Jak wynika z globalnego badania Cisco, średnie opóźnienia wynoszą około dwóch miesięcy. W przypadku firm dysponujących zaawansowanymi systemami ochrony danych, opóźnienia te są o 80% mniejsze. Obawy związane z zapewnieniem bezpieczeństwa danych powodują znaczące opóźnienia cyklu sprzedaży produktów w przypadku 65% globalnych firm – to główny wniosek z najnowszego badania Cisco® 2018 Privacy Maturity Benchmark Study.
Badanie wykazało również, że prawidłowo wdrożone, dojrzałe systemy ochrony danych zmniejszają straty wynikające z cyberataków. 74% firm nie dysponujących takimi rozwiązaniami w ostatnim roku odnotowało straty powyżej 500 tys. USD spowodowane utratą danych, w porównaniu do 39% w przypadku organizacji, które wdrożyły takie rozwiązania. Dojrzałość systemu do ochrony prywatności (Privacy Maturity) została zdefiniowana przez organizację AICPA (American Institute of Certified Public Accountants) w oparciu o ogólnie przyjęte zasady ochrony prywatności (GAPP).
Badanie ankietowe przeprowadzone przez Cisco objęły blisko 3000 specjalistów ds. bezpieczeństwa z 25 krajów na świecie i dotyczyło zarówno poziomu dojrzałości systemów, jak i wpływu ochrony prywatności danych na biznes. Aż dwie trzecie respondentów stwierdziło, że obawy związane z zapewnieniem odpowiedniej ochrony prywatności danych spowodowały opóźnienia cyklu sprzedaży produktów średnio o 7,8 tygodni. Zbliżający się termin wprowadzenia w życie w maju 2018 roku nowych europejskich przepisów GDPR (General Data Protection Regulation), które mają zapewnić obywatelom UE większą ochronę danych osobowych, mógł być dodatkowym czynnikiem mającym wpływ na te opóźnienia. Klienci stają się coraz bardziej wyczuleni na kwestie ochrony prywatności w procesie zakupu produktów lub usług. A przepisy GDPR dotyczą każdej firmy, która przetwarza, przechowuje lub wykorzystuje dane osobowe. Uczestnicy ankiety byli proszeni o ocenę dojrzałości ich systemu zapewniającego ochronę danych, zgodnie ze standardowym modelem AICPA, który definiuje pięć poziomów dojrzałości systemów ochrony: działania ad-hoc, powtarzalne, zdefiniowane reguły, system zarządzany i system zoptymalizowany.
Z badania przeprowadzonego przez Cisco wynika, że:
- W firmach korzystających z działań ad-hoc (najniższy poziomi dojrzałości systemu ochrony), średnie opóźnienia w procesie sprzedaży wyniosły 16,8 tygodnia. Wraz ze wzrostem poziomu dojrzałości systemu czas ten ulega skróceniu.
- W przedsiębiorstwach, które wdrożyły systemy optymalizujące procesy związane z ochroną danych, średnie opóźnienia wynoszą tylko 3,4 tygodnia, a więc są o 80% mniejsze niż w przypadku organizacji działających na zasadzie ad-hoc.
- Branża i czynniki geograficzne również odgrywają istotną rolę w skali opóźnień.
Biorąc pod uwagę, że opóźnienia w procesach sprzedaży są zjawiskiem powszechnym, każda firma powinna przeanalizować swoją sytuację i określić, gdzie obawy klientów związane z prywatnością mogą negatywnie wpływać na biznes. Niezależnie od zgodności z przepisami prawa, warto ocenić wpływ poziomu dojrzałości wykorzystywanego obecnie systemu ochrony na przychody i wielkość sprzedaży oraz potencjalny zwrot z inwestycji w ulepszenie związanych z nim procesów.
Główne wnioski z Cisco 2018 Data Privacy Maturity Benchmark Study
1. Obawy związane z ochroną prywatności powodują wzrost opóźnień w procesach sprzedaży produktów i usług
- Firmy i organizacje z sektorów rządowego i ochrony zdrowia odnotowują największe średnie opóźnienia w sprzedaży produktów i usług w porównaniu do innych branż: odpowiednio 19 i 10,2 tygodnia.
- Firmy z sektorów użyteczności publicznej, farmaceutycznego i przemysłu wytwórczego mają najmniejsze opóźnienia wynoszące 3 tygodnie lub mniej.
- W podziale geograficznym największe opóźnienia występują w Ameryce Łacińskiej i Meksyku: wynoszą odpowiednio 15,4 oraz 13 tygodni.
- Najmniejsze opóźnienia odnotowano w Chinach i Rosji: 2,8 oraz 3,3 tygodnia.
2. Organizacje dysponujące dojrzałymi systemami ochrony prywatności notują mniejsze opóźnienia w procesach sprzedaży
- Średnie opóźnienia w sprzedaży (w tygodniach) zależnie od poziomu dojrzałości systemu ochrony są następujące: w firmach działających ad-hoc (16,8), w wykorzystujących powtarzalne procesy (9,8), w mających zdefiniowane reguły (5,1), dysponujących systemem zarządzanym (4,4) oraz systemem zoptymalizowanym (3,3).
- Ponieważ organizacje zaliczane do kategorii firm mających zdefiniowane reguły ochrony prywatności notują o 70% mniejsze opóźnienia w procesach sprzedaży w porównaniu do działających na zasadach ad-hoc trzeba uznać, że nawet umiarkowane ulepszanie systemów ochrony danych może przynieść duże korzyści. Firmy dysponujące systemami zoptymalizowanymi o najwyższym poziomie ochrony mają o 80% mniejsze opóźnienia.
3. Firmy dysponujące dojrzałymi systemami ochrony prywatności odnotowują mniej przypadków włamań i kradzieży danych oraz mniejsze straty związane z cyberatakami
- 53% ankietowanych przyznaje, że w ciągu ostatnich 12 miesięcy ich firmy poniosły straty związane z cyberatakami, które wyniosły ponad 500 tysięcy USD.
- Straty takie odnotowało 74% firm posiadających najmniej zaawansowane systemy ochrony (poziom ad-hoc), 66% firm wykorzystujących powtarzalne procesy, 49% firm mających zdefiniowane reguły, 43% firm dysponujących systemami zarządzanymi oraz 39% systemami zoptymalizowanymi.
4. Biorąc pod uwagę potencjalny wpływ opóźnień na sprzedaż i przychody, Cisco rekomenduje firmom podjęcie następujących kroków:
- Pomiar bieżących opóźnień w procesach sprzedaży: każda firma powinna ocenić jaki jest zakres problemów z ochroną prywatności danych i ich wpływ na opóźnienia związane ze sprzedażą oraz przeanalizować, jak zmniejsza to wielkość potencjalnych przychodów.
- Ocena podstawowych przyczyn: część opóźnień może być powodowana przez zespoły odpowiedzialne za sprzedaż, które nie są w stanie właściwie odpowiedzieć na obawy klientów, niekompletne lub niedostatecznie spopularyzowane zasady firmowej polityki lub problemy techniczne. Osoby zarządzające firmą muszą poznać główne przyczyny by móc określić metody rozwiązania problemów.
- Zdefiniowanie metryk pozwalających na ciągłe pomiary i priorytetów działań: pomiar opóźnień w procesach sprzedaży powinien być wykonywany regularnie, a zestaw zdefiniowanych, priorytetowych działań mających zmniejszyć opóźnienia powinien być wspierany przez odpowiednie inwestycje.
- Analiza potencjalnych strat związanych z cyberatakami: firmy powinny również przeanalizować, jakie straty mogą ponieść wskutek cyberprzestępczych ataków i czy można by ich uniknąć wdrażając bardziej zaawansowane i dojrzałe systemy do ochrony prywatności danych.
- Plan ochrony prywatności danych: jeśli taki plan nie istnieje obecnie w firmie, powinna ona zastanowić się nad zdefiniowaniem odpowiedniej polityki w ramach standardowych działań związanych z utrzymaniem systemu bezpieczeństwa IT.
