«Позиция «ИБ — чёрная дыра для бюджета», это не приговор, а сигнал, что ваш отдел говорит с бизнесом на разных языках. Ситуацию можно перевернуть, превратив разговор о затратах в разговор об управлении рисками, но для этого нужна конкретика, а не абстрактные угрозы»
.
Откуда берётся «чёрная дыра» и почему её не существует
Когда финансовый директор или технический руководитель называет информационную безопасность «чёрной дырой», он имеет в виду конкретные вещи. Бюджет на ИБ регулярно утверждается, но его траты сложно связать с измеримым результатом для бизнеса. Со стороны это выглядит как бесконечный поток расходов на лицензии, обучение и обновления, который не приносит видимой прибыли, а лишь «предотвращает гипотетические потери».
Однако настоящая «дыра» — не в бюджете, а в коммуникации между отделом ИБ и руководством. ИБ-специалисты часто говорят о технических мерах защиты, не переводя их на язык бизнес-рисков и операционных потерь. CIO же мыслит категориями инфраструктурной стабильности, времени простоя систем и потери данных, которые напрямую влияют на выручку. Без этого перевода любой запрос на финансирование выглядит как желание «купить страховку от неизвестно чего».
Что должен знать CIO: скрытые издержки «экономии» на ИБ
Главная ошибка при сокращении бюджета — рассматривать ИБ как статью переменных расходов, которую можно временно урезать без последствий. На деле, надёжная ИБ-инфраструктура, это фиксированный компонент, обеспечивающий работу всего остального. Её ослабление приводит к накоплению «технического долга» в области безопасности, который потом обходится в разы дороже.
Рассмотрим три слоя скрытых издержек, о которых часто не говорят:
- Операционные потери от инцидентов. Время, которое технические специалисты тратят на ликвидацию последствий атаки,, это время, отнятое у развития инфраструктуры. Простой ключевого сервиса на несколько часов может означать прямые убытки, сопоставимые с годовым бюджетом на защиту.
- Репутационные риски. Утечка данных клиентов или партнёров подрывает доверие. Восстановление репутации — процесс долгий и дорогой, не имеющий чёткой сметы.
- Регуляторные последствия. Несоблюдение требований 152-ФЗ или отраслевых стандартов (например, ФСТЭК) ведёт не только к штрафам. Это может привести к приостановке деятельности, обязательному аудиту и принудительному внедрению мер под контролем регулятора, что всегда дороже и болезненнее, чем плановое развитие.
Подготовка к разговору: от абстракций к цифрам и сценариям
Защищать бюджет абстрактными фразами «без этого不安全» бесполезно. Нужен структурированный пакет документов, который смещает фокус с затрат на управление рисками.
1. Карта активов и их критичности
Первое, что нужно показать, — вы не защищаете «всё подряд», а prioritизируете. Создайте таблицу ключевых информационных активов компании и оцените их по двум параметрам: критичность для бизнес-процессов и чувствительность хранимых данных.
| Актив (система / сервис) | Критичность для бизнеса (1-5) | Чувствительность данных (1-5) | Текущий уровень защиты | Выявленные уязвимости |
|---|---|---|---|---|
| Система онлайн-платежей | 5 | 5 | Высокий | Отсутствуют (благодаря ежегодным проверкам) |
| Внутренний портал документооборота | 4 | 5 | Средний | Устаревшее ПО, требует обновления |
| Сервер для тестирования | 2 | 1 | Базовый | Известные уязвимости, низкий приоритет |
Такая таблица наглядно демонстрирует, куда и зачем направляются средства. Бюджет концентрируется на активах с высокой критичностью, а не распыляется равномерно.
2. Моделирование финансовых последствий инцидента
Приготовьте несколько реалистичных сценариев. Не «может произойти кибератака», а «при нарушении работы платежной системы на 8 часов мы теряем X рублей выручки в час, плюс Y рублей на экстренные работы команды, плюс потенциальный штраф по 152-ФЗ в размере Z рублей».
Цифры должны быть основаны на внутренней статистике или отраслевых данных. Сравните совокупную стоимость возможного инцидента с запрашиваемым бюджетом на профилактические меры. Часто это сравнение оказывается не в пользу экономии.
3. Дорожная карта затрат с понятными этапами
Представьте бюджет не как единую сумму, а как поэтапный план на год. Разбейте его на кварталы и привяжите каждый этап к конкретному результату, снижающему определённый риск из вашей карты активов.
- Q1: Внедрение системы управления уязвимостями для критических серверов. Результат: Снижение риска эксплуатации известных уязвимостей в системах с критичностью 4-5 на 70%.
- Q2: Обновление средств криптографической защиты данных в документообороте. Результат: Приведение в соответствие с требованиями ФСТЭК, исключение риска штрафов по этому направлению.
- Q3: Проведение тренировок по реагированию на инциденты для IT-отдела. Результат: Сокращение среднего времени восстановления после инцидента (MTTR) с 4 часов до 1.5 часов.
Сам разговор: тактика и фразы
Когда подготовительная работа сделана, можно выстраивать диалог. Начните не с просьбы о деньгах, а с демонстрации понимания бизнес-задач CIO.
Инициатива 1: Свяжите ИБ с KPI IT-отдела. Предложите включить показатели информационной безопасности в метрики работы IT-инфраструктуры. Например, «доступность систем», это не только uptime серверов, но и защищённость от атак, ведущих к отказу в обслуживании. Покажите, как ваши меры напрямую поддерживают эти KPI.
Инициатива 2: Говорите на языке инвестиций, а не затрат. Вместо «нам нужно 2 млн на SIEM» скажите: «Инвестиция в 2 млн в систему анализа событий позволит нам обнаруживать аномальную активность в 10 раз быстрее. Это снизит потенциальные операционные потери от инцидента с 5 млн до 500 тыс. рублей. ROI — за один предотвращённый серьёзный инцидент».
Инициатива 3: Предложите «опционы». Если полный бюджет не проходит, не уходите с пустыми руками. Подготовьте несколько сценариев с разным уровнем финансирования и чёткими границами ответственности. «При бюджете А мы закрываем все критические риски. При бюджете Б — только 70%, и мы документально фиксируем оставшиеся 30% как принятые на себя бизнес-риски, которые CIO согласен нести». Такой подход перекладывает часть ответственности за решение на руководство и делает риски видимыми.
Что делать, если бюджет всё равно урезают
Даже самый аргументированный подход может не сработать в условиях жёсткой экономии. Ваша задача в этом случае — не просто согласиться, а профессионально задокументировать последствия.
Составьте и согласуйте официальный документ — «Отчет о принятых рисках в связи с сокращением бюджета ИБ на 20XX год». В нём чётко укажите, от каких конкретных мер защиты пришлось отказаться, какие активы остались без planned обновления и какой дополнительный риск это создаёт. Оцените этот риск по тем же финансовым сценариям, что готовили ранее.
Этот документ выполняет две функции. Во-первых, он снимает с отдела ИБ единоличную ответственность за возможные последствия. Во-вторых, он становится мощным аргументом на следующий бюджетный цикл, когда гипотетические риски могут стать ощутимее.
Главное, что нужно усвоить: диалог о бюджете, это не битва за ресурсы, а процесс совместного принятия решений об уровне cyber-рисков, которые компания готова на себя принять. Ваша роль — не просить, а предоставлять руководителю качественную аналитическую основу для этого выбора.