Начало нового года означает новый старт для всех, включая команды кибербезопасности. Бюджеты и планы окончательно утверждены, и теперь директора по информационной безопасности (CISO) и их команды могут приступать к реализации своих стратегий. Но это не значит, что инновации прекращаются после утверждения плана.
В 2026 году CISO должны сосредоточиться на выходе за рамки стандартов соответствия требованиям кибербезопасности, чтобы обеспечить устойчивость своих организаций к новым угрозам. Исторически такие стандарты, как HIPAA, SOC2, ISO 27001 и другие, устанавливали базовый уровень для процедур и мер безопасности. При правильном подходе они могут быть ценными инструментами для CISO при обосновании инвестиций. Но у них есть и обратная сторона: компании, полагающиеся исключительно на соответствие требованиям, могут упустить важные и новые риски.
Вот как CISO могут оставить менталитет «чек-листа соответствия» в 2025 году, где ему и место.
Стандарты соответствия: необходимы, но недостаточны
Стандарты соответствия исторически служили основой для большинства программ кибербезопасности и часто были хорошо продуманными. Стандарт PCI-DSS возник из консорциума платежных процессоров, которые внедрили дублирующие и несогласованные средства контроля, что усложнило интеграцию сетей и увеличило расходы. Правила HIPAA по конфиденциальности и безопасности были разработаны в ответ на опасения по поводу конфиденциальности и оцифровки электронных медицинских карт.
Эти стандарты предоставляют базовый набор мер контроля для обеспечения защиты. Однако они обычно охватывают известные угрозы и могут не успевать за современными архитектурами или новыми угрозами. Они также могут допускать различные интерпретации. Например, большинство стандартов соответствия содержат расплывчатые требования к активному мониторингу поставщиков компании. CISO, управляющий программой соответствия, может проверять поставщика только раз в год или после значительных изменений в системе. Стандарты соответствия не поспевают за лучшей практикой непрерывного мониторинга поставщиков для контроля рисков третьих сторон.
Это подчеркивает один из самых печальных стимулов, известных любому CISO, управляющему программой соответствия: часто проще установить менее строгий стандарт и превысить его, чем установить более высокую цель и рисковать ее не достичь. Последнее приводит к аудиторским замечаниям и иногда к политическим разногласиям. Но к чему приводит первое?
Это ведет к самодовольству и системному недофинансированию программ безопасности. Правильно или неправильно, но CISO обосновывают 78% своих бюджетных потребностей, ссылаясь на соответствие требованиям, согласно опросу Hitch Partners за 2025 год. Эта цифра является основой, и может быть еще выше в строго регулируемых отраслях с более предписывающими стандартами соответствия. Но если эти приблизительно 80% интерпретировать как 100% потребностей вашей программы, вы не достигнете того, что требуется для ведения перспективной программы безопасности.
Именно здесь вы, как CISO, играете наиболее важную роль в миссии вашей команды безопасности. И, к счастью, многие стандарты соответствия предоставляют вам рычаги, которые вы можете использовать в своих интересах.
Новая путеводная звезда для CISO: учет новых рисков
Мы установили, что уже недостаточно просто соответствовать стандартам, но вы все равно можете использовать их в своих интересах.
Большинство программ соответствия требуют оценки рисков информационной безопасности, и в крупной компании у вас, возможно, уже есть выделенная функция управления корпоративными рисками. Как CISO, вы влияете на объем этой оценки рисков информационной безопасности, методологию и, что, возможно, наиболее важно, на временной горизонт. Три ключевые стратегии, которые следует рассмотреть:
Расширение временного горизонта
В идеале вы хотите рассматривать сценарии на 3–5 лет вперед, чтобы быть на шаг впереди. Мы уже наблюдаем развивающиеся угрозы со стороны ИИ, больше утечек данных из-за уязвимых сторонних поставщиков и риск угроз «собери сейчас — расшифруй потом» от квантовых вычислений в течение десятилетия. Никакие меры контроля для этих сценариев риска не могут быть внедрены в одночасье, поэтому подготовка к ним и другим новым рискам имеет первостепенное значение.
Использование методологий, основанных на рисках или сценариях, где это возможно
Какую ситуацию вы пытаетесь предотвратить? Соответствие, основанное на активах или мерах контроля, — это то, откуда берется ярлык «чек-лист». Это может быть важно на начальном этапе программы безопасности для обеспечения надлежащего охвата, но вы столкнетесь с упомянутым ранее менталитетом «80%». \
При использовании сценариев вы начинаете с более широкого взгляда на риск и сопоставляете связанные с ним меры контроля. Вы также можете определять пользовательские сценарии риска, которые позволяют вам официально вводить требования, выходящие за рамки существующих процедур соответствия. Они также могут быть более конкретными, чем те, которые вы найдете в описаниях мер контроля или стандартных сценариях.
Количественная оценка убытков
Одним из наиболее распространенных недостатков оценок рисков, основанных на соответствии требованиям, является упрощенный расчет вероятности и воздействия. Многие из упомянутых выше новых рисков имеют низкую вероятность, но чрезвычайно высокое воздействие и даже значительную неопределенность в отношении сроков. При использовании этой упрощенной математики такие «хвостовые» риски часто не проявляются естественным образом; вместо этого их приходится вытягивать из группы оценок с низкой частотой и высоким воздействием. Определение этого воздействия в долларах и центах помогает отсеять шум. 250 000 долларов против 18 миллионов долларов могут получить одинаковую оценку «5» по воздействию в традиционном смысле, но одно явно более значимо, чем другое.
На практике это может быть сложно, если ваша программа новая, и они сильно зависят как от авторитета вашей организации безопасности, так и от культуры управления рисками. Просто помните, что даже если вам удастся начать обсуждение этих вопросов, вы повышаете осведомленность и закладываете основу для будущих инвестиций.
Как получить одобрение совета директоров
Финансовые руководители, утверждающие план кибербезопасности CISO, работают в сфере управления рисками. Каждый день они делают расчетливые ставки на то, что принесет выгоду бизнесу. Совет директоров захочет знать, какие стандарты соответствия вы не учитываете, а также вероятность и воздействие в финансовом выражении.
CISO могут заверить их, что успешный аудит, соответствующий всем требованиям, может быть достаточным для демонстрации потенциальным клиентам, но остановка на этом устанавливает стандарт «достаточно хорошо, но без учета рисков, которые могут не входить в стандарт соответствия еще 2–3 года». Хотя для совета директоров это может звучать как дополнительные расходы, количественная оценка рисков, сравнение с конкурентами и расчет экономически эффективных мер контроля являются ключевыми. Например, информационная кампания, процесс утверждения или учебный модуль могут быть дешевле, чем добавление дополнительного программного обеспечения или специализированных решений для обеспечения безопасности генеративного ИИ, и снизить риск до приемлемого уровня.
Если ваш бюджет уже утвержден без учета этих направлений, сейчас самое время начать включать подход, ориентированный на риски, в обсуждения с вашим советом директоров. Вам следует говорить об этом круглый год, а не только во время бюджетного сезона, когда пришло время представить ваш план. Это позиционирует безопасность как способ защиты доходов, повышения эффективности капитала, сохранения целостности казначейства и оптимизации затрат, а не как центр затрат.
Начало года — отличное время для CISO, чтобы начать менять мышление своей организации в отношении рисков кибербезопасности. Примите подход, ориентированный на риски, который выходит за рамки стандартов соответствия и фокусируется на обеспечении устойчивости к новым угрозам.
Эта статья публикуется в рамках сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Chris Wheeler
