Málokdo by čekal, že posílení klíčové provozní oblasti může snížit její efektivitu. Přesto se to může stát, když firmy v reakci na sílící hrozby a rostoucí náklady spojené s kyberkriminalitou rozšiřují své kyberbezpečnostní týmy. Místo aby svou schopnost střízlivě zhodnotit vlastní odolnost vůči riziku posílily, nevědomky ji oslabují.
Přirozenou reakcí firem na rostoucí kybernetická rizika je investovat do bezpečnosti a navyšovat kapacity, často i vytvářením nových vedoucích rolí pro zajištění důvěrnosti, integrity a dostupnosti dat. Náš výzkum ale ukázal překvapivý paradox: zkušené bezpečnostní týmy mohou podlehnout přehnanému kolektivnímu sebevědomí a tím zhoršit reakce na hrozby. Přidávání seniorních pozic sice na první pohled vypadá jako posílení schopností, ve skutečnosti ale jen stupňuje nepřiměřenou sebejistotu, což může mít pro IT bezpečnost potenciálně katastrofální důsledky.
Toto kognitivní zkreslení, kdy rozhodování ovlivňuje přehnaná sebedůvěra, známé jako iluze nadřazenosti či efekt nadprůměrnosti (illusory superiority), se objevuje i v jiných oblastech. Za určitých okolností mají lidé bez ohledu na skutečnou úroveň své kompetence tendenci přeceňovat své schopnosti, dovednosti či kvality ve srovnání s ostatními. Iluze nadřazenosti má zjevné nevýhody: lidé se kvůli ní pouštějí do rizikovějšího chování, podceňují úsilí potřebné k dokončení úkolu a přehlížejí cennou zpětnou vazbu. Přehnané sebehodnocení navíc narušuje týmovou spolupráci a vede k horším výsledkům – jak individuálním, tak skupinovým.
Naše zjištění vycházejí ze studie, kterou jsme provedli s 34 vedoucími pracovníky odpovědnými za snižování kybernetických rizik. Pro dosažení konsenzu ve skupině jsme využili delfskou metodu (systematický postup založený na anonymitě expertních vstupů, řízené zpětné vazbě a opakovaných kolech dotazování s cílem přiblížit se shodě názorů, pozn. red.).
Mezi respondenty byli šéfové informačních technologií (CIO) a kybernetické bezpečnosti (CISO), stejně jako techničtí ředitelé (CTO). Zastupovali malé i velké organizace ze soukromého i veřejného sektoru. Ptali jsme se jich na osm běžných potenciálně škodlivých typů útoků, jimž mohou jejich firmy čelit (odepření služby/DoS, strategické úniky dat, úniky osobních údajů, sabotáže a ransomware, phishing a spoofing, zneužití firemních e-mailů, malware/viry/červi a dlouhodobé podvody či vnitřní útoky).
Zajímalo nás, do jaké míry považují seniorní kyberbezpečnostní lídři jednotlivé hrozby za nebezpečné pro své organizace, jak dobře se podle nich jejich vlastní firmy s každou z nich dokážou vypořádat a jak vybaveni by v těchto případech byli konkurenti a srovnatelné organizace. Následně jsme s částí účastníků vedli doplňující rozhovory, abychom získali nuance, a požádali je o komentář k výsledkům studie vedené delfskou metodou.
