Найти в Дзене
Журнал «Информационная безопасность»
1183 подписчика

Управление кибербезопасностью в 2026 году: какие метрики нужны CISO и CEO

7
8 мин
Топ-менеджмент требует цифр, а команда кибербезопасности – осмысленных KPI. Давай посмотрим, какая система метрик закрывает запросы обеих сторон. Автор: Тимофей Поляков, руководитель направления BI.ZONE Consulting Кибербезопасность все чаще выступает не только как технологическая функция, но и как полноценный бизнес-инструмент. Однако, чтобы кибербезопасность стала действительно управляемой, нужны понятные, прозрачные и регулярно обновляемые показатели. Компаниям недостаточно опираться на формальные отчеты: бизнес ожидает количественных обоснований, а CISO – инструментов, которые позволяют эти цифры собирать, интерпретировать и использовать для принятия решений. Метрики становятся языком, на котором команда КБ разговаривает с бизнесом. Ключевое значение приобретают KPI КБ-процессов – показатели, позволяющие оценивать результативность и зрелость внедренных мер, а также их вклад в снижение бизнес-рисков. Если таких KPI нет, между командой КБ и топ-менеджментом возникает информационный ра
Оглавление

Топ-менеджмент требует цифр, а команда кибербезопасности – осмысленных KPI. Давайте посмотрим, какая система метрик закрывает запросы обеих сторон.

Автор: Тимофей Поляков, руководитель направления BI.ZONE Consulting

Кибербезопасность все чаще выступает не только как технологическая функция, но и как полноценный бизнес-инструмент. Однако, чтобы кибербезопасность стала действительно управляемой, нужны понятные, прозрачные и регулярно обновляемые показатели. Компаниям недостаточно опираться на формальные отчеты: бизнес ожидает количественных обоснований, а CISO – инструментов, которые позволяют эти цифры собирать, интерпретировать и использовать для принятия решений.

Метрики становятся языком, на котором команда КБ разговаривает с бизнесом. Ключевое значение приобретают KPI КБ-процессов – показатели, позволяющие оценивать результативность и зрелость внедренных мер, а также их вклад в снижение бизнес-рисков. Если таких KPI нет, между командой КБ и топ-менеджментом возникает информационный разрыв: одни говорят о событиях, уязвимостях и инцидентах, другие – об устойчивости бизнеса и приоритизации расходов.

Взгляд со стороны топ-менеджмента

Для C-level кибербезопасность – лишь один из элементов общей системы управления рисками и обеспечения устойчивости бизнеса. Соответственно, основные запросы топ-менеджмента связаны не с техническими деталями, а с управляемостью, предсказуемостью и измеримостью результата.

Эти управленческие запросы трансформируются в четыре ключевые потребности:

  1. Прозрачность и уверенность в эффективности кибербезопасности. Руководство часто не видит текущее состояние безопасности полностью. Метрики представляют оценку работы КБ в количественном виде. Благодаря им топ-менеджеры видят, что система управления кибербезопасностью действительно работает, а не существует лишь на бумаге.
  2. Принятие решений и управление рисками. Топ-менеджменту нужны данные для стратегических решений: какие риски приоритизировать, достаточно ли выделено ресурсов. Правильно разработанные метрики улучшают принятие решений, позволяют объективно оценивать работу команды КБ и подсвечивают ключевые риски. Согласно стандарту ISO 27004, измерение эффективности КБ-программ способствует более обоснованным решениям менеджмента, обеспечивает прозрачность в вопросах рисков и закрепляет ответственность за конкретные результаты.
  3. Демонстрация ROI и обоснование инвестиций. Информация, представленная в виде метрик, связывает КБ с бизнес-целями. Это помогает руководству оценить возврат инвестиций на безопасность. Топ-менеджмент и совет директоров хотят понимать ценность вложений: например, снижает ли увеличение бюджета количество инцидентов или ущерб от них. Метрики становятся основой для демонстрации ценности и эффективности программы кибербезопасности, что способствует дальнейшим инвестициям в защиту.
  4. Подотчетность и повышение культуры безопасности. Когда топ-менеджмент в курсе ключевых метрик, формируется культура подотчетности и постоянного улучшения. Руководство видит динамику – улучшаются ли показатели со временем (сокращается ли время реагирования, растет ли процент устраненных несоответствий). Метрики позволяют устанавливать конкретные целевые значения на год или квартал, а также отслеживать их достижение. Это показывает, что стратегия кибербезопасности эффективно реализуется.

Взгляд со стороны подразделения кибербезопасности

Для команды КБ грамотная система измерения – это рабочий инструмент, который помогает решать конкретные проблемы. На практике от нее требуются следующие шесть составляющих.

  1. Выбор правильных метрик и отсутствие искажений. Одна из трудностей – определить, что именно измерять, чтобы оценка была объективной и полезной. Неправильные показатели могут искажать реальную картину защищенности и даже быть причиной ошибочных действий. Опора только на количественные данные без контекста ведет к неверным выводам. Например, рост числа зарегистрированных инцидентов может означать как ослабление защиты, так и улучшение выявляемости. Подразделению КБ нужна система метрик, отражающая качество процессов, а не только объем работы.
  2. Полнота охвата процессов кибербезопасности. Нужен единый подход к измерению эффективности по всем процессам, чтобы не пропустить слабые места. Важно учитывать весь спектр (например, опираясь на структуру ISO 27001, группы мер защиты ФСТЭК России или CIS Controls) и разрабатывать метрики для каждого направления. Это решает проблему разрозненности, при которой каждая команда измеряет важные для нее показатели, но целостная картина не формируется.
  3. Автоматизация сбора данных и снижение ручного труда. Существенная проблема – собирать и агрегировать данные для расчетов. Информация находится в разных системах: SIEM, сканеры уязвимостей, системы управления инцидентами, журналы доступа, опросники по комплаенсу и другие. Сводить эти данные вручную трудоемко и чревато ошибками, а еще они быстро устаревают.
  4. Контекст для метрик и связь с бизнес-рисками. Для КБ-специалистов важно, чтобы показатели отражали не только технические параметры, но и бизнес-контекст. Например, сто незакрытых уязвимостей – это много или мало? Ответ зависит от того, в каких системах они выявлены, в какой части инфраструктуры, а также есть ли требования регулирующие органов об их скорейшем устранении. Без такого контекста есть риск фокусироваться не на актуальных проблемах.
  5. Мониторинг эффективности и непрерывное улучшение. Команде КБ нужны инструменты, позволяющие отслеживать прогресс процессов и выявлять проблемные зоны. Эти задачи решает цикл принятия решений: спланировать меры, выполнить, проверить эффективность (через метрики) и скорректировать. Без метрик сложно понять, работает ли новый процесс лучше старого или достигнут ли целевой уровень отказоустойчивости. Эти данные помогают обосновать необходимость дополнительных ресурсов или изменений. Кроме того, измеримые KPI мотивируют команду, создавая ясные цели.
  6. Отчетность перед менеджментом и аудиторами. Подразделение КБ постоянно должно предоставлять понятные отчеты как высшему руководству, так и внешним проверяющим. Внедрение процесса управления метриками позволяет настраивать регулярные отчеты для топ-менеджеров. Для аудитов метрики служат доказательной базой, например историей улучшений по требованиям ISO 27001. В случае инцидента наличие измерений позволяет детально проанализировать причину сбоя, что демонстрирует зрелость процессов.

Условия, при которых метрики работают

Если метрики демонстрируются на слайдах раз в квартал, но не приводят к пересмотру приоритетов проектов, SLA, архитектурных решений или бюджетов, то это признак неработающего процесса.

Чтобы обеспечить качество самих показателей, необходимо управлять их жизненным циклом:

  • Инициация. Определение, для какого процесса и управленческой задачи нужна метрика.
  • Проектирование. Формула, источники данных, периодичность, пороговые значения, ответственный.
  • Верификация. Пилотный период и проверка, что метрика воспроизводима и полезна в обсуждениях.
  • Эксплуатация. Регулярный пересмотр значений, актуализация пороговых значений, уточнение источников данных.
  • Вывод из эксплуатации. Отказ от неиспользуемых, дублирующих или устаревших метрик.

Три уровня дашбордов

Поскольку метрики используются для разных целей, их визуализация должна различаться. Правильный подход предполагает систему из нескольких уровней дашбордов.

Уровень совета директоров и топ-менеджмента:

  • До 10 агрегированных индикаторов.
  • Простая визуализация: «светофор», тренды по кварталам.
  • Минимум технических деталей, максимум контекста: что произошло, каковы последствия, что делаем.

Уровень CISO и руководителей направлений КБ:

  • Расширенный набор метрик по ключевым процессам в разрезе бизнес-направлений, регионов, площадок.
  • Тренд-графики (скорость закрытия уязвимостей, комплаенс) и диаграммы распределения (типы инцидентов, классы активов).
  • Возможность посмотреть детали агрегированных показателей.

Операционный уровень (аналитики SOC, администраторы, инженеры КБ):

  • Метрики, привязанные к ежедневной работе: сроки открытых задач по уязвимостям, очередь инцидентов, статус запросов на доступ.
  • Визуализация в виде рабочих панелей в системах тикетинга и мониторинга.
  • Четкая связь с SLA и приоритетами: что сделать сегодня, чтобы не выйти в желтую или красную зону.

Сбор данных без ручного труда

Типичная причина, по которой процесс управления показателями КБ ломается через несколько месяцев после запуска, – ручной сбор данных. Сбор и расчет метрик должны быть максимально автоматизированы.

Чек-лист по настройке автоматизации:

  1. Определить ключевые системы-источники. Для большинства организаций это:

    - Системы мониторинга безопасности, SIEM-системы (события, инциденты, корреляционные правила).

    - Системы управления уязвимостями (результаты сканирования, критичность, сроки устранения).

    - CMDB, инвентаризационные системы (перечень и критичность активов, связи с бизнес-процессами).

    - Сервис-деск, ITSM (заявки на доступ, инциденты, изменения, SLA обработки).

    - HR-система (метрики по управлению учетными записями, обучению и осведомленности).

    - Системы DLP, EDR, PAM, MDM и другие специализированные СЗИ.
  2. После того как архитектура данных выстроена, настроить автоматический расчет и поддерживать его качество:

    - Формула реализуется в виде скрипта или вычисляемого поля.

    - Правила включения и исключения данных (например, учитывать только критические активы, закрытые инциденты, подтвержденные уязвимости) кодируются явно.

    - Изменения формул фиксируются для отслеживания истории.

    - Для разных типов показателей задается различная периодичность обновлений.

    - Расчет и обновление метрик запускаются автоматически (по расписанию или событию), а не при подготовке презентации для руководства.
  3. Выстроить работу с отклонениями:

    - Для каждой ключевой метрики задаются пороговые значения, правила формирования алерта и регламент реакции.

    - Ключевой принцип: выход показателя за пороговое значение автоматически инициирует управленческое действие, а не просто фиксируется в отчете. Например, превышение доли просроченных критических уязвимостей автоматически формирует уведомление владельцу процесса, ответственного за систему, а также CISO. После чего инициируется разбор на ближайшем совещании с фиксацией плана действий и сроков.

Готовым инструментом для автоматизации могут стать решения класса GRC (Governance, Risk and Compliance). Такие платформы являются центром принятия решений по кибербезопасности, позволяют управлять процессами и рисками, а также обеспечивать соблюдение нормативных требований.

Вывод

Построение полноценной системы измерения кибербезопасности – это трудоемкий и многослойный процесс. Важно как можно раньше оценить, как выстроено управление показателями кибербезопасности, чтобы определить оптимальный подход к разработке и внедрению метрик.

Безопасность и правопорядок
95,2 тыс интересуются