Как вести диалог с CFO о бюджете на информационную безопасность

от

“CFO — не просто бухгалтер на стероидах. В российской IT-среде он часто становится главным врагом или главным союзником для ИБ-специалиста. Его решение определяет, уйдёт ли бюджет на пачку сертифицированных телефонов или на полноценную систему управления мобильными устройствами (MDM). Разберём, как играть по его правилам и перестать быть расходной статьёй.”

Кто на самом деле держит кошелёк

Вопреки расхожему мнению, CFO редко занимается только отчётами и налогами. Его ключевая функция — управление денежными потоками и распределение ограниченного капитала между всеми отделами компании. Для него отдел информационной безопасности, это центр затрат, который не приносит прямой выручки. Каждый рубль, потраченный на безопасность мобильных устройств, он мысленно сравнивает с рублём, который мог бы пойти на маркетинг, разработку нового продукта или повышение зарплат.

Понимание этой логики — первый шаг к диалогу. Ваша задача — перевести язык угроз и уязвимостей на язык бизнес-рисков и финансовых потерь.

Жёсткий CFO: его мотивация и язык

Этот тип финансового директора видит свою главную задачу в защите активов компании от неоправданных трат. Его девиз — «оптимизация издержек». Он будет скептически относиться к любым инициативам ИБ, особенно если они требуют крупных единовременных вложений или увеличивают операционные расходы.

Типичные возражения жёсткого CFO

  • «У нас и так всё работает, зачем нам этот MDM
  • «Почему мы не можем обойтись простыми политиками в AD?»
  • «Сколько конкретно инцидентов у нас было из-за мобильных устройств? Покажите статистику». (И это при том, что без системы мониторинга её собрать невозможно).
  • «Это увеличит нагрузку на IT-поддержку. Кто будет этим заниматься?»

Его не убедят абстрактные рассуждения о «повышении уровня безопасности». Ему нужны цифры: ROI (возврат на инвестиции), TCO (общая стоимость владения), вероятность инцидента и потенциальный финансовый ущерб.

Стратегия работы с жёстким CFO

  1. Говорите на языке денег. Вместо «нужен MDM для контроля корпоративных данных» скажите: «Без MDM мы не сможем удалить корпоративную почту и доступ к CRM с устройства уволенного сотрудника. Риск утечки клиентской базы оценивается в N рублей». Приведите кейсы из российской практики, когда подобные инциденты заканчивались штрафами по 152-ФЗ и потерей репутации.
  2. Считайте TCO, а не только стоимость лицензии. Покажите, что дешёвое решение «купить кучу “защищённых” телефонов» на деле дороже: это затраты на закупку, ремонт, замену, администрирование разных моделей. MDM, работающий с BYOD (Bring Your Own Device), может сократить эти расходы.
  3. Предложите пилот. Вместо разовой закупки на всю компанию предложите внедрить решение в одном отделе (например, в отделе продаж, где риски самые высокие). Соберите метрики за пилотный период: сократилось ли количество обращений в поддержку, удалось ли предотвратить потенциальные инциденты.
  4. Привяжите к регуляторике. Для российского бизнеса, особенно работающего с персональными данными, аргумент про ФСТЭК и 152-ФЗ — один из сильнейших. Прямо укажите, какие требования стандартов и законов не будут выполнены без внедрения MDM. Подготовьте таблицу соответствия.

Лояльный CFO: как его не потерять

Этот тип понимает, что безопасность — не статья расходов, а страховка для бизнеса. Он готов выделять бюджет, но ожидает, что вы будете эффективным распорядителем этих средств. Его главный страх — что деньги уйдут впустую на неработающее или избыточное решение.

Что хочет услышать лояльный CFO

  • «Как эта система повысит нашу операционную эффективность?» (Например, удалённая настройка устройств для новых сотрудников сэкономит время службы поддержки).
  • «Как мы будем измерять её эффективность? Какие KPI по безопасности мы сможем отслеживать?»
  • «Как это решение масштабируется под рост компании? Не окажется ли оно бесполезным через год?»

Стратегия работы с лояльным CFO

  1. Представьте себя бизнес-партнёром. Не просто запрашивайте деньги, а предлагайте решение бизнес-проблемы. Например: «Мы внедрим контейнеризацию корпоративных данных на личных устройствах сотрудников. Это позволит нам безопасно перейти на гибридный формат работы, не закупая технику, и сэкономит бюджет на закупке железа».
  2. Предложите дорожную карту. Разбейте внедрение на этапы с понятными результатами и бюджетом на каждый. CFO любит предсказуемость. Первый этап — базовый контроль, второй — расширенная защита данных, третий — интеграция с SIEM.
  3. Говорите про интеграцию. Подчеркните, что выбранное MDM-решение не станет «островком», а интегрируется с уже существующими системами (Active Directory, Microsoft 365, корпоративным VPN). Это снижает TCO и повышает отдачу от предыдущих инвестиций.
  4. Покажите перспективу. Расскажите, как система мобильной безопасности станет частью общей стратегии нулевого доверия (Zero Trust), к которой двигается российский регулятор. Это инвестиция в архитектуру будущего.

Общий язык: от расходов к инвестициям

Независимо от типа CFO, ваша цель — сменить парадигму. Вы предлагаете не «потратить X рублей на софт», а «инвестировать X рублей в снижение операционных рисков и обеспечение compliance». Разница лишь в акцентах.

Для жёсткого CFO сделайте акцент на снижении потенциальных штрафов и издержек. Рассчитайте примерный ущерб от одного инцидента с утечкой данных и вероятность его возникновения без защиты.

Для лояльного CFO сфокусируйтесь на возможностях: как система даст бизнесу гибкость, ускорит процессы и создаст конкурентное преимущество за счёт повышенного доверия клиентов.

Что делать, если не сработало

Бывает, что даже железные аргументы разбиваются о «нет». В этом случае не стоит опускать руки и обвинять CFO в недальновидности.

  • Запросите критерии. Спросите: «Какой метрики или какого события не хватает, чтобы это решение стало для вас обоснованным?» Может быть, ему нужен успешный кейс в аналогичной по размеру и отрасли российской компании.
  • Начните с бесплатного. Используйте базовые возможности Microsoft Intune (в составе лицензий M365) или бесплатные облачные MDM. Соберите данные и демонстрацию возможностей «на живую». Часто CFO нужно «пощупать» проблему и решение.
  • Зафиксируйте риски. Если решение отклонено, составьте и занесите в протокол формальный список принятых рисков. Это не угроза, а стандартная практика управления рисками. Это смещает фокус с «ИБ хочет потратить деньги» на «руководство осознанно принимает риск».

Финансовый директор — не барьер, а главный стейкхолдер в проекте по безопасности. Его нельзя победить, но можно понять и сделать своим союзником. Успех приходит не к тому, кто лучше разбирается в технологиях, а к тому, кто говорит на языке бизнеса и умеет считать чужие деньги.

Оставьте комментарий