Руководство не покупает «безопасность». Оно покупает уверенность в том, что завтра компания продолжит зарабатывать. Ваша задача — показать, что инвестиции в защиту, это не затраты, а страховка от конкретных финансовых потерь. Когда вы говорите о рисках, вы говорите о деньгах, которые компания может потерять. ИБ из технической функции превращается в финансовый контроль.
Почему «просто бюджет на безопасность» больше не работает
Для совета директоров любая заявка на финансирование, это инвестиционный кейс. Он должен обосновывать возврат денег либо снижение убытков. Фраза «это нужно для безопасности» не проходит проверку по этому принципу. В лучшем случае её воспримут как необходимую, но непонятную статью расходов, которую можно урезать. В худшем — как попытку построить «крепость ради крепости» за счёт прибыли. Нужно сместить фокус с технических подробностей на защиту денежных потоков.
Шаг 1: Найдите кровеносную систему компании, а не просто «данные»
Первый шаг — отказаться от инвентаризации «серверов и рабочих станций» в пользу бизнес-активов. Цель — определить 5-7 точек, удар по которым вызывает немедленную финансовую боль или стратегические потери.
- Процессообразующие системы: Это не просто «сервер 1С». Это система, без которой на следующий день не выставляются счета, не идут отгрузки со склада или останавливается автоматизированная линия. Их простой измеряется в часах простоя выручки.
- Активы, создающие конкурентное преимущество: Уникальная конфигурация оборудования, алгоритм динамического ценообразования, натренированная модель машинного обучения. Их копирование конкурентами обесценивает бизнес.
- Активы доверия: Способность гарантировать клиентам сохранность их данных (ключевой аргумент для B2B) или непрерывность оказания услуг. Их потеря ведёт к оттоку.
Составьте карту: какой бизнес-процесс, какой актив его обеспечивает, каков финансовый эффект от часа/дня простоя.
Шаг 2: Переведите угрозы в сценарии бизнес-сбоев
Забудьте про «эксплойты» и «уязвимости нулевого дня». Говорите на языке операционных рисков, который понятен любому руководителю.
- Не «вирус-шифровальщик», а: «Риск остановки конвейерной линии на 72 часа из-за блокировки серверов управления, что приведёт к невыпуску продукции на X миллионов».
- Не «утечка данных», а: «Риск раскрытия коммерческой тайны и базы клиентов, ведущий к штрафам Роскомнадзора по 152-ФЗ, искам партнёров и потере конкурентного преимущества».
- Не «DDoS-атака», а: «Риск недоступности интернет-магазина в час пиковых продаж, приводящий к прямому падению выручки и переходу клиентов к конкурентам».
Шаг 3: Посчитайте стоимость инцидента до того, как он случился
Здесь нужна простая, но убедительная арифметика. Используйте модель оценки годовых ожидаемых потерь. Не нужно сверхточных расчётов — достаточно реалистичных оценок, основанных на известных метриках бизнеса (средний чек, объём производства в день, размеры штрафов).
| Актив / Сценарий | Потенциальный единовременный ущерб | Вероятность в год | Годовая ожидаемая потеря (ГЭП) |
|---|---|---|---|
| Система онлайн-платежей: DDoS, простой 8 ч | 2.5 млн руб. (расчёт на основе ср. выручки за 8 ч) | 20% | 500 тыс. руб. |
| База ПДн клиентов: утечка, нарушение 152-ФЗ | От 3 млн руб. (штрафы, уведомления, аудит) | 15% | 450 тыс. руб. |
| Сервер управления производством: шифровальщик, простой 3 дня | 18 млн руб. (невыпуск продукции + аварийные работы) | 10% | 1.8 млн руб. |
Суммарная ГЭП = 2.75 млн руб./год. Эта цифра — ваш главный аргумент. Это не абстрактная угроза, а расчётная сумма, которую компания может терять ежегодно из-за киберинцидентов. Задача ИБ — уменьшить эту цифру.
Шаг 4: Превратите затраты в инвестиции с измеримой окупаемостью
Подавайте бюджет не списком закупок, а портфелем проектов по снижению рисков. Каждый проект должен показывать, какую часть ГЭП он «съедает».
| Проект (инвестиции) | На что направлен | Стоимость в год | Как снижает ГЭП | Эффект (снижение ГЭП) |
|---|---|---|---|---|
| Внедрение EDR и мониторинга (SOC) | Риск шифровальщиков, несанкционированный доступ | 2.5 млн руб. | Снижает вероятность и ущерб по ключевым сценариям на ~60% | ≈ 1.1 млн руб. экономии на потенциальных убытках |
| Апгрейд защиты от DDoS | Риск проступа онлайн-сервисов | 800 тыс. руб. | Снижает вероятность с 20% до 5% | ≈ 300 тыс. руб. экономии |
| Внедрение DLP для R&D | Риск утечки ноу-хау и исходного кода | 1.5 млн руб. (внедрение + год сопровождения) | Защищает актив, потеря которого не имеет прямой стоимостной оценки, но фатальна для бизнеса. Позволяет заключать контракты с повышенными требованиями к ИБ. | Стратегический эффект, выход на новые рынки |
Теперь ваш запрос звучит иначе: «Инвестируя 4.8 млн руб. в год, мы снижаем ежегодные ожидаемые потери от инцидентов с 2.75 млн до 1.35 млн руб. и защищаем ключевые активы для роста». Защита становится инструментом финансового контроля.
Шаг 5: Используйте регуляторику как рычаг для роста, а не как обузу
Требования регуляторов — не просто бюрократия. Это финансовые условия доступа к рынкам.
- ФСТЭК и ГИС: Это не «аттестация ради аттестации». Это билет на участие в госзакупках и тендерах крупнейших компаний. Стоимость проекта аттестации и СЗИ, это плата за вход на рынок с оборотом в миллиарды.
- 152-ФЗ: Выполнение требований — не только защита от штрафов. Для B2B-сегмента это часто обязательное условие договора. Соответствие становится коммерческим преимуществом, которое позволяет брать премию за услугу или выигрывать тендеры.
- Киберстрахование: Страховщики всё чаще требуют наличия базовых средств защиты. Инвестиции в ИБ напрямую снижают страховую премию, что даёт измеримый финансовый эффект.
Что сказать совету директоров: трёхминутный брифинг
- Риск: «Мы выявили три ключевых актива, от которых зависит 70% нашей операционной выручки. Реализация киберрисков по ним может обойтись нам в 15-20 миллионов единовременно, а годовая вероятность таких событий оценивается в 10-15%».
- Стратегия: «Мы предлагаем сфокусированную программу из двух этапов. Первый этап стоимостью N миллионов рублей в год снизит эти ключевые риски на 50-60% в течение 12 месяцев, что эквивалентно экономии на потенциальных убытках в размере X миллионов».
- Запрос и эффект: «Для старта нужен бюджет в A рублей. Это не только сократит финансовые потери, но и позволит нам выполнить требования ключевого регулятора (ФСТЭК), открывая доступ к новым контрактам на сумму от B миллионов».
Когда вы приходите с такой логикой, вы перестаёте быть просителем. Вы становитесь управляющим рисками, который предлагает чёткий план по защите денег компании. И это — единственный язык, который совет директоров готов слушать и финансировать.