Neizvršni direktori nemaju povjerenja u vrijednost kibernetičke sigurnosti

Čak 90 posto neizvršnih direktora nema jasnu razinu povjerenja u vrijednost ulaganja u kibernetičku sigurnost, pokazuje istraživanje tvrtke Gartner. Samo 10 posto neizvršnih direktora izražava snažno povjerenje u vrijednost ulaganja ili inicijativa u području kibernetičke sigurnosti, navodeći da njihova organizacija ima odgovarajuću ravnotežu između razine zaštite i troškova.

Ipak, skepticizam neizvršnih direktora prema vrijednosti kibernetičke sigurnosti može biti poticaj za promjene. CIO-i i CISO-i koji djeluju kao „tumači složenosti“ te čine svojevrsnu kibernetičku elitu, a pomažu organizacijama razumjeti i odgovoriti na kompleksnost i promjene, uspjeli su zadobiti povjerenje upravnih odbora u pogledu „optimalne“ razine zaštite i troškova. „Upravni odbori često se muče s povezivanjem ulaganja u kibernetičku sigurnost s konkretnim poslovnim ishodima“, izjavila je Kristin Moyer, istaknuta potpredsjednica analitičarka u Gartneru.

„Kontrolne ploče i izvješća o usklađenosti ponekad zbunjuju umjesto da umiruju, ostavljajući neizvršne direktore u nedoumici je li njihova organizacija doista sigurnija. CIO-i i CISO-i koji znaju prevesti kompleksnost kibernetičke sigurnosti u poslovnu vrijednost, poput utjecaja na prihode, troškove i vrijednost za dioničare, uspijevaju postići konsenzus odbora o odgovarajućoj razini zaštite i troškova“, dodala je Moyer.

Upravni odbori traže jasne uvide u to kako se konkretne prijetnje prevode u stvarne rizike za njihove organizacije. CIO-i i CISO-i koji djeluju kao „tumači“ pružaju transparentnost o stvarnoj razini izloženosti i spremnosti na prijetnje, nadilazeći općenite trendove kibernetičkih prijetnji te osnažujući neizvršne direktore informacijama potrebnima za donošenje informiranih odluka.

Iako odbori traže veću jasnoću u vezi s kibernetičkim rizicima, svjesni su da su oni dio šireg spektra vanjskih prijetnji s kojima se organizacije danas suočavaju. Sedamdeset posto neizvršnih direktora navelo je geopolitičku nestabilnost i međunarodne sukobe kao najznačajnije vanjske prijetnje vrijednosti za dioničare u sljedećih 12 mjeseci. Zanimljivo je da je svaki treći neizvršni direktor kibernetičke rizike, tehnološke poremećaje i izazove inovacija prepoznao kao vodeće vanjske prijetnje vrijednosti za dioničare u nadolazećoj godini.

„Gotovo svi neizvršni direktori iskusili su sigurnosni incident, bilo kao izvršni čelnici ili tijekom mandata u upravnim odborima“, izjavila je Tina Nunno, izvršna potpredsjednica u Gartneru. „Novi sigurnosni propisi stavili su ovu temu u središte pozornosti upravnih odbora. Istodobno, umjetna inteligencija uzrokuje značajne poslovne poremećaje i privukla je veliku pozornost odbora.“

Iako se tehnologija među neizvršnim direktorima percipira kao područje rastućeg rizika za vrijednost dioničara, uključujući disruptivni potencijal umjetne inteligencije, ona se istodobno promatra kao ključna poluga za upravljanje volatilnošću. Čak 63 posto neizvršnih direktora smatra da su ulaganja u tehnologiju i inovacije najbolji način za suočavanje s današnjom globalnom nestabilnošću. „Većina neizvršnih direktora ne samo da vjeruje kako su tehnološka ulaganja ključna strategija u upravljanju volatilnošću, već i da bi većina tih ulaganja trebala biti usmjerena u umjetnu inteligenciju“, istaknula je Nunno.

„Umjetna inteligencija rangirana je kao investicija broj jedan, prema mišljenju 57 posto ispitanika, za koju se očekuje da će imati pozitivan utjecaj na vrijednost za dioničare u sljedeće dvije godine, ispred ulaganja u nove proizvode i usluge (56 posto) te spajanja i preuzimanja (45 posto). Neizvršni direktori primijetili su golema sredstva koja se ulažu u AI startupe i velike jezične modele te vjeruju da će se barem dio tih ulaganja dugoročno isplatiti. Većina upravnih odbora, njih 71 posto, željela bi da njihove kompanije preuzmu veći tehnološki rizik te aktivno potiču glavne izvršne direktore i izvršne timove da pokažu kako imaju jasnu AI strategiju i da se kreću dovoljno brzo“, zaključila je Nunno.

Prema podacima međunarodnih regulatornih tijela i analitičkih kuća, kibernetički napadi posljednjih godina uzrokuju milijarde dolara izravnih i neizravnih troškova, uključujući prekide poslovanja, regulatorne kazne i reputacijsku štetu. U Europskoj uniji dodatni pritisak na upravne odbore dolazi kroz direktivu NIS2, koja proširuje odgovornost upravljačkih struktura za upravljanje kibernetičkim rizicima i uvodi strože zahtjeve izvještavanja.

Istodobno, američka Komisija za vrijednosne papire i burze pojačala je obveze javnih kompanija u pogledu objave materijalnih kibernetičkih incidenata, čime je pitanje sigurnosti postalo tema korporativnog upravljanja, a ne isključivo IT funkcije. Rast napada temeljenih na ransomwareu i naprednim trajnim prijetnjama dodatno povećava potrebu za kvantifikacijom rizika u financijskim terminima razumljivima upravnim odborima. Analitičari ističu kako prelazak s tehničkih metrika na pokazatelje utjecaja na poslovanje, poput gubitka prihoda ili utjecaja na tržišnu kapitalizaciju, može pomoći u izgradnji povjerenja. U tom kontekstu, razvoj modela za mjerenje povrata ulaganja u kibernetičku sigurnost postaje prioritet za CIO-e i CISO-e.

Paralelno, ubrzani razvoj umjetne inteligencije donosi nove sigurnosne izazove, uključujući zlouporabu generativnih modela i automatizaciju napada. Upravni odbori stoga sve češće traže integrirani pristup koji povezuje kibernetičku sigurnost, upravljanje rizicima i strategiju digitalne transformacije. Dugoročno, sposobnost organizacija da jasno komuniciraju vrijednost sigurnosnih ulaganja mogla bi postati diferencijator u privlačenju investitora i očuvanju povjerenja tržišta.