Как превратить затраты на compliance в доказательства сохранения прибыли

от

“Вся регуляторика в России, это не про защиту данных, а про деньги. Стоимость санкций, упущенной выгоды, репутации. Глупо говорить руководству о важности 152-ФЗ, не переведя его на язык прибыли и рисков. Нужно строить KPI не от штрафов, а от сохранённых контрактов.”

С чего начинается разговор с руководством

Первая и главная ошибка — начинать с требований ФСТЭК, Роскомнадзора, технических деталей. Руководитель, который не погружён в тему, услышит только: «нам нужно купить что-то дорогое и нанять людей, потому что так написано в законе». Его мозг мгновенно переводит это в статью расходов без понятной отдачи. Нужно сменить точку входа.

Вместо «нам нужно выполнить 152-ФЗ» говорите: «нас могут оштрафовать на 6 млн рублей за один инцидент, но мы сейчас защищены только на 20%. Каждый месяц мы проходим в зоне риска». Вместо «защитить персональные данные» — «сохранить доступ к ключевому рынку B2C, где утечка данных блокирует все сделки». Этот фрейминг ставит compliance не как моральный долг, а как бизнес-необходимость, страховку от катастрофических потерь.

Важно сразу отказаться от роли просителя и примерить роль стратегического партнёра. Ваша задача — не выпросить бюджет, а показать, какой бюджет компания уже теряет, оставаясь уязвимой. Это требует подготовки.

Соберите базовый комплект данных перед встречей. В него должны войти не абстрактные «требования», а конкретные цифры и прецеденты.

  • Средний размер штрафов ФСТЭК и Роскомнадзора за последние два года по вашей отрасли. Например, для IT-компаний цифры часто выше, так как у них больше данных.
  • Случаи из новостей, где похожая компания получала не только штраф, но и репутационный удар. Оцените примерные потери от падения акций, ухода клиентов.
  • Стоимость одного часа простоя вашей критической системы из-за инцидента информационной безопасности.
  • Список ваших текущих контрактов (особенно госзаказ), где прямо прописаны требования по защите информации. Подсчитайте их общий объём. Отсутствие аттестата или акта соответствия ставит под угрозу именно эти деньги.

С таким подходом первый слайд презентации для правления будет не про ISO, а про риски в рублях и контрактах.

Три аргумента, которые работают на правлении

Руководство воспринимает информацию через призму финансовой отчётности, стратегических рисков и операционной эффективности. Чтобы достучаться, ваши аргументы должны звучать на этом языке.

1. Предотвращённые убытки, а не выполненные требования

Это самый мощный аргумент, но его сложнее всего подготовить. Нельзя просто сказать: «Мы купили межсетевой экран, и это хорошо». Нужна причинно-следственная связь.

Начните с инцидентов, которые уже были. Например, попытка фишинга, заблокированная системой. Посчитайте гипотетический ущерб, если бы она прошла: стоимость восстановления доступа к почте, рассылку уведомлений клиентам, возможный штраф. Сравните эту сумму со стоимостью решения, которое атаку остановило.

Если инцидентов не было, используйте данные пентестов или аудитов. Отчёт «обнаружено 15 критических уязвимостей» сам по себе ничего не значит для финансового директора. Но если вы переведёте это в «если эксплуатировать уязвимость X, злоумышленник получит доступ к базе данных N клиентов, что влечёт штраф до Y миллионов», картина меняется. Вы показываете не проблемы, а конкретные финансовые риски, которые уже существуют и требуют закрытия.

2. Доступ к рынкам и контрактам

Для многих IT-компаний, особенно работающих с госсектором или крупным бизнесом, compliance — не добровольная история, а пропускной билет. Здесь аргумент простой и железобетонный.

Составьте матрицу ваших ключевых клиентов или перспективных тендеров. Рядом укажите их обязательные требования: наличие аттестата ФСТЭК по определённой модели угроз, СЗИ из определённого реестра, выполнение приказов №21/17/239 и т.д. Если у вас этого нет, отметьте ячейку красным. Если есть — зелёным.

В итоге «Без выполнения этих требований мы не можем участвовать в 70% тендеров, которые приносят 40% годовой выручки. Инвестиция в получение аттестата, это не расход, а входной билет на этот рынок стоимостью X млн рублей в год». Это не гипотетическая экономия, а прямая связь с ростом доходов.

3. Снижение операционных издержек и страховки

Хорошо построенные процессы compliance постепенно начинают экономить деньги, а не только тратить их. Эту экономию нужно считать и показывать.

  • Страхование: Страховые компании при расчёте тарифа на киберстрахование (если оно доступно) запрашивают данные о мерах защиты. Наличие аттестованной инфраструктуры, политик, проведённых аудитов может снизить стоимость полиса на 15-25%.
  • Аудит и due diligence: Привлечение инвестиций, проверка перед сделкой M&A. Компании с хаотичной безопасностью проходят эти проверки тяжело, процесс затягивается, требуются дорогостоящие исправления «на ходу». Готовые и задокументированные процессы compliance резко сокращают сроки и стоимость due diligence.
  • Операционная эффективность: Централизованное управление доступом, автоматизированные процессы согласования, чёткие регламенты инцидентов сокращают время реакции ИБ-службы и простой сотрудников. Посчитайте, сколько часов в месяц тратит, например, отдел кадров на ручную работу с доступом. Автоматизация на основе правил compliance может вернуть эти часы бизнесу.

Эти аргументы формируют цельную картину: compliance защищает от потерь, открывает новые деньги и оптимизирует текущие расходы.

Как считать ROI для compliance-проектов

Ключевой вопрос от CFO: «Какую отдачу мы получим на вложенный рубль?». Классический расчёт ROI для проектов информационной безопасности — задача нетривиальная, но необходимая. Не пытайтесь выдать желаемое за действительное, лучше используйте консервативные и прозрачные модели.

Модель 1: На основе предотвращённого ущерба (ALE). Подходит для обоснования конкретных технических средств.

  1. Определите стоимость актива (SLE): Например, база данных клиентов. Её полная потеря (включая штрафы, компенсации, судебные издержки) может оцениваться в 10 млн рублей.
  2. Оцените ежегодную вероятность инцидента (ARO): Без дополнительных мер защиты экспертно (или по отраслевой статистике) оцените, как часто может происходить утечка. Например, раз в 5 лет (ARO = 0.2).
  3. Рассчитайте ежегодные ожидаемые потери (ALE): SLE (10 млн) * ARO (0.2) = 2 млн рублей в год.
  4. Оцените, как решение снижает вероятность: Внедрение системы DLP может снизить вероятность успешной утечки в 5 раз. Новая ARO = 0.04.
  5. Новый ALE: 10 млн * 0.04 = 400 тыс. рублей в год.
  6. Экономия (ROI): Старый ALE (2 млн) — Новый ALE (400 тыс.) = 1.6 млн рублей в год. Если стоимость внедрения и поддержки DLP составляет 1 млн в год, чистый экономический эффект — 600 тыс. рублей в год. ROI = (Эффект / Затраты) * 100% = (0.6 / 1) * 100% = 60%.

Эта модель наглядна, но требует обоснованных оценок вероятности.

Модель 2: На основе сохранённого дохода. Проще и убедительнее для правления.

  • Затраты на проект: 3 млн рублей (аттестация по 152-ФЗ).
  • Доход, который становится доступен: возможность участвовать в гостендерах на общую сумму 50 млн рублей в год с маржинальностью 20%.
  • Дополнительная прибыль: 50 млн * 20% = 10 млн рублей в год.
  • Даже если выиграете не все тендеры, а только 20%, это 2 млн прибыли. ROI за первый год положительный.

Главное — быть готовым обосновать каждую цифру. «Мы предполагаем» должно смениться на «по данным отраслевых отчётов» или «по опыту нашего участия в прошлых тендерах».

Что делать, если бюджет уже «закрыт»

Частая ситуация: необходимость ясна, но финансовый год начался, все средства распределены. В этом случае нужно переходить от стратегии «проекта» к тактике «поэтапного внедрения за счёт операционных расходов».

Не просите 5 млн рублей разом. Разбейте план на квартальные этапы, каждый из которых решает конкретную бизнес-задачу и укладывается в меньший бюджет.

  1. Квартал 1: Аудит и приоритизация. Задача — не тратить деньги, а понять, где они нужнее всего. Закажите внешний аудит соответствия 152-ФЗ. Его стоимость (200-500 тыс. рублей) можно найти в бюджете на консалтинг. Итог — детальный план с приоритетами: что критично для сохранения текущих контрактов, что — для выхода на новые рынки.
  2. Квартал 2: «Низко висящие фрукты». Реализуйте меры, не требующие крупных капзатрат, но снижающие риски. Например, разработка и внедрение политик информационной безопасности, обучение сотрудников. Эффект: снижение человеческого фактора риска, плюс вы демонстрируете правлению прогресс и дисциплину.
  3. Квартал 3: Целевые инвестиции. Направьте освободившиеся в течение года средства (или запросите небольшой дополнительный бюджет) на решение самой болезненной проблемы из аудита. Например, на внедрение средства защиты от НСД для критичных серверов, если это было слабым местом. Обоснуйте это конкретным риском для конкретного контракта.
  4. Квартал 4: Подготовка к следующему циклу. На основе проделанной работы и достигнутых результатов подготовьте обоснование для полноценного бюджета на следующий год. Теперь у вас будут не предположения, а факты: мы закрыли X уязвимостей, что позволило пройти проверку ключевого заказчика, мы готовы к аттестации, осталось докупить Y.

Такой подход показывает, что вы управляете процессом, а не просто просите деньги. Он превращает compliance из «чёрной дыры для бюджета» в управляемую инвестиционную программу.

Как говорить о рисках, которые ещё не материализовались

Самый сложный момент — обосновать расходы на защиту от угроз, которых «никогда не было». Аргумент «а вдруг» не работает. Нужно сместить фокус с гипотетической атаки на уже существующие последствия неготовности.

  • Не «нас могут взломать», а «у нас нет регламента реагирования на инцидент». Последствия: в случае реальной проблемы хаос, паника, затянутый простой, ошибки в коммуникации с регулятором, что ведёт к увеличению штрафа.
  • Не «сотрудник может украсть данные», а «у 80% сотрудников доступ к данным превышает их служебные обязанности». Это уже текущее состояние нарушает принцип минимальных привилегий, прямо упомянутый в 152-ФЗ. Его исправление — не подготовка к атаке, а приведение текущего режима в соответствие с законом.
  • Не «может случиться DDoS», а «наша инфраструктура не позволяет быстро выделить дополнительные ресурсы под критичный сервис при атаке». Это вопрос архитектурной устойчивости, который влияет и на отказоустойчивость в целом.

Говорите о дефектах, которые существуют здесь и сейчас. Их устранение, это не трата на «потенциальное будущее», а исправление текущих нарушений, снижающих стоимость компании и увеличивающих её операционные риски.

Используйте аналогию со строительными нормами. Никто не спрашивает, зачем делать крепкий фундамент, если дом ещё не рухнул. Нормы предписывают его делать с запасом прочности, исходя из расчётных рисков. Регуляторные требования — тот же расчётный запас прочности для информационных активов компании.

Итог: главный слайд для презентации

Всю подготовку, аргументы и расчёты сведите в одну итоговую таблицу, которая станет главным слайдом вашего выступления перед правлением. Она должна быть предельно ясной, цифровой и привязанной к бизнесу.

Направление воздействия Текущая ситуация (риск/упущение) Предлагаемое решение Инвестиция (CAPEX/OPEX) Ожидаемый эффект (в руб./год)
Соответствие 152-ФЗ для госзаказчика А Риск потери контракта на 25 млн руб./год. Нет обязательного аттестата. Проведение аттестации по модели угроз №1 (3-й уровень). 1.5 млн руб. (разово) Сохранение дохода 25 млн руб. + возможность новых тендеров (оценка +15 млн).
Защита от утечек данных (PD) Выявлено 15 каналов возможной утечки. Потенциальный штраф до 6 млн руб. Внедрение DLP и обучение сотрудников. 800 тыс. руб./год Снижение вероятности инцидента на 80%. Экономия на потенциальных штрафах и репутационных потерях ~4.8 млн руб.
Операционная эффективность ИБ Ручное управление доступом, 40 чел./час в месяц. Внедрение системы автоматизированного управления учётными записями (IAM). 500 тыс. руб./год Высвобождение 480 чел./час в год (~120 тыс. руб. по внутренней стоимости) + снижение риска ошибок доступа.

Под таблицей — итоговая строка: Общие инвестиции: 2.8 млн руб. в первый год. Ожидаемый финансовый эффект/предотвращённые потери: от 30 млн руб.

С такой подачей вопрос ставится не «дать или не дать денег», а «можно ли позволить себе не инвестировать 2.8 млн, рискуя 30 миллионами». Ответ для любого правления становится очевидным. Ваша задача — просто аккуратно и убедительно собрать эту картину, переводя язык регуляторов на язык прибылей и убытков.

Оставьте комментарий