Streszczenie: Rozbudowa hierarchii w zespołach cyberbezpieczeństwa może paradoksalnie zwiększać ryzyko poprzez nadmierną pewność siebie liderów i rozmywanie odpowiedzialności. Badania wykazały, że im poważniejsze zagrożenie, tym silniejsze złudzenie wyższości wśród menedżerów, co utrudnia trafną ocenę ryzyka i skuteczne reagowanie. Dodatkowe poziomy zarządzania wprowadzają biurokrację i utrudniają komunikację, a menedżerowie często marginalizują wiedzę specjalistów niższego szczebla. Zalecane jest ograniczanie liczby stanowisk kierowniczych oraz stosowanie rozproszonego, anonimowego benchmarkingu zdolności obronnych, co pozwala realistyczniej ocenić przygotowanie organizacji i ograniczać błędy poznawcze liderów.
Mało kto spodziewałby się, że zwiększenie zasobów w kluczowym obszarze operacyjnym może obniżyć jego skuteczność. W miarę jak organizacje rozbudowują zespoły ds. cyberbezpieczeństwa w odpowiedzi na rosnące zagrożenia oraz koszty związane z cyberprzestępczością, mogą nieświadomie osłabiać swoją zdolność do trafnej oceny poziomu ryzyka.
Naturalną reakcją firm na wzrost skali ataków cybernetycznych jest inwestowanie w rozwój kompetencji z zakresu cyberbezpieczeństwa, w tym tworzenie nowych stanowisk kierowniczych odpowiedzialnych za ochronę poufności, integralności i dostępności danych organizacyjnych. Nasze badania ujawniły zaskakujący paradoks, który może sprawić, że taki rozwój przyniesie skutek odwrotny od zamierzonego. Odkryliśmy, że doświadczone zespoły ds. bezpieczeństwa mogą przejawiać nadmierną pewność siebie, co obniża skuteczność reakcji na cyberataki. Chociaż liderzy często oczekują, że dodanie stanowisk wyższego szczebla do zespołu ds. cyberbezpieczeństwa poprawi jego skuteczność, w rzeczywistości może to nadmiernie zwiększyć pewność siebie organizacji, a to z kolei może przynieść katastrofalne skutki dla bezpieczeństwa IT.
Materiał dostępny tylko dla subskrybentów
Dołącz do subskrybentów MIT Sloan Management Review Polska Premium!
Kup subskrypcję
