В современных компаниях инвестиции в безопасность оцениваются по их способности генерировать доход и снижать риски. CISO должны представлять стратегии как катализаторы роста, а не просто технические обновления, обосновывая их на уровне совета директоров. — csoonline.com
В современных корпоративных средах инвестиции в технологии безопасности оцениваются уже не только по степени их технической зрелости. Финансирование все больше зависит от того, насколько они способствуют генерации дохода, снижению рисков и созданию акционерной стоимости. От CISO ожидают, что они будут представлять свои стратегии не как технические обновления, а как катализаторы роста выручки. Задача состоит не только в принятии правильных инвестиционных решений, но и в их обосновании на уровне совета директоров.
В начале должен стоять вызов
CISO часто оказываются в затруднительном положении, когда представляют решения до того, как определен сам вызов. Такой подход создает дистанцию вместо согласия. Советы директоров хотят понимать, чего организация может достичь с помощью нового подхода, какие подводные камни можно избежать и почему инвестиции в кибербезопасность нельзя откладывать.
Поэтому при представлении стратегии кибербезопасности, такой как Zero Trust, акцент в общении с советом директоров должен быть сделан на том, как можно позитивно изменить профиль киберрисков компании.
Связывание технологий со стратегическими приоритетами
Чтобы быть убедительными в совете директоров, CISO должны определять запланированные расходы на основе целей компании. Совет директоров фокусируется на таких приоритетах, как выход на новые рынки, улучшение маржи, повышение устойчивости и обеспечение соответствия требованиям. Хорошо продуманное предложение напрямую связано с этими задачами.
Если платформа безопасности сокращает время реагирования на инциденты, результатом является операционная стабильность и, следовательно, более высокая устойчивость (resilience). Если она консолидирует инструменты, это обеспечивает экономическую эффективность. Если она позволяет безопасно расширяться в новые регионы, результатом является рост выручки. Такая цепочка аргументов создает доверие и помогает получить одобрение инвестиций.
Язык рисков и доходности
Советы директоров принимают решения с учетом таких понятий, как риск и доходность. К ним относятся финансовые риски, операционные риски и репутационные риски для компании. Члены совета оценивают вероятность, подверженность и последствия инцидентов в каждой из этих областей. Соответственно, задача CISO — показать, как предлагаемая инвестиция снижает уязвимости, ограничивает последствия инцидентов или повышает устойчивость инфраструктуры.
Эти обсуждения должны включать модели затрат, сценарии возможных нарушений безопасности, графики восстановления после кибератаки и выгоды для бизнеса. Цель состоит в том, чтобы избежать простоев, говоря на языке советов директоров, не пренебрегая при этом технической целостностью.
Учет акционерной стоимости
Уровень зрелости и образ мышления советов директоров в отношении кибербезопасности значительно различаются. Некоторые органы управления реагируют только после крупного инцидента или проваленного аудита. Другие действуют гораздо более проактивно и требуют оценки кибербезопасности в рамках расширения рынка или деятельности по слияниям и поглощениям (M&A). Третьи включают кибербезопасность в симуляции и задают перспективные вопросы об устойчивости перед лицом потенциальных сценариев атак.
Понимание этого уровня зрелости помогает адаптировать коммуникационную стратегию. Реактивному совету может потребоваться четкое объяснение негативных последствий. Информированный совет, скорее всего, ожидает количественно измеримых результатов и дорожной карты. Лучшие дискуссии в совете директоров происходят, когда CISO адаптируется к технологическому пониманию совета, одновременно осторожно расширяя его перспективу.
Советуем прочитать: 10 ключевых показателей, которые помогут CISO
Позиционирование операционного совершенства как результата
Одним из самых убедительных аргументов в беседах с советом директоров о кибербезопасности является операционное совершенство. Если компании работают в разных регионах и отраслях, они должны действовать гибко, безопасно и под контролем. ИТ-архитектура должна
- отвечать глобальным требованиям и
- поддерживать сотрудников, работающих из любой точки мира,
- интегрировать третьи стороны,
- соответствовать ряду нормативных требований и
- защищать интеллектуальную собственность.
Такой обширный набор требований может очень быстро привести к сложной реализации и, как следствие, к неэффективности. CISO с помощью сильной технологической стратегии нацелены на упрощение инфраструктуры, обеспечение безопасного глобального потока данных и сокращение времени выхода на рынок. Такое позиционирование выводит обсуждение с уровня выбора системы на стратегический уровень.
Фокус на будущих рисках
От совета директоров ожидается, что он будет фокусироваться не только на текущих рисках, но и на будущих сценариях. К ним относятся, например, регулирование этичного использования ИИ, понимание последствий злоупотребления данными и подготовка к влиянию квантовых вычислений. Совет директоров несет ответственность и даже несет ответственность за безопасное и регулируемое обращение с данными. Это уже не абстрактные темы. Поэтому они должны стоять в повестке дня CISO уже сейчас как будущие технологические вызовы.
Использование ИИ в компаниях возросло, и советы директоров несут ответственность за использование данных. Хотя квантовые вычисления все еще находятся на начальной стадии, риск будущей технологии для сегодняшних методов шифрования уже делает их необходимым элементом любого долгосрочного планирования. Многие CISO уже используют возможность представить эту тему совету директоров и объяснить, какие меры потребуются в обозримом будущем для защиты данных.
Сила цифр
Финансовое оформление так же важно, как и стратегический подход. Поскольку все больше компаний переходят от аппаратно-интенсивных архитектур к моделям SaaS, нативным для облака, экономика безопасности меняется. Затраты смещаются с капитальных расходов на операционные. Хотя это может сначала привести к снижению EBITDA (показатель деловой активности/прибыль до вычета процентов, налогов, износа и амортизации), это также устраняет циклы обновления оборудования, улучшает точность прогнозирования и снижает общие долгосрочные эксплуатационные расходы.
Модели выставления счетов за облачные сервисы на одного пользователя обеспечивают предсказуемость и большую гибкость в реагировании на изменения. Дополнительный потенциал экономии заключается в консолидации инструментов у нескольких поставщиков платформ. Кроме того, автоматизация процессов может разгрузить Service Desk и повысить производительность.
В конечном счете, CISO должны показать, как потенциальные инвестиции в новые технологии улучшают денежный поток, обеспечивают маржу и масштабируются вместе с ростом компании. Финансовые директора (CFO) и аудиторские комитеты хотят знать, как каждое предложение повлияет на финансовые результаты. Они также хотят понять, что можно капитализировать, какие компенсационные эффекты следует ожидать и как инвестиции будут развиваться в соответствии со спросом.
Заключение
В конечном счете, обоснование инвестиций в безопасность — это не убеждение, а влияние. Речь идет о согласовании приоритетов бизнеса с безопасными, масштабируемыми и экономически эффективными решениями.
Соответственно, CISO должны представить стратегию, которая снижает риски, улучшает гибкость и позиционирует компанию для долгосрочного успеха. Когда ИТ-руководство говорит на языке ценности решений, их предложения звучат не как технические требования, а как деловая необходимость. (jm)
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Chritstoph Schuhwerk