Poznatky
Globálny prieskum Future of Cyber 2023
Riadenie kybernetických rizík ako hlavná súčasť podnikania na tvorbu dlhodobej hodnoty
Stratégia riadenia kybernetických rizík sa stala základným prvkom a podmienkou úspešného podnikania. Kybernetické hrozby sa posunuli od problému v oblasti IT k podnikovému problému a rovnaký trend teraz môžeme pozorovať aj v stratégiách riadenia kybernetických rizík, ktorých cieľom je v konečnom dôsledku podpora strategických obchodných cieľov a rastu spoločnosti. Čoraz skloňovanejšou témou sa stáva prepojenie medzi kybernetickými rizikami a tvorbou hodnoty. Výsledky globálneho prieskumu Future of Cyber 2023, v ktorom Deloitte zhromaždil odpovede od viac ako tisíc vedúcich pracovníkov spoločností z celého sveta, potvrdzujú význam riadenia kybernetických rizík ako kľúčového faktora úspechu vo všetkých oblastiach podnikania.
Svet je čoraz prepojenejší, čo so sebou okrem nových príležitostí na rast prináša aj nové riziká. Digitálne technológie, exponenciálny nárast objemu údajov a meniace sa obchodné potreby čoraz viac otvárajú dvere riziku nových kybernetických útokov a prinášajú nové výzvy, vďaka čomu sa riadenie kybernetických rizík stáva strategickou podnikovou záležitosťou. Na neutralizáciu kybernetických hrozieb, ochranu hodnoty spoločnosti a udržanie dôvery zákazníkov je potrebné zabezpečiť spoluprácu naprieč oblasťami riadenia kybernetických rizík, riadenia rizík a ďalšími útvarmi spoločnosti.
V rámci tohtoročného globálneho prieskumu, ktorý predstavuje doposiaľ najväčší prieskum Deloitte v oblasti riadenia kybernetických rizík, sme kládli otázky vedúcim pracovníkom v rôznych odvetviach, aby sme získali jasnejší obraz o tom, aká je situácia v oblasti riadenia kybernetických rizík a kam smeruje. Zistili sme, že problematika kybernetických rizík sa dostáva čoraz viac do popredia záujmu. V spoločnostiach všetkých veľkostí sa riadenie kybernetických rizík nezmazateľne zapisuje do podnikovej agendy a stáva sa ústredným prvkom pre kľúčové obchodné iniciatívy a investície.
Štúdia ukazuje, že osoby s rozhodovacou právomocou si uvedomujú, že kybernetická bezpečnosť má pre ich spoločnosť alebo inštitúciu zásadný význam. Experti na kybernetickú bezpečnosť, ktorí sa na prieskume zúčastnili, však zároveň pri účinnom zavádzaní opatrení zisťujú celý rad výziev. Prieskum preto nielen analyzuje súčasný stav, ale zároveň nám dáva možnosť nahliadnuť do budúcnosti kybernetickej bezpečnosti.
Za horizont ochrany pred kybernetickými hrozbami
Aj členovia predstavenstiev čoraz viac vnímajú kybernetickú bezpečnosť ako podnikovú prioritu. Až 70 % respondentov tohtoročného prieskumu uviedlo, že ich predstavenstvo sa pravidelne, či už mesačne alebo štvrťročne, zaoberá oblasťou riadenia kybernetických rizík. Prevažná väčšina respondentov videla silnú väzbu medzi kybernetickými hrozbami a ich vplyvom na podnikanie, pričom 86 % respondentov uviedlo, že iniciatívy v oblasti riadenia kybernetických rizík mali významný pozitívny prínos aspoň k jednej kľúčovej obchodnej priorite. A väčšina organizácií sa snaží stavať na tejto hodnotovej ponuke, pričom 58 % z nich plánuje v budúcom roku zvýšiť svoje investície do kybernetickej oblasti. Napriek potenciálu riadenia kybernetických rizík ako prostriedku podmieňujúceho úspešné podnikanie môže by schopnosť účinne ho využívať v rôznych organizáciách odlišná.
Deloitte v rámci tohtoročného prieskumu medzi spoločnosťami hodnotil ich úroveň kybernetického plánovania, zapojenie najvyššieho vedenia do riadenia kybernetických rizík a mieru strategických opatrení v oblasti kybernetických rizík, čím identifikoval tie, ktoré sú z tohto hľadiska vysoko výkonné a vyspelé. Podľa prieskumu má 38 % analyzovaných organizácií nízku úroveň kybernetickej vyspelosti, 41 % z nich má strednú úroveň a 21 % má vysokú úroveň. Príslušná úroveň vyspelosti sa určuje na základe troch kritérií:
- Dôkladné plánovanie v oblasti riadenia kybernetických rizík, ktoré sa prejavuje existenciou strategických, prevádzkových a taktických plánov na obranu pred kybernetickými hrozbami a reagovanie na ne;
- Kľúčové činnosti v oblasti riadenia kybernetických rizík, ako je kvalitatívne a kvantitatívne hodnotenie rizík, odvetvový benchmarking a plánovanie scenárov pre reakcie na incidenty;
- Účinné zapojenie predstavenstva, čoho príkladom sú spoločnosti, ktorých predstavenstvo sa pravidelne zaoberá otázkami súvisiacimi s kybernetickými rizikami.
Najúspešnejšie organizácie zároveň častejšie uvádzali pozitívny prínos svojej iniciatívy v oblasti kybernetickej bezpečnosti, napríklad pre:
- zlepšenie reputácie značky (64 %) a zvýšenie dôvery zákazníkov a vplyvu značky (62 %),
- zvýšenie obratu (47 %)
- zlepšenie prevádzkovej stability zahŕňajúcej dodávateľský reťazec a partnerský ekosystém (59 %),
- nábor a udržanie talentov (49 %).
Riadenie kybernetických rizík v centre pozornosti
V rámci nášho najnovšieho globálneho prieskumu Future of Cyber sme sa pýtali, akú úlohu zohrávajú kybernetické riziká v každej z týchto hlavných iniciatív digitálnej transformácie (obrázok 1). Výsledky sú jasné: vedúci predstavitelia firiem si uvedomujú, že riadenie kybernetických rizík zohráva kľúčovú úlohu vo všetkých prioritách digitálnej transformácie, a najmä v nasledujúcich oblastiach:
- Cloud
- Analýza údajov
- 5G
- Umelá inteligencia/kognitívne výpočtové systémy,
- Prevádzkové technológie/priemyselné riadiace systémy
Obrázok 1: Riadenie kybernetických rizík v centre pozornosti
Očakáva sa, že stratégia riadenia kybernetických rizík bude zohrávať hlavnú rolu v iniciatívach spoločností v oblasti digitálnej transformácie (z dôvodu zaokrúhľovania sa celkový percentuálny súčet nemusí rovnať 100).
Hoci sa organizácie zameriavajú na pozitívne prínosy a tvorbu dlhodobej obchodnej hodnoty, ktorú môže kybernetická pripravenosť priniesť, je dôležité mať na pamäti základnú schopnosť oblasti riadenia kybernetických rizík čeliť kybernetickým hrozbám a zmierňovať negatívne obchodné dôsledky a riziká. Frekvencia výskytu kybernetických incidentov alebo narušení bezpečnosti sa výrazne nemení, pričom aspoň jeden incident hlási 91 % organizácií.
Narušenie prevádzky je pritom aj naďalej najvýznamnejším vplyvom kybernetických incidentov, hoci strata príjmov a strata dôvery zákazníkov poskočili na druhé a tretie miesto v rebríčku, pričom súvisiace dôsledky pocítilo v strednej alebo vysokej miere 56 % respondentov (obrázok 2).
Obrázok 2: Ako tŕň v päte
Kybernetické incidenty a narušenia bezpečnosti vedú k nasledujúcim negatívnym dôsledkom pre organizácie (na základe frekvencie 2. miesta v rebríčku v roku 2021, výber 2. miesta v rebríčku v roku 2023).
Kľúčové poznatky pre budúcnosť riadenia kybernetických rizík: päť oblastí, na ktoré sa treba zamerať
1. Holistický prístup
Vysoko výkonné spoločnosti zapájajú do svojich kybernetických aktivít celú organizáciu. Hoci vysoko vyspelé spoločnosti využívajú špičkové postupy riadenia kybernetických rizík viac ako tie stredne a menej vyspelé, ich rozdiely v miere zapojenia organizácie patria medzi najvýraznejšie.
2. Kritický prístup k iniciatívam digitálnej transformácie
Pri organizáciách dosahujúcich vysokú vyspelosť je oveľa väčšia pravdepodobnosť, že budú oblasť riadenia kybernetických rizík považovať za zásadnú pre kľúčové priority digitálnej transformácie. Prijatie týchto priorít digitálnej transformácie je nevyhnutné na zabezpečenie prevádzkovej agility a obchodného úspechu. Každá z nich však so sebou prináša významné kybernetické riziká a organizácie s vysokou vyspelosťou môžu byť na túto skutočnosť obzvlášť citlivé. Napríklad umelá inteligencia môže byť účinným nástrojom na navrhovanie stratégií riadenia kybernetických rizík a digitálnych obchodných ambícií firiem, ale zároveň prináša potenciál nových kybernetických rizík, ktoré môžu byť spojené s ktoroukoľvek digitálnou technológiou.
3. Dôkladné plánovanie
Ukazuje sa, že plánovanie má zásadný význam pre navrhovanie stratégií, ktoré účinne znižujú riziká kybernetických hrozieb a zvyšujú hodnotu podniku. Zdá sa, že vysoko výkonné organizácie uvedené v tejto správe si veľmi dobre uvedomujú dôležitosť plánovania. Dôkladné plánovanie sa vo väčšej miere vyskytuje práve v kyberneticky vysoko vyspelých spoločnostiach.
4. Oceňovanie talentov a investovanie do nich
Problémy a výzvy v oblasti kybernetických rizík sú v konečnom dôsledku o ľuďoch. Predpokladom dosahovania dobrých výsledkov sú výrazné talenty v podobe kvalifikovaných a skúsených odborníkov na kybernetické riziko. To, aby kybernetické iniciatívy riadili tí správni ľudia, si vyžaduje ísť nad rámec tradičného profilu talentov. Celkovo možno povedať, že vysoko vyspelé organizácie vedia oceniť prínos skúsených talentov do úsilia systematického riadenia kybernetických rizík a podnikajú zmysluplné kroky na ich udržanie.
5. Rozmanitý ekosystém nástrojov a služieb
Vysoko vyspelé organizácie, ktoré chcú byť v popredí kybernetických iniciatív, si veľmi dobre uvedomujú, že to samy nedosiahnu. Pri budovaní kybernetických zručností zameraných na budúcnosť, ktoré zároveň zvyšujú obchodnú hodnotu, sa musia spoliehať na rozšírený ekosystém technológií, schopností a ponúk externých dodávateľov. Nasadenie nástrojov a služieb síce zvyšuje pripravenosť čeliť kybernetickým hrozbám, ale zároveň vytvára potrebu dôkladného plánovania, riadenia a prevádzky ekosystému.
„Náš najnovší výskum potvrdzuje rastúci význam kybernetickej bezpečnosti pre takmer akúkoľvek ľudskú činnosť alebo podnikanie. Kybernetická bezpečnosť sa tak stáva prirodzenou súčasťou bežného osobného a pracovného života. Tento trend sa bude naďalej exponenciálne zrýchľovať spolu s rozmachom umelejinteligencie a ďalších technologických inovácií, ktoré umožní alebo urýchli práve rozširujúca sa umelá inteligencia.“
Michal Čábela, líder poradenstva v oblasti riadenia kybernetických rizík, Deloitte
Čo z toho vyplýva?
- Časy, keď bolo riadenie kybernetických rizík „odsunuté na vedľajšiu koľaj“, sú preč.
- Nové technologické možnosti budú účinnejšie len vtedy, keď budú začlenené do spoľahlivých stratégií riadenia kybernetických rizík.
- Nové technológie so sebou prinesú inovatívne riešenia, ktoré môžu podporiť budúce obchodné modely, ale zároveň prinesú do oblasti riadenia kybernetických rizík aj nepredvídateľné výzvy.