Η κυβερνοασφάλεια εισέρχεται σε μια νέα φάση ωριμότητας, καθώς οι οργανισμοί καλούνται πλέον να διαχειριστούν όχι μόνο περισσότερες και πιο σύνθετες απειλές, αλλά και το ίδιο το χάσμα ανάμεσα στη στρατηγική και την εφαρμογή. Αυτό είναι το βασικό συμπέρασμα της 5ης έκδοσης της παγκόσμιας έρευνας της Deloitte, «Global Future of Cyber», η οποία βασίζεται στις απαντήσεις περισσότερων από 1.000 ανώτατων στελεχών κυβερνοασφάλειας και επιχειρήσεων σε 43 χώρες, 5 κλάδους και 23 επιμέρους τομείς.
Η έκθεση καταγράφει πέντε κρίσιμα παράδοξα που, όπως σημειώνει η Deloitte, αποτυπώνουν τις αντιφάσεις και τα κενά που εξακολουθούν να χαρακτηρίζουν τη στρατηγική κυβερνοασφάλειας πολλών επιχειρήσεων. Παρότι οι οργανισμοί έχουν ενισχύσει τη στήριξη από τη διοίκηση και διαθέτουν πλέον περισσότερους πόρους, η πρόοδος αυτή δεν μεταφράζεται πάντοτε σε αντίστοιχη επιχειρησιακή ετοιμότητα.
Το χάσμα εμπιστοσύνης
Το πρώτο και ίσως πιο χαρακτηριστικό παράδοξο αφορά τη μεγάλη εμπιστοσύνη που δηλώνουν οι οργανισμοί για τη στρατηγική τους, σε σχέση με το επίπεδο πραγματικής υλοποίησης. Σύμφωνα με την έρευνα, το 85% των συμμετεχόντων δηλώνει ότι έχει αρκετή ή πολύ μεγάλη εμπιστοσύνη στη στρατηγική κυβερνοασφάλειας του οργανισμού του, όμως μόνο το 70% αναφέρει ότι έχει εφαρμόσει σε μεγάλο ή πολύ μεγάλο βαθμό τις σχετικές δράσεις.
Η διαφορά των 15 ποσοστιαίων μονάδων δείχνει ότι η στρατηγική πρόθεση δεν συνοδεύεται πάντα από την απαιτούμενη επιχειρησιακή πειθαρχία. Η Deloitte επισημαίνει ότι τα κενά εντοπίζονται κυρίως στην ευθυγράμμιση λειτουργιών, στη διαχείριση τρίτων παρόχων, στις δεξιότητες και στην ταχύτητα προσαρμογής σε νέες απειλές.
Η διοίκηση και η καθημερινότητα
Το δεύτερο παράδοξο αφορά τη σχέση της κυβερνοασφάλειας με την ανώτατη διοίκηση και την καθημερινή λειτουργία των επιχειρήσεων. Η έρευνα δείχνει ότι οι CISO έχουν πλέον ισχυρότερη σύνδεση με το C-suite, τον CEO και το Διοικητικό Συμβούλιο, κάτι που καταδεικνύει ότι η κυβερνοασφάλεια έχει ανέβει ψηλά στην ατζέντα της ηγεσίας.
Ωστόσο, η επιρροή αυτή δεν έχει διαχυθεί στον ίδιο βαθμό στις υπόλοιπες λειτουργίες του οργανισμού. Η κυβερνοασφάλεια παραμένει στενότερα δεμένη με το ΙΤ και τη διαχείριση κινδύνου, ενώ ενσωματώνεται λιγότερο σε κρίσιμους τομείς όπως η επιχειρησιακή στρατηγική, η ανάπτυξη προϊόντων, η εμπειρία πελάτη, η εφοδιαστική αλυσίδα και το ανθρώπινο δυναμικό.
Περισσότεροι συνεργάτες
Το τρίτο παράδοξο σχετίζεται με το οικοσύστημα των προμηθευτών και συνεργατών στον τομέα της κυβερνοασφάλειας. Σε ένα περιβάλλον που γίνεται ολοένα πιο σύνθετο, το 74% των συμμετεχόντων δηλώνει ότι έχει αυξήσει τον αριθμό των συνεργατών του, ενώ το 79% αναμένει περαιτέρω αύξηση μέσα στην επόμενη τριετία και το 85% μέσα στα επόμενα πέντε χρόνια.
Την ίδια στιγμή, πολλοί οργανισμοί επιδιώκουν να μειώσουν την πολυπλοκότητα μέσω ενοποίησης προμηθευτών, όμως η ανάγκη για εξειδικευμένες λύσεις και νέες δυνατότητες, ειδικά με την είσοδο της Τεχνητής Νοημοσύνης, τους οδηγεί συχνά στην αντίθετη κατεύθυνση. Έτσι, η πρόκληση δεν είναι μόνο πόσοι προμηθευτές υπάρχουν, αλλά αν το συνολικό σχήμα τους προσφέρει πραγματική αξία και συνοχή.
Οι επιθέσεις συνεχίζονται
Το τέταρτο παράδοξο αφορά τη φύση των κυβερνοεπιθέσεων και την ικανότητα των οργανισμών να περιορίζουν τον αντίκτυπό τους. Η έρευνα δείχνει ότι το 78% των συμμετεχόντων ανέφερε τουλάχιστον ένα δημόσια δηλωμένο περιστατικό παραβίασης το 2025, στοιχείο που επιβεβαιώνει πως οι επιθέσεις παραμένουν επίμονες και συχνές.
Παράλληλα, όμως, φαίνεται ότι οι οργανισμοί έχουν βελτιώσει την ικανότητά τους να μειώνουν τις επιπτώσεις. Η Deloitte τονίζει ότι η αξιολόγηση της κυβερνοασφάλειας δεν πρέπει να βασίζεται μόνο στο πλήθος των περιστατικών, αλλά στον χρόνο εντοπισμού, στον χρόνο απόκρισης, στην έκταση της επίπτωσης και στη δυνατότητα διατήρησης της λειτουργικής συνέχειας. Με άλλα λόγια, η ανθεκτικότητα μετριέται περισσότερο από τον τρόπο διαχείρισης μιας επίθεσης παρά από την απουσία της.
Σταθεροί προϋπολογισμοί
Το πέμπτο παράδοξο αφορά τη χρηματοδότηση της κυβερνοασφάλειας, η οποία εμφανίζεται ισχυρή και σχετικά σταθερή σε ένα περιβάλλον που μεταβάλλεται διαρκώς. Σύμφωνα με την έρευνα, το 85% των συμμετεχόντων αναφέρει ότι οι σχετικοί προϋπολογισμοί αυξήθηκαν σε ετήσια βάση, ενώ το 88% σχεδιάζει περαιτέρω αύξηση μέσα στους επόμενους 12 μήνες.
Η Deloitte ωστόσο σημειώνει ότι η αύξηση των πόρων από μόνη της δεν αρκεί. Το κρίσιμο ζητούμενο είναι οι επικεφαλής κυβερνοασφάλειας να μπορούν να αποδεικνύουν, με οικονομικούς όρους, την αξία των επενδύσεων και το πραγματικό επιχειρηματικό ρίσκο που καλούνται να περιορίσουν.
Οι τρεις κατηγορίες ωριμότητας
Η έκθεση ξεχωρίζει επίσης τους οργανισμούς σε τρεις βαθμίδες ωριμότητας: τους Cyber Frontrunners, που αντιστοιχούν στο 17%, τους Followers, που αποτελούν το 60%, και τους Foundation Builders, που φτάνουν το 24%. Οι πρώτοι είναι εκείνοι που έχουν καταφέρει να ενσωματώσουν πιο ουσιαστικά την κυβερνοασφάλεια στις επιχειρησιακές και τεχνολογικές τους λειτουργίες.
Στον αντίποδα, οι οργανισμοί που βρίσκονται στις χαμηλότερες βαθμίδες ωριμότητας εξακολουθούν να αντιμετωπίζουν δυσκολίες στη μετάβαση από την πρόθεση στην πράξη. Η εικόνα αυτή δείχνει ότι η διαφοροποίηση στην κυβερνοασφάλεια δεν έχει να κάνει μόνο με το μέγεθος ή τον κλάδο, αλλά κυρίως με το πόσο βαθιά έχει ενσωματωθεί η ασφάλεια στη συνολική λειτουργία της επιχείρησης.
Το μήνυμα για τις επιχειρήσεις
Η κεντρική ανάγνωση της έρευνας είναι ότι η κυβερνοασφάλεια δεν αποτελεί πλέον απλώς τεχνικό ζήτημα, αλλά βασικό παράγοντα επιχειρησιακής ανθεκτικότητας και δημιουργίας αξίας. Σε ένα περιβάλλον όπου οι απειλές εξελίσσονται με ταχύτερο ρυθμό από πολλές εσωτερικές διαδικασίες των οργανισμών, η πρόκληση είναι να μετατραπεί η στρατηγική σε μετρήσιμη ετοιμότητα.
Όπως σημειώνει και ο Χρήστος Βιδάκης, Partner και Cyber Leader της Deloitte Ελλάδος, οι οργανισμοί δεν αρκεί πλέον να διαθέτουν εργαλεία, τεχνολογία και χρηματοδότηση· χρειάζεται να μπορούν να τα μετατρέπουν σε πραγματική επιχειρησιακή ανθεκτικότητα. Το ζητούμενο, πλέον, είναι η μετάβαση από την απλή αίσθηση ασφάλειας σε μια ικανότητα προστασίας, απόκρισης και ανάκαμψης που αποδεικνύεται στην πράξη.