Pro CIO a CISO to znamená jediné: skills gap už není pouze HR problémem, ale existenčním rizikem, které rozhoduje o byznysové kontinuitě, reputaci i osobní odpovědnosti.
Skills gap: Od technického deficitu k byznysové krizi
Globální deficit kyberbezpečnostních odborníků dosahuje podle ISC2 rekordních 4,76 milionu volných pozic. Z českého a evropského pohledu jde o 74 % firem, které trpí akutním nedostatkem talentů, především v AI, cloudové bezpečnosti a datové analytice. Největším paradoxem je, že 88 % bezpečnostních týmů zažilo vážné incidenty přímo kvůli chybějícím dovednostem a 69 % opakovaně. Nejde přitom jen o rychlost reakce, ale i o schopnost rozpoznat a zastavit nové typy hrozeb.
Malware, phishing a webové útoky tvoří 78 % všech incidentů, ale jejich charakter se radikálně proměnil. Útočníci využívají AI k tvorbě personalizovaných phishingů, deepfake obsahu pro sociální inženýrství a automatizované rekognici sítí. Bez týmů schopných detekovat tyto nové vektory – například zranitelnosti typu MITRE ATLAS nebo OWASP LLM Top 10 – je obrana zásadně oslabená.
Zásadní je také posun v odpovědnosti a očekávání. Boardroom scrutiny je realitou: 76 % boardů zvýšilo fokus na kyberbezpečnost oproti roku 2023 (z 72 %), 96 % ji řadí mezi klíčové byznysové priority a 95 % jako finanční. Ignorování skills gapu znamená ztrátu důvěry a přímé ohrožení pozice IT leadershipu. Osobní rizika jsou navíc vyšší než kdy dříve – 52 % firem uvádí, že jejich vedení čelilo po průnicích pokutám, vězení nebo ztrátě pozice. Průměrný čas obnovy po útoku – 2,5 měsíce – paralyzuje operace a stojí miliony.
V regionu EMEA, kam patří i Česko, používá AI nástroje 66 % firem, ale 53 % vidí nedostatek expertizy jako hlavní bariéru. Zaostáváme tak za APAC, kde je AI adoption na 69 %, což znamená vyšší expozici rizikům a pomalejší reakce na hrozby.
AI: Dvojsečný meč bezpečnosti
Umělá inteligence je v roce 2025 nejvýraznějším trendem v oblasti kyberbezpečnosti. 97 % organizací AI v bezpečnosti již používá nebo plánuje, přičemž prioritu mají oblasti threat detection (66 %), security automation (55 %) a threat intelligence (52 %). AI funguje jako „junior analytik“ – rychle prochází logy, identifikuje hrozby a umožňuje seniorním specialistům zaměřit se na klíčové rozhodování.
Paradoxně je však AI současně i zdrojem nových hrozeb. 49 % lídrů se obává nárůstu útoků díky AI, 39 % rizika dezinformací (deepfakes), 38 % narušení soukromí a 37 % ztráty kontroly nad AI systémy. Největší bariérou implementace je nedostatek expertizy (48 %), následovaný obavami z rizik (44 %) a skeptickými týmy (43 %).
Pro CISO to znamená nutnost rozlišovat mezi nasazením AI nástrojů a skutečným pochopením jejich principů. Bez hacker mindsetu a znalosti specifických zranitelností, jako prompt injection nebo model poisoning, AI zesiluje slabiny místo jejich řešení. Firmy s 9+ útoky mají 76% šanci na AI nástroje, ale bez dovedností je efektivita nízká a hrozí falešný pocit bezpečí.
Optimismus přináší pohled profesionálů: 87 % věří, že AI zlepší jejich práci, 73 % očekává více specializovaných rolí. Klíčem je hybridní model: AI zesiluje lidské schopnosti, ale vyžaduje pevné základy, hands-on zkušenosti a kontinuální vzdělávání.
Boardroom governance: Od pasivity k proaktivní odpovědnosti
Významným zjištěním reportu je, že pouze 49 % lídrů věří, že jejich board chápe AI rizika, přesto 76 % boardů zvýšilo fokus na bezpečnost. 62 % zavedlo mandatorní certifikace, 55 % awareness tréninky a 55 % AI řešení. Tempo však nestačí.
Boardy čelí osobní odpovědnosti: 76 % firem s 5–8 útoky vidělo vedení pod trestním stíháním. V EU GDPR zvyšuje tlak. CIO/CISO musí iniciovat vzdělávání boardu, reportovat MTTD/MTTR a navrhnout bezpečnostní výbory.
Efektivní governance v oblasti bezpečnosti vyžaduje, aby boardy nejen schvalovaly rozpočty, ale aktivně se vzdělávaly v problematice AI, podporovaly vznik specializovaných výborů a sledovaly klíčové metriky jako Mean Time to Detect (MTTD) a Mean Time to Respond (MTTR). CIO a CISO by měli iniciovat pravidelné workshopy pro board, zaměřené na scénáře AI útoků, a systematicky reportovat stav rizik a připravenosti.
Lidský faktor: Příčiny průniků a strategie reakce
Report potvrzuje, že největší příčinou úspěšných útoků je stále lidský faktor. Nedostatek bezpečnostního povědomí (56 %) vede před chybějícími dovednostmi a školením (54 %) a nedostatkem nástrojů (50 %). Po incidentu firmy reagují rozšířením IT týmu (63 %), mandatorními certifikacemi (62 %) a školeními (59 %).
Nábor je přitom stále obtížnější – 52 % firem má problém najít vhodné kandidáty, zejména v oblasti network engineering (58 %) a AI experience (57 %). Retence je rovněž problém: 48 % zaměstnanců odchází kvůli nedostatku školení a rozvoje. CIO a CISO musí přejít od teorie k praxi – hands-on trénink, role-specific rozvoj a kontinuální learning jsou nezbytností.
Certifikace a talent pools: Nové přístupy k náboru a rozvoji
Na 89 % firem preferuje certifikované kandidáty, ale ochota platit za certifikace klesá (73 % oproti 89 % v předchozím roce). Netradiční pooly (ženy 27 %, veteráni 17 %) zůstávají nedostatečně využité. Flexibilita v požadavcích na vzdělání (diplom 43 %, vendor training 38 %) je klíčem k rozšíření talent poolu a snížení závislosti na úzkém okruhu kandidátů.
Video ke kávě
Máte čas na rychlé a informativní video?
Organizace, které investují do rozvoje vlastních lidí a otevřeně přistupují k náboru z netradičních skupin, mají větší šanci skills gap překonat. Vysoký podíl zaměstnanců odchází kvůli nedostatku školení a kariérního růstu – CIO/CISO by měli prosazovat investice do kontinuálního vzdělávání a otevřít se netradičním talent poolům (ženy, veteráni, career changers), přičemž je třeba flexibilněji přistupovat k požadavkům na formální vzdělání.
Strategická roadmapa pro CIO/CISO
Co z toho plyne pro lídry kyberbezpečnosti? Následující kroky představují pragmatickou strategii, jak skills gap proměnit z hrozby v konkurenční výhodu:
Audit dovedností: Pravidelně mapujte kompetence v týmu, identifikujte kritické mezery v AI, cloudu a datové bezpečnosti a plánujte jejich cílené uzavírání.
Role-specific trénink: Investujte do hands-on vzdělávání, simulací a role-specific certifikací. Rozvoj AI dovedností by měl být přizpůsoben konkrétním rolím v týmu.
Rozšíření talent poolu: Flexibilita v požadavcích na vzdělání, otevřenost k netradičním kandidátům a podpora interního upskillingu umožní lépe reagovat na nedostatek expertů.
Zvýšení angažovanosti boardu: Pravidelné vzdělávání boardu, reporting klíčových metrik a vytváření specializovaných bezpečnostních výborů zvyšuje odolnost firmy vůči strategickým hrozbám.
Proaktivní risk management: Kyberbezpečnost musí být řízena jako kontinuální proces, nikoli jako reaktivní obrana. Investice do AI nástrojů, ale i do vzdělání a rozvoje lidí, je klíčem k dlouhodobé udržitelnosti bezpečnostní strategie.
CIOtrends si můžete objednat i jako klasický časopis (v tištěné i v digitální podobně) Věnujeme se nejnovějším technologiím a efektivnímu řízení podnikové informatiky. Přinášíme nové ekonomické trendy a analýzy a zejména praktické informace z oblasti podnikového IT se zaměřením na obchodní a podnikatelské přínosy informačních technologií. Nabízíme možná řešení problémů spojených s podnikovým IT v období omezených rozpočtů. Naší cílovou skupinou je vyšší management ze všech odvětví ekonomiky.
PŘEDPLATNÉ
ČLÁNKY DO MAILU