester Research, Inc., 12 februari 2018.

2 Källa: James K. Harter, Frank L. Schmidt, and Theodore L. Hayes, ”Business-Unit-Level Relationship Between Employee Satisfaction, Employee Engagement, and Business Outcomes: A Meta-Analysis”, Journal of Applied Psychology, april 2002 (http://www.factorhappiness.at/downloads/quellen/s17_harter.pdf).