Многие руководители служб безопасности считают, что кибервзлом неизбежен, и единственной неопределенностью остается время его наступления. Это убеждение отражено в распространенном мнении, что инцидент — это вопрос «не если, а когда».
Однако все большее число CISO теперь ожидают инцидента в ближайшем будущем: по данным отчета Voice of the CISO Report, опубликованного компанией Proofpoint в августе 2025 года, 76% опрошенных заявили, что чувствуют риск материальной кибератаки в ближайшие 12 месяцев. Это выше, чем 70% в предыдущем году.
Отчет также показал, что 58% CISO полагают, что их организация не готова к реагированию.
Помимо общего ощущения почти неизбежности атаки, руководители служб безопасности признают, что различные проблемы мешают им укрепить общую позицию безопасности и повысить уверенность в способности блокировать атаки или реагировать на них.
В данном материале руководители служб безопасности делятся четырьмя проблемами, сдерживающими реализацию повестки дня корпоративной безопасности.
1. Недостаток обучения и наделения полномочиями сотрудников для действий в соответствии с приоритетами
CISO охотно признают, что их команды безопасности перегружены работой. Это приводит к сильному стрессу: по данным CISO Pressure Index 2025 от технологического производителя Nagomi Security, около 80% CISO сообщают о высоком или экстремальном давлении в настоящее время, а 87% заявили, что давление усилилось за последние 12 месяцев. Кроме того, 67% сообщают о еженедельном или ежедневном выгорании.
«Каждый CISO чувствует себя крайне перегруженным», — говорит Омар Хаважа, возглавляющий практику полевой безопасности в Databricks, преподаватель программы CISO в Университете Карнеги-Меллона и член советов директоров HITRUST и FAIR Institute.
Чтобы справиться с ситуацией, CISO стали мастерами расстановки приоритетов, где задачи, снижающие наибольшие риски для организации, занимают верхние строчки в их списках.
Однако, по словам Хаважи, бывшего CISO в Highmark Health, слишком часто CISO не обучают членов своей команды принимать компетентные решения и предпринимать действия, соответствующие этим приоритетам.
Это вынуждает руководителей принимать все решения о приоритетах, что отвлекает их и замедляет работу всей команды.
CISO следует стремиться к тому, чтобы члены команды знали, когда и как принимать решения о приоритетах в своих областях работы, «чтобы каждая команда фокусировалась на самом важном», — говорит Хаважа.
«Для этого необходимо создать четкие механизмы и инструкции для поддержки принятия решений», — объясняет он. «Должны существовать критерии или факторы, определяющие высокий, средний или низкий приоритет для всего, что предоставляет команда безопасности, потому что тогда любой член команды сможет взглянуть на любой поступающий запрос и уверенно и эффективно расставить приоритеты».
2. Неспособность угнаться за инновациями и внедрением ИИ
Руководители и сотрудники спешат внедрять искусственный интеллект, привлеченные ожиданиями, что ИИ преобразует рабочие процессы и сэкономит время, деньги и усилия.
Но в большинстве своем CISO не успевают за темпами внедрения ИИ, которые демонстрируют их бизнес-коллеги.
Согласно опросу 921 ИТ-специалиста и специалиста по кибербезопасности, проведенному для отчета Cyera 2025 State of AI Data Security Report, 83% организаций используют ИИ, но только 13% имеют четкое представление о том, как эти системы получают доступ к конфиденциальным данным или обрабатывают их; только 16% рассматривают ИИ как отдельную сущность (identity); только 11% организаций могут автоматически блокировать рискованную активность ИИ; и только у 7% есть выделенная команда по управлению ИИ.
«Большинство CISO борются с вопросом, как обезопасить ИИ», — говорит Роберт Т. Ли, директор по ИИ и руководитель исследований в SANS, фирме, занимающейся обучением и сертификацией в области безопасности.
По словам Ли, немало CISO по-прежнему либо запрещают предлагаемые варианты использования ИИ из соображений безопасности — то, что он называет «Фреймворком безопасности “Нет”», — либо замедляют внедрение, пока оценивают безопасность ИИ.
«Существует общая нехватка знаний о том, как подходить к ИИ», — отмечает Ли.
Отдавая должное CISO, Ли отмечает, что бизнес не всегда помогает в этой ситуации. «Во многих организациях стратегия ИИ быстро меняется; выходит новая версия ИИ, и повестка меняется, а через месяц выходит что-то новое, и она снова меняется. То, что команда безопасности должна обеспечивать, — это постоянно движущаяся мишень», — говорит он.
Тем не менее, Ли считает очевидным, что неспособность команды безопасности угнаться за инновациями в области ИИ и стремление предприятия к быстрому внедрению создают проблемы. Это тормозит реализацию планов организации, замедляя трансформацию. Это также мешает успеху отдела безопасности, поскольку бизнес часто обходит безопасность стороной, чтобы не замедлять или не останавливать свой путь в области ИИ.
В результате у CISO и их организаций появляется “теневой ИИ”, неуправляемые агенты и непрозрачные потоки данных, которые создают плохо защищенную расширенную поверхность атаки, добавляет Ли.
Конечно, необходимость адекватной оценки и защиты развертываний ИИ сохраняется, говорит Ли, добавляя, что организации не должны просто полагаться на заверения поставщиков в том, что их компоненты ИИ безопасны.
По мнению Ли, CISO, которые успевают за стратегией ИИ своей организации, применяют целостный подход, а не работают по принципу «развертывание за развертыванием». Они определяют профиль риска для конкретных данных, чтобы служба безопасности не тратила много времени на оценку развертываний ИИ, использующих данные с низким уровнем риска, и могла сосредоточить усилия на сценариях использования ИИ, требующих данных со средним или высоким уровнем риска. Они также назначают сотрудников службы безопасности в отдельные отделы для контроля потребностей в ИИ и обучают команды безопасности навыкам, необходимым для оценки и защиты инициатив в области ИИ.
3. Ограниченное внедрение ИИ в операциях по обеспечению безопасности
Как и их бизнес-коллеги, некоторые CISO принимают ИИ для трансформации своих операций — но они явно не составляют большинства, несмотря на преимущества, которые эта технология приносит кибербезопасности.
Исследование ISC2 Cybersecurity Workforce Study 2025 года показало, что только 28% из 16 000 опрошенных руководителей предприятий интегрировали инструменты ИИ в свои операции по обеспечению безопасности. Исследование выявило, что 19% тестируют их, а 22% находятся на ранней стадии оценки.
«CISO немного отстают» в развертывании ИИ с той же скоростью, что и бизнес», — говорит Джон Франс, CISO в ISC2, организации по обучению и сертификации в области кибербезопасности.
Этот медленный темп сохраняется, несмотря на то, что использование ИИ в операциях безопасности доказывает свою пользу, добавляет Франс, отмечая, что 63% тех, кто использует инструменты безопасности на базе ИИ, сообщили о значительном повышении своей производительности.
Согласно исследованию ISC2, «С точки зрения того, где ИИ, как ожидается, окажет наибольшее влияние на операции по обеспечению кибербезопасности в кратчайшие сроки, 40% указали на сетевой мониторинг как на наибольшее положительное влияние, за которым следуют операции по обеспечению безопасности и тестирование безопасности (оба по 30%), управление уязвимостями (29%), моделирование угроз и защита конечных точек (оба по 28%)».
4. Нехватка необходимого таланта и требуемых навыков
Хотя CISO давно указывают на трудности с наймом достаточного количества квалифицированных специалистов по безопасности, они все чаще рассматривают это как препятствие для продвижения своих программ безопасности.
В отчете State of Cybersecurity Resilience 2025 консалтинговой фирмы Accenture 83% ИТ-руководителей назвали нехватку киберталантов «главным препятствием на пути к достижению сильной позиции безопасности».
Исследование ISC2 выявило проблему, состоящую из двух аспектов.
Первый — это нехватка талантов: в 2025 году 63% сообщили о небольшой или значительной нехватке специалистов по кибербезопасности, что является небольшим улучшением по сравнению с 68% в 2024 году.
Второй — это дефицит навыков. Согласно отчету, в 2025 году 59% отметили наличие критических или значительных потребностей в навыках, по сравнению с 44% в 2024 году, а 95% заявили о наличии одной или более потребностей в навыках, что на 5% больше, чем в предыдущем году. Респонденты опроса назвали ИИ самой насущной потребностью в навыках (41%), за которым следуют облачная безопасность (36%), оценка рисков (29%), безопасность приложений (28%), инженерия безопасности и управление (27%) и риски и комплаенс (также 27%).
«Нам нужны люди, подходящие для выполнения сегодняшних обязанностей в сфере безопасности», — говорит Франс.
Хаважа также называет отсутствие «правильных навыков в команде безопасности» препятствием для успеха CISO.
Однако Хаважа считает, что проблема для CISO заключается не в найме технических навыков или даже «мягких» навыков, а в так называемых «средних навыках», таких как управление рисками и управление изменениями. Он считает, что эти навыки становятся все более важными для согласования безопасности с бизнесом, вовлечения пользователей в соблюдение протоколов безопасности и, в конечном итоге, для улучшения позиции безопасности организации. «Если у вас нет [этих средних навыков], команда безопасности не сможет зайти далеко», — утверждает он.
Хотя CISO борются с рыночными силами, которые находятся далеко за пределами их прямого контроля и влияния, Хаважа и другие эксперты считают, что CISO могут предпринять шаги для устранения нехватки талантов и навыков. Они отмечают, что надежная стратегия работы с кадрами, которая сфокусирована на найме по навыкам и компетенциям, может помочь CISO получить то, что им нужно для продвижения своих программ безопасности.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Mary K. Pratt
