«Путь в совет директоров часто лежит через управление выручкой, активами или людьми. Безопасность считается обслуживающей функцией, которая тратит деньги, а не зарабатывает. Это ошибка. Настоящий директор по безопасности — это тот, кто видит, как технический сбой превращается в потерю клиентов, а регуляторный штраф — в обвал капитализации. Его роль не в защите данных, а в защите бизнес-модели. И эта экспертиза критична для совета директоров, который принимает стратегические решения, не видя их технологической изнанки.»
Почему совет директоров не видит в CISO кандидата
В повестке совета директоров преобладают вопросы, которые можно измерить в рублях или в долях рынка. Слияния и поглощения, крупные инвестиции, назначения топ-менеджеров — всё это имеет прямую и понятную финансовую проекцию. Информационная безопасность в этой системе координат выглядит как обременение: затраты на софт, зарплаты специалистов, соблюдение требований, которые замедляют развитие.
Барьер — разный язык. CISO докладывает об успешном отражении N атак, закрытии уязвимостей и выполнении плана мероприятий по 152-ФЗ. Члены совета думают о рентабельности, денежном потоке и капитализации. Первые говорят о вероятности инцидента, вторые — о волатильности акций.
Управление рисками на уровне совета — это традиционно кредитные, рыночные и операционные риски в их финансовом выражении. Технологический риск редко выносится на обсуждение как самостоятельная категория, чаще он растворён в рисках IT-департамента. Пока не происходит значимый инцидент, безопасность остаётся вне поля стратегического зрения.
Перелом наступает, когда регулятор приостанавливает действие лицензии или данные клиентов оказываются в открытом доступе. Только тогда становится видно, что технологическая поломка — это не проблема IT-отдела, а событие, влияющее на выполнение контрактов, рыночную стоимость и будущее компании.
[ИЗОБРАЖЕНИЕ: Инфографика. Три колонки: «Технический инцидент» (иконка: взлом) → «Бизнес-последствие» (иконка: разорванный контракт) → «Финансовый результат» (иконка: падающий график). Примеры связей: «Утечка БД клиентов» → «Иск от ключевого партнёра, отзыв лицензии» → «Штрафы + падение выручки на X%»]
Как перевести язык рисков на язык бизнес-результатов
Ключевой навык — отказ от технического жаргона. Цель не в том, чтобы объяснить совету директоров, как работает SQL-инъекция, а в том, чтобы показать, к чему она приводит.
Каждую угрозу нужно пропустить через цепочку последствий: техническая уязвимость → нарушение бизнес-процесса → финансовый ущерб + репутационные потери. Например, атака на систему расчёта зарплаты — это не просто «компрометация сервера». Это риск несанкционированного изменения данных, который ведёт к задержке выплат, трудовым спорам, проверкам ГИТ и, как следствие, к потере репутации как работодателя и росту операционных издержек.
Рассмотрим структурированный перевод для типичного риска в финансовом секторе:
| Уровень | Типичный язык CISO | Язык для совета директоров |
|---|---|---|
| Технический | Обнаружена критическая уязвимость в API перевода средств. | Существует техническая возможность несанкционированного списания денежных средств со счетов клиентов. |
| Бизнес-процесс | Нарушение конфиденциальности и целостности данных. | Ключевая услуга компании — проведение платежей — подвержена сбою и мошенническим операциям. |
| Финансовый | Затраты на устранение инцидента, патчи. | Потенциальные прямые потери от мошенничества + штрафы ЦБ РФ за нарушение 161-ФЗ + обязательные компенсации клиентам. |
| Репутационный & Стратегический | Инцидент занесён в базу. | Публикация факта утечки приведёт к оттоку клиентов к конкурентам, снижению доверия партнёров и возможным ограничениям со стороны платежных систем. |
Такой подход требует от CISO погружения в операционную и финансовую модель компании. Он должен знать, какие процессы приносят основную прибыль, какие контракты включают штрафные санкции за недоступность и как оценивается бренд на рынке.
Переход от управления командой к влиянию на стратегию
Операционный CISO управляет ресурсами, выделенными на безопасность. Его KPI — количество обработанных инцидентов, процент закрытых уязвимостей, выполнение графика работ. Его влияние заканчивается на границе его подразделения.
Стратегический CISO, претендующий на место в совете, должен влиять на решения, которые принимаются до его вовлечения. Его экспертиза должна стать частью фильтра, через который пропускают новые инициативы. Это смена парадигмы с «как защитить то, что уже решили сделать» на «как сделать так, чтобы решение по умолчанию было безопасным и соответствовало регуляторному полю».
Вот области, где его голос становится стратегическим:
- Сделки M&A. При поглощении стартапа оценка не его годовой отчетности по ИБ, а состояния его кодовой базы и архитектуры. Технический долг в безопасности может обнулить синергетический эффект от сделки, потребовав многолетних инвестиций в переделку продукта.
- Разработка новых продуктов. Не согласование ТЗ, а участие в формировании продукта на стадии идеи. Например, отказ от хранения биометрических данных в своей системе, если это не является ключевой ценностью продукта, снимает десятки требований ФСТЭК и 152-ФЗ, ускоряя вывод на рынок.
- Выбор технологического стека. Решение о миграции в облако или использовании иностранного SaaS — это не только вопрос удобства и стоимости. Это вопрос юрисдикции данных, выполнения приказов ФСТЭК и риска внезапной недоступности сервиса. CISO может量化这些风险 (quantify), представив сценарий, в котором затраты на экстренный переход на другую платформу превышают многолетнюю экономию.
В этих вопросах CISO выступает не как исполнитель, а как консультант, чья оценка влияет на распределение капитала и стратегические приоритеты компании.
Кейсы: как директоры по безопасности становились независимыми директорами
В российском банковском секторе есть практичный пример. CISO начал готовить для правления не отчёт о проделанной работе, а «карту технологических рисков для ключевых доходных линий». Он выделил три линии: ипотечное кредитование через партнёрский портал, эквайринг для среднего бизнеса и удалённое открытие счетов.
Для каждой линии он построил модель, связывающую инциденты с финансовыми показателями. Например, для эквайринга: DDoS на шлюз → недоступность приёма платежей у сотен торговых точек → штрафы по договорам SLA + риск расторжения контрактов. Он рассчитал, что час простоя в пиковый час обходится не в абстрактные «потери имиджа», а в конкретную сумму, сравниваемую с недельной выручкой от комиссии.
Когда правление обсуждало замену процессинговой системы, CISO представил не только сравнение вендоров по функциональности безопасности, но и анализ операционных рисков миграции. Он показал, что быстрая, но рискованная миграция может привести к инциденту в период высокой нагрузки (например, в «чёрную пятницу»), что перечеркнёт всю экономию от нового контракта. Его аргументация сместила фокус с цены контракта на общую стоимость владения с учётом рисков.
После нескольких подобных сессий его стали приглашать на все совещания, связанные с цифровыми каналами. Его роль трансформировалась из технического контролёра в стратегического советника. Спустя время он был предложен в совет директоров как независимый директор, отвечающий за надзор за цифровыми рисками.
Другой пример — из промышленной компании, внедряющей «цифровой двойник» производства. Требования ФСТЭК к таким системам (защищённый контур, СЗИ) увеличивали бюджет проекта на треть. Руководство видело в этом избыточные расходы.
CISO подготовил альтернативный расчёт не как смету, а как сравнительный анализ двух стратегий.
| Параметр | Стратегия «Быстрый запуск» (экономия на ИБ) | Стратегия «Защищённый контур» |
|---|---|---|
| Срок ввода в промэксплуатацию | 9 месяцев | 12 месяцев |
| Прямые затраты на ИБ | 5 млн руб. | 25 млн руб. |
| Риск приостановки по предписанию регулятора | Высокий. Основание: обработка техданных без выполнения приказов ФСТЭК. | Минимальный. Система изначально соответствует требованиям. |
| Потенциальные убытки от приостановки | Расчёт: 300 млн руб. (остановка высокомаржинальной линии, срыв госзаказа, штрафы). | Расчёт: 0 (риск исключён). |
| Влияние на страховую премию по киберстрахованию | Высокая ставка или отказ в страховании. | Стандартная ставка, риск застрахован. |
Этот анализ показал, что дополнительные 20 млн рублей на безопасность — это не затраты, а инвестиция в страховку от 300-миллионных убытков. Совет директоров утвердил бюджет с полным комплектом требований ИБ, а CISO стал постоянным участником комитета по инвестициям.
Что требуется для подготовки к переходу
Бизнес-экспертиза поверх технической
Нужно понимать бизнес глубже, чем его понимают некоторые руководители направлений. Как компания зарабатывает деньги? Какая доля выручки зависит от цифровых каналов? Какие контракты содержат жёсткие SLA и огромные штрафы за срыв? Какие активы наиболее привлекательны для конкурентов или рейдеров? Без ответов на эти вопросы не построить убедительную связь между уязвимостью и убытками.
Регуляторика как драйвер стоимости, а не ограничитель
Знание 152-ФЗ, приказов ФСТЭК, отраслевых стандартов Банка России — это таблица умножения. Далее нужно понимать, как регуляторные санкции работают на практике. Штраф — это часто меньшая проблема. Гораздо опаснее предписание о приостановке обработки данных, которое может заморозить весь онлайн-бизнес, или отказ в согласовании изменений в защищённую систему, который блокирует развитие продукта. Умение перевести регуляторный риск в риск остановки бизнеса — ключевой аргумент для совета.
Коммуникация: от отчёта к резюме для принятия решений
Формат взаимодействия с высшим руководством должен быть жёстко пересмотрен. Вместо 50-страничных ежеквартальных отчётов — одностраничные меморандумы перед каждым заседанием совета по стратегическим вопросам. Структура: 1) Рассматриваемое решение (например, покупка компании X). 2) Основные выявленные технологические и регуляторные риски (например, несоответствие её ИТ-инфраструктуры КЗ и риск срыва интеграции). 3) Оценка влияния рисков на стоимость сделки и пост-интеграционные расходы. 4) Рекомендация (провести глубокий аудит до подписания, заложить дополнительные N млн руб. в сделку).
[ИЗОБРАЖЕНИЕ: Шаблон слайда для презентации совету директоров. Заголовок: «Оценка рисков для проекта “Запуск Marketplace”». Блоки: «Цель проекта: +15% к выручке за 2 года»; «Ключевой выявленный риск: обработка ПДн поставщиков без надлежащего согласия»; «Последствие: штраф до 6 млн руб. + иск от Роскомнадзора о приостановке проекта»; «Требуемое решение: выделить 3 месяца и 2 млн руб. на легализацию процессов до запуска».]
Формирование коалиций внутри компании
Никто не войдёт в совет директоров по единоличной инициативе. Нужны союзники. Финансовый директор — естественный союзник, если CISO говорит на языке финансовых рисков и окупаемости инвестиций в ИБ. Руководитель развития бизнеса станет союзником, если CISO поможет ему быстрее и безопаснее выводить продукты, решая регуляторные вопросы заранее. Юрист оценит помощь в снижении судебных и репутационных рисков. Нужно стать не «начальником охраны», а внутренним консультантом по технологическим рискам для ключевых игроков.
Роль независимого директора: отличие от операционного CISO
Позиция независимого директора в совете — это позиция надзора и советов, а не управления. Он не выбирает, какой антивирус купить. Его функция — задавать неудобные вопросы генеральному директору и совету: «Как изменится наша подверженность кибератакам после выхода на рынок Казахстана?», «Достаточен ли выделенный бюджет на ИБ для соответствия новым требованиям ФСТЭК, которые вступают в силу в следующем году?», «Каков план действий на случай, если наш основной облачный провайдер попадёт под санкции и мы потеряем доступ?».
Его ценность для совета — в предоставлении того самого «отдельного взгляда на бизнес», через призму технологической реализуемости и защищённости. Он помогает совету видеть «слепые зоны», которые не видят ни финансисты, ни маркетологи. Его задача — обеспечить, чтобы технологический риск был таким же учтённым фактором в стратегическом планировании, как и рыночный или валютный.
Таким образом, путь CISO в совет директоров — это не карьерный рост, а смена профессии. Это переход от управления тактикой защиты к формированию стратегии устойчивости компании. Главный инструмент для этого перехода — не новые сертификаты, а умение говорить на языке бизнес-результатов и переводить технические угрозы в термины финансовых потерь и упущенных возможностей.