Почему CEO разочарованы в CISO и как это исправить

Кибербезопасность в России вышла на уровень совета директоров. Но директора по ИБ туда почему-то не приглашают.

Positive Technologies, SuperJob и The Edgers провели исследование, чтобы выяснить, как CEO, CTO и CISO видят роль директора по ИБ. Цифры указывают на системный кризис. 37,5% CEO не общаются с CISO или не могут дать им объективную оценку. 87,5% признают, что ИБ-руководители не умеют обосновывать расходы в деньгах. 43,3% CISO при этом считают свою работу высокоэффективной (на 8–10 баллов из 10).

Чего ждут топ-менеджеры, что думают технические директора и как оценивают себя сами ИБ-лидеры 

CEO хотят видеть в CISO не инженера, а управленца, работающего с рисками. 50% ожидают глубокого погружения в бизнес-процессы, 37,5% требуют умения считать риски в деньгах, 25% говорят о стратегическом мышлении и коммуникациях.

При этом только 25% CEO дают высокую оценку своему CISO (7–8 баллов). 37,5% либо оценивают CISO как «слабо/недостаточно», либо вообще не взаимодействуют с ним напрямую.

Главная претензия CEO к CISO: они слишком уходят в технические вопросы и не понимают бизнес. Один из участников исследования поясняет: «CISO — больной вопрос, меняем третьего, всем не хватает погружения в бизнес».

А вот 80% технических директоров дают руководителям ИБ высокую оценку. CISO для них — равноправный партнер по технологическому блоку, который говорит на понятном языке. Если CTO довольны, а CEO — нет, значит, проблема не в уровне технической экспертизы. Очевидно, что CEO ждут от CISO чего-то другого.

Сами руководители ИБ оценивают себя высоко. 43,3% ставят себе 8–10 баллов. 43,3% уклоняются от прямой оценки (тоже форма уверенности). Лишь 13,4% проявляют умеренную самокритику.

CISO считают, что их роль в компаниях выросла, отмечая ужесточение регуляторных требований (36,7%), вовлеченность в решение бизнес-задач (33,3%) и фокус на практическую безопасность вместо формальных отчетов (13,3%). Они говорят, что взаимодействие с бизнесом улучшается, но при этом признают: «разговор об угрозах — чистая бюрократия, CEO не понимают пугалок».

Причины разрыва между CEO и CISO 

Пропасть между CEO и CISO не сужается из-за отсутствия единых метрик, проблемы перевода технических концепций на язык бизнеса и неэффективных программ обучения. 

У CISO нет единого формата отчетности для бизнеса. Кто-то показывает дашборд с ключевыми рисками, кто-то — технические метрики (время реакции, покрытие средствами защиты), кто-то пытается говорить на языке P&L и ROI.

87,5% CEO признают, что их CISO не умеют обосновывать экономическую ценность безопасности. Самые частые формулировки: «не умеет объяснить, что и на что повлияет», «говорит общими лозунгами».

CISO говорят на языке уязвимостей и SLA, CEO — на языке выручки и штрафов. CISO учатся переводить с технического на бизнесовый (около 50% упоминают в ответах слово «язык»), но их перевод пока не находит слушателя в лице CEO. Бизнес по-прежнему настаивает на том, что «нужна качественная трансляция технических концепций на язык бизнеса». 

100% опрошенных сходятся в том, что существующие программы обучения не решают проблему. CEO о них почти не слышали, CTO называют курсы «игрой в бирюльки», а сами CISO говорят, что «учиться у CISO бесполезно».

Программы фокусируются на нормативной базе и конкретных вендорах, но не учат главному: как связать безопасность с бизнес-стратегией и показать ценность в деньгах.

Как связать безопасность с бизнес-стратегией 

Что делать CEO? Исследование предлагает:

• Определить недопустимые события — те, которые компания не может себе позволить (остановка производства, утечка баз данных). И сделать это не в одиночку, а вместе с CISO.
• Сказать явно — чего вы ждете от CISO. Сегодня большинство ожиданий не формализованы.
• Встроить CISO в стратегию — квартальные доклады совету директоров, участие в запуске новых продуктов, обсуждение выхода на новые рынки. 

Что делать CISO?

• Перестать измерять успех техническими метриками (время реакции, количество уязвимостей). Перейти к деньгам: стоимость часа простоя, размер штрафа, финансовый эффект от снижения риска.
• Понять бизнес-модель компании: где деньги, где критические активы, какие процессы приносят выручку.
• Системно развивать недостающие компетенции: финансы, стратегирование, лидерство, коммуникации.

Что видят подрядчики: взгляд со стороны

Как внешние интеграторы и аудиторы, мы наблюдаем эту пропасть ежедневно. Она проявляется в конкретных симптомах.

Заказчик не умеет формулировать ТЗ. CEO не может сказать, какие ИБ-метрики ему нужны. CISO не может перевести это в техническое задание для подрядчика. В результате мы компенсируем внутренние коммуникационные разрывы: достраиваем мост, который не был возведен внутри компании. 

Когда CISO не встроен в стратегические сессии, любое наше предложение по безопасности воспринимается как тормоз: проверки замедляют рабочие процессы, а средства защиты снижают удобство. Согласование бюджетов превращается в войну. 

Проекты по ИБ буксуют, так как ассоциируются у бизнеса не с созданием ценности, а с расходами и рисками. Безопасность требует значительных инвестиций. Когда все идет хорошо и инцидентов нет, появляются сомнения, нужны ли такие затраты. Если инцидент случается, возникает вопрос: «Почему служба безопасности это не предотвратила?» 

Часто ИБ существует только потому, что так требует закон (КИИ, 152-ФЗ и другие). Стоит проверке пройти — интерес к безопасности пропадает ровно до следующего раза. Компания тратит ресурсы на сбор документов, настройку базовых средств и подготовку к аудиту, а на следующий день после получения акта система снова начинает обрастать уязвимостями.

Один из директоров по ИБ, с которым мы работали, признавался: «В нашей компании меня за глаза называют Директором по имитации безопасности. Никто не понимает, чем я занимаюсь и почему постоянно прошу денег». К сожалению, исследование показывает, что таких компаний пока большинство.