Η Deloitte δημοσίευσε την 5η έκδοση της παγκόσμιας έρευνας “Global Future of Cyber”, αποκαλύπτοντας πέντε κρίσιμα παράδοξα που αλλάζουν τον τρόπο με τον οποίο οι οργανισμοί προσεγγίζουν τη στρατηγική της κυβερνοασφάλειας. Βασισμένη στις απαντήσεις περισσότερων από 1.000 διευθυντικών στελεχών κυβερνοασφάλειας και επιχειρήσεων σε 43 χώρες, 5 κλάδους και 23 επιμέρους τομείς, η έκθεση περιέχει χρήσιμα συμπεράσματα για την πλοήγηση σε ένα διαρκώς μεταβαλλόμενο ψηφιακό τοπίο.
Σε μια εποχή όπου οι κυβερνοαπειλές γίνονται όλο και πιο σύνθετες και τεχνολογίες, όπως η Τεχνητή Νοημοσύνη, μεταβάλλουν τόσο τις δυνατότητες άμυνας όσο και το πεδίο των κινδύνων, η κυβερνοασφάλεια αναδεικνύεται σε ζήτημα επιχειρησιακής ανθεκτικότητας, εμπιστοσύνης και δημιουργίας αξίας.
Το βασικό εύρημα της έρευνας είναι ότι οι οργανισμοί έχουν κάνει σημαντικά βήματα προόδου, εξασφαλίζοντας ισχυρή στήριξη από τη διοίκηση, αλλά και πρόσβαση σε χρηματοδότηση και διαμόρφωση πιο ώριμων στρατηγικών κυβερνοασφάλειας. Ωστόσο, η πρόοδος αυτή δεν μεταφράζεται πάντα σε αντίστοιχη επιχειρησιακή ετοιμότητα. Η Deloitte εντοπίζει πέντε «παράδοξα» που αποκαλύπτουν τα σημεία όπου οι οργανισμοί καλούνται να γεφυρώσουν το χάσμα ανάμεσα στη στρατηγική και την πράξη.
Τα 5 παράδοξα που διαμορφώνουν το μέλλον της κυβερνοασφάλειας:
1ο Παράδοξο: Υψηλή εμπιστοσύνη, αλλά όχι αντίστοιχη ετοιμότητα
Σύμφωνα με την έρευνα, το 85% των συμμετεχόντων δηλώνει ότι έχει αρκετή ή πολύ μεγάλη εμπιστοσύνη στη στρατηγική κυβερνοασφάλειας του οργανισμού του. Την ίδια στιγμή, όμως, το 70% αναφέρει ότι έχει εφαρμόσει σε μεγάλο ή πολύ μεγάλο βαθμό τις σχετικές δράσεις κυβερνοασφάλειας. Αυτή η απόκλιση δημιουργεί ένα χάσμα 15 ποσοστιαίων μονάδων ανάμεσα στην εμπιστοσύνη και την πραγματική ετοιμότητα.
Το εύρημα αυτό δείχνει ότι, ενώ οι οργανισμοί έχουν ενισχύσει τη στρατηγική τους προσέγγιση, εξακολουθούν να υπάρχουν κρίσιμα κενά στην υλοποίηση, ειδικά σε επίπεδο επιχειρησιακής ευθυγράμμισης, διαχείρισης τρίτων παρόχων, δεξιοτήτων και προσαρμογής σε νέες απειλές.
2ο Παράδοξο: Η κυβερνοασφάλεια έχει στήριξη από την ηγεσία, αλλά όχι την ίδια επιρροή στην καθημερινή λειτουργία των οργανισμών
Η κυβερνοασφάλεια έχει πλέον κερδίσει μια θέση στην ατζέντα της ανώτατης διοίκησης. Η έρευνα δείχνει ότι παραμένει σαφής προτεραιότητα, με τους περισσότερους συμμετέχοντες να αναφέρουν ισχυρές σχέσεις μεταξύ των Επικεφαλής Ασφάλειας Πληροφοριών (CISO) και των C-suite, CEO ή Διοικητικού Συμβουλίου.
Ωστόσο, η επιρροή αυτή δεν έχει ακόμη περάσει με τον ίδιο τρόπο στις καθημερινές λειτουργίες. Η κυβερνοασφάλεια παραμένει ισχυρότερα συνδεδεμένη με το τμήμα ΙΤ και τη διαχείριση κινδύνων, αλλά λιγότερο ενσωματωμένη σε τομείς όπως η επιχειρησιακή στρατηγική, η ανάπτυξη προϊόντων, η εμπειρία πελάτη (customer experience), η εφοδιαστική αλυσίδα και το ανθρώπινο δυναμικό. Το επόμενο βήμα για τους οργανισμούς είναι να μετατρέψουν την κυβερνοασφάλεια από διοικητική προτεραιότητα σε πραγματικό μηχανισμό «συν-ιδιοκτησίας» μέσα στις λειτουργίες τους.
3ο Παράδοξο: Οι οργανισμοί θέλουν λιγότερους προμηθευτές, αλλά χρειάζονται περισσότερους
Η αυξανόμενη πολυπλοκότητα του περιβάλλοντος απειλών, η ανάγκη για νέες τεχνολογικές δυνατότητες και η ενσωμάτωση της Τεχνητής Νοημοσύνης οδηγούν πολλούς οργανισμούς σε διεύρυνση του οικοσυστήματος συνεργατών τους. Σύμφωνα με την έρευνα, το 74% των συμμετεχόντων αναφέρει αύξηση των συνεργατών στον τομέα της κυβερνοασφάλειας. Παράλληλα, το 79% αναμένει περαιτέρω αύξηση μέσα στα επόμενα τρία χρόνια και το 85% μέσα στα επόμενα πέντε.
Το παράδοξο είναι ότι, ενώ πολλοί οργανισμοί επιδιώκουν ενοποίηση των προμηθευτών (vendor consolidation) για να μειώσουν την πολυπλοκότητα και το κόστος, η ανάγκη για εξειδικευμένες λύσεις και νέες δυνατότητες τούς οδηγεί συχνά προς την αντίθετη κατεύθυνση. Η πρόκληση δεν είναι απλώς η μείωση του αριθμού των προμηθευτών, αλλά η στρατηγική αξιολόγηση της πραγματικής αξίας τους, η αποφυγή επικαλύψεων και η ενίσχυση της αρχιτεκτονικής συνοχής των υποδομών τους.
4ο Παράδοξο: Οι παραβιάσεις παραμένουν επίμονες, αλλά ο επιχειρηματικός αντίκτυπος περιορίζεται
Οι κυβερνοεπιθέσεις και οι παραβιάσεις ασφάλειας παραμένουν μέρος της επιχειρησιακής πραγματικότητας. Η έρευνα καταγράφει ότι το 78% των συμμετεχόντων ανέφερε τουλάχιστον ένα δημόσια δηλωμένο περιστατικό παραβίασης το 2025.
Παράλληλα όμως, οι οργανισμοί φαίνεται να έχουν βελτιώσει την ικανότητά τους να περιορίζουν τις αρνητικές συνέπειες τέτοιων περιστατικών. Η Deloitte επισημαίνει ότι η αξιολόγηση της απόδοσης των συστημάτων κυβερνοασφάλειας δεν πρέπει να βασίζεται αποκλειστικά στον αριθμό των περιστατικών, αλλά στα μοτίβα επιθέσεων, τον χρόνο εντοπισμού και απόκρισης, την έκταση της επίπτωσης και την ικανότητα του οργανισμού να διατηρεί τη λειτουργική του συνέχεια. Με άλλα λόγια, η ανθεκτικότητα δεν μετριέται μόνο από το αν ένας οργανισμός δέχεται επιθέσεις, αλλά από το πόσο γρήγορα τις εντοπίζει, τις περιορίζει και ανακάμπτει.
5ο Παράδοξο: Σταθεροί προϋπολογισμοί σε ένα ασταθές περιβάλλον κυβερνοασφάλειας
Η έρευνα δείχνει ότι η χρηματοδότηση της κυβερνοασφάλειας παραμένει ισχυρή και σχετικά προβλέψιμη, σε αντίθεση με το ταχέως μεταβαλλόμενο περιβάλλον απειλών. Το 85% των συμμετεχόντων αναφέρει ότι οι σχετικοί προϋπολογισμοί αυξήθηκαν σε ετήσια βάση, ενώ το 88% σχεδιάζει περαιτέρω αύξηση μέσα στους επόμενους 12 μήνες.
Ωστόσο, η σταθερή ή αυξανόμενη χρηματοδότηση δεν αρκεί από μόνη της. Σε ένα περιβάλλον όπου οι απειλές, αλλά και οι τεχνολογίες και οι κανονιστικές απαιτήσεις εξελίσσονται διαρκώς, οι οργανισμοί χρειάζεται να μπορούν να τεκμηριώνουν τις επενδύσεις τους με σαφή επιχειρηματικά κριτήρια. Όπως σημειώνει η έρευνα, όταν οι επικεφαλής κυβερνοασφάλειας (cyber leaders) μπορούν να ποσοτικοποιούν τους κινδύνους σε οικονομικούς όρους, οι συζητήσεις για τη χρηματοδότηση αποκτούν μεγαλύτερη σαφήνεια, εστίαση και αίσθηση του επείγοντος.
Από τη στρατηγική πρόθεση στην επιχειρησιακή ανθεκτικότητα
Τα ευρήματα της έρευνας δείχνουν ότι η επόμενη φάση της κυβερνοασφάλειας δεν αφορά μόνο την ενίσχυση εργαλείων, τεχνολογιών και προϋπολογισμών. Αφορά κυρίως τη μετάβαση από τη στρατηγική πρόθεση στην επιχειρησιακή εφαρμογή, με την κυβερνοασφάλεια να ενσωματώνεται βαθύτερα στις κρίσιμες λειτουργίες, τις τεχνολογικές αρχιτεκτονικές και τις αποφάσεις διαχείρισης κινδύνου.
Παράλληλα, η έκθεση κατηγοριοποιεί τους οργανισμούς σε τρία επίπεδα ωριμότητας: τους «Cyber Frontrunners» (17%), οι οποίοι παρουσιάζουν την υψηλότερη εμπιστοσύνη και ετοιμότητα, τους «Followers» (60%) και τους «Foundation Builders» (24%) που εμφανίζουν σημαντική υστέρηση. Οι οργανισμοί που ανήκουν στην κατηγορία των Frontrunners διακρίνονται για τη βαθιά ενσωμάτωση της στρατηγικής κυβερνοασφάλειας στις επιχειρηματικές και τεχνολογικές τους λειτουργίες.
Για τις επιχειρήσεις, η πρόκληση είναι να μετατρέψουν την εμπιστοσύνη σε μετρήσιμη ετοιμότητα, την επένδυση σε πραγματική ανθεκτικότητα και τη στρατηγική κυβερνοασφάλειας σε οργανικό μέρος της επιχειρησιακής τους ανάπτυξης. Αυτό προϋποθέτει ισχυρότερη συνεργασία ανάμεσα στη διοίκηση, τα τμήματα διαχείρισης κινδύνου (risk), λειτουργιών (operations) και τις επιχειρησιακές μονάδες (business units), καθώς και συστηματική αξιολόγηση τρίτων παρόχων, ενίσχυση δεξιοτήτων και συνεχή επαναξιολόγηση των κινδύνων με βάση την πραγματική τους επίδραση στην επιχείρηση.
Ο Χρήστος Βιδάκης, Partner, Cyber Leader της Deloitte Ελλάδος σημείωσε σχετικά: «Η κυβερνοασφάλεια έχει περάσει σε μια νέα φάση ωριμότητας. Οι οργανισμοί δεν αρκεί πλέον να διαθέτουν στρατηγική, τεχνολογικά εργαλεία και χρηματοδότηση. Χρειάζεται να μπορούν να μετατρέπουν τη στρατηγική σε πραγματική επιχειρησιακή ετοιμότητα και ανθεκτικότητα, καθώς η ασφάλεια των δεδομένων αποτελεί πλέον αναπόσπαστο μέρος της δημιουργίας αξίας. Η πρόκληση για τις επιχειρήσεις – και στη χώρα μας- είναι να περάσουν από την απλή αίσθηση ασφάλειας σε μια μετρήσιμη και διαρκώς εξελισσόμενη ικανότητα προστασίας, απόκρισης και ανάκαμψης».
Μπορείτε να βρείτε αναλυτικά την 5η έκδοση της παγκόσμιας έρευνας Deloitte Global Future of Cyber εδώ.
