В современных корпоративных условиях инвестиции в технологии безопасности оцениваются уже не только по технической зрелости. Финансирование все чаще зависит от того, насколько они способны генерировать доход, снижать риски и создавать акционерную стоимость.
В результате от директоров по информационной безопасности (CISO) ожидают, что они будут представлять свои стратегии не как простые технические обновления, а как инструменты, способствующие росту доходов. Задача заключается не только в принятии правильных инвестиционных решений, но и в их обосновании на уровне совета директоров.
CISO часто оказываются в оборонительной позиции, когда предлагают решения до того, как проблема была четко определена. Такой подход создает разногласия вместо консенсуса. Руководители хотят понять, чего может достичь организация с помощью нового решения, какие ловушки можно избежать и почему нельзя откладывать инвестиции в кибербезопасность.
Поэтому при представлении стратегии кибербезопасности, например, нулевого доверия, основное внимание в общении с советом директоров должно уделяться тому, как можно улучшить профиль киберрисков компании.
Связь технологий безопасности со стратегическими приоритетами
Чтобы быть убедительными в совете директоров, CISO должны определять планируемые расходы в соответствии с целями компании. Совет директоров фокусируется на таких приоритетах, как выход на новые рынки, повышение рентабельности, увеличение устойчивости и обеспечение соответствия требованиям. Продуманное предложение напрямую затрагивает эти вопросы.
Когда платформа безопасности сокращает время реагирования на инциденты, результатом является операционная стабильность и, следовательно, повышенная устойчивость. Когда она консолидирует инструменты, она обеспечивает экономическую эффективность. Когда она позволяет безопасно расширяться в новые регионы, следует рост доходов. Такой ход рассуждений укрепляет доверие и помогает получить одобрение инвестиций.
Язык рисков и выгод
Советы директоров принимают решения, учитывая такие концепции, как риск и выгода. К ним относятся финансовые, операционные и репутационные риски для компании. Члены совета директоров оценивают вероятность, подверженность и последствия инцидентов в каждой из этих областей. Соответственно, роль CISO заключается в том, чтобы разъяснить, как предлагаемые инвестиции снижают уязвимости, ограничивают последствия инцидентов или повышают устойчивость инфраструктуры.
Эти обсуждения должны включать модели затрат, сценарии потенциальных нарушений безопасности, сроки восстановления после кибератаки и выгоды для бизнеса. Цель должна состоять в том, чтобы избежать простоев, говоря на языке совета директоров, без ущерба для технической целостности.
Учет акционерной стоимости
Уровень зрелости и взгляды советов директоров на кибербезопасность значительно различаются. Некоторые наблюдательные советы реагируют только после крупного инцидента кибербезопасности или неудачного аудита. Другие подходят к этому более проактивно и требуют оценки кибербезопасности в рамках расширения рынков или сделок M&A. Третьи включают кибербезопасность в симуляции и задают перспективные вопросы об устойчивости к потенциальным сценариям атак.
Понимание этого уровня зрелости помогает адаптировать коммуникационную стратегию. Реактивному совету директоров может потребоваться четкое объяснение негативных последствий. Информированный совет директоров, скорее всего, ожидает количественных результатов и дорожной карты. Лучшие обсуждения в совете директоров происходят, когда CISO адаптируется к пониманию технологий советом директоров, одновременно осторожно расширяя его кругозор.
Позиционирование операционного совершенства как результата
Одним из наиболее эффективных аргументов в обсуждениях с советом директоров по вопросам кибербезопасности является операционное совершенство. Когда компании работают в разных регионах и отраслях, они должны действовать гибко, безопасно и под контролем. ИТ-архитектура должна:
- Соответствовать глобальным требованиям
- Поддерживать сотрудников, работающих из любого места
- Интегрировать сторонних поставщиков
- Соответствовать ряду нормативных требований
- Защищать интеллектуальную собственность
Такой комплексный набор требований может очень быстро привести к сложной реализации и, как следствие, к неэффективности. CISO с сильной технологической стратегией фокусируются на упрощенной инфраструктуре, обеспечивающей безопасные глобальные потоки данных и сокращающей время выхода на рынок. Такое позиционирование поднимает обсуждение с уровня выбора системы до стратегического.
Фокус на будущих рисках
От совета директоров ожидается, что он будет фокусироваться не только на текущих рисках, но и на будущих сценариях. К ним относятся, например, регулирование этичного использования ИИ, понимание последствий злоупотребления данными и подготовка к влиянию квантовых вычислений. Совет директоров будет нести ответственность и даже будет привлечен к ответственности за безопасное и регулируемое обращение с данными. Это больше не абстрактные вопросы. Поэтому они уже должны быть в повестке дня CISO как будущие технологические вызовы.
Использование ИИ в компаниях возросло, и руководители теперь несут ответственность за использование данных. Хотя квантовые вычисления все еще находятся на ранних стадиях, риски, которые эта будущая технология представляет для современных методов шифрования, уже делают ее необходимым компонентом любого долгосрочного планирования. Многие CISO уже используют возможность поднять этот вопрос перед советом директоров и объяснить, какие меры потребуются для защиты данных в обозримом будущем.
Сила цифр
Финансовая структура так же важна, как и стратегический подход. Поскольку компании продолжают переходить от капиталоемких архитектур к облачным SaaS-моделям, экономика безопасности меняется. Затраты смещаются с капитальных расходов на операционные. Хотя это может привести к первоначальному снижению EBITDA (прибыли до вычета процентов, налогов, износа и амортизации), это также устраняет циклы замены оборудования, улучшает точность прогнозирования и снижает общую стоимость владения в долгосрочной перспективе.
Модели оплаты за пользователя для облачных сервисов обеспечивают предсказуемость и большую гибкость в реагировании на изменения. Дальнейший потенциал экономии заключается в консолидации инструментов у нескольких поставщиков платформ. Кроме того, автоматизация процессов может снизить нагрузку на службу поддержки и повысить производительность.
В конечном итоге, CISO должны продемонстрировать, как потенциальные инвестиции в новые технологии улучшат денежный поток, обеспечат сохранность маржи и масштабируются в соответствии с ростом бизнеса. Финансовые директора и аудиторские комитеты хотят знать, как каждое предложение повлияет на финансовые результаты. Они также хотят понять, что можно капитализировать, какие компенсирующие эффекты ожидать и как инвестиции будут соответствовать спросу.
Заключение
В конечном счете, обоснование инвестиций в безопасность — это не вопрос убеждения, а вопрос оказания влияния. Речь идет о согласовании бизнес-приоритетов с безопасными, масштабируемыми и экономически эффективными решениями.
Соответственно, CISO должны представить стратегию, которая снижает риски, повышает гибкость и позиционирует компанию для долгосрочного успеха. Когда ИТ-руководство говорит на языке добавленной стоимости своих решений, их предложения перестают звучать как технические требования, а становятся бизнес-необходимостью.
Автор – Chritstoph Schuhwerk
