Snižování kognitivní zátěže testerů optimalizací workflow v kyberbezpečnostním testování

Problematika psychické zátěže, stresu a vyhoření v oblasti kyberbezpečnosti je v posledních letech reflektována rostoucím – byť stále omezeným – počtem studií. Podrobnější výzkum specifických rolí, jako jsou kyberbezpečnostní testeři, však zůstává výjimečný. Studie Human Risk Review 2024 uvádí, že 68 % respondentů vykazuje příznaky vyhoření, přičemž 32 % z nich je označuje za velmi závažné. Ačkoli se studie nezaměřuje výhradně na kyberbezpečnostní testery, uvádí, že vyhoření přispívá k chybám, které mohou vést k narušení bezpečnosti, a že nemalá část respondentů užívá předepsané léky na podporu duševního zdraví [1].

Podobná zjištění přináší také studie The Future of Cybersecurity in Asia Pacific and Japan, podle níž je 85 % odborníků v regionu zasaženo únavou a vyhořením – přičemž 23 % z nich vnímá tento stav jako trvalý nebo chronický. Více než 90 % zkoumaných organizací v oblasti Asie a Tichomoří zaznamenalo nárůst případů vyhoření za posledních 12 měsíců, přičemž 17 % z nich uvedlo, že vyhoření bylo přímou příčinou bezpečnostního incidentu [4].

Tato data jsou v souladu s poznatky, které jsem popsal ve svém článku Sociální inovace 2: Vyhoření v kyberbezpečnosti. Text vychází z neformálních rozhovorů s přibližně 50 profesionály působícími v oblasti kyberbezpečnosti. Na základě těchto rozhovorů odhaduji, že přibližně 65 % z nich vykazuje příznaky vyhoření. Jako klíčové příčiny syndromu vyhoření identifikuji nadměrné pracovní zatížení, dlouhou pracovní dobu, nedostatečnou organizační podporu a selhávající leadership [5].

Jednou z významnějších studií zaměřených na měření kognitivní zátěže v kybernetických operacích je Cyber Operations Stress Survey (COSS), vyvinutý americkou agenturou NSA [21]. Tento nástroj kombinuje stupnici Samn–Perelli Fatigue Scale (SPFS), NASA-TLX a vlastní škálu pro hodnocení frustrace a únavy. Studie upozorňuje na extrémní psychickou zátěž během tzv. takticky orientovaných kyberoperací – mezi něž řadí například red teaming a penetrační testování – a poukazuje také na metodologické výzvy spojené s výzkumem v těchto citlivých prostředích [21].

Další významný přínos představuje kvantitativní studie A Survey-Based Quantitative Analysis of Stress Factors and Their Impacts Among Cybersecurity Professionals [22]. Tato práce využívá model Job Demands–Resources (JD–R) k pochopení toho, jak nerovnováha mezi pracovními nároky a dostupnými zdroji přispívá ke stresu, frustraci a vyhoření. Studie konstatuje, že kyberbezpečnostní specialisté čelí nejen vysoké míře zodpovědnosti, ale také častému nepochopení své role ze strany vedení [22].

Další relevantní poznatky přináší také studie zaměřená na oblast zdravotnictví [23], která upozorňuje na riziko chyb vyvolaných kognitivním přetížením (cognitively-induced errors), způsobených syndromem alarmové únavy (alert fatigue), nedostatečným tréninkem a složitým systémovým prostředím.

Zajímavý přínos k danému tématu představuje přednáška Juliane Reimann s názvem Human Buffer Overflow: How to Deal with Cognitive Load in High-Performing Teams, která zazněla na konferenci OWASP Global AppSec 2025 v Barceloně [3]. Autorka ve svém vystoupení vycházela z teorie kognitivní zátěže, formulované Johnem Swellerem v článku Cognitive Load During Problem Solving: Effects on Learning [9], a dále z konceptů knihy Team Topologies [10]. Zdůrazňovala zejména rizika přetížených rolí a fragmentovaných odpovědností ve vysoce kompetentních týmech. Klíčovým sdělením bylo upozornění na limity lidské kognitivní kapacity – tedy schopnosti soustředění, udržení pozornosti a rozhodování pod tlakem – a potřebu s těmito omezeními systematicky pracovat při návrhu týmové struktury i každodenních procesů v oblasti kyberbezpečnostních operací.

Ve svém článku Design mezi overloadem a orientací aneb jak (ne)spoléhat na teorii kognitivní zátěže v prostředí kyberbezpečnosti [11] se zaměřuji na omezenou aplikovatelnost klasické Cognitive Load Theory (CLT) [2, 9, 12, 13] na profesní realitu kyberbezpečnostních specialistů. Argumentuji, že zatímco CLT vychází z modelu řízeného učení, kyberbezpečnostní testování naopak vyžaduje rozhodování pod tlakem, multitasking a orientaci ve vysoce neurčitém prostředí. Text zdůrazňuje potřebu adaptovat designové strategie s ohledem na tuto specifickou kognitivní dynamiku.

Překvapivě silnou tematickou shodu lze nalézt mezi zmíněnou přednáškou Juliane Reimann [3] a mým vlastním textem [11]. Ačkoli oba výstupy vznikly nezávisle, opírají se o podobné teoretické základy – především o Swellerovu Cognitive Load Theory [2, 9, 12, 13] – a shodují se v důrazu na potřebu věnovat větší pozornost omezené mentální kapacitě člověka při navrhování týmových struktur a pracovních procesů v kontextu kyberbezpečnostních operací.

Komunita kyberbezpečnostních testerů je v akademické literatuře reflektována převážně z technického a etického hlediska – nejčastěji v souvislosti s metodikami testování, nástroji nebo problematikou etického hackingu. Témata spojená s pracovním prostředím, kognitivní zátěží, stresem či vyhořením však zůstávají téměř neprozkoumaná. Právě tyto aspekty se výrazněji promítají do tzv. grey literature – odborných blogů, diskusních fór a platforem jako Medium, Reddit nebo Quora. Výpovědi publikované v těchto prostředích často upozorňují na širokou škálu problémů, mezi něž patří mimo jiné vysoká míra stresu, nejistota, syndrom vyhoření či imposter syndrom.

Mezi konkrétní příklady takových výpovědí patří diskusní vlákna na platformách Reddit [14] a Quora [15], kde kyberbezpečnostní testeři sdílejí zkušenosti s dlouhodobým stresem, ztrátou motivace, nočními pohotovostmi a pocity vyhoření. Podobně článek Penetration Tester Work Life Balance uvádí, že penetrační testeři často čelí „intense workloads and tight deadlines“, které vedou k prodloužené pracovní době a zvýšené míře stresu [16]. Mezi další příspěvky z komunity, které reflektují obdobné zkušenosti, patří například The Dark Side of Penetration Testing [17], Developer Burnout and Productivity Report [18] a Mental Health in Cybersecurity [19]. Doplňující perspektivu nabízí také odborné vlákno publikované na platformě LinkedIn v rámci série Cybersecurity: Perspectives from Experts [20], kde respondenti upozorňují, že práce penetračních testerů může být spojena s vysokou mentální a emoční zátěží. Zároveň doporučují udržovat rovnováhu mezi pracovním a osobním životem, stanovovat si jasné hranice, efektivně delegovat úkoly a včas rozpoznávat příznaky stresu nebo vyhoření.

Ačkoli tyto zdroje nesplňují kritéria akademické publikace, představují důležitý vhled do reálných pracovních podmínek a osobních zkušeností odborníků z praxe. Jejich obsah zároveň doplňuje a potvrzuje poznatky získané prostřednictvím neformálních rozhovorů a stínování realizovaných v první fázi designového procesu („objevování“), a tvoří tak významný podklad pro designovou část této práce.

Současně poukazují na potenciál budoucího výzkumu, který by tyto neformální zdroje mohl systematicky analyzovat a tím přispět k hlubšímu porozumění pracovním podmínkám v oblasti kyberbezpečnostního testování.

V českém prostředí se téma kognitivní zátěže a duševní pohody pracovníků v oblasti kyberbezpečnosti objevuje zatím jen okrajově, a to převážně nepřímo. Publikace Úvod do kyberpsychologie autorů Šmahaje a Zieliny [6] poskytuje širší rámec psychosociálních dopadů digitálních technologií, nezaměřuje se však na specifickou profesní skupinu kyberbezpečnostních specialistů ani na jejich pracovní zátěž.

V publicistických výstupech orientovaných na odbornější publikum se téma duševní zátěže objevuje spíše zprostředkovaně – nejčastěji ve formě interpretací zahraničních studií nebo komentářů k aktuálním trendům. Portál O2 Cyber News například uvádí, že 74 % odborníků v oblasti kyberbezpečnosti vykazuje symptomy vyhoření, přičemž nejvíce ohroženi jsou pracovníci na vedoucích pozicích [7]. Podobně článek publikovaný na platformě Kybez.cz upozorňuje, že syndrom vyhoření přispívá k prohlubující se personální krizi v kyberbezpečnostních týmech [8].

Tyto dílčí výstupy ukazují, že i v českém prostředí postupně roste povědomí o duševní zátěži v kyberbezpečnostním sektoru. Je však nutné k nim přistupovat kriticky – často vycházejí z přejatých zahraničních dat a postrádají metodologickou transparentnost. Přesto poukazují na aktuální potřebu hlubšího výzkumu, cílených designových intervencí a systémovější analýzy pracovních podmínek bezpečnostních odborníků v Česku.

Dostupné výzkumy potvrzují, že kyberbezpečnostní profese jsou vystaveny extrémnímu stresu, frustraci a mentálnímu přetížení. Systematické zkoumání specifických rolí – například kyberbezpečnostních testerů – je však dosud spíše výjimečné. Tato práce na tuto mezeru reaguje kombinací designových metod, empirických vhledů z praxe a reflexe relevantní odborné literatury.

Dostupné studie, odborné články i komunitní výpovědi ukazují, že problematika kognitivní zátěže – stejně jako dalších forem psychického přetížení, včetně emoční únavy, syndromu vyhoření či rozhodovací paralýzy – představuje v oblasti kyberbezpečnosti zásadní výzvu. Ačkoli se toto téma objevuje stále častěji, v analyzovaných akademických i popularizačních textech chybí systematické zaměření na specifickou roli kyberbezpečnostních testerů. Výjimku tvoří některé komunitní příspěvky a prakticky orientované články, které popisují osobní zkušenosti nebo nabízejí dílčí doporučení. Ty však obvykle postrádají ukotvení v hlubším výzkumném rámci a zpravidla jim chybí designová reflexe.

Z těchto důvodů se designový projekt zaměřuje na oblast duševní zátěže v profesi kyberbezpečnostních testerů, přičemž se konkrétně soustředí na kognitivní zátěž jako jednu z jejích klíčových složek. Cílem je hledat způsoby, jak prostřednictvím designových zásahů vytvářet pracovní prostředí, které lépe odpovídá kognitivním možnostem testerů – například podporou orientace, usnadněním rozhodování nebo vhodným nastavením pracovního kontextu.

Jak uvádím ve svém článku Design mezi overloadem a orientací: aneb jak (ne)spoléhat na teorii kognitivní zátěže v prostředí kyberbezpečnosti [11]:

„Kyberbezpečnostní testování není jen o spuštění nástrojů nebo identifikaci technických zranitelností. Je to prostředí s vysokou informační hustotou, neustálým přepínáním mezi systémy, metodikami a reporty – a s nutností činit rozhodnutí často bez úplných nebo jednoznačných dat. Právě proto zde kognitivní zátěž nehraje vedlejší roli, ale zásadně ovlivňuje výkon, přesnost i celkovou odolnost testera vůči chybám a vyčerpání.“

Posílení kognitivní ergonomie může představovat významný krok ke zvýšení efektivity, bezpečnosti i duševní pohody v této profesní roli. Cílem předkládaného projektu, který vznikl v rámci studia programu Design informačních služeb, je zmapovat konkrétní situace, v nichž dochází ke kognitivnímu přetížení, a identifikovat designové možnosti, jak tyto momenty lépe zvládat – konkrétně v kontextu kyberbezpečnostních testerů, tedy profesní skupiny dosud často opomíjené v odborné i praktické reflexi pracovních podmínek.

Na základě výše uvedených poznatků – z akademických studií, komunitních výpovědí i vlastního výzkumu – vyvstává potřeba cíleně se zaměřit na podporu kognitivní pohody a pracovního prostředí kyberbezpečnostních testerů. Vzhledem ke komplexní povaze problému a absenci existujících designových intervencí byl zvolen výzkumně-designový přístup, který kombinuje explorativní metody s aplikovaným prototypováním. Projekt se zaměřuje na případovou situaci dvou organizací – jedné z veřejné správy a druhé ze soukromého sektoru – kde byly zkoumány pracovní podmínky bezpečnostních testerů a možnosti jejich zlepšení.

Projekt vycházel především z rámce současných designových přístupů, jak je systematizuje metodická typologie KISK FF MU [26]. Jádrem práce je propojení přístupů designu sociálních inovací a designu informačních služeb. Zatímco první z nich reflektuje širší systémové a společenské dopady pracovního přetížení v oblasti kyberbezpečnosti a hledá nové formy udržitelné praxe, druhý poskytuje metodický rámec pro analýzu pracovních toků, práci s informacemi a návrh podpůrné infrastrukturní vrstvy služeb.

Systemický design se v projektu objevuje jako perspektivní přístup – zejména v otázkách nástrojové integrace, vztahů mezi organizačními úrovněmi a komplexity pracovního prostředí. Ačkoli zatím nebyl systematicky rozpracován, projekt jej chápe jako důležité vývojové východisko pro další směřování. Uvědomuji si rovněž význam práce s pákovými body v rámci složitých systémů – tedy identifikace klíčových míst, kde i drobná intervence může mít zásadní dopad. S tímto rámcem zatím návrh ani finální prototyp plně nepracují, zůstává však otevřeným směrem pro další iterace a reflexi.

Projekt lze chápat jako motivační designový příspěvek směrem k systemickému přístupu, který upozorňuje na potřebu propojeného uvažování v oblasti kyberbezpečnosti – napříč nástroji, lidmi, procesy i institucemi. V tomto smyslu může sloužit jako výchozí bod pro hlubší aplikaci systemického myšlení při navrhování služeb a procesů v bezpečnostně kritických oblastech.

Zároveň může být chápán jako eticky motivovaný příklad, který poukazuje na nutnost reflektovat duševní zátěž odborníků, dlouhodobou udržitelnost jejich pracovní role a potřebu designu orientovaného na člověka i systémové souvislosti. V tomto smyslu může projekt inspirativně oslovit širší odbornou komunitu, přispět k mezioborové diskusi a podpořit rozvoj designových přístupů, které kladou důraz na odolnost, lidskost a zodpovědnost v technologicky náročných profesích.

Poznámka k terminologii: V textu se záměrně rozlišuje mezi pojmem design (resp. designový), který označuje širší rámec procesu, myšlení a metod, a pojmem návrh, kterým se míní konkrétní řešení, výstup nebo zásah. Toto rozlišení odpovídá povaze projektu, v němž design slouží jako metodický a hodnotový rámec, zatímco návrh představuje jeho konkrétní materializaci ve formě systémového či funkčního řešení.

Je však třeba dodat, že hranice mezi oběma pojmy není vždy zcela ostrá – zejména v případech, kdy se významy překrývají (např. v rámci prototypování). V takových situacích je volba pojmu vedena snahou o co největší jazykovou i významovou přiléhavost k danému kontextu.

V designovém procesu byly uplatněny principy eticky a společensky odpovědného designu, jak je shrnuje například metodika KISK FF MU [27]. Tyto principy ovlivnily volbu metod, práci s aktéry i samotnou podobu řešení. Designový přístup vycházel z rámce, který stavěl na respektu k možnostem a potřebám lidí (human-centered přístup), důrazu na etiku, duševní pohodu, otevřenost k iteraci a proměně zadání, stejně jako na důsledné sebereflexi a kritickém přehodnocování zažitých postupů.

Designový proces zahrnoval prototypování v reálném kontextu a různé formy evaluace, které napomáhaly průběžně ladit směřování návrhu. Možné širší dopady byly reflektovány především prostřednictvím diskusí a zpětné vazby z workshopů, přesto však nebyly systematicky ověřovány – což představuje důležitou výzvu pro další fáze výzkumu či implementace.

Otázka přístupnosti byla řešena specifickým způsobem. Namísto klasického pojetí přístupnosti jako zpřístupňování obsahu pro různé skupiny uživatelů (např. osoby se znevýhodněním) jsme ji chápali jako práci s rolemi, oprávněními a eticky zdůvodněným přístupem k informacím. Tento přístup je jistě poněkud neobvyklý, ale zároveň v sobě nese i hravý a zábavný prvek – například prostřednictvím metody inkluzivní pandy. Právě tato neformálnější rovina může být zajímavá i z hlediska participace: odlehčený jazyk a metaforický rámec totiž často usnadňují zapojení účastníků, podporují otevřenější diskusi a pomáhají vynášet na světlo témata, která by jinak mohla zůstat skrytá.

Tradiční inkluzivní přístupnost však není vyloučena – v této fázi návrhu pouze nepředstavovala prioritu, i když do budoucna zůstává relevantní oblastí rozvoje.

Následující část přibližuje jednotlivé fáze návrhového procesu podle modelu Double Diamond z pohledu použitých metod a technik. Ty byly voleny s ohledem na cíle jednotlivých etap, hodnotový rámec projektu, specifika kontextu a praktická omezení návrhového procesu. Každá z metod je stručně zasazena do příslušné fáze procesu a doplněna o klíčové výstupy.

Cílem výzkumu bylo porozumět specifickým potřebám kyberbezpečnostních testerů a identifikovat překážky, které ztěžují jejich každodenní práci. Studie ukázala, že hlavní výzvou je vysoká kognitivní zátěž způsobená roztříštěností nástrojů, nejednoznačnými zadáními, absencí zpětné vazby a častým přepínáním mezi prostředími. Tato přetíženost se projevuje frustrací, ztrátou orientace a poklesem motivace – zejména u juniorních pracovníků. Zavedení podpůrného systému (Redmine + LibreChat + AI asistent) vedlo podle reflexe na základě fiktivního scénáře a testování pomocí NASA-TLX ke snížení mentální náročnosti, frustrace i časového tlaku.

Zjištění potvrzují předchozí poznatky o náročnosti práce v oblasti kyberbezpečnosti (viz články [11], [29]), zejména pokud jde o kognitivní přetížení a nástrojovou roztříštěnost. Výsledky rozšiřují dosavadní diskuzi tím, že ukazují, jak lze kognitivní ergonomii podpořit pomocí konkrétního návrhu integrovaného workflow systému. Výrazné zlepšení ve vnímané úspěšnosti, redukci frustrace a mentální náročnosti poukazuje na potenciál návrhových zásahů cílených na kognitivní ergonomii. Ačkoliv teorie kognitivní zátěže (např. CLT) nebyla v tomto projektu přímo využita, desk research ukázal, že její principy mohou být v některých ohledech relevantní. Zda je však možné CLT efektivně aplikovat v praxi kyberbezpečnostního testování, zůstává otevřenou otázkou. Text [11], který CLT v tomto kontextu kriticky reflektuje, poukazuje spíše na potřebu hlubší kontextualizace než na její plošné odmítnutí.

Z teoretického hlediska projekt podtrhuje potřebu propojení poznatků z oblasti UX designu, kognitivní psychologie a bezpečnostní praxe. Výzkum naznačuje, že mentální zátěž, včetně její klíčové složky kognitivní zátěže, není pouze individuálním problémem, ale je systémově generovaná – a proto i systémově řešitelná.

Praktickým výstupem je prototyp podpůrný nástroj, který integruje pracovní tok, umožňuje přizpůsobení různým úrovním zkušeností a poskytuje zpětnou vazbu testerům. Dále nabízí příklad využití AI jako podpůrného prvku, nikoli autonomního rozhodovacího aktéra – což může sloužit jako model pro implementaci AI v dalších doménách s vysokou odpovědností. Významný je také přesah do oblasti onboardingu, kde byl návrh vyhodnocen jako užitečný nástroj pro začínající testery.

V projektu byly využity tři hlavní designové přístupy – design sociálních inovací, design informačních služeb a inspirace systemickým designem – doplněné o principy human-centred a eticky odpovědného designu. Níže jsou jednotlivé přístupy představeny spolu s jejich přínosy a riziky v kontextu tohoto projektu.

1. Design sociálních inovací

Design sociálních inovací se zaměřuje na řešení problémů s dopadem na lidi, organizace a společnost. Nejde jen o efektivitu služeb, ale o udržitelnost, wellbeing a širší společenský přínos. V projektu tento přístup umožnil chápat kognitivní zátěž testerů jako systémový problém spojený s pracovním prostředím, procesy a kulturou, nikoli jen jako individuální slabost.

Přínosy:

• Posunul problém kognitivní zátěže do roviny pracovních podmínek a udržitelnosti profese.
• Umožnil zapojit různé typy aktérů – nejen technické experty, ale i ty, kdo řeší organizaci práce nebo legislativu.
• Podtrhl význam etiky a lidské pohody jako hodnot v návrhu.

Rizika/slabiny:

• Návrhy mohou zůstat příliš obecné nebo hodnotově orientované a méně prakticky aplikovatelné.
• Vyžaduje změny i na organizační či systémové úrovni, které přesahují rámec projektu.

2. Design informačních služeb

Tento přístup se soustředí na mapování a návrh práce s informacemi – jak jsou data a úkoly spravovány, předávány a podporují workflow uživatelů. V projektu posloužil k analýze roztříštěných nástrojů testerů a k návrhu integrovaného systému (Redmine + AI + DLP), který měl pracovní tok zjednodušit a zpřehlednit.

Přínosy:

• Umožnil uchopit kyberbezpečnostní testování jako službu a podívat se na něj prizmatem toků informací.
• Vedl k vytvoření konkrétního prototypu s přímou použitelností (workflow orchestrace).
• Poskytl rámec, který je blízký praxi IT týmů – a tedy srozumitelný a snadno adaptovatelný.

Rizika/slabiny:

• Riziko přílišného zúžení na technické a nástrojové aspekty – může se přehlédnout motivace, kultura týmu nebo mezilidské vztahy.
• Prototyp je vázaný na konkrétní nástroje (Redmine), což omezuje jeho univerzalitu.

3. Systemický design

Systemický desgin propojuje myšlení designu s principy systémové teorie. Vnímá služby a procesy jako součást širších ekosystémů, kde změna v jedné části může ovlivnit celek. V projektu se objevil spíše inspiračně: ukázal, že nástroje, procesy, role a organizační úrovně jsou provázané a že drobné zásahy (např. AI asistent) mohou mít velký dopad.

Přínosy:

• Podnítil uvažování o širších souvislostech – nejen nástroje, ale i vztahy mezi lidmi, organizacemi a regulacemi.
• Přispěl k hledání pákových bodů, kde malé změny mohou mít významný efekt.
• Upozornil na to, že dílčí intervence (např. snížení kognitivní zátěže testerů) mohou mít vliv na širší systémy, jako je celý proces bezpečného vývoje softwaru – včetně rámců jako OWASP SAMM, kde se aspekty workflow, vzdělávání i governance propojují.
• Posílil argumenty pro začlenění designu do strategických struktur organizace – výsledkem byla například i nová role Service Designer | Cybersecurity & Secure Development Adoption, zaměřená na podporu adopce bezpečnostních praktik v praxi.

Rizika/slabiny:

• V projektu zůstal spíše na úrovni inspirace – nebyl systematicky metodicky aplikován.
• Může vyžadovat rozsáhlejší zdroje, multidisciplinární týmy a dlouhodobější horizont, což v rámci bakalářského projektu nebylo možné.
• Jeho aplikace může vést k příliš abstraktním úvahám, pokud chybí konkrétní pákové body a realistické kroky k jejich uchopení.

Další rozměr:

• Systemický pohled ukazuje, že kognitivní přetížení není izolovaný problém jednotlivce, ale symptom složitější dynamiky celého ekosystému (procesy, nástroje, kultura, regulace). To otevírá cestu nejen k řešení workflow, ale i k adresování souvisejících jevů, jako je syndrom vyhoření, dlouhodobá únava nebo snížená udržitelnost profese. Zlepšení kognitivní ergonomie v jedné části systému může přispět ke zdravějším pracovním podmínkám a vyšší kvalitě bezpečnostních služeb jako celku.

4. Human-Centred Design (HCD)

HCD je přístup, který staví člověka do centra návrhu služeb a procesů. Nejde jen o uživatele koncových služeb, ale i o zaměstnance a odborníky, kteří je poskytují. V projektu to znamenalo soustředit se na pracovní realitu kyberbezpečnostních testerů, jejich potřeby, bariéry a zkušenosti.

Přínosy:

• Zajistil, že návrh vycházel z reálných zkušeností testerů, nikoli jen z abstraktních standardů.
• Podpořil zapojení účastníků (rozhovory, workshopy), čímž zvýšil relevanci výsledků.
• Vytvořil rámec pro testování prototypů přímo s uživateli.

Rizika / slabiny:

• HCD může mít tendenci soustředit se příliš na individuální zkušenosti, což komplikuje propojení s organizačními či regulatorními požadavky.
• Vyžaduje intenzivní participaci, což může být v prostředí kyberbezpečnosti (NDA, omezení) organizačně náročné.

5. Eticky a společensky odpovědný design

Tento rámec zdůrazňuje, že design by měl brát v úvahu nejen efektivitu a použitelnost, ale také důstojnost, wellbeing a dlouhodobou udržitelnost. V projektu se promítl do způsobu zapojení účastníků (informované souhlasy, anonymizace), do reflexe dopadů AI i do návrhu přístupových práv (principy „need-to-know“ a „least privilege“).

Přínosy:

• Zvýšil důvěryhodnost projektu v prostředí s vysokou citlivostí na bezpečnostní a etická dilemata.
• Poskytl rámec, jak uvažovat o dopadech nejen na efektivitu, ale i na duševní pohodu a dlouhodobou udržitelnost profesní role.
• Podpořil vznik řešení, které se snaží vyvažovat produktivitu s respektem k lidem.

Rizika / slabiny:

• Může zpomalovat proces návrhu, protože vyžaduje dodržování náročnějších etických postupů.
• Některé principy (např. wellbeing, důstojnost) se hůře měří a obhajují ve srovnání s „tvrdými“ metrikami typu SLA či compliance, což může vést k jejich podcenění.

Otázka přenositelnosti výsledků projektu k problematice kognitivní zátěže se dá rozdělit na dvě roviny: proces (tj. metodický postup, jakým se k řešení došlo) a produkt (tj. konkrétní prototyp podpůrného systému).

1. Proces (designový přístup)

Použitý proces vycházel z rámců Human-Centred Design (HCD) a Double Diamond, a pracoval s metodami jako polostrukturované rozhovory, stínování, service blueprinting, participativní workshopy či NASA-TLX reflexe. Tyto postupy jsou vysoce přenositelné.

Jejich hlavní přidanou hodnotou je, že začínají od potřeb a zkušeností lidí, nikoli od technologií, a vedou k návrhu řešení, které na tyto potřeby reaguje. Tato logika je univerzální a lze ji aplikovat v různých prostředích – nejen v kyberbezpečnosti, ale také v týmech s vysokou mentální zátěží, jako jsou SOC týmy, incident response, zdravotnictví či compliance.

Proces tedy považuji za téměř univerzálně přenositelný.

2. Produkt (Redmine + AI + Presidio)

Samotný prototyp je přenositelný jen částečně.

Jeho jádro – podpora workflow, orchestrace úkolů a využití AI pro odlehčení rutiny – je obecně užitečné a může inspirovat i mimo oblast testování.

Na druhou stranu je konkrétní konfigurace (Redmine, konkrétní pluginy, bezpečnostní nastavení) vázaná na prostředí – každý tým používá jiné nástroje, pracuje jinak, má jinou úroveň regulace.

Proto produkt nelze chápat jako univerzální, ale spíše jako inspiraci či prototyp, který by bylo nutné vždy adaptovat.

3. Hranice přenositelnosti

Rozmanitost čtyř hlavních účastníků z různých společností sice ukazuje, že problémy s kognitivní zátěží se objevují napříč organizacemi, ale:

• malý počet účastníků neumožňuje zobecnit výsledky na celou profesi,
• specifické kontexty organizací či teamů (nástroje, procesy, kultura) se mohou významně lišit,
• účastnické zkreslení je možné, protože respondenti se aktivně podíleli i na návrhu,
• citlivost oboru omezila rozsah pozorování a dostupnost dat.

Výsledky proto představují situované vhledy, nikoli univerzální závěry. Přesto jejich přínos spočívá v tom, že ukazují trend – že kognitivní zátěž je reálný problém i v odlišných prostředích – a že stojí za to jej dále zkoumat.

4. Posílení přenositelnosti díky profesním rámcům (např. OWASP SAMM)

Projekt nebyl od počátku koncipován pro konkrétní metodiku či standard. Přesto lze jeho přenositelnost posílit tím, že se zasadí do již existujících profesních rámců, které se v oboru kyberbezpečnosti používají. Tyto rámce (např. OWASP SAMM, ISO 27001, NIST CSF) poskytují strukturovaný jazyk a procesní oblasti, do nichž lze prototyp umístit a tím rozšířit jeho využitelnost.

Jako příklad poslouží OWASP SAMM v2, kde prototyp hned pokrývá oblasti:

• Implementation → Defect Management (DM): Centrální evidence nálezů/zranitelností, workflow stavů, SLA, vlastní pole (závažnost, vlastník), auditní stopa a reporty...
• Verification → Security Testing (ST): Plánování a evidence manuálních i automatizovaných testů (pentesty, DAST/SAST, konfiguračně bezpečnostní atd.), ukládání důkazů, vazby na release...
• Verification → Requirements-driven Testing (RT): Propojování testů/nálezů na bezpečnostní požadavky a akceptační kritéria; opakovatelné testovací cykly...
• Operations → Environment Management (EM): Ticketizace patch managementu a sledování zranitelností v prostředí (plán oprav, due date, odpovědnosti).

Potenciál do budoucna se otevírá například v oblastech:

• Governance → Strategy & Metrics (SM): Agregované KPI a pravidelné přehledy pro vedení (MTTR, % uzavřených v SLA, accepted risk, trend reopeningů).
• Governance → Policy & Compliance (PC): Publikace a vymáhání politik pro řízení zranitelností (klasifikace, SLA, výjimky/risk acceptance) přes šablony úkolů a checklisty.
• Governance → Education & Guidance (EG): Šablony tiketů, „definition of done“ pro bezpečnostní fixy, checklisty pro testery/devy jako praktická podpora vzdělávání.
• Verification → Architecture Assessment (AA): Evidovat nálezy z architektonických revizí, vazby na komponenty/rozhraní a sledování nápravných opatření.
• Design → Security Requirements (SR): Psát bezpečnostní požadavky (SMART) jako epiky/úkoly a propojovat je s testy a defekty.
• Operations → Incident Management (IM) & Operational Management (OM): Správa post-incidentních úkolů, úkoly na ochranu dat a vyřazování systémů (playbooky, akční položky, sledování plnění).

To znamená, že produkt není univerzálním řešením pro všechny týmy, ale v kombinaci s uznávanými profesními rámci může být rozvíjen krok za krokem a inspirovat širší spektrum kyberbezpečnostních rolí.

5. Dopad na profesní praxi

Využití designového přístupu v tomto projektu mělo i přímý organizační dopad. Praktická ukázka, že design může pomoci adresovat problém kognitivní zátěže a zlepšit workflow v kyberbezpečnosti, se stala motivací k posílení týmu pro bezpečný vývoj o dalšího profesionálního designéra.

Konkrétně vznikla nová role Service Designer | Cybersecurity & Secure Development Adoption, která má za úkol systematicky podporovat adopci bezpečnostních postupů, usnadňovat jejich integraci do vývoje a přispívat k jejich dlouhodobé udržitelnosti.

Nová role staví na principech Human-Centred Design (HCD) a posouvá bezpečnost směrem k pojetí „security as a service“ – tedy bezpečnosti, která je poskytována uživatelům (a uživatelé jsou také ti, kdo bezpečnost vytváří) v podobě srozumitelných, použitelných a dobře integrovaných služeb. Bezpečnost se tak stává podporou pro vývoj a provoz, nikoli bariérou či „nutným zlem“.

Tento výsledek je důkazem, že design není pouze „doplněk“ k technické či procesní stránce kyberbezpečnosti, ale může být reálným hnacím motorem změny – a to i na úrovni organizačních struktur a rolí.

Projekt nakonec vycházel z chápání kognitivní zátěže nikoli jen jako individuálního problému daného schopnostmi nebo limity konkrétního člověka, ale jako systémového jevu, který se rodí v interakci člověka s prostředím, procesy, nástroji a organizační kulturou. Tím se odlišuje od zjednodušených přístupů, které vidí zátěž jen jako „odolnost“ nebo „slabost“ jednotlivce.

Na základě tohoto pohledu lze v projektu najít několik inspirací, které mají přesah i mimo oblast kyberbezpečnosti.

Zviditelnění zátěže jako systémového jevu

Projekt ukázal, že kognitivní zátěž vzniká z nastavení procesů, používaných nástrojů a organizačních pravidel. Nejde tedy jen o osobní schopnost „víc vydržet“.

• Inspirace: při navrhování opatření proti zátěži je třeba dívat se na celý ekosystém, ne pouze na individuální výkon pracovníků.

Důraz na workflow a kontextové přepínání

Analýza ukázala, že významným zdrojem zátěže je časté přepínání mezi nástroji a úkoly, fragmentovanost pracovního toku a nedostatek návazností.

• Inspirace: v jakémkoli oboru lze mapovat workflow a hledat způsoby, jak snížit redundanci a fragmentaci práce, čímž se sníží i mentální zátěž.

Participace uživatelů při hledání řešení

Do návrhové části byli zapojeni samotní testeři. Díky tomu řešení reagovalo na realitu práce a nezůstalo u teoretických doporučení.

• Inspirace: opatření ke snížení kognitivní zátěže by měla vznikat spolu s těmi, kterých se zátěž přímo týká – spolutvorba je účinnější než jednostranné direktivy.

Měření a reflexe vnímané zátěže

Projekt využil adaptovanou metodu NASA-TLX k uchopení subjektivní zkušenosti pracovníků se zátěží.

• Inspirace: systematické měření vnímané náročnosti umožňuje porovnávat dopad opatření a otevírá cestu k reflexi, která jde nad rámec pocitů nebo intuice.

Iterativní přístup k intervencím

Zjištění ukázují, že kognitivní zátěž je komplexní a proměnlivá – nelze ji odstranit jedním univerzálním opatřením. Proto projekt postupoval iterativně: testování prototypů, úpravy, další ověřování.

• Inspirace: opatření na snížení zátěže je vhodné zavádět postupně, s možností adaptace na zpětnou vazbu a měnící se podmínky.

Souhrnně - projekt může být inspirativní pro designování opatření ke snižování kognitivní zátěže obecně tím, že:

• ukazuje zátěž jako výsledek systémového nastavení, ne jen individuální slabiny,
• zdůrazňuje nutnost mapovat workflow a eliminovat nadměrné přepínání,
• potvrzuje význam participace a spolutvorby opatření,
• využívá měření subjektivní zátěže jako základ pro reflexi a hodnocení,
• a demonstruje, že účinný přístup spočívá v iterativním testování a adaptaci.

Výzkum se opíral především o kvalitativní metody (polostrukturované rozhovory, stínování, participativní workshopy), což přirozeně omezuje zobecnitelnost zjištění. Výsledky proto odrážejí konkrétní organizační a provozní kontext respondentů (napříč státní správou i soukromým sektorem) a nemusí být plně přenositelné do týmů s odlišnými bezpečnostními či operačními specifiky.

Dalším limitem je velikost úvodního vzorku a skutečnost, že část respondentů se podílela i na návrhové fázi. To zvyšuje riziko účastnického zkreslení zejména u hodnotících výpovědí o přínosu řešení (detailněji viz kapitola o úskalích co-designu).

Reflexe prostřednictvím NASA-TLX probíhala na scénářových (bezpečných) situacích, nikoli v ostrém provozu; výsledky proto vnímáme jako orientační srovnání, nikoli definitivní ověření dopadu.

Specifickou limitací jsou etická a bezpečnostní omezení v kyberbezpečnosti (utajení, NDA, bezpečnostní protokoly), která komplikují přímé pozorování práce, sběr některých datových výstupů i otevřenou diskusi o nástrojích a procesech. To se promítá do rozsahu a hloubky interpretovatelných výsledků.

Za dílčí limit považujeme i to, že práce systematicky nekonceptualizuje některé klíčové pojmy (kognitivní zátěž, duševní pohoda, workflow, odolnost). Tyto termíny jsou proto používány pracovně a pragmaticky jako nástroje designové reflexe; podrobnější vymezení je úkolem navazujícího výzkumu.

Možné výběrové zkreslení plyne z ochoty respondentů sdílet zkušenosti a ze specifik českého kulturně-organizačního kontextu, stejně jako z role výzkumníka (doménová zkušenost mohla částečně formovat interpretaci). Vzhledem k výzkumně-designovému charakteru byl větší důraz kladen na návrhovou a validační praxi než na úplné analytické zmapování oboru; některá zjištění mohou být navíc časově podmíněná vzhledem k dynamice kyberbezpečnosti.

Za limit lze rovněž považovat skutečnost, že projekt vznikal v rámci bakalářské práce. To s sebou neslo určité rámování – formální (struktura a požadavky zadání), časové i rozsahové. Některé metodické volby a hloubka zpracování byly tímto kontextem ovlivněny, což mohlo vést k upozadění některých perspektiv. Lze usuzovatm, že tento limit je vlastní většině studentských projektů a je třeba jej mít na paměti při interpretaci výsledků.

Navzdory těmto limitům výzkum přináší situované vhledy do potřeb, bariér a potenciálu podpůrných nástrojů pro snižování mentální zátěže. V designově orientovaném výzkumu proto nehovoříme o klasické univerzální platnosti, ale o přenositelnosti (transferability) – tj. o možnosti využít zjištění jako inspiraci a srovnávací rámec v jiných kontextech, kde mohou nabývat nových významů a podob.

Úskalí co-designu v případě podobných designových intervencí:

# Účastnické zkreslení (participant bias)

Pokud se lidé podílejí na návrhu, mají tendenci hodnotit výsledky pozitivněji. Hodnotí spíše „svoji práci“ než nezávisle zvažují přínos. To může vést k tomu, že se slabší stránky řešení podceňují.

# Asymetrie zapojení

Ne každý účastník má stejnou motivaci, čas nebo znalosti. Vliv některých účastníků (např. s větší autoritou) tak může být silnější než vliv jiných. Výsledný návrh pak nemusí být rovnoměrně „kolektivní“.

# Omezený vzorek

Co-design je časově a organizačně náročný, proto se obvykle účastní jen menší skupina. Ta nemusí reprezentovat celou profesní komunitu – i když poskytuje důležité vhledy, není možné je zobecnit.

# Role výzkumníka/designéra

Výzkumník nikdy není neutrální. Vnáší do procesu své zkušenosti, preference i expertní znalosti. To může ovlivnit směr diskuze, interpretaci i samotný návrh. V designu je navíc běžné, že designér je zároveň expertem pro danou oblast – což je výhoda (hlubší vhled, realističtější řešení), ale i riziko, pokud jeho perspektiva převáží nad hlasy uživatelů.

# Citlivost oboru (kyberbezpečnost)

Zapojení širšího okruhu respondentů je v kyberbezpečnosti složité – kvůli důvěrnosti, bezpečnostním omezením a NDA. Co-design se tak odehrává s těmi, kteří jsou ochotni sdílet, což zmenšuje diverzitu perspektiv.

# Externí autority a jejich bias

Bias nepřinášejí jen účastníci nebo designér, ale i metodiky a autority – například ISO, NIST, OSSTMM, OWASP SAMM, legislativa nebo organizační kultura. Ty určují, co je považováno za „důležité“, a mohou upřednostňovat compliance a metriky (SLA, auditní stopa) před jinými aspekty (např. wellbeing, kreativita, spolupráce).

Reflexe v projektu:

• Bylo přiznáno, že počet účastníků v úvodních fázích byl malý (4), a že jde tedy o situované vhledy, nikoli zobecnitelné závěry.
• Zároveň bylo reflektováno, že účastníci byli zároveň respondenty i spolutvůrci. To posílilo relevanci návrhu, ale mohlo zkreslit evaluaci směrem k pozitivnímu hodnocení.
• Jako designér otevřeně uvádím, že má zkušenost s oborem kyberbezpečnosti mohla ovlivnit interpretaci dat. Tato pozice experta byla spíše výhodou pro rychlou orientaci a realistický návrh, ale nesla i riziko předpojatosti.
• Reflexe probíhala prostřednictvím metod jako NASA-TLX, avšak v bezpečných scénářích, nikoli v ostrém provozu – což omezuje platnost výsledků.
• Limit malého vzorku byl zmírněn ve fázi Deliver, kdy se do participativních workshopů zapojilo 28 účastníků z různých oblastí kyberbezpečnosti. Cílem bylo validovat návrh a získat širší zpětnou vazbu, čímž se zvýšila rozmanitost perspektiv a snížilo riziko účastnického zkreslení. Mezi účastníky byli i specialisté na legislativu a tzv. „papírovou bezpečnost“. Ti byli často velmi slyšet, avšak diskuse se dařilo koordinovat díky názorným technickým opatřením (např. ujištění, že AI řešení mohou být provozována na evropské infrastruktuře, možnost on-premise varianty, zákaz učení modelů ve službách typu OpenAI, nebo ochrana dat pomocí DLP nástrojů jako Presidio). Přestože jejich pohled přinášel silný akcent na regulace a compliance, projevoval se i zájem o problematiku jako takovou a snaha hledat cesty, jak řešení adaptovat i do dalších oblastí.
• Metodiky a rámce (např. OWASP SAMM) byly použity pouze ilustrativně až po projektu, nikoli jako výchozí rámec návrhu, aby se omezil jejich normativní vliv.

Co-design je silný nástroj pro tvorbu relevantních řešení, ale je spojen s řadou úskalí: účastnickým zkreslením, nerovnoměrnou participací, malým vzorkem, vlivem designéra a citlivostí oboru. Navíc výsledky mohou ovlivnit i externí autority jako metodiky či legislativa. Autor tyto limity ve své práci reflektoval – přiznal roli vlastní expertízy, poukázal na omezení scénářové evaluace a rozšířil vzorek o 28 účastníků ve fázi Deliver. Výsledky jsou proto prezentovány jako situované vhledy, které mají inspirovat, nikoli jako univerzálně zobecnitelná řešení.

Zároveň je již připravován pilotní provoz navrženého řešení, který umožní ověřit jeho relevanci či nerelevanci v reálném prostředí. Tento krok otevírá prostor pro další iteraci – může vést k přehodnocení či přerámování některých výchozích závěrů, což odpovídá iterativní a reflexivní logice designového přístupu.

Výzkum byl od počátku veden v souladu s principy eticky a společensky odpovědného designu. Tyto principy ovlivnily nejen výběr metod a způsob zapojení účastníků, ale také přístup k návrhu systému i práci s citlivými informacemi. Základním východiskem byla snaha o respekt k důstojnosti, pohodě a bezpečnosti zapojených osob, stejně jako k důvěře organizací, které v oblasti kyberbezpečnosti často pracují v přísně zabezpečeném a důvěrném prostředí.

Informované souhlasy: Všichni účastníci výzkumu poskytli předem informovaný souhlas v písemné podobě a srozumitelném jazyce. Dokument obsahoval informace o účelu výzkumu, formách účasti (neformální rozhovor a pozorování – konkrétně metoda stínování), typu pořizovaných záznamů (poznámky, audio, případně obrazové záznamy) a o podmínkách jejich použití v rámci bakalářské práce. Byl zdůrazněn zákaz publikace nebo sdílení záznamů bez výslovného souhlasu respondenta a možnost schválení veřejně použitých výstupů. Účast byla dobrovolná a respondenti mohli souhlas kdykoliv odvolat až do odevzdání práce. Viz Příloha A.

Anonymita a pseudonymizace: Aby byla chráněna identita účastníků i organizací, s nimiž jsou spojeni, byly ve výstupech použity náhradní jména a neskutečný (ale věkově odpovídající) profilový věk. Zohlednění reálného typu praxe zůstalo zachováno, ale bez možnosti zpětné identifikace. Tento krok byl nezbytný vzhledem k tomu, že obor kyberbezpečnosti často pracuje s informacemi, které mohou mít strategický, profesní nebo bezpečnostní dopad.

Ochrana citlivých údajů: Vzhledem k povaze domény – zahrnující zranitelnosti systémů, bezpečnostní incidenty a citlivé informace vyžadující zvláštní režim zacházení – byla ochrana dat prioritou. Audiozáznamy z rozhovorů byly po dohodě s účastníky bezpečně přepsány pomocí nástroje MacWhisper, který umožňuje plně lokální zpracování bez nutnosti odesílání dat do cloudu. Po přepisu a kontrole obsahu byly tyto audiozáznamy trvale odstraněny. Pozorování (stínování) probíhalo bez audiovizuální dokumentace; záznamy byly vedeny ručně

Etika jako návrhový princip: Etické otázky se neomezily jen na výzkumnou fázi, ale zásadně ovlivnily i návrh výsledného systému. Právě reflexe bezpečnostních a etických dilemat vedla k zavedení principů jako „need-to-know“, „least privilege“ a promyšleného přidělování oprávnění. V návrhu se například odráží dilema mezi zapojením různých aktérů a nutností chránit systém před nadměrným sdílením informací – otázky řešené např. pomocí metody inkluzivní pandy.

Inovace není jen „nový nápad“ nebo použití moderní technologie. Abychom o inovaci mohli mluvit, musí splňovat dvě základní podmínky:

• Novost – přináší něco, co dosud nebylo v daném prostředí běžně využíváno (nový přístup, metoda, produkt, nebo jejich kombinace).
• Užitečnost – tato novost zároveň zvyšuje hodnotu: řeší problém, zlepšuje proces, přináší úsporu, komfort nebo bezpečí.

Důležité je zdůraznit, že novost inovace je relativní. Neznamená to, že dané řešení nikdy nikdo na světě nepoužil. Jde o novost v konkrétním kontextu – například přenesení ověřeného přístupu z jednoho oboru do jiného, kde se ukáže jako efektivní. Inovace tedy není jen o absolutní originalitě, ale o schopnosti adoptovat, kombinovat a aplikovat známé principy způsobem, který otevírá nové možnosti a má reálný dopad na praxi.

1. Přenesení tématu kognitivní zátěže do kyberbezpečnosti

Kognitivní zátěž je v psychologii a ergonomii zkoumaný jev už delší dobu. Inovativní je však to, že projekt toto téma explicitně zasadil do kontextu práce kyberbezpečnostních profesionálů – oboru, kde se tradičně pracuje spíše s technickými nebo procesními metrikami (SLA, počet zranitelností, shoda s regulacemi).

Novost spočívá v tom, že se do popředí dostává pohled na mentální kapacitu a pracovní zkušenost samotných bezpečnostních specialistů jako faktor kvality celé služby.

2. Kombinace HCD metod s prostředím kyberbezpečnosti

Metody human-centred designu (rozhovory, stínování, blueprinting, participativní workshopy, NASA-TLX reflexe) nejsou samy o sobě nové. Inovativní je jejich aplikace v prostředí kyberbezpečnosti a kombinace s existujícími bezpečnostními rámci.

Novost zde není v samotných metodách, ale v jejich přenesení do domény, kde dosud dominovaly primárně technické standardy (např. ISO, NIST, OWASP). To umožnilo zkoumat nejen technické procesy, ale i uživatelskou zkušenost těch, kdo bezpečnost produkují – což je v oboru nový akcent.

3. Produktová inovace – integrace workflow, AI a ochrany dat

Prototyp ukazuje, že i existující a běžně dostupné nástroje lze propojit novým způsobem, který snižuje kognitivní zátěž pracovníků.

• Workflow nástroj (např. Redmine, ale obdobně i Jira nebo GitLab) slouží jako centrální orchestrátor úkolů.
• AI asistence odlehčuje rutinní práci (sumarizace, generování návrhů, evidence), přičemž je navržena zodpovědně – s možností on-prem nasazení, zákazem učení na datech a v souladu s evropskými standardy ochrany dat.
• DLP řešení (Presidio nebo jeho alternativy) chrání citlivá data a zajišťuje soulad s regulacemi.

Inovativní je zde integrace a orchestrace:

• sjednocení fragmentovaného pracovního toku,
• omezení nutnosti přepínat mezi nesourodými nástroji,
• kombinace efektivity AI s požadavky bezpečnosti a compliance.

Tím se projekt odlišuje od prostého „nasazení dalších technologií“ – ukazuje, jak lze běžné prostředky zapojit do koherentního designového řešení, které má přímý dopad na kvalitu práce bezpečnostních profesionálů.

4. Organizační dopad – vznik nové role

Projekt měl i přímý organizační dopad: motivoval vznik nové role Service Designer | Cybersecurity & Secure Development Adoption.

To je inovativní v tom, že ukazuje design jako součást strategického řízení bezpečnosti – nikoli jen jako „doplněk“, ale jako profesi, která může aktivně formovat, jak se bezpečnostní služby tvoří a adoptují.

5. Posun konceptu „Security as a Service“

Obvykle se Security as a Service chápe z pohledu klienta – tedy co se mu dodává (penetrační testy, monitoring, konzultace). Tento projekt ale ukazuje, že inovace se odehrává i na úrovni těch, kdo bezpečnost produkují.

Novost spočívá v tom, že se design zaměřil na pracovní zkušenost bezpečnostních profesionálů – s hypotézou, že spokojenější, méně zatížení a lépe podporovaní odborníci jsou schopni poskytovat kvalitnější, udržitelnější a hodnotnější bezpečnostní služby klientům.

Shrnutí

Inovace tohoto projektu nespočívá v úplně nových metodách nebo nástrojích, ale v jejich nové kombinaci, přenesení a ukotvení do prostředí kyberbezpečnosti. Projekt:

• přenesl téma kognitivní zátěže do bezpečnostní praxe,
• zkombinoval HCD s technickými rámci kyberbezpečnosti,
• ukázal, jak lze orchestrací nástrojů a odpovědným využitím AI zlepšit workflow,
• měl přímý organizační dopad v podobě vzniku nové profesní role,
• a posunul chápání „Security as a Service“ směrem k péči o ty, kdo bezpečnost poskytují.

To vše dohromady činí projekt inovativním – nikoli absolutní novostí, ale novým přístupem v konkrétním kontextu, který přináší hodnotu jak bezpečnostním týmům, tak jejich klientům.

Budoucí výzkum by měl ověřit designové hypotézy v ostrém provozu a s větším počtem účastníků, ideálně také prostřednictvím kvantitativních metod (např. kontrolovaného A/B testování, longitudinálních studií nebo stepped-wedge designu). Užitečné by bylo také sledování dlouhodobých dopadů na kognitivní zátěž, motivaci testerů a kvalitu jejich výstupů.

Hlubší práce s NASA-TLX a scénáři

Metoda NASA-TLX se v projektu osvědčila jako vhodný nástroj pro zachycení subjektivní zátěže, i když zatím jen na základě fiktivních scénářů. Do budoucna by bylo užitečné rozšířit její využití v kontextu kyberbezpečnosti – jak v simulovaných podmínkách, které umožňují bezpečné a kontrolované ověřování, tak v reálném provozu. V raných fázích prototypů je scénářový přístup cenný, protože respektuje citlivost prostředí a zároveň umožňuje reflektovat mentální, fyzickou i emoční náročnost práce.

Role umělé inteligence

Další směr představuje hlubší rozpracování role umělé inteligence v expertní práci. Klíčové je:

• vymezit hranice mezi tím, co má zůstat v rukou člověka, a co lze delegovat na AI,
• zajistit transparentnost, auditovatelnost a kontextovou relevanci výstupů,
• definovat „no-go zóny“, kde by použití AI mohlo ohrozit důvěru nebo bezpečnost,
• integrovat AI způsobem, který posiluje efektivitu bez zvyšování kognitivní zátěže.

Rozšíření na další bezpečnostní role

Výzkum by měl být rozšířen i na další profesní skupiny, které čelí podobné zátěži: SOC analytiky, pracovníky risk managementu, compliance nebo incident response. Tyto role sdílejí s testery vysokou odpovědnost, fragmentované workflow a nástrojovou roztříštěnost.

Sdílení výsledků a dialog s komunitou

Pro zajištění relevance i důvěry je důležité průběžně výsledky komunikovat odborné komunitě – na konferencích, prostřednictvím workshopů i vzdělávacích aktivit. Otevřený dialog a mezioborová spolupráce mohou pomoci překonat počáteční nedůvěru k designovým intervencím a podpořit jejich odpovědnou implementaci v praxi.

Širší psychologický kontext

Kognitivní zátěž je jen jednou složkou psychické náročnosti práce. V některých týmech může vést k vyhoření, jehož příčiny nejsou vždy pouze ve špatně nastaveném workflow. Další výzkum by měl proto sledovat i jiné aspekty – například vliv organizační kultury, nedostatečné podpory, dlouhodobého stresu nebo nerovnováhy mezi pracovním a osobním životem. Jen tak lze získat komplexní obraz faktorů, které ovlivňují duševní pohodu bezpečnostních profesionálů, a najít odpovídající intervence.