Organizace v letošním roce očekávají výrazný nárůst počtu i závažnosti kybernetických incidentů. Vyplývá to z globálního výzkumu 2022 Global Digital Trust Insights, který vloni v létě uskutečnila společnost PwC. Tomuto výhledu přizpůsobují společnosti i finanční stránku věci.
Rozpočet na kybernetickou bezpečnost v letošním roce navýší či navýšilo 69 procent oslovených podniků. Dvanáct procent výši rozpočtu podle očekávání nezmění a patnáct procent jej o blíže neupřesněný objem prostředků poníží. Posílení zdrojů na kybernetickou bezpečnost samo o sobě samozřejmě nesníží všechna rizika. Vytvoří ale podmínky pro účinnější prevenci.
Napříč všemi hospodářskými obory se respondenti shodli na tom, že v příštích třech letech bude jejich hlavním cílem v oblasti kybernetické bezpečnosti zvýšení preventivního úsilí, jež by mělo zabránit úspěšným útokům. Druhou příčku obsadilo zrychlení reakcí na incidenty a narušení. Třetí hlavní cíl má trochu ideový nádech. Měl by přinést zvýšení důvěry lídrů organizace ve zdárné překonání současných i budoucích hrozeb.
Složitost v roli nepřítele
Provozované systémy ve stále větší míře komunikují s okolním světem. Vznikají komplexní sítě, jejichž složitost, rozsah a provázanost rostou s každou nově nasazenou technologií. Konzultanti společnosti PwC situaci přirovnávají k bájné Hydře z řecké mytologie. Jednu hlavu jí useknete a dvě narostou. Právě tak lze popsat neřízený růst komplexity.
Pište pro CIO Business World
Máte dobré nápady, máte co říct? Chcete se podělit o své znalosti se čtenáři CIO BW?
Je tu ideální příležitost. V redakci neustále hledáme externí autory, kteří rozšíří náš záběr. Nabízíme možnost publikací zajímavých článků nejen na webu, ale také v našem tištěném magazínu. Pokud máte zájem, ozvěte se šéfredaktorovi na e-mail: radan.dolejs@iinfo.cz
Zdá se, že svým popisem vystihli i názor či zkušenost dotazovaných vedoucích manažerů. Tři čtvrtiny z nich označily nadbytečné a komplikované struktury, procesy a technologie za jasné riziko pro kybernetickou bezpečnost a ochranu soukromí. Zhruba pětina respondentů uvedla, že míra složitosti v jejich organizaci je odůvodněná a z hlediska bezpečnosti zvládnutelná.
V rámci výzkumu se tvůrci zprávy soustředili především na správu dat a provozované technologie. První uvedená oblast se opírá především o dosažení stavu zvaného důvěra v data. Organizace musejí svá data znát, chránit, řídit a minimalizovat jejich objemy i dobu držení. Pouze třetina respondentů se do tohoto stavu dostala.
Druhou uvedenou oblast doprovází i cosi, co lze označit za generační střet. Novější podniky s přirozeným vztahem k technologiím, jež samozřejmě existují on-line, v podstatě vždy využívají nejmodernější technologie, u nichž výrobci kladli důraz na otevřenost a propojitelnost. Starší organizace, jichž je naprostá většina, se nezřídka utápějí v komplikované architektuře nového a starého, která se navíc s každou akvizicí rozrůstá.
Nezvládnutá složitost v podnicích má svou cenu. Podle dotazovaných manažerů stojí za úspěšnými úniky dat, za pomalým tempem inovací a využíváním příležitostí na trhu a snižuje také provozní stabilitu firmy a její schopnost obnovy po útoku nebo selhání technologií.
Ne vždy a ve všem se lze komplexitě vyhnout. Část složitých procesů vznikla s jasným odůvodněním, které neztrácí na své aktuálnosti, přínosu a významu. Obecně ale platí, že zjednodušení podnikových procesů a operací významně přispívá k účinnějšímu zabezpečení organizace a ochraně soukromí.
Role CEO
Výkonní ředitelé nemusejí být hned nadšenci do kybernetické bezpečnosti, ale svou pozornost jí věnovat musejí. Z loňského výzkumu Annual Global CEO Survey společnosti PwC vyplývá, že ji rozhodně neopomíjejí. Kybernetická bezpečnost se v rámci hodnocení vyhlídek pro podnikání umístila na druhé pozici v žebříčku nejvýznamnějších rizikových faktorů. Vyšší prioritu měla v očích výkonných ředitelů pouze pandemie. Manažeři ze Severní Ameriky a západní Evropy kybernetickou bezpečnost postavili do čela jako číslo jedna.
Chcete dostávat do mailu týdenní přehled článků z CIO Business Worldu? Objednejte si náš mailový servis a žádná důležitá informace vám neuteče. Objednat si lze také newsletter To hlavní, páteční souhrn nejdůležitějších článků ze všech našich serverů. Newslettery si můžete objednat na této stránce.
Průzkumu spojeného s přípravou zprávy 2022 GLobal Digital Trust Insights Survey se zúčastnilo téměř sedm set manažerů v roli CEO a zhruba 2 900 jejich kolegů z tzv. úrovně C. Jak se lišily jejich odpovědi na stejné dotazy? Výrazně a relativně často, konkrétně ve třech tématech z osmi. Výkonní ředitelé se povětšinou označili za účastníky bezpečnostního dění s angažovaným a strategickým přístupem. Jejich kolegové z podřízených struktur byli ve svých reakcích obvykle kritičtější. Jejich výpovědi řadí výkonné ředitele spíše do reaktivních pozic. O čem tato mezera ve vnímání svědčí? Minimálně o tom, že dobré úmysly výkonných ředitelů nejsou správně komunikovány.
V otázkách podpory osob v roli chief information security officer ze strany CEO rovněž došlo k mírné názorové disproporci. Obě strany jsou poměrně kritické. Vyjádření podpory v dílčích tématech se pohybovalo v rozpětí 28 až 37 procent. Konkrétně to například znamená, že 37 procent výkonných ředitelů zajišťuje svému CISO dostatečné zdroje k jeho činnosti. Stejně jeho přístup hodnotí jen 30 procent dotazovaných manažerů úrovně C.
Využít potenciál
Konzultanti společnosti PwC sestavili čtyři zásady, jimž by organizace při řízení bezpečnosti měly věnovat prvořadou pozornost. Odvodili je ze zkušeností a postupů deseti procent bezpečnostně nejvyspělejších dotazovaných subjektů. Na první pohled jde o vcelku samozřejmé a v podstatě běžné věci. Masově rozšířené v podnikové praxi ovšem nejsou.
Generální ředitel musí jasně formulovat principy, podle kterých se z bezpečnosti informací a ochrany soukromí stanou nezpochybnitelné imperativy byznysu. Druhá doporučená zásada míří do oblasti lidských zdrojů. Najměte skutečného lídra a umožněte propojení bezpečnostních a byznysových týmů. Posilujte zjednodušování procesů a podporujte potřebnou či žádoucí míru složitosti. Třetí zásada souvisí se stanovováním priorit. Rizika se průběžně mění a vyvíjejí, stejně jako digitální ambice vaší organizace. Měřte a vyhodnocujte je kontinuálně za pomoci dat a zpravodajských služeb třetích stran. Poslední ze zásad se věnuje transparentnosti. Nemůžete zabezpečit to, o čem nevíte, co nevidíte. Odhalte slepá místa svého byznysu, zaměřte se zejména na vazby s partnery a na dodavatelský řetězec.
Deset procent bezpečnostně nejvyspělejších organizací právě tyto zásady uvedlo v realitu. A zjevně i díky nim činí velké pokroky v plnění svých cílů v oblasti ochrany informací, soukromí a provozu.
Velké množství podniků se na druhé straně stále potýká s rizikovou, nepřehlednou a trvalou složitostí. Podle zjištění konzultantů společnosti PwC se nedokážou zbavit svých špatných návyků. Běžně využívají mnoho technických řešení, která vzájemně nespolupracují. Nekoordinují aktivity v oblasti odolnosti a řízení rizik třetích stran. Nevytvářejí anebo nedodržují procesy pro nakládání s daty. A až příliš často nehovoří jazykem byznysu, když přijde řeč na kybernetickou bezpečnost.
Uvedené špatné návyky organizace vytvářejí z důvodu rychlosti nebo je posléze akceptují kvůli přirozenému odporu ke změnám. Lze je ovšem změnit, a právě v tomto úkolu hrají vedoucí manažeři organizací klíčovou roli.
Článek vyšel v CIO BW 01/22.
CIO Business World si můžete objednat i jako klasický časopis (v tištěné i v digitální podobně) Věnujeme se nejnovějším technologiím a efektivnímu řízení podnikové informatiky. Přinášíme nové ekonomické trendy a analýzy a zejména praktické informace z oblasti podnikového IT se zaměřením na obchodní a podnikatelské přínosy informačních technologií. Nabízíme možná řešení problémů spojených s podnikovým IT v období omezených rozpočtů. Naší cílovou skupinou je vyšší management ze všech odvětví ekonomiky.
PŘEDPLATNÉ
ČLÁNKY DO MAILU