ИБ-руководитель не умеет объяснить ценность защиты топ-менеджменту.
Пу-пу-пу... и такой тоже вывод, сделан в свежем исследовании экономики информационной безопасности, логики принятия решений и роли руководителей служб ИБ в формировании бюджета.
Вроде это исследование "про бюджеты ИБ", а по факту получился диагноз коммуникационного и управленческого разрыва между директорами по ИБ (CISO) и высшим руководством (CEO, CFO).
Документ отвечает на один ключевой вопрос: почему деньги на безопасность тратятся всё больше, а роль ИБ в бизнесе остаётся вторичной и уязвимой.
👀 Контекст: угрозы растут, деньги растут, ясности не прибавляется:
‼️глобальный рынок кибербезопасности растёт стабильно и агрессивно;
‼️российский рынок растёт ещё быстрее из-за:
🔴 роста атак,
🟢 давления регуляторов,
🔴 импортозамещения,
🔴 инцидентов в КИИ и финсекторе.
При этом за полгода в 2025 зафиксировано более 63 тыс. кибератак, 2/3 из них направлены на критическую инфраструктуру, атаки простые, массовые и дешёвые.
И вот здесь появляется первый парадокс - почему при реальной угрозе и росте бюджетов понимание ценности ИБ остаётся слабым?
Директора по информационной безопасности чаще топ-менеджеров
видят связь между инвестициями в защиту и стоимостью бизнеса —
60% против 38%
...одна из ключевых цифр исследования, как мне кажется. Разрыв в 22 процентных пункта. Смысл этого разрыва простой и болезненный: ИБ-директора понимают, зачем нужна защита, но не умеют объяснять это на языке бизнеса. Что видят в бюджетах составляемых на обеспечения безопасности ТОПы:
— расходы,
— регуляторное давление,
— страховка «на всякий случай»,
— НЕ фактор роста, устойчивости и конкурентоспособности.
Как ИБ оправдывает бюджеты и почему это не работает? Когда CISO приходят за деньгами, они чаще всего опираются на требования регуляторов, результаты аудитов, формальное соответствие стандартам. При этом результаты пентестов, Red Team (моделирование действий реального злоумышленника и демонстрация уязвимостей), реальные сценарии атак (если эти мероприятия, конечно проводятся) оказываются в тени, несмотря на то что сами ИБ-руководители считают их более объективными.
Получается что...
🔴 ИБ обосновывает бюджеты формально,
🔴 бизнес не слышит за формальностями выгоды и пользы,
🔴 диалог не превращается в стратегический.
А вот ещё один из сильных блоков в исследовании — про стоимость взлома. Более 70% CISO, уверены, что могут точно оценить стоимость взлома. Но получается, что:
- компании с пентестами и Red Team завышают стоимость взлома;
- зрелые компании с описанными критическими активами оценивают риски ниже и точнее;
- реальные исследования показывают, что 1 млн рублей достаточно для предотвращения взлома в 3 из 5 компаний.
Получается что CISO путают техническую сложность защиты со стоимостью атаки для злоумышленника? Рынок киберпреступности дешёвый, сервисный и масштабируемый. А ИБ продолжает мыслить категориями «сложно и хорошо - значит дорого».
Оказывается что почти 70% CISO либо не участвуют в стратегических решениях, либо участвуют формально. При этом самые довольные своей работой CISO те, кого вообще не привлекают к бизнес-решениям. Почему? Нет ожиданий, нет разочарований, есть понятная техническая роль. Солдат спит - служба идёт. А вот те, кого привлекают «для галочки», испытывают максимальную фрустрацию.
А вот ещё один ключевой разрыв в понимании "боли" и соответственно в формировании разных ценностей: 88% топ-менеджеров считают зависимость от одного вендора критическим риском; а каждый второй CISO видит спокойствие и стабильность. Причина проста: CISO думают операционно (удобство, экосистема), а топ-менеджеры думают стратегически (контроль, суверенитет, управляемость).
С импортозамещением та же история.
В общем, кому интересно будет - закину в канал.
