«Если руководителю не говорят на языке денег, убытков и репутации — ИБ для него остаётся «технической магией»
, которую всегда можно отложить. Главное — объяснить не почему нужен ИБ, а почему совет директоров не может позволить себе его отсутствие.»
Совет директоров смотрит не на технологии, а на риски
Обычный разговор специалиста по информационной безопасности с советом директоров начинается с перечисления необходимых средств защиты: NGFW, SIEM, DLP, обучение сотрудников. Такой подход обречён. Члены совета директоров не оценивают технологические решения — они оценивают влияние на бизнес. Их язык, это язык финансовых рисков, возможных убытков, потери репутации и ответственности перед акционерами.
Разговор о бюджете нужно строить не от потребностей ИБ-отдела, а от угроз для ключевых активов компании. Эти активы — не просто серверы и базы данных. Это данные клиентов (персональные данные по 152-ФЗ), коммерческая тайна, ноу-хау производства, непрерывность критических бизнес-процессов (например, онлайн-оплаты или логистики). Любой сбой здесь приводит к прямым финансовым потерям или долгосрочному ущербу.
Задача — перевести технические уязвимости в понятные бизнес-последствия. Вместо «нужен WAF для защиты веб-приложений» говорить: «Наш интернет-магазин приносит X рублей в день. Уязвимость в веб-приложении может привести к его простою на сутки (потеря X рублей) или к утечке платёжных данных (штрафы по 152-ФЗ, компенсации клиентам, блокировка эквайринга)». Совет директоров мыслит категориями вероятности и масштаба ущерба.
Подготовка к разговору: три ключевых компонента
Прежде чем запрашивать бюджет, нужно подготовить аргументацию. Она состоит из трёх взаимосвязанных частей.
1. Анализ текущего состояния и пробелов
Нельзя просить деньги «вообще на безопасность». Нужна чёткая картина текущего состояния защиты. Проведите внутренний аудит или закажите внешний (в рамках требований 152-ФЗ или отраслевых стандартов). Результат — не технический отчёт, а перечень конкретных рисков, ранжированных по их потенциальному влиянию на бизнес.
- Какие активы недостаточно защищены?
- Какие регуляторные требования (152-ФЗ, приказы ФСТЭК) не выполняются?
- Каковы вероятные векторы атак (фишинг сотрудников, уязвимости в публичных сервисах, действия инсайдеров)?
2. Перевод рисков в финансовые показатели
Это самый сложный и важный этап. Популярные методики включают расчёт Annualized Loss Expectancy (ALE) или более простые оценки. Суть: для каждого выявленного риска оцените:
- Потенциальный финансовый ущерб (Single Loss Expectancy, SLE): Сколько компания потеряет в случае одной успешной реализации угрозы? Сюда входят: прямые убытки от простоя, штрафы регуляторов (ФСТЭК, Роскомнадзор), затраты на расследование, компенсации клиентам, падение выручки из-за потери доверия.
- Вероятность реализации в год (Annual Rate of Occurrence, ARO): На основе статистики по отрасли или данным об инцидентах в компании.
Итоговая формула: ALE = SLE × ARO. Эта цифра показывает ожидаемые ежегодные потери от конкретного риска. Если стоимость внедрения контрмеры (например, системы мониторинга) меньше, чем ALE,, это прямое экономическое обоснование.
3. Предложение конкретного плана и ROI
Бюджетная заявка должна быть не списком желаемого оборудования, а инвестиционным предложением. Каждый пункт плана должен быть привязан к закрытию конкретного риска и иметь измеримый результат.
| Приоритет | Мера защиты (проект) | Закрываемый риск | Ожидаемое снижение ALE | Бюджет (CAPEX/OPEX) | Срок окупаемости / ROI |
|---|---|---|---|---|---|
| 1 | Внедрение системы защиты от фишинга и обучение сотрудников | Компрометация учётных записей, утечка данных | Снижение вероятности инцидентов на 70% | Y рублей в год | 6 месяцев (за счёт предотвращения одного инцидента среднего уровня) |
| 2 | Апгрейд межсетевого экранирования (NGFW) для периметра | Внешние атаки на сетевую инфраструктуру | Снижение риска простоя критических сервисов | Z рублей (разово + поддержка) | 12 месяцев |
Такой подход превращает ИБ из центра затрат в функцию, управляющую рисками и обеспечивающую сохранность капитала.
Язык презентации: фразы, которые работают, и которые проваливаются
Самые слабые позиции, это попытки запугать техническими терминами или апеллировать к абстрактной «необходимости». Не говорите: «Нам угрожают APT-атаки, нужен EDR». Скажите: «Группы, специализирующиеся на промышленном шпионаже, всё чаще атакуют компании нашей отрасли. Их цель — похищение проектной документации. Потеря этих данных отодвинет вывод нового продукта на рынок на год и даст преимущество конкурентам. Контрмерой является внедрение системы, которая отслеживает подозрительные действия на рабочих станциях инженеров (EDR)».
Говорите на языке совета директоров:
- Вместо «требуется»: «Инвестиция в… позволит избежать…».
- Вместо «уязвимость»: «потенциальная точка входа для атаки, ведущей к…».
- Вместо «соответствие требованиям»: «снижение регуляторных рисков и предотвращение штрафов до N миллионов рублей».
- Вместо «безопасность»: «обеспечение непрерывности бизнеса и защита репутации».
Ключевой аргумент — ответственность. Члены совета директоров несут персональную ответственность. В случае масштабного инцидента, особенно с утечкой персональных данных, вопросы будут задавать им. Показать, что бюджет на ИБ, это страховка от таких сценариев и инструмент исполнения их обязанностей по надлежащему управлению компанией.
Сценарий «Что, если денег не дадут?»
Подготовьтесь к вопросам о сокращении бюджета или отказе. Не впадайте в ультиматумы. Вместо этого используйте подход на основе принятия рисков.
Предложите альтернативные варианты с разным уровнем финансирования и, соответственно, разным уровнем остаточного риска. Оформите это как решение для совета директоров: «Мы проанализировали риски. Для их полного закрытия нужен бюджет А. Если выделить бюджет Б (на 30% меньше), мы сможем защитить только критически важные активы X и Y, но останется неприемлемый риск по активу Z с вероятными потерями в размере N в год. При бюджете В мы сможем выполнить только обязательные регуляторные требования, но бизнес-риски атаки 1 и 2 будут приняты компанией».
Такой подход перекладывает решение о принятии риска с ИБ-специалиста на руководство, которое осознаёт последствия. Часто это заставляет задуматься серьёзнее, чем самые яркие презентации об угрозах. Зафиксируйте это решение официально, это страхует ИБ-службу в будущем.
ИБ как часть бизнес-стратегии, а не ИТ-расход
Успешное обоснование бюджета меняет восприятие ИБ-функции в компании. Она перестаёт быть просто техническим подразделением. Её деятельность начинает измеряться вкладом в устойчивость бизнеса, защиту бренда и выполнение стратегических целей (выход на новые рынки, запуск digital-продуктов, которые требуют особого доверия клиентов).
Постоянная коммуникация на языке бизнес-рисков — не разовая акция для получения денег. Это новая модель работы. Регулярно отчитывайтесь не о количестве заблокированных атак, а о состоянии защищённости ключевых активов и уровне контролируемых рисков. Так ИБ становится понятным и ценным партнёром для высшего руководства, а бюджетные вопросы решаются в рамках общего управления рисками компании.