Сложно понять, почему в 2026 году мы все еще обсуждаем подчиненность директора по информационной безопасности (CISO).
Это одна из первых тем, о которых я писал в 2015 году, и после более чем двух десятилетий громких инцидентов в сфере кибербезопасности, постоянного регуляторного давления, масштабных технологических инвестиций и устойчивого повышения значимости кибербезопасности в повестке дня советов директоров, можно было бы обоснованно ожидать, что этот вопрос будет решен давным-давно.
Однако вопрос остается. И такие статьи, как It’s time to rethink CISO reporting lines (Пора переосмыслить линии подчинения CISO), показывают, что дебаты все еще накалены.
Сам факт продолжения дебатов говорит нам о чем-то важном. Это показывает, что многие организации все еще борются с более фундаментальным вопросом: какова именно роль CISO в рамках предприятия?
Линия подчинения имеет значение — но это никогда не было настоящим вопросом
Позвольте мне быть предельно ясным. Линия подчинения имеет значение. Она имеет значение, потому что определяет авторитет, видимость и влияние функции безопасности в рамках всей организации. Она сигнализирует внутри компании, насколько серьезно воспринимается кибербезопасность, и определяет, насколько эффективно CISO может взаимодействовать с высшим руководством.
Но линия подчинения никогда не была настоящим вопросом.
Настоящий вопрос заключается в том, обладает ли CISO необходимым организационным статусом для влияния на решения в различных изолированных подразделениях: IT, операционная деятельность, юридический отдел, комплаенс, HR, закупки, сторонние поставщики и все более сложная экосистема партнеров и цифровых платформ.
Кибербезопасность — одна из немногих корпоративных функций, которая затрагивает практически все части предприятия. Следовательно, она по своей сути является кросс-функциональной. Без достаточного авторитета и видимости CISO не может надеяться повлиять на поведение в организации, не говоря уже о том, чтобы добиться значимых изменений.
Если мы все еще обсуждаем линию подчинения в 2026 году, то в значительной степени потому, что многие организации до сих пор рассматривают кибербезопасность как техническую проблему, а не как проблему лидерства.
Разрыв в управлении, стоящий за дебатами
Упорство этих дебатов отражает более широкий разрыв в управлении (governance gap).
Исторически информационная безопасность возникла как техническая дисциплина, встроенная в IT-отделы. Ранние команды по безопасности в основном занимались защитой инфраструктуры: межсетевые экраны, контроль доступа, сетевой мониторинг и управление уязвимостями. В этой среде было естественно, что функция безопасности находилась в структуре IT.
Но характер киберрисков кардинально изменился.
Сегодня кибербезопасность — это не просто защита технологической инфраструктуры. Это защита цифровых бизнес-моделей, доверия клиентов, интеллектуальной собственности, операционной устойчивости и в некоторых секторах даже интересов национальной безопасности.
Иными словами, кибербезопасность стала стратегическим бизнес-вопросом.
И все же во многих организациях структуры управления, окружающие кибербезопасность, не развивались с той же скоростью.
Таким образом, продолжающиеся дебаты о линии подчинения CISO в меньшей степени касаются организационного дизайна и в большей степени — того, впитали ли компании в себя стратегический характер киберрисков.
Универсальной линии подчинения не существует
Еще одно повторяющееся заблуждение — это поиск универсального ответа.
Каждый год опросы пытаются определить «правильную» линию подчинения для CISO. Некоторые приходят к выводу, что CISO должен подчиняться генеральному директору (CEO). Другие рекомендуют директору по рискам (CRO) или операционному директору (COO). Некоторые настаивают на том, что независимость от IT является обязательной.
В действительности универсальной модели не существует. Линия подчинения остается средством достижения цели.
Организации сильно различаются по своей структуре, культуре, зрелости и регуляторной среде. То, что работает в одной организации, может не сработать в другой.
Во многих организациях CIO остается наиболее естественной линией подчинения для CISO, особенно там, где технологическая трансформация и цифровые инновации являются основными стратегическими приоритетами. В других случаях COO или CEO могут лучше подходить для поддержки операционных изменений, необходимых для внедрения безопасности в бизнес-процессы.
Важно не название должности руководителя, которому подчиняется CISO.
Важно, обладает ли этот человек полномочиями, авторитетом, организационным охватом и личной готовностью поддерживать повестку дня в области безопасности.
Авторитет имеет значение — и значительная его часть формируется в первые 100 дней
Когда новый CISO приходит в организацию, его первоочередная задача редко бывает технической. Скорее, она организационная: понять бизнес, составить карту заинтересованных сторон, оценить структуры управления и выявить культурные барьеры, которые могут помешать улучшениям в области безопасности.
В течение этих первых месяцев CISO должен быстро завоевать авторитет среди различных групп. Он должен взаимодействовать с высшим руководством, оперативными руководителями, технологическими командами и иногда с регуляторами или внешними партнерами.
Ничего из этого нельзя сделать эффективно, если CISO не обладает организационным авторитетом.
Линия подчинения, при которой CISO оказывается погребенным на несколько уровней ниже высшего руководства, серьезно ограничивает его способность выстраивать отношения, необходимые для успеха. И наоборот, линия подчинения, обеспечивающая прямой доступ к лицам, принимающим решения, может значительно ускорить этот процесс.
Таким образом, линия подчинения важна не потому, что она определяет технические решения, а потому, что она определяет доступ, влияние и авторитет.
Иллюзия структурных решений
В то же время мы должны быть осторожны, чтобы не преувеличивать важность организационных схем.
Распространенная ошибка — предполагать, что изменение линии подчинения CISO автоматически решит проблемы кибербезопасности.
Это не так.
Сбои в кибербезопасности редко происходят из-за неправильной организационной схемы. Они происходят из-за плохого управления, слабого лидерства, неясной подотчетности или культурного сопротивления изменениям.
Самые успешные CISO добиваются успеха не благодаря идеальным структурам подчинения, а благодаря построению доверия, авторитета и влияния в рамках всей организации.
Что подводит нас к, возможно, самому важному фактору из всех: отношениям между CISO и его непосредственным руководителем.
Доверие важнее структуры
На практике успех CISO в значительной степени зависит от качества отношений с руководителем, которому он подчиняется.
Эти отношения должны строиться на доверии, согласованности и общем понимании аппетита организации к риску и ее стратегических приоритетов.
Если руководитель, которому подчиняется CISO, понимает важность кибербезопасности и готов отстаивать повестку дня в области безопасности на уровне совета директоров и в рамках всей фирмы, структура подчинения может работать чрезвычайно хорошо.
Если этой поддержки нет, потому что бизнес в целом не видит стратегической важности кибербезопасности, никакая линия подчинения волшебным образом не решит проблему.
Миф о конфликте CIO–CISO
Последний довод, который часто приводится в этих дискуссиях, — это предполагаемый «конфликт интересов» между CIO и CISO.
Согласно этой теории, CISO не должен подчиняться CIO, потому что CIO отвечает за реализацию технологических проектов и операционную производительность, в то время как CISO отвечает за обеспечение мер безопасности, которые могут замедлить процесс.
Этот аргумент, возможно, имел некоторое отношение 20 лет назад, когда функции безопасности в основном отвечали за аудит ИТ-операций.
Но сегодня он все больше отражает устаревшее понимание обеих ролей.
Современная кибербезопасность тесно переплетена с технологической архитектурой, облачными платформами, DevOps-конвейерами, программами цифровой трансформации и инициативами по операционной устойчивости. Безопасность нельзя рассматривать как внешнюю надзорную функцию, которая контролирует IT на расстоянии.
Она должна быть встроена в саму технологическую стратегию. Любой современный CIO должен смотреть на это именно так.
В такой среде тесное сотрудничество между CIO и CISO не просто желательно — оно необходимо.
Представление этих отношений как структурного бюджетного конфликта и источника трений контрпродуктивно и устарело. Настоящая цель должна заключаться не в том, чтобы избежать трений, а в том, чтобы обеспечить согласованность: гарантировать, что технологическое руководство и руководство по безопасности работают вместе для поддержки стратегических целей организации.
Выход за рамки дебатов
В конечном счете, продолжающиеся дебаты о линии подчинения CISO отвлекают индустрию безопасности от более важных вопросов.
Гораздо важнее то, интегрирована ли кибербезопасность в корпоративное управление, поддерживается ли она высшим руководством и согласована ли с бизнес-стратегией.
Если организации все еще спорят о том, где должен находиться CISO в 2026 году, это может просто указывать на то, что они еще не до конца приняли стратегический характер киберрисков.
И пока это не изменится, дебаты, вероятно, продолжатся.
Не потому, что ответ сложен — а потому, что лежащая в основе проблема управления остается нерешенной.
Эта статья опубликована в рамках сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – JC Gaillard
