23.03.2026

Ryba smrdí od hlavy: Keď je najväčším bezpečnostným rizikom váš vlastný šéf

Predstavte si korporáciu, ktorá investuje milióny do najnovších kybernetických štítov. Na papieri vyzerá všetko dokonale. Ale v realite generálny riaditeľ (CEO) pravidelne obchádza protokoly, pretože ho „zdržujú“, a obchodné oddelenie zdieľa citlivé dáta cez nezabezpečené kanály, aby rýchlejšie uzavrelo zmluvu.

Toto nie je zlyhanie technológie. Toto je zlyhanie vedenia. V svete korporátnej bezpečnosti existuje fenomén, ktorý je deštruktívnejší než akýkoľvek hacker: Toxická bezpečnostná kultúra poháňaná zvrátenými stimulmi (Perverse Incentives).

1. Anatómia zlyhania: Čo sú „Perverse Incentives“?

Zvrátené stimuly vznikajú vtedy, keď systém odmeňovania motivuje k správaniu, ktoré je v priamom rozpore s dlhodobou bezpečnosťou firmy.

Príklady z praxe:

Rýchlosť nadovšetko (Time-to-Market): Vývojový tím dostane bonus, ak vydá aplikáciu načas. Fáza bezpečnostného testovania sa preskočí. Aplikácia ide von plná zraniteľností.
Predaj za každú cenu: Obchodníci sú platení za objem. Ignorujú Due Diligence a uzatvárajú zmluvy s rizikovými partnermi.
Don't Bring Me Problems: CEO odmeňuje len pozitívne správy. Stredný manažment začne zatajovať bezpečnostné incidenty a falšovať reporty.

2. Dôsledky toxickej kultúry: Čakanie na katastrofu

Keď vedenie ignoruje riziká, nastáva "Normalizácia odchýlky". To, čo bolo kedysi neakceptovateľným porušením pravidiel, sa stáva bežnou praxou.

Slepota voči riziku: Rizikové registre sú plné zelených farieb, zatiaľ čo v realite firma krváca dáta.
Odchod talentov: Kvalitní bezpečnostní profesionáli (CISO) odchádzajú, pretože odmietajú niesť zodpovednosť za systém, ktorý nemôžu ovplyvniť.
Katastrofa: Skôr či neskôr dôjde k masívnemu úniku dát. A vtedy sa CEO s prekvapením pýta: „Ako sa to mohlo stať?“

3. Rola predstavenstva (Board Oversight)

Generálny riaditeľ je zodpovedný za exekutívu, ale Predstavenstvo má povinnosť dohľadu (Duty of Care). Ak CEO ignoruje riziká, predstavenstvo musí zasiahnuť. Preto si investori často najímajú špičkové súkromné bezpečnostné služby, aby získali nezávislý a nefiltrovaný pohľad na realitu.

4. Nezávislý bezpečnostný audit: Zrkadlo pravdy

Naša práca v takomto prostredí nie je o skenovaní serverov. Je to o audite kultúry a procesov.

Bypass interných politík: Nežiadame reporty od IT. Vykonávame vlastné penetračné testy (Red Teaming) a simulujeme phishing.
Rozhovory: Pýtame sa zamestnancov: „Čo by ste urobili, keby ste našli chybu, ale jej oprava by zdržala projekt o mesiac?“ Odpovede odhalia skutočnú kultúru.
Analýza stimulov: Skúmame KPI kľúčových manažérov. Sú v nich zahrnuté aj bezpečnostné metriky?

5. Transformácia kultúry: Od alibizmu k zodpovednosti

Ak audit potvrdí toxickú kultúru, navrhneme plán nápravy:

Zmena KPI: Bezpečnosť musí byť súčasťou hodnotenia výkonnosti a bonusov pre všetkých manažérov, nielen pre CISO.
Empowerment CISO: CISO musí mať priamy prístup k predstavenstvu, aby reportoval riziká bez cenzúry zo strany CEO.
Tone at the Top: CEO musí ísť osobným príkladom (žiadne výnimky z pravidiel pre top manažment).

6. Krízový manažment vedenia

V extrémnych prípadoch, keď CEO odmieta zmeniť kurz a jeho konanie bezprostredne ohrozuje existenciu firmy, naše zistenia slúžia predstavenstvu ako podklad pre jeho odvolanie. Je to radikálny krok, ale niekedy jediný spôsob, ako zachrániť organizáciu.

Záver: Odvaha hovoriť pravdu

Najväčším nepriateľom bezpečnosti nie je nedostatok technológií, ale arogancia a ignorancia vedenia. Firma, ktorá odmeňuje rýchlosť na úkor bezpečnosti, si nekupuje rast; kupuje si časovanú bombu.

Súkromná bezpečnostná služba najvyššej úrovne je strategickým partnerom predstavenstva. Našou úlohou je hovoriť pravdu moci (Speak Truth to Power), aj keď je nepríjemná. Pretože skutočné líderstvo nespočíva v ignorovaní rizík, ale v odvahe im čeliť.

Team COPS.