Firmy z sektora finansowego przechodzą ewolucję cyfrową, w ramach której coraz większego znaczenia nabiera cyberbezpieczeństwo. Organizacje są przy tym coraz bardziej świadome wpływu tego aspektu na ich strategie biznesowe. Według najnowszego raportu firmy doradczej Deloitte pt. "Cybersecurity insights 2023: Budgets and benchmarks for financial services institutions", przedsiębiorstwa zdają sobie sprawę z konieczności uwzględniania wydatków na bezpieczeństwo w sieci w swoich budżetach.
Cybersecurity insights 2023: Budgets and benchmarks for financial services institutions
Opens in new window
Badanie pokazujące znaczenie cyberbezpieczeństwa w usługach finansowych zostało przeprowadzone w czerwcu 2023 roku pośród 61 organizacji. Eksperci wyłonili 3 kluczowe trendy dominujące w branży. Pierwszym z nich są ograniczone budżety organizacji, co wpływa również na środki wydatkowane na bezpieczeństwo w zakresie IT. Drugim jest transformacja cyfrowa, która jest głównym czynnikiem biznesowym zapewniającym cyberbezpieczeństwo, przy jednoczesnym wzroście presji regulacyjnej, również w zakresie zarządzania tym ryzykiem. Trzecim trendem branżowym jest zmiana modelu biznesowego organizacji zajmujących się cyberbezpieczeństwem. Te zmiany odzwierciedlają rosnącą, strategiczną rolę tego aspektu dla firmy.
Raport Deloitte dostarcza dyrektorom ds. bezpieczeństwa informacji (CISO), dyrektorom ds. informatyki, dyrektorom generalnym i zarządom wniosków, które pomogą im dostosować ich działania do standardów panujących na rynku.
Badanie Deloitte Reshaping the Cybersecurity Landscape z 2020 r. jasno wykazało, że najważniejszą kwestią w uświadomieniu strategicznego znaczenia cyberbezpieczeństwa jest spojrzenie poza technologię informatyczną i uwzględnienia jej wpływu na strategię biznesową.
Nasza najnowsza analiza pokazuje, że wiele firm wzięło sobie do serca przesłanie sprzed 3 lat. Aż 61 proc. instytucji finansowych zadeklarowało, że ich organizacja stosuje globalny, scentralizowany i skonsolidowany model operacyjny. Skupia się on między innymi na świadczeniu usług w ramach wszystkich obszarów biznesowych przedsiębiorstwa czy określaniu standardów służących jako dobre praktyki. Co istotne, w ramach tego modelu instytucja koncentruje się na wszystkich aspektach cyberbezpieczeństwa nie tylko w zakresie technologii i IT, lecz również kładzie nacisk na ryzyko biznesowe oraz talenty
– mówi Przemysław Szczygielski, lider usług dla sektora finansowego w Polsce, partner zarządzający działem Risk Advisory w Polsce i krajach bałtyckich, Deloitte.
Drugim najpopularniejszym modelem operacyjnym (wśród 24 proc. firm) jest model globalnie scentralizowany i skoncentrowany na IT. Pozostawia on do zagospodarowania niektóre aspekty cyberbezpieczeństwa organizacji biznesowej nie rozdzielając ich na poszczególne jednostki. Z kolei trzecim najczęściej stosowanym podejściem jest skupienie się na operacjach cybernetycznych (12 proc. badanych). Jedynie 2 proc. instytucji reprezentuje model opierający się na rozwiązaniach cybernetycznych oraz dopasowaniu ich do konkretnej jednostki.
Autorzy raportu wskazują, że niemal 80 proc. instytucji finansowych część swojego budżetu w zakresie bezpieczeństwa sieci przeznacza na usługi świadczone przez podwykonawców, podczas gdy 21 proc. ankietowanych nie zleca żadnej operacji związanej z cyberbezpieczeństwem na zewnątrz. Pozostała grupa korzysta z outsourcingu – 42 proc. spośród tych respondentów deklaruje, że ponad jedną czwartą (<26 proc.) swojego budżetu na cyberbezpieczeństwo przeznacza na zlecanie działań do zewnętrznych podwykonawców. Co ciekawe, najliczniejszą grupę (58 proc.) stanowią badani, którzy na outsourcing przeznaczają nie więcej niż jedną czwartą swojego budżetu.
Obszarem, w którym outsourcing stosowany jest najczęściej, są centra bezpieczeństwa operacyjnego (43 proc.), a następnie wykrywanie i reagowanie na incydenty oraz „red teaming” (32 proc.), czyli ofensywna technika polegająca na symulacji ataku wymierzonego w pracownika. 15 proc. badanych wskazywało również outsourcing operacji związanych z bezpieczeństwem sieci, szkolenia i cyber świadomość oraz bezpieczeństwo fizyczne. Niemal wszystkie instytucje świadczące usługi finansowe wolą zabezpieczać chmurę we własnym zakresie – jedynie 4 proc. się na to nie decyduje.
Dla instytucji finansowych wdrażanie nowych technologii ma kluczowe znaczenie dla rozwoju biznesu i kontrolowania kosztów. W miarę odbudowywania się branży po wstrząsach wywołanych pandemią COVID-19, a także coraz częstszymi sytuacjami naruszającymi bezpieczeństwo danych w sieci, firmy udoskonalają swoje strategie transformacji cyfrowej. Cyberbezpieczeństwo jest integrowane z nowymi procesami i systemami w miarę ich tworzenia.
W ciągu ostatnich pięciu lat szeroko pojęta chmura pozostaje głównym priorytetem w trakcie cyfrowej transformacji instytucji świadczących usługi finansowe. Podobna sytuacja dotyczy analizy danych, która zajmuje drugie miejsce w rankingu. Ostanie trzy lata, a w szczególności ostatni rok, to widoczny wzrost zainteresowania sztuczną inteligencją. O ile dwa pierwsze tematy są już dość znane w przedsiębiorstwach, wraz z coraz szerszym stosowaniem AI w procesach firmy zwiększy się liczba wyzwań, z którymi będą mierzyć się dyrektorzy zajmujący się bezpieczeństwem informacji
– zauważa Ścibor Łąpieś, partner, lider zespołu Technology, IT, M&A, Deloitte.
Dwie ostatnie pozycje w zestawieniu priorytetów dla CISO są zupełnie nowymi w porównaniu z poprzednią edycją badania z 2020 r. Przedostatnim z nich jest nowy lub zaktualizowany system do planowania zasobów przedsiębiorstwa (ERP) oraz technologii operacyjnej. Na końcu zestawienia znajdują są: blockchain i kryptowaluta.
Jednym z problemów dyrektorów ds. bezpieczeństwa sieci jest presja budżetowa. Cięcia wydatków w instytucjach finansowych zmniejszyły równocześnie budżety przeznaczone na cyberbezpieczeństwo. Segment bankowości i rynków kapitałowych w 2021 r. zabezpieczał 0,88 proc. na takie działania, a w 2023 r. już 0,80 proc. Widoczny spadek odnotowano w branży ubezpieczeniowej, w której z 0,41 proc. budżetu, wydatki na cyberbezpieczeństwo spadły do 0,20 proc. Jedyny wzrost zaobserwowano w sektorze zarządzania inwestycjami – z 0,40 proc. utrzymujących się w 2020 r. i 2021 r. odnotowano 0,49 proc. w bieżącym roku.
W ramach tych budżetów priorytety w części dotyczącej wydatkowania były w dużej mierze zgodne z tymi przedstawionymi w raportach Deloitte dotyczących cyberbezpieczeństwa instytucji finansowych za lata 2020 i 2021. Największą część wydatków w 2023 roku nadal stanowią: strategia, talent i zarządzanie (24 proc.), bezpieczeństwo infrastruktury i sieci (20 proc.), wykrywanie zagrożeń i reagowanie na nie (16 proc.).
Z uwagi na to, że cyberbezpieczeństwo odgrywa coraz częściej centralną rolę w zarządzaniu ryzykiem biznesowym, strategie CISO w coraz większym stopniu opierają się na szerzej zakrojonych potrzebach ich firm. Nasze badanie wyłoniło dwa główne imperatywy biznesowe, które są kluczowymi czynnikami wpływającymi na zapewnienie bezpieczeństwa sieciowego. Wśród nich znajdują się: program transformacji i strategia, na co wskazywało 83 proc. respondentów oraz zidentyfikowane ryzyka i problemy, które są istotne dla 75 proc. ankietowanych
– mówi Michał Sosinka, partner associate w dziale Cybersecurity, Risk Advisory, Deloitte.
O badaniu
Badanie „Cyberbezpieczeństwo usług finansowych 2023” zostało przeprowadzone przez firmę Deloitte & Touche LLP w czerwcu 2023 r. w celu zapewnienia branży usług finansowych punktów odniesienia dotyczących wielkości, znaczenia i funkcjonowania operacji związanych z cyberbezpieczeństwem. W ankiecie wzięło udział łącznie 61 instytucji finansowych, z czego większość z sektora bankowości i rynku kapitałowego. Większość respondentów podała, że prowadzi działalność na rynkach Ameryki Północnej lub Europy, Bliskiego Wschodu i Afryki (EMEA). Respondentami były instytucje różnej wielkości, przy czym największy odsetek odnotował przychody „średniej wielkości” w wysokości od 500 milionów do 5 miliardów dolarów.
Otrzymuj powiadomienia o kolejnych informacjach prasowych Deloitte na stronie: https://www.deloitte.com/pl/pl/subskrypcje.html
Nazwa Deloitte odnosi się do jednej lub kilku jednostek Deloitte Touche Tohmatsu Limited, („DTTL”) i jej firm członkowskich oraz ich jednostek stowarzyszonych (zwanych łącznie „organizacją Deloitte”). DTTL (zwana również „Deloitte Global”), jej firmy członkowskie i podmioty z nimi powiązane są prawnie odrębnymi, niezależnymi podmiotami, które nie mogą podejmować decyzji ani zobowiązań za inne podmioty wobec osób trzecich. DTTL, jej firmy członkowskie i podmioty z nimi powiązane ponoszą odpowiedzialność wyłącznie za własne działania i zaniechania, a nie za działania i zaniechania innych firm członkowskich. DTTL nie świadczy usług na rzecz klientów. Więcej informacji można znaleźć na stronie: www.deloitte.com/about.
Opis Sieci Deloitte
Deloitte świadczy najwyższej jakości usługi rewizji finansowej, doradztwa gospodarczego i podatkowego niemal 90 procent firm z rankingu Fortune Global 500® i tysiącom spółek prywatnych. Nasi specjaliści działają w wielu branżach kształtujących dzisiejszy rynek, wypracowując wymierne, trwałe wyniki, które zwiększają zaufanie publiczne do rynków kapitałowych, inspirują klientów do podejmowania ambitnych decyzji biznesowych i wspierają rozwój gospodarczy i społeczny. Czerpiąc z ponad 175 lat doświadczenia zdobytego na rynku, Deloitte prowadzi działalność w ponad 150 krajach na całym świecie. Aby dowiedzieć się, w jaki sposób ok. 415 tysięcy naszych pracowników wywiera pozytywny wpływ na środowisko i otoczenie, w którym żyją i pracują, zachęcamy do odwiedzenia strony www.deloitte.com.
O Deloitte
Deloitte to marka używana przez około 415 000 specjalistów zatrudnionych w niezależnych firmach na całym świecie, współpracujących w toku świadczenia usług rewizji finansowej, atestacyjnych, doradztwa gospodarczego, finansowego, w zakresie zarządzania ryzykiem i podatkami oraz usług pokrewnych na rzecz wybranych klientów. Firmy te są członkami Deloitte Touche Tohmatsu Limited, prywatnej spółki z odpowiedzialnością ograniczoną do wysokości gwarancji, zarejestrowanej w Anglii i Walii (zwanej „DTTL” lub „Deloitte Global”). DTTL, wyżej wymienione firmy członkowskie oraz podmioty z nimi powiązane tworzą „organizację Deloitte”. Każda firma członkowska DTTL wraz ze swoimi podmiotami powiązanymi świadczy usługi w określonych obszarach geograficznych i podlega przepisom prawa oraz regulacjom branżowym kraju lub krajów, na terenie których działa. Każda firma członkowska DTTL ma indywidualną strukturę organizacyjną, odpowiadającą przepisom prawnym, regulacjom, praktyce zwyczajowej i specyfice kraju prowadzenia działalności i może świadczyć usługi profesjonalne na jego terytorium za pośrednictwem swoich podmiotów powiązanych. Nie wszystkie firmy członkowskie DTTL i podmioty z nimi powiązane świadczą pełną gamę usług. Zgodnie z zasadami i regulacjami dotyczącymi rachunkowości budżetowej, pewne usługi mogą być niedostępne dla klientów korzystających z usług atestacyjnych. DTTL i wszystkie firmy członkowskie wraz ze swoimi podmiotami powiązanymi są prawnie odrębnymi, niezależnymi jednostkami, które nie mogą podejmować decyzji ani zobowiązań za inne jednostki wobec osób trzecich. DTTL, jej firmy członkowskie i podmioty z nimi powiązane ponoszą odpowiedzialność wyłącznie za własne działania i zaniechania, a nie za działania i zaniechania innych firm członkowskich. Organizacja Deloitte jest globalną siecią niezależnych firm, nie stanowi spółki cywilnej ani innego rodzaju podmiotu gospodarczego. DTTL nie świadczy usług na rzecz klientów.
O Deloitte Central Europe
Deloitte Central Europe” to regionalna jednostka działająca w ramach Deloitte Central Europe Holdings Limited, członka Deloitte Touche Tohmatsu Limited w Europie Środkowej. Usługi świadczą podmioty zależne i stowarzyszone oraz firmy powiązane z Deloitte Central Europe Holdings Limited, stanowiące odrębne i niezależne podmioty prawne. Spółki zależne i stowarzyszone Deloitte Central Europe Holdings Limited należą do wiodących firm świadczących profesjonalne usługi doradcze w regionie i zatrudniają ponad 13.000 pracowników w 46 biurach w 19 krajach regionu.
O Deloitte Polska
W Polsce usługi na rzecz klientów świadczą: Deloitte Advisory spółka z ograniczoną odpowiedzialnością sp.k., Deloitte Poland sp. z o.o., Deloitte Assurance Polska spółka z ograniczoną odpowiedzialnością sp.k. (dawniej: „Deloitte Assurance sp. z o.o.”)., Deloitte Assurance spółka z ograniczoną odpowiedzialnością, Deloitte Doradztwo Podatkowe Dąbrowski i Wspólnicy sp.k., Deloitte PP sp. z o.o., Deloitte Advisory sp. z o.o., Deloitte Consulting S.A., Deloitte Legal, Gizicki i Wspólnicy sp. k., Deloitte Digital sp. z o.o., Deloitte CE Business Services sp. z o.o., Deloitte CE GPS Technology sp. z o.o., Deloitte UA sp. z o.o., Deloitte Digital BPO sp. z o.o. (wspólnie określane mianem „Deloitte Polska"), będące jednostkami powiązanymi z Deloitte Central Europe Holdings Limited. Deloitte Polska jest jedną z wiodących firm doradczych w kraju, świadczącą usługi profesjonalne w obszarach: audytu, doradztwa podatkowego, konsultingu, zarządzania ryzykiem, doradztwa finansowego oraz prawnego za pośrednictwem ponad 4600 profesjonalistów z Polski i zagranicy. Więcej informacji o Deloitte Polska: www.deloitte.com/pl/onas
O Deloitte Central Europe Limited
W przypadku projektów w skali regionalnej oraz przedsięwzięć wymagających wsparcia na poziomie regionu usługi świadczy Deloitte Central Europe Limited, firma stowarzyszona Deloitte Central Europe Holdings Limited. Deloitte Central Europe Limited jest jedną z wiodących firm świadczących usługi profesjonalne w dziedzinie doradztwa podatkowego, doradztwa gospodarczego, zarządzania ryzykiem, doradztwa finansowego i prawnego.
Kontakt dla prasy:
Katarzyna Nowak
Deloitte Polska
Email: katanowak@deloittece.com
Tel.: +48 572 839 549