Нитен Райна (Nitin Raina) имеет послужной список, схожий с карьерой многих CISO: он работал в сфере ИТ-инфраструктуры, операций и сервисов, прежде чем перейти в сферу безопасности и продвинуться по карьерной лестнице. Сейчас он занимает должность глобального директора по информационной безопасности в технологической консалтинговой компании Thoughtworks.
Однако, совершив не самый распространенный профессиональный шаг, Райна также взял на себя роль глобального руководителя по управлению корпоративными рисками — должность, которую он занимает в Thoughtworks с 2020 года. Он получил эту должность, по его словам, благодаря своей способности и склонности говорить «о рисках в их совокупности».
После вступления в должность Райна создал подразделение по управлению корпоративными рисками (enterprise risk management), которое он теперь курирует. Это подразделение выявляет и снижает стратегические, операционные риски и риски кибербезопасности в рамках всей организации, а также проводит углубленную оценку рисков и анализ пробелов для выявления уязвимостей и неэффективности в критически важных бизнес-процессах, системах и механизмах контроля.
Райна считает, что руководство корпоративными рисками идеально сочетается с его ролью CISO, поэтому он полагает, что эти две роли следует объединять чаще.
«Мы, как CISO, можем возглавить дискуссию о рисках, — говорит Райна. — У нас есть возможность и площадка, на которой мы можем поднять этот вопрос».
Большинство CISO не имеют должности, связанной с рисками, как у Райны, однако исследователи, советники руководителей и другие лидеры в области безопасности заявляют, что CISO все чаще берут на себя больше задач по управлению корпоративными рисками.
По мнению этих экспертов, это логичное расширение обязанностей. CISO годами обучали определять, как киберриски представляют собой бизнес-риски, и понимать, какие риски являются наибольшими для предприятия, превышает ли влияние любого из них допустимый для организации уровень риска и, если да, то насколько.
Они также утверждают, что работа CISO сейчас критически важна как никогда. Практически все бизнес-операции стали цифровыми. Этот факт делает любой киберриск существенным риском для бизнеса и превращает обеспечение устойчивости в оперативный императив сегодня. Как следствие, CISO должен быть ключевым участником оценки и управления бизнес-рисками.
«Раньше CISO фокусировались на рисках ИТ и кибербезопасности. Они спрашивали: „Каковы риски для моих платформ, приложений, систем, технологического стека?“ Это была очень плоская картина, — говорит Пол Карон (Paul Caron), руководитель отдела глобальных управляемых сервисов и глава кибербезопасности по Северной и Южной Америке в S-RM, глобальной консалтинговой компании в сфере корпоративной разведки и кибербезопасности. — Но за последние несколько лет ситуация изменилась, и теперь CISO вовлекают в новые области. Их спрашивают: „Каковы риски для бизнеса?“»
CISO ведут в области рисков
В Отчете CISO за 2026 год от разработчика платформ данных Splunk 78% CISO сообщили о совместной ответственности с другими техническими руководителями высшего звена (CIO, CTO и т. д.) за операционные бизнес-риски в области безопасности, 56% имеют такую совместную ответственность с генеральными директорами (CEO), а 29% — с другими руководителями высшего звена (CFO, главный юрисконсульт и т. д.).
Отчет также показал, что 96% CISO теперь отвечают за управление и регулирование ИИ (AI governance and risk management).
Между тем, в отчете CyberRisk Alliance «Топ-10 CISO за 1 квартал 2026 года» управление, риски и соответствие требованиям (GRC) названы главным приоритетом для CISO на сегодняшний день. В отчете говорится, что это отражает «роль GRC как основного механизма, посредством которого кибербезопасность завоевывает доверие руководства и совета директоров».
В отчете также отмечается, что «организации находятся под давлением, требующим доказать, что надзор за рисками является непрерывным, обоснованным и интегрированным в принятие корпоративных решений. От CISO все чаще ожидают, что они будут объединять нормативные обязательства, допустимый уровень корпоративного риска и меры контроля безопасности в согласованную операционную модель, поддерживающую управление в режиме реального времени».
Эволюционирующие риски требуют нового профиля лидерства CISO
Сдвиг в сторону позиции CISO как специалиста по рискам, а не только по техническим вопросам и кибербезопасности, назревал годами. Но это ускорилось с появлением ChatGPT в конце 2022 года, поскольку организации приняли сначала генеративный ИИ, а затем и агентивный ИИ. Это произошло потому, что ИИ сливается с бизнес-процессом, в то время как предыдущие технологии лишь обеспечивали бизнес-процессы. Такое слияние повышает ставки и делает киберриски, цифровые риски и бизнес-риски практически синонимами.
Эта эволюция подтолкнула CISO глубже в оценку и управление рисками и требует иного типа CISO, чем в прошлом.
«CISO не могут действовать, основываясь на страхе или соблюдении нормативных требований. Теперь они должны уметь говорить о рисках на языке бизнеса. Они должны понимать, что риск — это бизнес-обсуждение», — говорит Леон Дюпри (Leon DuPree), преподаватель Школы информационной безопасности и прикладных вычислений Университета Восточного Мичигана.
Ведущие CISO делают это, количественно оценивая как риски, так и рентабельность инвестиций (ROI) в варианты их устранения, говорит Дюпри, отмечая, что многие используют модель анализа факторов информационного риска (FAIR) для понимания и позиционирования киберрисков и операционных рисков в финансовом выражении.
«Это то направление, в котором пытаются двигаться CISO, чтобы они могли способствовать изменениям и инновациям, работая с ROI по всем затратам на активы безопасности и снижение рисков», — добавляет он.
Карон из S-RM видит, что все больше CISO принимают этот подход.
Например, он говорит, что все больше руководителей служб безопасности получают задание оценивать и моделировать риски, связанные с использованием ИИ в их организациях, и сообщать о том, как эти риски влияют на бизнес-процессы, а не только на целостность данных и ИТ-системы.
Для выполнения таких обязанностей CISO должны использовать больше своих управленческих навыков, чем своих знаний в области кибербезопасности, говорит Карон. Они должны выявлять риски, связанные с внедрением ИИ и других технологий, количественно оценивать эти риски в бизнес-терминах, предлагать стратегии смягчения последствий, количественно оценивать, насколько каждый вариант смягчения снижает бизнес-риски, и помогать расставлять приоритеты в задачах, связанных с рисками, на основе ожидаемой отдачи и бизнес-целей.
«Это требует взгляда скорее бизнес-лидера, чем чисто технического взгляда. Поэтому CISO теперь должны нести ответственность за направление разговора в русло, которое покажет, что они являются партнерами бизнеса в ускорении роста», — объясняет он. «Современный бизнес все больше требует бизнес-ориентированного CISO».
Карон признает, что это серьезное требование, которое вынуждает CISO расширять свою базу знаний за пределы технических вопросов и даже соответствия нормативным требованиям, включая бизнес-операции, корпоративную стратегию и рыночные условия.
«Я думаю, что именно туда должны двигаться CISO, не обязательно туда, где они находятся сегодня, — добавляет он. — Многие все еще испытывают трудности с ментальным сдвигом, который для этого необходим».
Вопрос аппетита к риску
Стив Мартано (Steve Martano), преподаватель IANS Research и партнер практики кибербезопасности в Artico Search, говорит, что большинство CISO продвигаются по техническим и инженерным направлениям, поэтому для многих оценка и управление корпоративными рисками по-прежнему являются новыми задачами.
Но, как и Карон, он считает, что теперь это часть работы.
«Я думаю, понимание того, как новые технологии влияют на профиль риска организации, — это то, что они должны делать, и я считаю, что обсуждение корпоративных рисков — это то, к чему специалисты по безопасности всегда должны стремиться в своем общении», — говорит он.
Однако Мартано, как и другие, также утверждает, что CISO не несут — и не должны предполагать — ответственности за определение аппетита организации к риску.
«Пересматривать саму позицию в отношении риска — не работа CISO. Не работа CISO говорить: „Мы действуем слишком свободно“», — говорит Мартано.
Вместо этого CISO должны обладать «хорошим пониманием того, что организация считает допустимым, а что нет», чтобы они могли «указывать, как технологии, процессы и инструменты могут повлиять на позицию в отношении риска», — говорит он. «CISO — это советник».
Советы директоров ожидают, что CISO будут способны выявлять и оценивать текущие и будущие риски, а также консультировать по вопросу, следует ли их смягчать, передавать, страховать или принимать, добавляет он.
Сейчас это может быть сложнее, чем когда-либо, учитывая стремительное развитие технологий, ИИ и их использование в корпоративном секторе.
«Лучшие CISO думают о рисках, которые маячат на горизонте. Они должны быть в курсе того, куда все движется, — добавляет Мартано. — Им не нужно быть визионерами; но им нужно быть проактивными, взаимодействуя за пределами своих стен, общаясь с поставщиками, обмениваясь информацией с коллегами, имея представление о макроуровне. Чем больше они диверсифицируют источники информации, тем лучше, чтобы они могли доносить крупицы информации до своих советов директоров и руководящих команд для обсуждения того, как это влияет на культуру риска их собственной организации».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Mary K. Pratt
