Máte schopný kyberbezpečnostní tým? Pak byste si jej měli hýčkat, protože podle analytiků Gartneru plná polovina lídrů v oblasti informační bezpečnosti změní zaměstnání – celá čtvrtina pak za zcela odlišnou roli, zejména z důvodu vysoké míry stresu v práci.  

„Profesionálové v oblasti kybernetické bezpečnosti čelí neudržitelné míře stresu,“ říká analytička a ředitelka výzkumu Gartneru Deepti Gopalová. „CISO jsou obvykle v defenzivní póze a jen čekají, zda je někdo hackne, nebo nehackne. Psychologický dopad takového stavu přímo ovlivňuje kvalitu rozhodování a výkonnost lídrů odpovědných za kybernetickou bezpečnost i jejich týmů.“ 

Situaci nepomáhá ani bezpočet otevřených pracovních příležitostí, které na profesionály v oblasti informační bezpečnosti čekají – fluktuace talentů je hlavním nebezpečím pro současné bezpečnostní týmy a jejich členy, kteří si dobře uvědomují, zda pracují v perspektivním prostředí. Výzkum Gartneru naznačuje, že bezpečnostní programy zaměřené především na pravidla a omezení (compliance), malá míra podpory ze strany nejvyššího vedení či nedostatečná vyspělost pro dané odvětví jsou jasnými indikátory organizace, která nepovažuje bezpečnost za klíčovou pro svůj obchodní úspěch – a z níž budou kvalitní odborníci na bezpečnost odcházet jinam, kde budou jejich schopnosti lépe oceněny a využity.  

„Vyhoření a dobrovolná fluktuace jsou výsledkem špatné podnikové kultury – jakkoliv je nemožné zcela eliminovat stres, lidé toho zvládnou mnohem víc v prostředí, kde cítí jasnou podporu,“ vysvětluje Gopalová.  

Hlavní příčinou bezpečnostních incidentů jsou stále lidé. 

Gartner předpovídá, že do roku 2025 bude za více než polovinu významných kybernetických incidentů zodpovědný nedostatek talentů nebo lidské selhání. Počet kybernetických útoků a útoků sociálního inženýrství proti lidem roste, protože aktéři hrozeb stále častěji považují člověka za nejzranitelnější místo zneužití. 

Průzkum uskutečněný v květnu a červnu 2022 mezi 1 310 zaměstnanci ukázal, že 69 % zaměstnanců v posledních dvanácti měsících vědomě obešlo pokyny své organizace týkající se kybernetické bezpečnosti. V průzkumu 74 % pracovníků uvedlo, že by byli ochotní pokyny a pravidla kybernetické bezpečnosti obejít či ignorovat, pokud by to jim nebo jejich týmu pomohlo dosáhnout obchodního cíle. 

„Překážky a třecí plochy, jež zpomalují zaměstnance a vedou k nebezpečnému chování, jsou významnou příčinou vnitřního rizika,“ vysvětluje viceprezident Gartneru Paul Furtado.  

Gartner v souvislosti s touto rostoucí hrozbou předpovídá, že polovina středních a velkých podniků přijme do roku 2025 formální programy pro řízení vnitřních rizik (dnes je má jen 10 %). Cílený program řízení vnitřních rizik by měl proaktivně a prediktivně identifikovat chování, které může vést k potenciální exfiltraci podnikových aktiv nebo jiným škodlivým aktivitám či událostem, a poskytovat pokyny k nápravě spíše než tresty. 

„Při tvorbě iniciativ kybernetické bezpečnosti musejí CISO stále více zohledňovat riziko, jež představují zaměstnanci a jiní insideři,“ dodává Furtado. „Tradiční nástroje kybernetické bezpečnosti mají jen omezený přehled o hrozbách, které přicházejí zevnitř.“ 

Klienti – uživatelé služeb Gartneru naleznou další informace ve studii „Predicts 2023: Cybersecurity Industry Focuses on the Human Deal“.

Všem je pak k dispozici e-knížka Gartneru 2023 Leadership Vision for Security & Risk Management Leaders.