Firmy z sektora finansowego przechodzą ewolucję cyfrową, w ramach której coraz większego znaczenia nabiera cyberbezpieczeństwo. Organizacje są przy tym coraz bardziej świadome wpływu tego aspektu na ich strategie biznesowe. Według najnowszego raportu firmy doradczej Deloitte pt. Cybersecurity insights 2023: Budgets and benchmarks for financial services institutions, przedsiębiorstwa zdają sobie sprawę z konieczności uwzględniania wydatków na bezpieczeństwo w sieci w swoich budżetach.
Badanie pokazujące znaczenie cyberbezpieczeństwa w usługach finansowych zostało przeprowadzone w czerwcu 2023 roku pośród 61 organizacji. Eksperci wyłonili 3 kluczowe trendy dominujące w branży. Pierwszym z nich są ograniczone budżety organizacji, co wpływa również na środki wydatkowane na bezpieczeństwo w zakresie IT. Drugim jest transformacja cyfrowa, która jest głównym czynnikiem biznesowym zapewniającym cyberbezpieczeństwo, przy jednoczesnym wzroście presji regulacyjnej, również w zakresie zarządzania tym ryzykiem. Trzecim trendem branżowym jest zmiana modelu biznesowego organizacji zajmujących się cyberbezpieczeństwem. Te zmiany odzwierciedlają rosnącą, strategiczną rolę tego aspektu dla firmy.
Raport Deloitte dostarcza dyrektorom ds. bezpieczeństwa informacji (CISO), dyrektorom ds. informatyki, dyrektorom generalnym i zarządom wniosków, które pomogą im dostosować ich działania do standardów panujących na rynku.
Spis treści:
Rola cyberbezpieczeństwa w strategii biznesowej
Badanie Deloitte Reshaping the Cybersecurity Landscape z 2020 r. jasno wykazało, że najważniejszą kwestią w uświadomieniu strategicznego znaczenia cyberbezpieczeństwa jest spojrzenie poza technologię informatyczną i uwzględnienia jej wpływu na strategię biznesową.
– Nasza najnowsza analiza pokazuje, że wiele firm wzięło sobie do serca przesłanie sprzed 3 lat. Aż 61 proc. instytucji finansowych zadeklarowało, że ich organizacja stosuje globalny, scentralizowany i skonsolidowany model operacyjny. Skupia się on między innymi na świadczeniu usług w ramach wszystkich obszarów biznesowych przedsiębiorstwa czy określaniu standardów służących jako dobre praktyki. Co istotne, w ramach tego modelu instytucja koncentruje się na wszystkich aspektach cyberbezpieczeństwa nie tylko w zakresie technologii i IT, lecz również kładzie nacisk na ryzyko biznesowe oraz talenty – mówi Przemysław Szczygielski, lider usług dla sektora finansowego w Polsce, partner zarządzający działem Risk Advisory w Polsce i krajach bałtyckich, Deloitte.
Drugim najpopularniejszym modelem operacyjnym (wśród 24 proc. firm) jest model globalnie scentralizowany i skoncentrowany na IT. Pozostawia on do zagospodarowania niektóre aspekty cyberbezpieczeństwa organizacji biznesowej nie rozdzielając ich na poszczególne jednostki. Z kolei trzecim najczęściej stosowanym podejściem jest skupienie się na operacjach cybernetycznych (12 proc. badanych). Jedynie 2 proc. instytucji reprezentuje model opierający się na rozwiązaniach cybernetycznych oraz dopasowaniu ich do konkretnej jednostki.
Outsourcing, ale nie dla chmury
Autorzy raportu wskazują, że niemal 80 proc. instytucji finansowych część swojego budżetu w zakresie bezpieczeństwa sieci przeznacza na usługi świadczone przez podwykonawców, podczas gdy 21 proc. ankietowanych nie zleca żadnej operacji związanej z cyberbezpieczeństwem na zewnątrz. Pozostała grupa korzysta z outsourcingu – 42 proc. spośród tych respondentów deklaruje, że ponad jedną czwartą (<26 proc.) swojego budżetu na cyberbezpieczeństwo przeznacza na zlecanie działań do zewnętrznych podwykonawców. Co ciekawe, najliczniejszą grupę (58 proc.) stanowią badani, którzy na outsourcing przeznaczają nie więcej niż jedną czwartą swojego budżetu.
Obszarem, w którym outsourcing stosowany jest najczęściej, są centra bezpieczeństwa operacyjnego (43 proc.), a następnie wykrywanie i reagowanie na incydenty oraz „red teaming” (32 proc.), czyli ofensywna technika polegająca na symulacji ataku wymierzonego w pracownika. 15 proc. badanych wskazywało również outsourcing operacji związanych z bezpieczeństwem sieci, szkolenia i cyber świadomość oraz bezpieczeństwo fizyczne. Niemal wszystkie instytucje świadczące usługi finansowe wolą zabezpieczać chmurę we własnym zakresie – jedynie 4 proc. się na to nie decyduje.
Transformacja cyfrowa oparta na chmurze
Dla instytucji finansowych wdrażanie nowych technologii ma kluczowe znaczenie dla rozwoju biznesu i kontrolowania kosztów. W miarę odbudowywania się branży po wstrząsach wywołanych pandemią COVID-19, a także coraz częstszymi sytuacjami naruszającymi bezpieczeństwo danych w sieci, firmy udoskonalają swoje strategie transformacji cyfrowej. Cyberbezpieczeństwo jest integrowane z nowymi procesami i systemami w miarę ich tworzenia.
– W ciągu ostatnich pięciu lat szeroko pojęta chmura pozostaje głównym priorytetem w trakcie cyfrowej transformacji instytucji świadczących usługi finansowe. Podobna sytuacja dotyczy analizy danych, która zajmuje drugie miejsce w rankingu. Ostanie trzy lata, a w szczególności ostatni rok, to widoczny wzrost zainteresowania sztuczną inteligencją. O ile dwa pierwsze tematy są już dość znane w przedsiębiorstwach, wraz z coraz szerszym stosowaniem AI w procesach firmy zwiększy się liczba wyzwań, z którymi będą mierzyć się dyrektorzy zajmujący się bezpieczeństwem informacji – zauważa Ścibor Łąpieś, partner, lider zespołu Technology, IT, M&A, Deloitte.
Dwie ostatnie pozycje w zestawieniu priorytetów dla CISO są zupełnie nowymi w porównaniu z poprzednią edycją badania z 2020 r. Przedostatnim z nich jest nowy lub zaktualizowany system do planowania zasobów przedsiębiorstwa (ERP) oraz technologii operacyjnej. Na końcu zestawienia znajdują są: blockchain i kryptowaluta.
Coraz mniejsze budżety na cyberbezpieczeństwo
Jednym z problemów dyrektorów ds. bezpieczeństwa sieci jest presja budżetowa. Cięcia wydatków w instytucjach finansowych zmniejszyły równocześnie budżety przeznaczone na cyberbezpieczeństwo. Segment bankowości i rynków kapitałowych w 2021 r. zabezpieczał 0,88 proc. na takie działania, a w 2023 r. już 0,80 proc. Widoczny spadek odnotowano w branży ubezpieczeniowej, w której z 0,41 proc. budżetu, wydatki na cyberbezpieczeństwo spadły do 0,20 proc. Jedyny wzrost zaobserwowano w sektorze zarządzania inwestycjami – z 0,40 proc. utrzymujących się w 2020 r. i 2021 r. odnotowano 0,49 proc. w bieżącym roku.
W ramach tych budżetów priorytety w części dotyczącej wydatkowania były w dużej mierze zgodne z tymi przedstawionymi w raportach Deloitte dotyczących cyberbezpieczeństwa instytucji finansowych za lata 2020 i 2021. Największą część wydatków w 2023 roku nadal stanowią: strategia, talent i zarządzanie (24 proc.), bezpieczeństwo infrastruktury i sieci (20 proc.), wykrywanie zagrożeń i reagowanie na nie (16 proc.).
– Z uwagi na to, że cyberbezpieczeństwo odgrywa coraz częściej centralną rolę w zarządzaniu ryzykiem biznesowym, strategie CISO w coraz większym stopniu opierają się na szerzej zakrojonych potrzebach ich firm. Nasze badanie wyłoniło dwa główne imperatywy biznesowe, które są kluczowymi czynnikami wpływającymi na zapewnienie bezpieczeństwa sieciowego. Wśród nich znajdują się: program transformacji i strategia, na co wskazywało 83 proc. respondentów oraz zidentyfikowane ryzyka i problemy, które są istotne dla 75 proc. ankietowanych – mówi Michał Sosinka, partner aassociate w dziale Cybersecurity, Risk Advisory, Deloitte.
Pełny raport do pobrania znajduje się tutaj.
O badaniu
Badanie „Cyberbezpieczeństwo usług finansowych 2023” zostało przeprowadzone przez firmę Deloitte & Touche LLP w czerwcu 2023 r. w celu zapewnienia branży usług finansowych punktów odniesienia dotyczących wielkości, znaczenia i funkcjonowania operacji związanych z cyberbezpieczeństwem. W ankiecie wzięło udział łącznie 61 instytucji finansowych, z czego większość z sektora bankowości i rynku kapitałowego. Większość respondentów podała, że prowadzi działalność na rynkach Ameryki Północnej lub Europy, Bliskiego Wschodu i Afryki (EMEA). Respondentami były instytucje różnej wielkości, przy czym największy odsetek odnotował przychody „średniej wielkości” w wysokości od 500 milionów do 5 miliardów dolarów.
