Как CISO обосновать ИБ-бюджет для топ-менеджмента
5 мин
57
1
Экономическая ценность ИБ: нет связи с бизнес-целями
Росконгресс проанализировал, как в российских компаниях принимаются решения по формированию ИБ-бюджетов. Для этого эксперты фонда опросили руководителей по ИБ более 100 организаций. 60% респондентов уверены, что инвестиции в кибербезопасность влияют на стоимость компании. Однако среди топ-менеджмента так считают лишь 38%.
Разрыв в 22 процентных пункта говорит о проблеме коммуникации между службами ИБ и руководством компаний, сделали вывод авторы исследования. Директора по ИБ понимают влияние защиты на бизнес-результаты, но не могут убедить в этом руководство. Топ-менеджеры воспринимают кибербезопасность преимущественно как статью затрат, которая требует контроля и оптимизации, а вовсе не как фактор создания ценности для бизнеса.
Источник: Росконгресс
Об этом говорит и то, какие метрики запрашивает топ-менеджмент компаний у ИБ. Почти половина подразделений по кибербезопасности (49%) сталкиваются с требованиями отчитываться о затраченных ресурсах. При этом данные о количестве отражённых инцидентов запрашивают лишь 23% руководителей, динамику снижения рисков — 21%. Остальные 7% просят предоставить другие показатели, например, соответствие регуляторным требованиям и выполнение планов защиты.
Источник: Росконгресс
По оценкам аналитиков, всё это говорит о недостаточном внимании к результативным показателям работы служб ИБ. Руководители не формулируют чётких ожиданий о том, какого уровня защищённости должна достичь компания и как измерять этот прогресс. «Отсутствие фокуса на результатах создаёт ситуацию, когда службы безопасности отчитываются о процессах и затратах, но не демонстрируют связь своей деятельности с бизнес-целями организации», — сообщается в результатах исследования.
Как на самом деле формируется ИБ-бюджет
Сложившаяся ситуация приводит к тому, что руководители служб ИБ при общении с топ‑менеджментом ссылаются на факторы, которые сами они не считают важными. То есть при обосновании инвестиций в ИБ значимость практических результатов отходит на задний план. В числе основных аргументов ИБ-спецы называют результаты внешнего и внутреннего аудита и изменения требований регуляторов.
Источник: Росконгресс
При этом сами CISO считают, что две наиболее значимые причины для роста бюджетов — это реальные инциденты безопасности внутри компаний и необходимость замещения западных решений отечественными аналогами.
Источник: Росконгресс
Даже при наличии оценки рисков в компаниях её результаты не влияют на бюджетирование ИБ. Это подтверждает опрос представителей более 100 российских крупных компаний, проведённый в 2025 году Центром стратегических разработок (ЦСР). Он показал, что в 89% организаций используется формализованный подход к оценке критических рисков. Он основан на признанных стандартах, включая ГОСТ Р ИСО/МЭК 27005 (ISO/IEC 27005:2022). При этом лишь 5% компаний учитывают результаты этой оценки и возможный ущерб от кибератак при определении бюджета на ИБ.
Основными факторами, которые могут повлиять на объёмы бюджетов ИБ (как в большую, так и в меньшую сторону), по данным опроса ЦСР, оказались:
- изменение финансовых показателей бизнеса — 75% респондентов
- нормативные требования (государственное или отраслевое регулирование) — 44%
- изменение численности штата организации — 24%
- влияние инцидентов ИБ на изменение объёма и подходов к финансированию ИБ — 9%
Опыт бизнеса: какие аргументы работают в ИБ
В высокотехнологичных компаниях с миллионами пользователей цена потерь или простоев из-за киберугроз слишком высока — один серьёзный инцидент может обнулить годовую экономию на ИБ.
Авито
В Авито формирование бюджета на ИБ строится на трёх ключевых факторах — анализе актуальных угроз, оценке рисков для бизнеса и прогнозируемой нагрузке на инфраструктуру. «Мы работаем с аудиторией 72+ миллионов пользователей в месяц, и каждое решение оцениваем через призму потенциального ущерба — как для пользователей, так и для бизнеса. Распределение средств идёт по принципу критичности: сначала закрываем риски, которые могут привести к остановке сервиса или утечке данных, затем усиливаем превентивные меры и развиваем культуру безопасности», — рассказал директор по информационной безопасности компании Андрей Усенок. Эффективность измеряется через время реакции на инциденты, процент предотвращённых атак и снижение критических уязвимостей.
Для совета директоров самый убедительный аргумент — прямое влияние инцидентов ИБ на выручку, репутацию и доверие к бренду, говорит Андрей Усенок. «В Авито мы оперируем конкретными цифрами. Каждый час недоступности платформы — это потерянные сделки, недополученная выручка и отток пользователей к конкурентам. Важна и стоимость восстановления: сколько времени и денег потребуется, чтобы вернуть доверие пользователей после утечки данных. Практика показывает, что это может превышать прямые убытки в разы. Непрерывность бизнеса и репутация для Авито неразделимы», — отмечает он. Возврат инвестиций в ИБ можно посчитать соотношением вложения в превентивные меры против стоимости одного крупного инцидента с учётом репутационных потерь, судебных издержек и оттока клиентов, рассказал Андрей Усенок.
Метрики в Авито:
- Сколько стоит час недоступности платформы
- Какие финансовые и репутационные потери несёт утечка данных
- Как быстро компания обнаруживает и останавливает инциденты
Директор по ИБ Т1 Облако и старший бизнес-партнер по ИБ Т1 Интеграция (ИТ-холдинг Т1) Алексей Кубарев: «Я выработал для себя базовую формулу: бюджет на ИБ не должен превышать 15% от совокупного ИТ-бюджета компании».
Точка Банк
На формирование бюджетов во многом влияет способность руководителя по ИБ либо его команды донести до бизнеса, какие негативные сценарии могут реализоваться, говорит CISO Точка Банка Вячеслав Касимов. Например, сколько именно в деньгах потеряет организация (с учётом прямых потерь и экстренного реагирования), а также сколько стоит защита от такого рода сценариев. Другими словами, значение имеет способность ИБ-специалиста разговаривать с бизнесом на его языке — обосновывать риски и то, как они посчитаны.
По мнению Вячеслава Касимова, бюджет напрямую влияет на эффективность защиты: «Далеко не все решения из мира open source действительно хорошо работают. А если в понятие бюджета включать ещё и команду, его роль становится особенно значимой».
Около 70% CISO исключены из формирования стратегии компании
Сохранение консервативной бюджетной политики и опора на западные решения, которые «как-то сами всё сделают», на фоне санкций создают зависимость от ненадёжных внешних поставщиков. При этом, несмотря на декларируемую важность импортозамещения, на практике это не всегда приводит к пересмотру подходов и активному участию ИБ в бизнес-процессах, отмечают в Росконгрессе.
Например, к запуску нового продукта регулярно привлекают CISO лишь в 33% компаний, а в 11% — никогда. Другими словами, около 70% CISO исключены из процесса принятия стратегических решений или имеют очень ограниченные возможности на них повлиять.
Чаще всего такая картина наблюдается в небольших организациях, где численность сотрудников до 500 человек. В крупных (до 5 тыс. сотрудников) CISO в основном являются полноправными участниками работы над бизнес-стратегией.
Атмосфера, которая сформировалась на российском рынке ИТ и кибербезопасности после событий 2022 года, может превратить подобную инертность в бомбу замедленного действия, предупреждают эксперты Росконгресса. Прежний подход «если работает, не трогай» теряет актуальность, так как ландшафт угроз изменился, как и их интенсивность. Аналитики ЦСР также считают необходимым переосмысление подходов в работе ИБ с бизнесом для повышения качества и эффективности кибербезопасности.
