Silná kybernetická bezpečnosť vytvára hodnotu, ktorá nemusí byť na prvý pohľad zjavná ani merateľná. To najdôležitejšie totiž často spočíva v tom, čomu dokáže predísť.
Kybernetická bezpečnosť patrí medzi tie firemné zložky, pri ktorých býva úspech spravidla tichý. Zvonka môže dokonca pôsobiť, že sa nič zvláštne nedeje. Vo vnútri však odráža sled zdanlivo nenápadných procesov a kontrol, ktoré robia presne to, na čo boli navrhnuté. Bránia tomu, aby technické incidenty prerástli do podnikových kríz. Ak použijeme trochu ošúchané prirovnanie, nikto nerozmýšľa nad bezpečnostnými pásmi v aute, keď cesta do práce prebehne hladko. Keď ich však človek potrebuje, pohľad na vec sa zmení.
Bezpečnosť často považujú za dôležitú až neskoro
Môže sa to zdať ako zvláštne miesto, kde začať, no práve táto dynamika sa skrýva v jadre dlhodobého problému kybernetickej bezpečnosti: keď funguje, na povrchu sa zmení len veľmi málo. Každý v organizácii môže robiť svoju prácu a deň vyzerá ako ktorýkoľvek iný. Keď však zlyhá? To si všimne každý, už len preto, že rozdiel je citeľný a náklady rýchlo narastajú.
Predchádzať narušeniam je zásadné, no odôvodniť náklady na to v porovnaní s inými podnikovými prioritami nie je vždy jednoduché. Iné časti firmy, najmä tie, ktoré prinášajú zisk, zvyčajne dokážu poukázať na viditeľné zmeny: lepší predaj alebo kratší čas uvedenia na trh. Bezpečnosť si tento luxus málokedy môže dovoliť. Namiesto toho sa od nej žiada, aby svoju hodnotu obhajovala na základe situácií, ku ktorým vôbec nemá dôjsť. V rozpočtovom preťahovaní lanom má tento rozdiel skutočnú váhu.
Aby sa nezdalo, že takéto obavy sú prehnané, štúdia spoločností IANS a Artico zistila, že „priemerný ročný rast bezpečnostného rozpočtu [v roku 2025] klesol na 4 % – najnižšiu úroveň za posledných päť rokov a prudký pokles z 8 % v roku 2024“. Výstižné je aj to, že štúdia zistila, že „CISO s nezmeneným alebo zníženým rozpočtom bolo viac než tých, ktorí zaznamenali jeho rast, čo poukazuje na prehlbujúci sa problém pri zabezpečovaní dostatočných zdrojov pre kybernetickú bezpečnosť“.
Tá matematika nejako nesedí?
Keď sa pýtate: „Ako preukážete hodnotu bezpečnosti, keď sa nič nepokazilo?“, snažíte sa obhájiť výdavky poukazovaním na katastrofy, ktoré sa nestali. Takéto rámcovanie vás uzatvára do obrannej pozície, nehovoriac o tom, že ignoruje väčšinu toho, čo bezpečnosť robí každý deň, a napokon zastiera jej skutočnú hodnotu.
Môže to tiež podporovať istý druh skreslenia preživších – manažéri vo firme, ktorá si vystačila s chudobným bezpečnostným rozpočtom, majú skúsenosť, ktorá im hovorí, že ich doterajšie výdavky boli dostatočné. Pár rokov, počas ktorých sa vaše podnikanie vyhlo problémom, vám však veľa nepovie o nasledujúcom roku. Bezpečnosť často zahŕňa to, čo štatistici nazývajú „riziko hrubého chvosta“ – teda taký druh rizika, pri ktorom je všetko v poriadku, až kým zrazu veľmi rýchlo nie je, a škody môžu byť až existenčné. Keďže mnohé hrozby sa vyvíjajú a regulačné požiadavky sa sprísňujú, pravdepodobnosť sa časom nezlepšuje; skôr naopak, zhoršuje sa.
Ako sa hovorí, „na nesprávne otázky neexistujú správne odpovede“, a tak možno treba začať odznova tým, že sa rozhodnete, ako by sa mala hodnota chápať. Meranie toho, čo sa nestalo, tiež znamená, že môžete hovoriť len o konečných úsporách – nie o raste a príležitostiach, ktoré bezpečná prevádzka umožňuje. Schopnosť pokračovať v bezpečnej prevádzke v nebezpečnom prostredí, v ktorom konkurenti nedokážu obstáť, je konkurenčná výhoda, ktorá sa len zriedkavo meria alebo diskutuje.
Jedna zmysluplná otázka znie: „Čo nám bezpečnosť umožňuje robiť, čo by sme inak robiť nemohli?“ Nemá sa to chápať v nejakom vágne abstraktnom zmysle, ale úplne doslovne a prevádzkovo. Namiesto dokazovania negatívnej eventuality tak môžete ukázať pozitívnu realitu. V konečnom dôsledku totiž bezpečnosť umožňuje alebo mení každodennú realitu organizácie a jej budúce vyhliadky.
Teória sa stretáva s realitou
Reálna bezpečnostná situácia býva často tvrdá, najmä v prípade menších organizácií, ktoré sa neustále potýkajú s nedostatkom zdrojov a zároveň sú neúmerne často cieľom útokov. Keďže odborné znalosti v oblasti bezpečnosti nie je ľahké získať, zabezpečiť interné pokrytie 24 hodín denne, 7 dní v týždni býva pre ne často nedosiahnuteľné. Bezpečnostný monitoring môže napríklad v praxi znamenať, že logy sa zbierajú a upozornenia existujú, no obmedzená pozornosť a zdroje vedú k oneskoreným reakciám alebo k tomu, že neprebehne žiadna.
Tieto obmedzenia môžu mať veľmi praktické dôsledky. Čím dlhšie útočník pôsobí nepovšimnuto vo firemnej sieti, tým ďalej a hlbšie sa môže dostať – odcudziť tie najcennejšie dáta, nájsť zálohy alebo inak zistiť, čo spôsobí najväčšie škody.
Správa IBM Cost of a Data Breach 2025 nielen uvádza priemernú cenu narušenia bezpečnosti (4,44 milióna dolárov), ale tiež ukazuje, o koľko môžu konkrétne bezpečnostné opatrenia túto sumu znížiť. Samostatné rámce na meranie návratnosti investícií do bezpečnosti a kvantifikáciu kybernetických rizík existujú, no ich rozoberanie je na inú debatu. Tu sa pozornosť sústreďuje na niečo, čo sa meria ťažšie.
Práve v tomto kontexte začína dávať zmysel služba ako Managed Detection and Response (MDR). Jej podoby sa môžu do istej miery líšiť, no v zásade ide o aktívnu službu outsourcingu bezpečnosti, pri ktorej si prenajmete bezpečnostnú technológiu aj expertov, ktorí na ňu dohliadajú. Služba MDR spája detekciu, reakciu, výskum hrozieb a informácie o hrozbách, ako aj nápravu v rámci nepretržitej prevádzky, ktorá aj menším organizáciám poskytuje takú úroveň pokrytia, aká kedysi patrila len veľkým podnikom. Okrem iného to znamená, že sa vždy niekto pozerá a dokáže rozhodnúť, či je nejaký anomálny signál neškodný, alebo poukazuje na škodlivú aktivitu.
Tento posun sa môže prejavovať malými spôsobmi, no mať zásadné dopady. Aj nenápadné incidenty, ako napríklad pokus o krádež prihlasovacích údajov, sú zastavené ešte skôr, než sa môžu rozvinúť napríklad do ransomvérového útoku. Takéto pokrytie navyše často od organizácií očakávajú kybernetické poisťovne.
Pointa na záver
Úzko zamerané argumenty o predchádzaní nákladom nevystihujú, čo táto služba – a vlastne bezpečnosť vo všeobecnosti – robí. Výdavky na bezpečnosť možno nevedú k veľmi viditeľnému a uspokojivému momentu návratnosti. Nehmotné prínosy sú však silné – a kumulujú sa. Bezpečnosť sa viaže na základné strategické ciele a požiadavky každej organizácie, už len preto, že prispieva k nepretržitej prevádzke, dôvere zákazníkov a regulačnému súladu. Z tohto pohľadu je bezpečnosť veľmi potrebným výsledkom, nielen produktom alebo službou.
Pre tých, ktorí nehrajú len krátkodobú hru, sa investície do bezpečnosti mnohonásobne vracajú. Bezpečnosť umožňuje organizáciám rásť, pretože tým, čo si kupujú, je schopnosť – fungovať vo veľkom meradle, vstupovať na nové trhy a zlepšovať hospodársky výsledok. Kupujú si priestor na pohyb.
Takže keď každý vo vašej firme môže nerušene pokračovať vo svojich každodenných činnostiach, stojí za to položiť si otázku, vďaka čomu je to možné. Môže to byť preto, že bezpečnosť funguje – a zaslúži si svoje miesto.
