К настоящему времени советы директоров в различных отраслях понимают, что кибератаки могут быть дорогостоящими. Однако им часто не хватает четкого представления о том, какие риски представляют наибольшую угрозу для их бизнеса и почему определенные инвестиции должны выйти на первый план. В этот момент многие руководители по безопасности теряют поддержку. Задача состоит не столько в том, чтобы поднять тревогу, сколько в том, чтобы преобразовать риск в действенные бизнес-задачи.
Команды по безопасности тратят время на выявление угроз, оценку средств контроля и измерение подверженности риску, в то время как исполнительные советы фокусируются на других наборах вопросов, уделяя внимание влиянию, компромиссам и следующим шагам. Они хотят понять, где бизнес подвержен риску, что может нарушить операции или повлечь за собой финансовые и регуляторные последствия, и какие решения требуют внимания прямо сейчас. Когда киберриск представляется в виде технического брифинга, а не как вопрос для принятия бизнес-решения, даже срочные проблемы могут показаться более легкими для откладывания, поэтому руководители по безопасности должны соответствовать стандартам, которые ожидают руководители, вынося обсуждения рисков в совет директоров.
Этот разрыв становится более значимым сейчас, поскольку цена ошибки остается высокой, а борьба за ресурсы становится только сложнее. В отчете IBM о стоимости утечки данных за 2025 год средняя мировая стоимость утечки достигла 4,44 миллиона долларов США, что на 10% больше, чем в предыдущем году. В том же отчете говорится, что организации, сталкивающиеся с высоким уровнем нехватки квалифицированных кадров в области безопасности, имели значительно более высокие средние затраты на утечки, в то время как организации, которые активно использовали ИИ и автоматизацию в сфере безопасности, сократили затраты на утечки в среднем на 3,65 миллиона долларов.
Эти цифры помогают объяснить финансовые ставки риска, но они не переводятся автоматически в поддержку совета директоров. Руководители по безопасности по-прежнему должны показать, почему конкретные риски заслуживают внимания, что поставлено на карту для бизнеса и где действия наиболее необходимы. Без этой связи даже серьезные угрозы могут оставаться слишком абстрактными, чтобы стимулировать принятие решений.
Почему обсуждения с советом директоров все еще заходят в тупик
Многие отчеты о рисках для совета директоров не достигают цели, потому что они сосредоточены на отчетности, а не на принятии решений.
Советы директоров могут слышать о попытках атак, открытых уязвимостях, пробелах в контроле или результатах аудита, но одни только эти детали не говорят им, какое решение необходимо. Длинный список рисков не создает срочности, если директора не видят, какие риски несут наибольшее влияние на бизнес, что, вероятно, произойдет, если эти проблемы останутся нерешенными, и где руководство считает, что действия должны быть первоочередными.
Недавние сообщения затрудняют игнорирование этого разрыва. Ссылаясь на отчет IANS, Artico Search и The CAP Group за 2026 год, Cyber Security Online (CSO) сообщила, что взаимодействие между CISO и советом директоров обычно длится всего 30 минут в квартал, при этом только 30% советов директоров описывают свои отношения с CISO как прочные и совместные. Наиболее эффективные обсуждения с советом директоров были краткими, основанными на данных и напрямую связанными с толерантностью к риску, приоритетами бизнеса и возвратом инвестиций.
У советов директоров нет времени на подробный брифинг по рискам. У них часто есть время только для четкого формулирования нескольких решений. Руководители, которые рассматривают время, отведенное советом, как возможность продемонстрировать техническую глубину, часто упускают из виду более широкую цель — помочь руководству понять подверженность риску таким образом, чтобы это способствовало действию.
Прекратите отчитываться о риске как о техническом обновлении статуса
Руководителям не нужен мастер-класс по моделированию угроз. Им нужно знать, что может потерять бизнес.
Риск должен быть сформулирован на языке, который советы директоров уже используют для оценки других корпоративных решений: финансовые риски, операционные сбои, последствия соблюдения нормативных требований, юридические риски и стоимость задержки. Руководителям по безопасности часто трудно перевести технический риск в бизнес-срочность, даже если руководители уже понимают, что утечки — это плохо. Им нужна более четкая картина вероятных затрат на эти утечки, сбои и отказы.
Именно здесь начинает улучшаться общение на уровне совета директоров. Поддержка риска становится проще, когда он больше не является абстрактным. Совет директоров может не заинтересоваться слайдом о зрелости средств контроля. Он гораздо охотнее отреагирует на краткое объяснение, в котором говорится, что известная лазейка может нарушить приносящую доход функцию, задержать стратегическую инициативу или увеличить регуляторную подверженность сверх заявленной советом директоров толерантности к риску.
Самые сильные руководители по безопасности не смягчают сообщение. Они делают его понятным, отсекая жаргон, выявляя немногие вопросы, которые имеют наибольшее значение, и прямо объясняя компромиссы.
Сделайте понятной стоимость недостаточных инвестиций
Руководители по безопасности соревнуются не только за бюджет. Они соревнуются за доверие.
Это делает дисциплинированную приоритизацию необходимой. Советы директоров гораздо охотнее поддержат расходы, когда увидят, какие риски несут наибольшее влияние на бизнес, как эти риски были ранжированы и где дополнительные ресурсы уменьшат значительную подверженность. Они менее склонны реагировать, когда каждый вопрос представляется одинаково срочным или когда руководство не может объяснить, почему одна инвестиция важнее другой.
Текущие бюджетные данные подчеркивают давление. В августе 2025 года IANS и Artico сообщили, что средний рост бюджета на безопасность замедлился до 4% по сравнению с 8% в 2024 году, что является самым низким показателем за пять лет. Только 47% CISO сообщили об увеличении бюджета в 2025 году по сравнению с 62% в предыдущем году.
В этой ситуации больше отчетов само по себе не поможет. Советы директоров нуждаются в доказательствах того, что руководство может выявить риски с наибольшими затратами, назначить ответственность и направить ресурсы туда, где они окажут наибольшее влияние.
GRC должен поддерживать решения, а не только документацию
Управление, риск и соответствие требованиям (GRC) — это не упражнение по отчетности. Это способ превратить разрозненные проблемы риска в бизнес-приоритеты.
Это означает помощь руководству в ответах на практические вопросы, такие как: «Какие риски с наибольшей вероятностью приведут к измеримому бизнес-ущербу?» «Какие пробелы уже устраняются, а какие нет?» «Где организация сознательно принимает риск, а где действия просто застопорились?» «Какие запросы связаны с измеримым снижением потерь, сбоев или давления со стороны регуляторов?»
Когда эти связи ясны, кибербезопасность больше не выглядит как техническая команда, просящая больше денег. Это выглядит как руководство, делающее то, что оно должно делать, а именно: выявление корпоративных рисков, ранжирование приоритетов и обоснование дисциплинированных действий.
Как выглядит лучшее общение с советом директоров
Лучшее общение с советом директоров, как правило, короче, а не длиннее.
Оно начинается с риска, вероятного влияния на бизнес, последствий бездействия и решения, которое руководство просит поддержать или понять совет директоров. Технические детали по-прежнему важны, но они должны следовать за обоснованием для бизнеса, а не заменять его.
Это также требует откровенности. Если нехватка персонала задерживает прогресс, скажите об этом. Если инструментарий улучшил видимость, но у команды не хватает возможностей действовать в соответствии с тем, что она видит, дайте это понять. Если определенные риски остаются открытыми, потому что бизнес решил их принять, задокументируйте это четко. Советы директоров с большей вероятностью поддержат руководителей, которые представляют риск дисциплинированно, чем тех, кто представляет каждый квартал как новую чрезвычайную ситуацию.
Со временем эта последовательность укрепляет доверие. Директора перестают воспринимать обновления от CISO как список нерешенных проблем и начинают видеть их как часть более широкого управленческого процесса, который связывает подверженность риску, подотчетность и решения о ресурсах.
Согласие — это не просто больший бюджет
Настоящее согласие на уровне совета директоров означает, что совет понимает, какие риски наиболее важны, согласен с тем, почему они важны, и уверен, что ресурсы выделяются дисциплинированно. Киберриск рассматривается как часть устойчивости бизнеса и управления, а не как изолированная техническая проблема. Руководство по безопасности может четко объяснить, почему одна инвестиция имеет приоритет над другой и что организация выиграет, действуя сейчас, а не позже.
GRC ценен на уровне руководства, потому что он смещает фокус обсуждения с общих проблем на принятие обоснованных решений. Советы директоров в конечном итоге с большей вероятностью поддержат руководителей по безопасности, которые могут объяснить риск на языке бизнеса, четко расставить приоритеты и показать, где ресурсы будут иметь наибольшее значение.
Эта статья опубликована в рамках Сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jeff Ladner
