ИБ-бюджет: незаметная работа, измеримая в деньгах

от

«Когда финансовый директор требует объяснить, почему бюджет на ИБ не сократили, ведь «ничего не случилось»

, он прав с точки зрения наблюдаемой картины. Моя задача — показать ему скрытую сторону процесса, где «ничего» является прямым следствием вложений, а не их отсутствием. Нужно говорить на языке цифр, но не про атаки, а про предотвращённые потери, переводя затраты из колонки расходов в колонку страховых премий и операционных резервов.»

Почему CFO видит пустоту, а вы — результат

Финансовое руководство оценивает эффективность через прямые, измеримые показатели: доход, расход, маржа, ROI. Вложения в маркетинг приводят к росту продаж, в новый код — к увеличению функциональности. Информационная безопасность работает по обратному принципу. Её успех проявляется в отсутствии инцидентов, которые не произошли. Это «негативный результат», который невозможно зафиксировать в стандартных отчётах о прибылях и убытках. CFO видит регулярные траты, но не видит отдачи — для него это выглядит как чёрная дыра в бюджете.

Парадокс в том, что чем лучше работает команда ИБ, тем менее заметной она становится для бизнеса. Системы блокируют атаки на периметре, сотрудники не переходят по фишинговым ссылкам, данные не утекают. Со стороны кажется, что всё работает «само собой». Задача — сломать эту иллюзию и сделать невидимую работу видимой, но не через технические термины, а через бизнес-логику.

Переводим «ничего не случилось» на язык финансов

Разговор должен начинаться не с угроз и уязвимостей, а с денег. Финансовому директору нужно показать, что бюджет ИБ, это не просто операционные расходы (OpEx), а форма финансовой защиты и управления рисками.

1. Страховой взнос, а не расход

Представьте ИБ как страховой полис от киберинцидентов. Компания платит страховой взнос, это текущие затраты на софт, зарплаты специалистов, аудиты. В обмен она получает покрытие на случай ущерба. CFO понимает логику страхования: вы платите деньги, чтобы избежать катастрофических потерь в будущем. Ключевой показатель здесь — не количество сработавших сигнатур, а размер потенциального ущерба, который был предотвращён. Можно смоделировать финансовый сценарий: «Если бы наша система предотвращения утечек (DLP) не сработала в прошлом квартале, потенциальный штраф по 152-ФЗ мог бы составить от X до Y рублей, не считая репутационных потерь. Наш годовой бюджет на DLP в Z раз меньше этой суммы».

.

2. Защита операционной деятельности

Любой бизнес-процесс, от приёма платежей до работы с госзакупками, зависит от ИТ-систем. Их недоступность или компрометация парализует операции. Задача ИБ — обеспечить continuity, непрерывность этих процессов. Здесь уместна аналогия с техническим обслуживанием (ТО) на производстве. Вы платите за регулярное ТО оборудования, чтобы избежать внезапной остановки цеха, которая обойдётся в сотни раз дороже. Мониторинг и реагирование на инциденты ИБ, это и есть «ТО» для цифровой инфраструктуры. Отчётность должна показывать не «сколько атак отбито», а «сколько часов простоя ключевых систем удалось избежать», связывая это с дневной выручкой подразделений.

3. Снижение стоимости заёмного капитала и исполнение обязательств

Для публичных компаний или тех, кто привлекает инвестиции, уровень зрелости ИБ всё чаще становится фактором при оценке рисков. Аудиторы и аналитики задают вопросы о соответствии регуляторным требованиям (152-ФЗ, ФСТЭК). Наличие сертифицированных средств защиты и выстроенных процессов, это сигнал рынку о управляемости рисков, что может положительно влиять на кредитные рейтинги и стоимость страхования. Объясните CFO, что расходы на ИБ, это инвестиция в финансовую устойчивость и репутацию, которая косвенно снижает стоимость капитала для бизнеса и является обязательным условием для работы в регулируемых отраслях (финансы, госсектор, телеком).

Что показывать в отчёте, кроме количества инцидентов

Типичная ошибка — отчитываться техническими метриками: «отражено 10 000 атак», «установлено 50 заплаток». Для CFO эти цифры — шум. Нужны бизнес-метрики, привязанные к деньгам и рискам.

  • Показатель предотвращённых потерь (Prevented Loss Metric): Расчётная модель, оценивающая финансовые последствия наиболее вероятных сценариев инцидентов (утечка базы клиентов, шифровальщик в сети, DDoS на сайт продаж), которые были нейтрализованы текущими мерами защиты. Цифра должна быть реалистичной и основанной на отраслевой статистике или данных страховых компаний.
  • Процент выполнения требований регуляторов: Конкретный прогресс в выполнении приказов ФСТЭК или требований 152-ФЗ. Например, «закрыто 85% требований из плана мероприятий по защите персональных данных, что снижает риск внеплановой проверки и штрафов на N%». Это прямой вклад в снижение юридических и финансовых рисков.
  • Снижение времени простоя критически важных систем (MTTD/MTTR): Если среднее время обнаружения (MTTD) и восстановления (MTTR) после инцидентов снижается благодаря инвестициям в мониторинг и автоматизацию, это напрямую влияет на операционные убытки. Покажите тренд: «За год MTTR для инцидентов 1-го уровня снизился с 8 часов до 2, что эквивалентно сохранению 6 часов операционной деятельности отдела продаж».
  • Эффективность по затратам (Cost Avoidance): Сравнение стоимости внутренних решений или доработок с коммерческими аналогами или потенциальными штрафами. «Разработанный внутренний контроль доступа к конфигурациям позволил избежать покупки коммерческого продукта за 1,5 млн руб. в год и одновременно выполнил требование регулятора о разграничении прав».

.

Сценарий разговора: от возражения к согласию

Предположим, CFO на планерке говорит: «Мы тратим на ИБ N миллионов, а инцидентов нет. Давайте оптимизируем». Ваш ответ должен быть структурирован.

  1. Согласитесь с тезисом об эффективности: «Вы правы, видимых крупных инцидентов действительно не было. Это и есть ключевой показатель того, что текущие инвестиции работают как страховка. Давайте посмотрим, что стоит за этим „не было“».
  2. Предъявите данные о «фоновой» активности: «Только в прошлом месяце наши системы зафиксировали и автоматически нейтрализовали X попыток несанкционированного доступа извне и Y внутренних нарушений политик. Если бы не наши средства защиты, как минимум одна из этих попыток могла бы привести к инциденту».
  3. Свяжите с конкретными бизнес-рисками: «Основная угроза, которую мы сейчас сдерживаем,, это целенаправленные атаки на нашу финансовую отчётность. Успешная компрометация может привести к искажению данных, что повлечёт за собой проблемы с аудитором, регулятором и акционерами. Наш бюджет на сегментацию сети и мониторинг привилегированных пользователей как раз закрывает этот риск».
  4. Предложите «что если»: «Давайте рассмотрим сценарий сокращения бюджета на 20%. Это будет означать отказ от обновления подписки на антивирусное ядро и сокращение одного инженера мониторинга. По отраслевым данным, это повысит вероятность успешной атаки шифровальщиком с текущих 2% до 15% в год. Потенциальный ущерб от такого инцидента мы оцениваем в 30 млн рублей из-за простоя. Готовы ли мы принять этот дополнительный риск ради экономии 1,5 млн в год?»
  5. Запросите обратную связь по метрикам: «Чтобы наши дальнейшие обсуждения были ещё более предметными, какие финансовые показатели, на ваш взгляд, лучше всего отражали бы ценность нашей работы? Можем ли мы вместе определить 2-3 таких KPI для следующего квартала?»

Когда «ничего не происходит», это тревожный знак

Важно донести и обратную сторону. Полное отсутствие даже мелких инцидентов или срабатываний систем может быть не признаком идеальной защиты, а симптомом неработающего мониторинга или заведомо заниженных порогов срабатывания. Финансовый директор должен понимать, что здоровая система безопасности не молчит — она постоянно шумит низкоуровневыми событиями, которые анализируются и фильтруются. Полная тишина часто предшествует крупному взрыву, который обнаруживается слишком поздно. Поэтому часть бюджета, которую CFO может счесть излишней (на SOC, SIEM, инженеров аналитиков),, это как раз инвестиция в «слух» компании, позволяющий услышать проблему до того, как она станет катастрофой.

В этом контексте можно говорить о переходе от пассивной «страховки» к активному «управлению рисками», где команда ИБ не просто тратит деньги, а предоставляет бизнесу данные для принятия решений: на какие риски стоит выделять больше ресурсов, а какие можно принять, потому что стоимость защиты превышает потенциальный ущерб. Это уже язык, который CFO говорит и ценит — язык управления ресурсами и стоимостного анализа.

Итог: меняем парадигму восприятия

Объяснение CFO, это не разовая презентация, а последовательная работа по интеграции ИБ в финансовую картину мира компании. Цель — сместить восприятие с «центра затрат» на «департамент управления киберрисками». Его «продукт» — не отражённые атаки, а сохранённая денежная масса, обеспеченная непрерывность операций и соблюдение обязательств, позволяющее бизнесу работать, развиваться и не отвлекаться на ликвидацию кризисов, которых удалось избежать. Когда CFO начнёт видеть в отчётах ИБ не технические детали, а цифры, влияющие на баланс, вопрос «почему ничего не произошло» трансформируется в вопрос «как нам оптимизировать эти инвестиции для ещё большей устойчивости».

Оставьте комментарий