“Когда CISO просит удвоить бюджет, это не всегда попытка выбить деньги. Часто это сигнал о том, что компания годами недофинансировала безопасность, и теперь цена догоняющего развития стала астрономической. Вопрос не в том, верить или нет, а в том, как отличить обоснованную необходимость от тактики запугивания.”
Почему CISO просит больше денег: пять реальных причин
Запрос на увеличение бюджета в два раза редко возникает на пустом месте. Обычно за ним стоит одна или несколько фундаментальных причин, которые годами игнорировались.
1. Накопившийся технический долг в безопасности
Это самая частая и дорогостоящая причина. Компания годами покупала точечные решения для закрытия конкретных проверок или инцидентов. В результате образовалась свалка из десятков разрозненных систем: несколько разных межсетевых экранов, устаревшие системы предотвращения вторжений, антивирусы от разных вендоров, неинтегрированные SIEM и SOAR. Они не разговаривают друг с другом, требуют отдельных команд для поддержки и создают слепые зоны. Удвоение бюджета здесь — это не роскошь, а стоимость консолидации: миграция на единую платформу, вывод из эксплуатации legacy-систем и оплата труда архитекторов, которые будут всё это сводить воедино. Альтернатива — продолжать платить за поддержку этого зоопарка, что в долгосрочной перспективе ещё дороже.
[ИЗОБРАЖЕНИЕ: Диаграмма, показывающая эволюцию ИБ-ландшафта компании от простой схемы с файрволом и антивирусом до хаотичного нагромождения из 15+ неинтегрированных систем с подписями «Куплен для проверки ФСТЭК-2020», «Внедрен после инцидента-2021», «Унаследован от поглощенной компании».]
2. Переход от compliance-driven к risk-driven подходу
Многие российские компании десятилетиями жили в парадигме «главное — пройти проверку ФСТЭК по 152-ФЗ». Бюджет безопасности формировался как сумма чеков за сертифицированные СЗИ и услуги аттестованных взломщиков. Такой подход создаёт иллюзию защищённости, но оставляет за бортом реальные бизнес-риски: утечки через корпоративные мессенджеры, атаки на цепочки поставок, инсайдерские угрозы в удалёнке. Когда новый CISO приходит и просит деньги не на ещё один сертифицированный DLP, а на платформу управления правами доступа (IAM/PAM) или продвинутый EDR, руководство в шоке — зачем, если и так всё аттестовано? Удвоение бюджета здесь — это инвестиция в переход от «галочки» к реальному снижению вероятности материальных потерь.
3. Подготовка к обязательным требованиям будущего
Регуляторная сфера не статична. После введения ФЗ-187 («о критической информационной инфраструктуре») многие КИИ-компании столкнулись с необходимостью радикального усиления защиты. Сейчас на горизонте — потенциальное ужесточение 152-ФЗ, возможные аналоги европейского NIS2, требования к безопасной разработке (Security-by-Design). Проактивный CISO видит эти тренды и просит деньги сегодня, чтобы не экстренно закупать решения втридорога завтра, когда выйдет новый приказ ФСТЭК. Бюджет идёт на пилотные проекты, обучение команды и создание задела.
4. Кадровый голод и рост стоимости специалистов
Рынок труда в ИБ перегрет. Хороший аналитик SOC, архитектор или пентестер стоит как несколько рядовых разработчиков. Чтобы удержать своих и привлечь новых, CISO вынужден просить на 30-50% больше только на фонд оплаты труда. Добавьте сюда инвестиции в постоянное обучение (без которого специалист устаревает за 2-3 года), программы лояльности, страхование — и увеличение бюджета на персонал легко достигает 70-80%. Это не прихоть, а рыночная реальность.
5. Ответ на конкретный инцидент или угрозу
Иногда триггером становится не внутренний аудит, а внешнее событие: успешная атака на компанию-аналог, утечка данных у партнёра или появление нового класса вредоносного ПО. CISO понимает, что текущий уровень защиты не сработает в аналогичном сценарии, и требует срочного финансирования на закрытие уязвимости. Это ситуативный, но часто самый убедительный для руководства запрос.
Как отличить обоснованный запрос от раздутого: чек-лист для не-технаря
Если вы CEO, CFO или член совета директоров, вам не нужно разбираться в тонкостях настройки SIEM. Но вы можете задать правильные вопросы.
- Связан ли запрос с конкретными бизнес-рисками? Вместо «нам нужна система X» CISO должен показать: «Вот три сценария, как злоумышленник может похитить нашу базу клиентов или остановить производство. Система X закрывает самый вероятный из них, что снижает потенциальные убытки на Y млн рублей в год.»
- Есть ли roadmap на 12-18 месяцев? Запрос «дайте денег» без чёткого плана расходов — красный флаг. Должна быть поэтапная дорожная карта с вехами, метриками успеха и точками возврата на инвестиции (ROI).
- Предлагаются ли альтернативные варианты финансирования? Хороший CISO не просто требует бюджет, а моделирует сценарии: «За 50% от запрошенной суммы мы закроем критичные риски за 6 месяцев. За 100% — построим устойчивую архитектуру на 3 года вперёд. А если оставить как есть, вот расчёт вероятных потерь.»
- Как новые инвестиции соотносятся с уже имеющимися системами? Будет ли новая платформа заменять старые (и можно ли тогда сократить их поддержку) или это ещё один «островок», увеличивающий сложность?
- Есть ли поддержка запроса у других технических директоров (CTO, CIO)? Если архитекторы и разработчики видят в предложениях CISO помеху для бизнеса, а не помощь — это проблема. Идеально, когда запрос сформулирован как совместная инициатива.
Сценарии: когда стоит согласиться, а когда — задать вопросы
Соглашайтесь, если:
- Запрос следует за глубоким аудитом, который выявил критические уязвимости в ключевых бизнес-процессах.
- CISO предоставляет понятную финансовую модель, где инвестиции в безопасность сравниваются с потенциальными убытками от реализации угроз (модель FAIR или аналоги).
- Компания планирует выход на новый рынок, запуск цифрового продукта или digital-трансформацию, что неизбежно расширяет поверхность атаки.
- Вы работаете в отрасли, которая стала приоритетной целью для хактивистов или организованной киберпреступности.
Требуйте детализации, если:
- Обоснование строится на страхе, неопределённости и сомнении (FUD): «все сейчас покупают», «иначе нас взломают».
- Нет чёткого плана интеграции новых решений в существующую ИТ-инфраструктуру.
- Запросы носят реактивный характер и меняются каждый квартал в ответ на новости, а не на стратегию.
- CISO не может объяснить, какие метрики (например, среднее время обнаружения инцидента, стоимость одного инцидента) улучшатся после внедрения и как это будет измеряться.
Что делать, если денег действительно нет
Идеальной ситуации не бывает. Если удвоить бюджет невозможно, но риски высоки, можно договориться о компромиссной стратегии.
- Приоритизация по модели рисков. Вместо распыления средств на всё сразу — сфокусироваться на защите самого ценного: «коронных» данных, систем управления производством, финансовых контуров. Остальное — в режиме базовой защиты.
- Поэтапное внедрение. Разбить большой проект на этапы, финансируемые поквартально. Первый этап — доказательство концепции и закрытие самой болезненной уязвимости.
- Смещение акцента с технологий на процессы. Иногда больший эффект дают не новые системы, а отлаженные процессы: регулярные тренировки по реагированию на инциденты, жёсткое управление доступом, обновление политик. Это требует меньше капитальных вложений, но больше управленческого внимания.
- Рассмотрение облачных сервисов безопасности (MSSP, Managed Detection and Response). Это позволяет получить доступ к экспертизе и технологиям высокого уровня по модели подписки, не покупая их в собственность и не нанимая дорогих специалистов.
[ИЗОБРАЖЕНИЕ: Инфографика «Компромиссная стратегия финансирования ИБ». Четыре столбца: 1) Защита только критичных активов (низкий бюджет, высокий фокус). 2) Поэтапное внедрение (средний бюджет, средний риск). 3) Фокус на процессы, а не технологии (низкий бюджет, требует времени). 4) Аутсорсинг (предсказуемые операционные расходы, зависимость от провайдера).]
Итог: диалог вместо чека
Запрос на удвоение бюджета от CISO — это не финансовый вопрос, который можно решить одним «да» или «нет». Это возможность для диалога между бизнесом и безопасностью. Цель руководства — не стать экспертом в ИБ, а научиться задавать правильные вопросы: «На какой конкретный бизнес-риск это отвечает?», «Как мы поймём, что деньги потрачены не зря?», «Что будет, если мы отложим это на год?». Цель CISO — перевести язык угроз и уязвимостей на язык бизнес-потерь и возможностей. Когда такой диалог начинает работать, вопрос о бюджете перестаёт быть конфликтом и становится частью стратегического планирования. Верить или не верить — не та дилемма, которая должна стоять перед советом директоров. Вместо этого стоит понять, насколько обоснована цена бездействия.