Реальный бюджет на безопасность: что скрывается за «да, но»
Диалог с финансовым директором, который говорит «я готов дать больше денег, если вы докажете их эффективность»,, это не просто хорошая новость. Это ключевой поворотный момент в стратегии информационной безопасности. Большинство руководителей служб ИБ воспринимают эту ситуацию как административную задачу: собрать отчёты, показать графики инцидентов, сравнить с прошлым годом. Но на самом деле CFO просит не отчёт, а бизнес-обоснование на языке рисков и стоимости самого бизнеса. Его вопрос переводится так: «Покажи мне, как инвестированный рубль уменьшит потенциальные убытки или создаст ценность». Ответ, построенный на количественных метриках вместо технических деталей, открывает доступ к принципиально другому уровню финансирования и поддержки.
От тактического отчёта к стратегическому обоснованию
Традиционный подход к обоснованию бюджета часто замыкается на оперативных показателях: количество обработанных инцидентов, процент закрытых уязвимостей, выполнение плана работ. Для CFO эти данные — лишь фон. Его интересует, как эти показатели влияют на бизнес-риски: риск простоя критичных систем, риск потери клиентских данных, риск репутационного ущерба. Разговор нужно переводить в плоскость финансовых последствий.
Допустим, планируется внедрение системы класса SIEM. Вместо списка технических преимуществ («централизованный сбор логов», «корреляция событий») эффективнее представить расчёт: какой ущерб может нанести необнаруженная компрометация в течение недели? Если оценка ущерба от простоя систем составляет сумму X, а стоимость внедрения SIEM — Y, то срок окупаемости инвестиции можно выразить в вероятности предотвращения одного крупного инцидента. CFO мыслит именно такими категориями.
Ключевые метрики для диалога с финансистами
Чтобы сделать обоснование убедительным, требуется перевести активы и угрозы в количественные показатели. Фокус должен быть не на ИТ-активах, а на бизнес-процессах, которые они поддерживают.
Оценка потенциального финансового воздействия (Financial Impact)
- Прямые затраты: штрафы регулятора (например, по 152-ФЗ или 187-ФЗ), стоимость экспертиз и восстановительных работ, выплаты по судебным искам.
- Косвенные потери: упущенная выгода из-за простоя систем, падение стоимости акций (для публичных компаний), отток клиентов.
- Репутационный ущерб: его сложнее измерить, но можно оценить через потенциальное снижение лояльности клиентов и рост стоимости привлечения новых.
Вероятность реализации угроз (Threat Likelihood)
Здесь не обойтись без внутренней статистики и отраслевых данных. Анализ собственных инцидентов, частота атак на отрасль, данные из CERT-организаций — всё это позволяет перейти от абстрактных «угроз» к конкретным вероятностям. Например: «Вероятность успешной атаки типа ransomware на нашу отрасль в этом году, по данным открытых источников, оценивается в Z%. В случае реализации в нашей инфраструктуре потенциальный ущерб составит N млн рублей». Такой подход показывает, что ИБ руководствуется не страхами, а управлением вероятностями.
Структура доказательств: пошаговая сборка
- Привязка к бизнес-целям. Начните не с технологий, а с стратегии компании. Если бизнес выходит на новый рынок, укажите, какие новые регуляторные требования возникают и какие риски (например, связанные с кибершпионажем) нужно прикрыть. Если планируется цифровая трансформация, покажите, как предложенные меры безопасности позволят реализовать её быстрее и безопаснее.
- Количественная модель рисков. Создайте упрощённую, но наглядную модель. Например, таблица с тремя сценариями: оптимистичным, реалистичным и пессимистичным. Для каждого сценария оцените финансовые последствия инцидента и вероятность его возникновения с учётом текущего уровня защиты и после внедрения предлагаемых мер. Цель — показать, как инвестиции снижают ожидаемые потери.
- Сравнение альтернатив. CFO всегда рассматривает варианты. Представьте минимум два подхода: базовый (минимальный, соответствующий требованиям регуляторов) и оптимальный (стратегический, покрывающий ключевые бизнес-риски). Наглядно покажите разницу в охвате рисков и потенциальной экономии на ущербе. Такой расчёт делает выбор очевидным.
- ROSI (Return on Security Investment). Рассчитайте возврат на инвестиции в безопасность. Формула упрощённо выглядит так: (Снижение риска за год — Стоимость решения) / Стоимость решения. Снижение риска, это разница между ожидаемыми годовыми потерями до и после внедрения. Положительный ROSI — мощный аргумент.
Формат презентации: говорите на языке цифр и графиков
Самую убедительную модель можно испортить неподготовленной презентацией. Избегайте технического жаргона. Сведите ключевые данные в один слайд, который выглядит как привычный для CFO финансовый отчёт.
| Предлагаемая мера | Инвестиции (CAPEX/OPEX) | Покрываемый риск | Ожидаемое снижение годовых потерь | Расчётный ROSI |
|---|---|---|---|---|
| Внедрение PAM-решения | 1.5 млн руб. (разово), 0.3 млн руб./год | Инциденты по вине инсайдеров, компрометация привилегированных учётных записей | ~2.1 млн руб./год | 40% за первый год |
| Повышение готовности SOC | 0.8 млн руб./год (доп. ресурсы) | Время обнаружения и реагирования на целевые атаки | ~1.5 млн руб./год (за счёт сокращения времени простоя) | 88% |
Дополните таблицу графиком, показывающим динамику совокупного ожидаемого ущерба с течением времени при различных сценариях финансирования. Это делает выбор стратегии наглядным.
Лояльность CFO, это ресурс, который нужно конвертировать в доверие через понятные ему аргументы. Когда финансист видит в руководителе ИБ партнёра, который мыслит категориями бизнес-рисков и финансовых результатов, а не только технических требований, бюджетные барьеры исчезают. В этом случае «+50%» становится не пределом, а лишь первым шагом к адекватному финансированию безопасности как инвестиции, а не как затрат.