“Бюджет на безопасность не трата, а страховка, которую нельзя списать подоходным налогом и которую невозможно предъявить. Ты просто будешь знать, что когда что-то случится — она сработала, но доказать что сработала именно она, а не просто не случилось, чаще всего невозможно. Объяснять это нужно в их языке: на языке рисков, репутации и финансовой устойчивости.”
Почему аргумент «это требование закона» перестал работать
Когда-то ссылка на 152-ФЗ или требования регуляторов была железным аргументом для выделения денег. Но реальность изменилась. Во-первых, у совета директоров появилось понимание, что многие компании годами «соблюдают» требования только на бумаге, не сталкиваясь с реальными санкциями. Штрафы воспринимаются как потенциальная, а не неизбежная статья расходов, которую проще оспорить. Во-вторых, сами регуляторные требования стали настолько объёмными, что их полное техническое выполнение вступает в конфликт с бизнес-процессами. Потому стандартный доклад о «необходимости закрыть очередные 50 уязвимостей для ФСТЭК» сейчас вызывает у совета директоров не осознание риска, а усталость и вопрос: «А что мы получим в итоге, кроме ещё одного отчёта?» Ключ — перестать продавать им «закон». Нужно говорить о последствиях «незакона» для бизнеса.
Язык риска, а не уязвимости
Совет директоров не обязан понимать разницу между SQL-инъекцией и XSS. Их работа — оценивать вероятность и влияние негативных событий на компанию. Твоя задача — перевести технические слабости на язык бизнес-рисков.
Как делать перевод
- Не: «У нас критические уязвимости в системе 1С».
- Да: «Есть риск, что через систему финансового учёта злоумышленники могут сфабриковать платёжные документы и вывести средства. Время на обнаружение такого инцидента — от 90 до 180 дней. Вероятность реализации в текущих условиях — выше среднего». Это риски финансовых потерь и искажения отчётности.
- Не: «Нужно обновить фаервол».
- Да: «Текущая защита периметра не позволяет надёжно сегментировать сеть. В случае проникновения в одну систему (например, почтовую) злоумышленник с высокой вероятностью получит доступ ко всем учетным системам. Это риск тотальной остановки операционной деятельности сроком не менее 5 рабочих дней, включая работу отдела продаж, склада и логистики».
Говорить на языке денег: моделирование потерь
Качественные оценки полезны, но количественные убедительнее. Для этого нужны не сметы от вендоров, а собственная модель финансовых потерь. Она не требует сложных расчётов — достаточно реалистичных оценок по трём ключевым статьям.
- Прямые финансовые потери. Суммы несанкционированных транзакций, размер компенсаций клиентам, штрафы регуляторов. Например, утечка персональных данных может привести к выплатам сотням пострадавших даже при отсутствии прямого иска от государства.
- Стоимость простоя (Downtime). Это не просто недополученная прибыль. Включай в расчёт расходы на простой сотрудников в офисах и на складах, стоимость срочных закупок оборудования для восстановления, выплаты по контрактам с партнёрами за срыв сроков.
- Репутационный ущерб и отток клиентов. Самый сложный для расчёта пункт. Для убедительности приводи не абстрактные проценты, а сравнивай с публичными случаями в твоей индустрии за последние 2 года. Газетные заголовки, это конкретный конвертируемый актив: «По нашим оценкам, публичная утечка данных о проектах приведёт к потере не менее 15% ключевых B2B-клиентов в течение квартала, так как в нашей отрасли конфиденциальность — часть коммерческого предложения».
Бюджет на ИБ — не абстракция, а чек-лист против катастрофы
Разложи запрашиваемый бюджет на конкретные статьи, которые напрямую защищают от сценариев риска, которые ты озвучил раннее.
| Статья бюджета | Что закрывает | Бизнес-эффект |
|---|---|---|
| Внедрение DLP (защита от утечек) | Риск утраты конкурентных преимуществ, слива персональных данных клиентов и внутренней переписки. | Сохранение коммерческой тайны, предотвращение судебных исков от клиентов, защита от шантажа со стороны уволенных сотрудников. |
| Переход на российские СУБД и фреймворки | Риск попадания в список «недружественных» решений с отзывом лицензий и потерей техподдержки. | Непрерывность бизнеса в долгосрочной перспективе, исключение внезапных «технологических эмбарго». |
| Аудит и сегментация сети | Риск быстрого распространения атаки по всей сети после локального взлома. | Снижение среднего времени простоя при инциденте минимум вдвое, локализация ущерба в неключевых сегментах. |
Привязка к конкретным бизнес-целям компании на год
Бюджет должен выглядеть не как «расходы на оборону», а как инвестиции в развитие. В конце концов, ИБ, это основа для других проектов. Соотнеси каждый крупный пункт трат с публичными или внутренними целями бизнеса.
- Если компания планирует внедрять систему электронного документооборота (ЭДО) с контрагентами, бюджет на ИБ должен включать средства на защищённые каналы связи, усиленную аутентификацию и системы контроля целостности документов. Без этого бизнес-инициатива может быть заблокирована юридическим отделом из-за неприемлемых рисков.
- Если идёт активная цифровизация, то ИБ, это не отдельная статья, а обязательная часть сметы на каждый новый IT-проект. Запрос финансирования на экспертизу безопасности всех новых систем или найм дополнительного инженера, это не дополнительные издержки, а плата за само право использовать эти системы в коммерческой деятельности.
Контрольный вопрос от совета директоров
Готовься к главному вопросу: «А что будет, если мы этот бюджет НЕ дадим?». У тебя должны быть готовы пошаговые бизнес-сценарии, а не страшилки.
- Риск падения ниже допустимого уровня. «Мы не сможем продлить существующий сертификат соответствия по 152-ФЗ. Это значит, что мы: а) потеряем допуск к государственным закупкам; б) формально станем нарушителем в глазах крупных партнёров; в) получим формальный повод для внеплановой проверки».
- Технический долг и накопление рисков. «Мы откладываем обновление системы вторичного контроля доступа на год. Вероятность того, что её устаревшие компоненты не смогут корректно работать с новым ПО, которое внедряет финансовый департамент, по оценке команды, составляет 70%. Это значит, что в день перехода мы можем столкнуться с невозможностью авторизации половины бухгалтеров, что остановит закрытие квартала».
Кто твой союзник в совете
Не все члены совета директоров мыслят одинаково. Найди точки давления и поддержки.
- Финансовый директор (CFO) мыслит категориями расходов, отдачи и экономии. Для него ключевыми аргументами будут моделирование потерь и предотвращение внеплановых чрезвычайных расходов («black swan spending»). Покажи, как вложения в защитные меры снижают размер потенциальных потерь.
- Директор по рискам (CRO, если есть) или независимые директоры. Их задача — обеспечить устойчивость компании, и они обязаны задавать неудобные вопросы. Используй это: предоставь чёткую карту рисков, покажи связь между инвестициями и снижением уровня риска до приемлемого. Для них твоя работа, это часть системы управления рисками предприятия.
- Генеральный директор отвечает за операционную деятельность и репутацию. Его волнуют сценарии полной остановки бизнеса, публичные скандалы и утечка информации, подрывающей доверие. Говори о том, как бюджет на ИБ обеспечивает непрерывность ключевых процессов и защищает бренд.
Заключение: от диалога к совместному плану
Финал успешной презентации, это не просто одобрение бюджета. Это общее понимание того, что ИБ, это не техническая функция, а фундаментальная часть бизнес-управления. Переведи разговор из плоскости «дайте денег» в плоскость «давайте согласуем приоритеты». Предложи не один вариант бюджета, а несколько с разным уровнем покрытия рисков.
- Базовый сценарий: Минимум для формального соответствия и защиты от самых вероятных угроз. Сохраняет бизнес, но делает его уязвимым для целенаправленных атак.
- Рекомендуемый сценарий: Баланс между затратами и безопасностью. Позволяет не только реагировать, но и проводить проактивные проверки. Переводит ИБ из «пожарной команды» в «службу профилактики».
- Оптимальный сценарий: Инвестиции в упреждающую безопасность, включая собственный SOC, регулярное тестирование на проникновение и развитую систему подготовки сотрудников. Это уровень, который начинает давать конкурентное преимущество, показывая партнёрам и клиентам, что компания серьёзно относится к их данным.
Когда члены совета начинают обсуждать, какой из сценариев лучше подходит под текущую стратегию компании, ты уже выиграл. Бюджет перестал быть техническим запросом и превратился в управленческое решение о приемлемом уровне риска для бизнеса.