«Большинство разговоров о бюджете в ИБ, это не про технику или риски, а про способность объяснить свою работу на языке бизнеса. Когда на стол ложится требование об урезании расходов на 30%, стандартные аргументы о важности безопасности не работают. Здесь нужен другой подход: переход от языка защиты к языку стоимостных потоков, от абстрактных рисков к конкретным финансовым последствиям для компании» .
Готовность к сокращениям: что должно быть в портфеле CISO
Финансовый директор инициирует сокращение бюджета не на пустом месте. Это не персонализированная атака на безопасность, а инструмент управления портфелем корпоративных инвестиций. С этой точки зрения, проект или лицензия по ИБ — такой же бизнес-актив, как и любой другой. Его можно анализировать, оценивать и в конечном итоге — выводить из эксплуатации или замещать.
Для диалога на этом языке CISO нужна собственная «бухгалтерия». Не столько бухгалтерская в прямом смысле, а управленческая: структурированный портфель всего, что попадает под ИБ. С этого момента слово «портфель» становится ключевым. В него входят не только классические проекты, но и всё остальное: действующие сервисы и их поддержка, команда (ЗП, обучение, рекрутинг), регулярные отчёты, лицензии на ПО, оборудование.
Ключевое упражнение — составить эту матрицу с простыми, но жёсткими метриками: стоимость владения (TCO) и стоимость выхода (cost of exit). Например, стоимость владения для системы мониторинга включает лицензии, серверы, трудозатраты инженеров на тонкую настройку и разбор инцидентов. Стоимость выхода, это затраты на её безопасное отключение, миграцию данных, расторжение контракта с вендором, потенциальные штрафы.
Когда такой портфель составлен, исчезает соблазн защищать каждый пункт эмоционально («это наша основная технология обнаружения!»). Появляется возможность рассматривать его как набор бизнес-активов разной степени ценности и затратности. Именно этот портфель станет основой для стратегии сокращений.
От защиты к стоимостным потокам: как говорит бизнес
В момент сокращений разговор идёт не про вирусы или уязвимости. Основные категории бизнес-языка, которые должны быть в лексиконе CISO:
- CAPEX vs OPEX (Капитальные и операционные расходы). Бизнес часто предпочитает OPEX, как более гибкую модель. Можете ли вы перевести покупку нового аппаратного межсетевого экрана в сервисную (SASE) модель? Это может быть аргументом не для сокращения, а для трансформации расходов.
- Денежный поток (cash flow). Внезапный платеж за трёхлетнюю лицензию, это отток денег. Предложение разбить его на ежегодные платежи улучшает cash flow компании здесь и сейчас, что для CFO может быть важнее номинальной экономии.
- Стоимость владения (TCO) vs возврат инвестиций (ROI). Безопасность трудно измерить через ROI, но через TCO — можно. Сравнение TCO облачного решения и on-premise может стать очевидным аргументом для консолидации.
- Обязательные (Compliance) vs желательные (Discretionary) расходы. Часть трат обусловлена прямыми требованиями 152-ФЗ или отраслевых стандартов. Их нельзя «сократить», но можно оптимизировать. Другая часть — инициативы по улучшению. Их статус нужно чётко обозначать в портфеле.
Задача — не просто перевести свои запросы на этот язык, а начать разговор с CFO в его терминах. Вместо «нам нужен новый SIEM для обнаружения атак» — «увеличивающаяся сложность инфраструктуры ведёт к росту стоимости расследования инцидентов (OPEX). Внедрение платформы X позволит автоматизировать 60% рутинных расследований, что снизит операционные затраты на поддержку команды мониторинга на Y% в течение двух лет, показывая возврат инвестиций».
Три сценария для 30% сокращения
Требование «сократить на 30%» редко бывает догмой. Чаще это отправная точка для торга. CFO проверяет, насколько команда понимает экономику своей деятельности. Соответственно, нужно подготовить не один, а несколько сценариев, ранжированных по степени жёсткости.
Сценарий 1: Консолидация и оптимизация (Цель: 10-15%)
Наименее болезненный путь, который может быть принят как достаточный на первом этапе. Акцент на поиске дублирующих функций и избыточных трат внутри существующего портфеля.
- Аудит лицензий ПО: выявление неиспользуемых лицензий, консолидация вендоров, переход с enterprise-лицензий на более дешёвые, где это допустимо.
- Анализ поддержки: отказ от круглосуточной поддержки премиум-уровня для систем, не являющихся критичными.
- Оптимизация сервисов: переход части корпоративных сервисов (VPN, фильтрация) в облачные решения по модели SaaS, чтобы превратить CAPEX в OPEX и сократить затраты на администрирование.
- Аутсорсинг рутинных операций: передача таких функций, как первичный анализ логов или управление паролями, внешнему провайдеру может оказаться дешевле, чем содержание штатных специалистов.
Этот сценарий показывает CFO, что команда ИБ способна к внутренней оптимизации, а не только к запросам финансирования.
Сценарий 2: Стратегическое замещение и отказ от проектов (Цель: 20-25%)
Более глубокий подход, требующий принятия решений об остановке определённых направлений.
- Замораживание «желательных» инициатив: все проекты из категории «Discretionary» (например, пилот по новой системе управления уязвимостями, не связанный с прямым compliance) откладываются на неопределённый срок.
- Вывод из эксплуатации устаревших систем: если старая система DLP используется на 10% от возможностей, но требует затратной поддержки, рассматривается её отключение с переносом ключевых функций на другие платформы (например, средства SIEM или брэндмауэра нового поколения).
- Замещение дорогих решений: поиск open-source или более дешёвых отечественных аналогов для части инфраструктуры. Ключевой расчёт — сравнение TCO, включая стоимость внедрения и поддержки.
Сценарий 3: Полная трансформация модели (Цель: 30% и более)
Агрессивный сценарий, предполагающий радикальную перестройку подхода к безопасности. Часто является ответом на требование, которое нельзя выполнить простой оптимизацией.
- Переход к модели управляемых сервисов (MSSP): передача на аутсорсинг не только рутинных задач, но и ключевых функций — мониторинга, управления инцидентами. Внутренняя команда сокращается до роли управления контрактами и стратегии. Это даёт предсказуемый OPEX и может кардинально сократить расходы на ФОТ и инфраструктуру.
- Risk acceptance (принятие риска): формализованное предложение бизнесу отказаться от защиты некоторых сегментов или активов, признанных не критичными, с оформлением документа о принятии риска на уровне правления. Это крайняя мера, но она переводит дискуссию из плоскости «нам нужны деньги» в плоскость «вы готовы к этим последствиям?».
Представление этих трёх сценариев с чёткими финансовыми расчётами, прогнозами по денежным потокам и оценкой последствий ставит CISO в позицию стратегического партнёра, а не просителя.
Риск как валюта: что вы предлагаете взамен денег
Когда деньги уходят, основным предметом торга становится риск. Ваша задача — количественно оценить, какой дополнительный риск компания приобретает с каждым процентом сокращения. Это не должно быть запугиванием, а холодным информированием.
Постройте простую матрицу «Сокращение затрат — Увеличение риска» для каждого из ваших сценариев. Например:
- Сокращение 10% (оптимизация): Незначительный рост операционного риска из-за более долгого времени реакции на инциденты (на 15-20%). Основные контрольные точки соответствия (152-ФЗ) остаются.
- Сокращение 25% (стратегическое замещение): Умеренный рост риска. Увеличивается время обнаружения угроз. Возрастает вероятность инцидентов средней тяжести. Могут быть затронуты отдельные, некритичные требования соответствия.
- Сокращение 30%+ (трансформация): Существенный рост риска. Ключевые функции безопасности переданы третьей стороне, что вносит риски цепочки поставок. Компания становится зависимой от одного провайдера. Возможны пробелы в покрытии требований регуляторов.
Вместе с матрицей подготовьте документ — «Уведомление о принятии риска». В нём пропишите: «В рамках выполнения требований по сокращению бюджета на X%, отдел ИБ уведомляет, что это приведёт к изменениям в уровне безопасности, а именно: [конкретные последствия]. Исполнительный директор / Правление, подтверждая бюджет, принимает связанные с этим риски на себя».
Таким образом, финансовый директор получает не просто отчёт о сокращении, а пакет: сценарии, финансовую модель и юридически оформленное распределение ответственности за новые риски. Это превращает конфликтный разговор в совместное управление портфелем рисков компании.
Итог: превращение угрозы в возможность
Жёсткое требование по сокращению, это не конец, а возможность для переосмысления. Возможность избавиться от устаревших технологий, которые давно стали обузой. Шанс отказаться от неэффективных процессов. Повод для перехода на более гибкие, облачные модели, которые в долгосрочной перспективе могут быть и выгоднее, и безопаснее.
Главный вывод для CISO: бюджет на безопасность, это не священная сумма, которую нужно любой ценой отстоять. Это ресурс, которым нужно управлять так же стратегически, как и любым другим ресурсом компании. В периоде роста вы просите инвестиции. В периоде экономии вы управляете портфелем. Умение переключаться между этими двумя режимами и говорить на языке финансовых потоков, это и есть профессиональная зрелость руководителя по безопасности в современной компании. После такого диалога CFO, скорее всего, увидит в вас не затратный центр, а партнёра, способного принимать непростые бизнес-решения.