Что мешает руководителю по ИБ быть услышанным?

Предположим, вы подготовили презентацию, собрали метрики, расписали уязвимости. Потом приходите к генеральному директору, начинаете рассказывать о критических уязвимостях в периметре, а в ответ слышите фразу: «Давайте обсудим это в следующем квартале». В этот момент кажется, что вас не слышат. Но дело не в качестве ваших аргументов, а в том, что вы говорите о технологиях, а руководитель компании мыслит в других категориях.

Как переводить технические вопросы на язык рисков и денег

Формула «Если – То – Сколько» помогает перевести технические вопросы на язык бизнеса. Руководство, по большому счету,  не волнуют порты, протоколы или версии ПО. Его волнуют другие вещи: деньги компании и ее репутация, а также непрерывность работы. Когда вы приходите с запросом на обновление системы это означает увеличение затрат для руководства. Но если вы приходите с описанием риска, вы говорите о том, как избежать потерь.

Снижение вероятности простоя производства звучит для руководителя лучше, чем повышение уровня безопасности. А исключение риска выплаты компенсаций клиентам – убедительнее, чем усиление защиты периметра.

Всегда стоит называть цену, хотя бы примерную. Когда безопасность измеряется в деньгах, она становится инвестицией. Простой сайта 1 час = Х рублей. Штраф регулятора = Y рублей. Утечка базы клиентов = Z рублей. 

Бизнес стремится контролировать ситуацию, поэтому любое требование лучше переформулировать в вопрос: «Мы можем внедрить защиту за 1 млн или не внедрять и принять риск потери 5 млн. Что выбираем?»

Как приоритизировать ИБ-инициативы и защитить бюджет

Руководству может казаться, что ИБ – это черная дыра для бюджета, куда уходят огромные суммы без видимого возврата. Ресурсов вечно не хватает, а запросов от специалистов по безопасности – бесконечность. Чтобы изменить эту ситуацию, разделите все проекты на три категории: Обязательно, Рекомендуется и Желательно.

Обязательно
Сюда входит то, без чего компания либо остановит свою деятельность, либо понесет катастрофические убытки. Например, внедрение средств защиты критической инфраструктуры (ICS/SCADA) для соблюдения требований Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры». Здесь бюджет не обсуждается. Отсутствие аттестации грозит приостановкой лицензии и остановкой производственных мощностей.

Что попадает в эту категорию:

• Соответствие регуляторным требованиям: 152-ФЗ (персданные), 187-ФЗ (КИИ), 98-ФЗ (коммерческая тайна), отраслевые стандарты (СТО БР ИББС, Приказы ФСТЭК и ФСБ). Штрафы за нарушения могут достигать 6% от годового оборота компании.
• Защита от критических уязвимостей: патчинг систем, устранение уязвимостей с уровнем CVSS ≥ 9.0, которые могут привести к полному компрометированию периметра.
• Резервное копирование и восстановление: наличие проверенной стратегии DR/BCP (Disaster Recovery / Business Continuity Planning). Без этого любая успешная атака вымогателей парализует бизнес.
• Базовая защита периметра: межсетевые экраны, антивирусная защита, контроль доступа. Это гигиена безопасности, без которой невозможна любая дальнейшая работа.

Как обосновать:

• Ссылайтесь на конкретные статьи законов и подзаконных актов.
• Приводите кейсы компаний, которые понесли убытки из-за отсутствия аналогичных мер.
• Используйте формулировки «риск приостановки деятельности», «уголовная ответственность руководства», «потеря права на ведение лицензируемой деятельности».

Рекомендуется
Это проекты, которые улучшают безопасность, снижают операционные риски и экономят время персонала, но без них бизнес может функционировать. Здесь уместны поиск компромиссов, поэтапная реализация и оптимизация сметы. Например, без системы класса SIEM с возможностью автоматизации реагирования (SOAR) безопасники тратят 80% времени на ручное изучение логов, но бизнес продолжает работать. Поэтому ее внедрение можно разбить на этапы, начав с мониторинга только сегмента Active Directory.

Что попадает в эту категорию:

• Системы класса DLP и UEBA: предотвращение утечек и выявление аномального поведения пользователей. Это не критично здесь и сейчас, но существенно снижает долгосрочные риски инсайдерских угроз.
• Пентесты и редтиминг: регулярная проверка защищенности взглядом злоумышленника позволяет находить слабые места до того, как ими воспользуются реальные атакующие.
• Обучение и повышение осведомленности сотрудников: фишинговые симуляции и тренинги по кибергигиене снижает вероятность успешных атак социальной инженерии на 40–70%.
• Сегментация сети и внедрение Zero Trust-подходов: усложняет перемещение злоумышленника внутри инфраструктуры, но требует времени и ресурсов на перепроектирование.

Как обосновать:

• Считайте стоимость работы. Например, покажите, что автоматизация через SOAR окупается за 12–18 месяцев за счет высвобождения времени специалистов.
• Используйте метрики «снижение среднего времени обнаружения инцидента (MTTD) с 72 до 4 часов», «сокращение ложных срабатываний на 60%».
• Предлагайте пилотные зоны: начать с одного департамента, оценить эффект, затем масштабировать.

Желательно
Это функционал, который создает комфорт, повышает статус или решает точечные задачи, не влияющие на ключевые бизнес-процессы. В эту категорию попадает, например, замена действующих рабочих станций администраторов безопасности на модели премиум-класса.

Что еще попадает в эту категорию:

• Премиум-интерфейсы и дашборды, которые не влияют на функциональность, но улучшают восприятие отчетности.
• Расширенная аналитика и Threat Intelligence-подписки: доступ к закрытым базам индикаторов компрометации полезен для проактивной защиты, но не является обязательным для базового уровня безопасности.
• Апгрейд оборудования: замена исправных устройств на более производительные без наличия текущих проблем с нагрузкой.
• Участие в отраслевых конференциях и сертификации сотрудников важно для развития команды, но может быть отложено без прямого ущерба для текущих операций.

Как искать взаимопонимание?

Часто в компаниях информационная безопасность воспринимается как отдел запретов: нельзя установить нужный софт, нельзя открыть порт для клиента, нельзя работать по удобной, но нестандартной схеме. Из-за этого между службой безопасности и руководством возникает невидимая стена.

Сломать ее помогает смена риторики. Например, вместо того, чтобы запрещать программное обеспечение, можно предложить вариант с настройкой политик контроля и изоляцией в отдельном контуре, чтобы команда могла работать в привычной среде. Если вы блокируете доступ к ресурсам, будет полезно объяснить команде, от каких угроз это защищает. Прозрачность снижает градус напряжения. 

При таком подходе руководитель будет слышать в ваших словах не препятствие его планам и амбициям, а защиту интересов и поддержку в достижении целей. Вы перестанете быть в его глазах тем, кто тормозит процессы, и станете тем, кто делает их устойчивыми.