Analýza
Globální průzkum Future of Cyber 2023
Řízení kybernetických rizik centrálním elementem podnikání jako podmínka tvorby dlouhodobé hodnoty
Strategie řízení kybernetických rizik se stala elementárním prvkem a podmínkou úspěšného podnikání. Kybernetické hrozby se posunuly od problému IT k problému byznysu a stejný trend můžeme nyní pozorovat i u strategií řízení kybernetických rizik, které si v konečném důsledku kladou za cíl podpořit strategické obchodní cíle a růst společnosti. Spojení mezi kybernetickými riziky a tvorbou hodnoty se stává stále skloňovanějším tématem. Výsledky globálního průzkumu Future of Cyber 2023, v jehož rámci společnost Deloitte shromáždila odpovědi od více než tisícovky členů výkonného vedení společností z celého světa, potvrzují význam oblasti řízení kybernetických rizik jako klíčového faktoru úspěchu ve všech oblastech podnikání.
Svět se stále více propojuje, což sebou kromě nových růstových příležitostí přináší i nová rizika. Digitální technologie, exponenciální nárůst objemu dat a měnící se obchodní potřeby stále více otevírají dveře riziku nových kybernetických útoků a přinášejí nové výzvy, které povyšují oblast řízení kybernetických rizik na strategický problém. Pro neutralizaci kybernetických hrozeb, ochranu hodnoty společnosti a udržení důvěry zákazníků je nutné zajistit spolupráci napříč oblastmi řízení kybernetických rizik, útvarem řízení rizik i ostatními jednotkami společnosti.
Letošní globální průzkum – dosud největší průzkum společnosti Deloitte v oblasti řízení kybernetických rizik – se v rámci dotazování lídrů napříč odvětvími snažil získat jasnější představu o tom, jak si oblast řízení kybernetických rizik ve firmách stojí a kam směřuje. Zjistili jsme, že problematika kybernetických rizik se stále více dostává do popředí zájmu. Ve společnostech všech velikostí se řízení kybernetických rizik nesmazatelně zapisuje do firemní agendy a stává se ústředním bodem pro klíčové obchodní iniciativy a investice.
Studie ukazuje, že osoby s rozhodovací pravomocí si uvědomují, že kybernetická bezpečnost má pro jejich společnost či instituci zásadní význam. Dotazovaní experti na kybernetickou bezpečnost však zároveň při efektivním zavádění opatření spatřují řadu výzev. Průzkum proto analyzuje nejen současný stav, ale zároveň nám dává možnost nahlédnout do budoucnosti oblasti kybernetické bezpečnosti.
Za horizont ochrany proti kybernetickým hrozbám
Kybernetickou bezpečnost jako podnikovou prioritu stále jasněji vnímají i členové představenstev. 70 % respondentů letošního průzkumu uvedlo, že jejich představenstvo se problematikou řízení kybernetických rizik zabývá na pravidelné bázi, a to buď jednou za měsíc, nebo jednou za čtvrt roku. Drtivá většina respondentů spatřovala silnou vazbu mezi kybernetickými hrozbami a dopadem na podnikání – 86 % respondentů uvedlo, že iniciativy řízení kybernetických rizik významně a pozitivně přispěly k alespoň jedné klíčové obchodní prioritě. A většina organizací se snaží na této hodnotové nabídce stavět, přičemž 58 % z nich plánuje v příštím roce své investice do kybernetické oblasti zvýšit. Navzdory potenciálu řízení kybernetických rizik jako prostředku podmiňujícího úspěšné podnikání se může schopnost jejich efektivního využití v různých organizacích lišit.
Společnost Deloitte v rámci letošního průzkumu mezi společnostmi hodnotila jejich úroveň kybernetického plánování, zapojení nejvyššího vedení do problematiky řízení kybernetických rizik i míru strategických opatření v oblasti kybernetických rizik a identifikovala tak takové, které jsou v tomto ohledu vysoce výkonné a z pohledu řízení kybernetických rizik vyspělé. Nízkou úroveň kybernetické vyspělosti má 38 % analyzovaných organizací, 41 % z nich má úroveň střední a 21 % úroveň vysokou. Příslušná úroveň vyspělosti se určuje na základě tří kritérií:
- Důkladné plánování v oblasti řízení kybernetických rizik, které se projevuje existencí strategických, provozních a taktických plánů na obranu proti kybernetickým hrozbám a reakci na ně
- Klíčové činnosti v oblasti řízení kybernetických rizik, jako je kvalitativní a kvantitativní hodnocení rizik, odvětvový benchmarking a plánování scénářů reakce na incidenty
- Efektivní zapojení představenstva, společnosti, jejichž představenstva se pravidelně zabývají otázkami souvisejícími s problematikou kybernetických rizik
Nejúspěšnější organizace také častěji uváděly pozitivní přínos své iniciativy v oblasti kybernetické bezpečnosti například v:
- zlepšení renomé značky (64 %) a zlepšení důvěry zákazníků a vlivu značky (62 %)
- zvýšení obratu (47 %)
- zlepšení provozní stability zahrnující dodavatelský řetězec a partnerský ekosystém (59 %),
- nábor a udržení talentů (49 %)
Řízení kybernetických rizik v centru zájmu
V rámci našeho nejnovějšího globálního průzkumu Future of Cyber jsme se dotazovali, jakou roli hrají kybernetická rizika v každé z těchto hlavních iniciativ digitální transformace (Obrázek 1). Výsledky jsou jasné: vrcholní představitelé firem si uvědomují, že řízení kybernetických rizik hraje klíčovou roli ve všech prioritách digitální transformace, a to zejména pro:
- Cloud
- Analýzu dat
- 5G
- Umělou inteligenci / kognitivní výpočetní techniku
- Provozní technologie / průmyslové řídicí systémy
Obrázek 1: Kybernetická rizika v centru zájmu
Očekává se, že strategie řízení kybernetických rizik bude v iniciativách společností v oblasti digitální transformace hrát hlavní roli (z důvodu zaokrouhlování se celkový součet procent nemusí rovnat 100).
I když se organizace soustředí na pozitivní přínosy a tvorbu dlouhodobé obchodní hodnoty, kterou může kybernetická připravenost přinést, je důležité mít na paměti základní schopnost oblasti řízení kybernetických rizik čelit kybernetickým hrozbám a zmírňovat negativní obchodní důsledky a rizika. Četnost kybernetických incidentů nebo narušení bezpečnosti se nijak závratně nezměnila – alespoň jeden incident hlásí 91 % organizací.
Narušení provozu je přitom i nadále nejvýznamnějším dopadem kybernetických incidentů, ačkoli ztráta příjmů a ztráta důvěry zákazníků poskočily v žebříčku na druhé a třetí místo – související důsledky pocítilo ve střední nebo velké míře 56 % respondentů (Obrázek 2).
Obrázek 2: Jako trn v patě
Kybernetické incidenty a narušení bezpečnosti vedou u organizací k následujícím negativním důsledkům (na základě četnosti 2. místa v žebříčku v roce 2021, výběr 2. místa v žebříčku v roce 2023)
Klíčové poznatky pro budoucnost řízení kybernetických rizik: pět oblastí, na které se zaměřit
1. Holistický přístup
Vysoce výkonné společnosti zapojují do svých kybernetických aktivit celou organizaci. Přestože vysoce vyspělé společnosti využívají špičkových postupů řízení kybernetických rizik více než jejich středně a méně vyspělé protějšky, jejich rozdíly v míře zapojení organizace patří k těm nejmarkantnějším.
2. Kritický přístup k iniciativám digitální transformace
U organizací s vysokou vyspělostí je mnohem pravděpodobnější, že budou oblast řízení kybernetických rizik pro klíčové priority digitální transformace považovat za zásadní. Přijetí těchto priorit digitální transformace je pro zajištění provozní agility a obchodního úspěchu nutností. Každá z nich však s sebou nese významná kybernetická rizika a organizace s vysokou vyspělostí mohou být na tuto skutečnost obzvláště citlivé. Například umělá inteligence může být účinným nástrojem pro návrh strategií řízení kybernetických rizik a digitálních obchodních ambicí firem, ale zároveň přináší potenciál nových kybernetických rizik, který se u digitálních technologií může pojit s kteroukoliv z nich.
3. Důkladné plánování
Ukazuje se, že pro návrh strategií, které účinně snižují rizika kybernetických hrozeb a zvyšují hodnotu podniku, má zásadní význam plánování. Zdá se, že vysoce výkonné organizace uvedené v této zprávě si důležitost plánování velmi dobře uvědomují. Právě u kyberneticky vysoce vyspělých organizací se existence důkladného plánování vyskytuje ve větší míře.
4. Ocenění talentů a investice do nich
Problémy a výzvy v oblasti kybernetických rizik jsou v konečném důsledku o lidech. Výrazný talent – v podobě kvalifikovaných a zkušených jedinců zaměřujících se na kybernetická rizika – je nezbytným předpokladem pro dosažení kvalitního výkonu. Aby kybernetické iniciativy řídili ti správní lidé, je nutné překročit stín tradičního profilování talentů. Celkově lze říci, že vysoce vyspělé organizace umí ocenit, co zkušený talent do úsilí systematického řízení kybernetických rizik přináší, a podnikají smysluplné kroky k tomu, aby si takové talenty udržely.
5. Rozmanitý ekosystém nástrojů a služeb
Vysoce vyspělé organizace, které chtějí být v popředí kybernetických iniciativ, si velmi dobře uvědomují, že toho nedosáhnou samy. Při budování kybernetických dovedností zaměřených na budoucnost, které zároveň podpoří obchodní hodnotu, se musí spolehnout na rozšířený ekosystém technologií, schopností a nabídek externích dodavatelů. Nasazení nástrojů a služeb sice zvyšuje připravenost čelit kybernetickým hrozbám, ale zároveň vytváří potřebu důkladného plánování, řízení i provozu ekosystému.
"Náš poslední průzkum potvrzuje vzrůstající důležitost oblasti kybernetické bezpečnosti pro téměř jakoukoliv lidskou činnost nebo obchodní aktivity. Kybernetická bezpečnost se tak začíná stávat přirozenou součástí běžného osobního i profesního života. Tento trend bude dále exponenciálně akcelerovat spolu s rozmachem umělé inteligence a dalších technologických inovací, které právě rozšiřující se umělá inteligence umožní nebo urychlí."
Michal Čábela, lídr poradenství v oblasti řízení kybernetických rizik, Deloitte
Co z toho plyne?
- Doby, kdy řízení kybernetických rizik „stálo na vedlejší koleji“, jsou pryč.
- Nové technologické možnosti budou účinnější pouze tehdy, pokud budou začleněny do silných strategií řízení kybernetických rizik.
- Nové technologie s sebou přinesou inovativní řešení, která mohou podpořit budoucí obchodní modely, ale zároveň do oblasti řízení kybernetických rizik vnesou nepředvídatelné výzvy.