Несмотря на успехи на уровне высшего руководства и растущую значимость в бизнесе в целом, руководители служб безопасности по-прежнему чаще всего подчиняются не напрямую высшему руководству организации в вопросах структур отчетности.
Согласно отчету IANS Research и Artico Search «State of the CISO Benchmark Report 2026», 64% CISO по-прежнему подчиняются ИТ-подразделению, как правило, CIO или CTO. Только 11% отчитываются перед генеральным директором (CEO), в то время как остальные подчиняются финансовому директору (CFO) (5%), главному специалисту по рискам (5%), юрисконсульту (5%) или другим бизнес-ролям (5%).
Хотя опрос показал, что «линии подчинения медленно меняются, и ответственность по пунктирной линии часто столь же важна или более важна, чем прямое подчинение», традиционные линии отчетности сохраняются, что ставит вопрос: имеет ли такая структура отчетности смысл?
Вечная проблема с подчинением CISO руководителям ИТ заключается в том, что это может создавать — или, по крайней мере, казаться, что создает — конфликт интересов.
Консультант по кибербезопасности Брайан Левин, бывший федеральный прокурор, занимающий пост исполнительного директора FormerGov, утверждает, что сегодня эта обеспокоенность еще более обоснована.
«Это устаревшая модель: безопасность рассматривается как техническая функция, а не как дисциплина управления рисками в масштабах всего предприятия», — говорит он. «Проблема в том, что когда CISO находится в подчинении у CIO, сдерживание затрат может иметь приоритет над снижением рисков».
Конфликты интересов
Левин согласен, что подчинение CIO создает «врожденный конфликт интересов».
«CIO поощряется за эффективность и экономию, а CISO несет ответственность за выявление рисков, которые часто требуют новых расходов», — объясняет он. «Это все равно что просить пожарного инспектора отчитываться перед человеком, чья премия зависит от сокращения количества спринклеров».
Левин утверждает, что CISO на уровне предприятия должны отчитываться на ступень выше.
«В идеале CISO должен отчитываться перед CEO или генеральным юрисконсультом — высокопоставленными должностными лицами, которые несут прямую ответственность за риски предприятия. Безопасность — это, по сути, функция управления рисками и корпоративного управления, а не функция центра затрат», — отмечает Левин. «Когда CISO обладает независимостью и прямой связью с руководством, организации принимают более четкие решения о рисках, а не просто более дешевые».
Зак Льюис, CISO в Университете медицинских наук и фармации в Сент-Луисе, согласен, что при подчинении ИТ возникает конфликт интересов.
«CIO озабочен [системной] доступностью, тогда как CISO необходимо отключать системы, чтобы их можно было пропатчить и исправить», — говорит Льюис, предполагая, что гипотетический CIO может сказать CISO: «Я не хочу, чтобы вы [устанавливали патч или проводили обновление безопасности], потому что это повлияет на мою премию».
Флавио Вилланустре, CISO в LexisNexis Risk Solutions Group, видит в ресурсах еще один конфликт интересов.
«Во многих организациях руководители ИТ сильно мотивированы на предоставление новых возможностей, что может напрягать ресурсы, доступные CISO при попытке обеспечить, чтобы безопасность и конфиденциальность были заложены в эти проекты», — говорит Вилланустре.
В то же время подчинение CISO кому-либо, например, генеральному юрисконсульту или CFO, «может негативно сказаться на согласовании между CISO и ИТ, что имеет первостепенное значение для повышения эффективности работы CISO», — добавляет Вилланустре. «Форсирование таких шагов может обернуться против нас».
Поскольку регуляторное давление усиливается, особенно в сфере финансовых услуг, Вилланустре считает, что структуры отчетности CISO будут подвергаться более пристальному вниманию. «Вероятно, скоро произойдут изменения, которые могут довольно значительно изменить текущую статистику [линий отчетности для CISO]», — говорит он.
Что значит линия подчинения?
Аарон Пейнтер, генеральный директор поставщика решений в области безопасности Nametag, утверждает, что структуры отчетности часто значат меньше, чем уважение, оказываемое CISO.
Пейнтер «менее догматичен в отношении того, кому подчиняется CISO, и больше сосредоточен на том, предоставлено ли ему реальное место за столом переговоров», — говорит он.
«Организационные схемы значат гораздо меньше, чем влияние», — добавляет он. «Независимо от того, подчиняется ли CISO CIO, CEO или кому-то еще, настоящий вопрос таков: привлекают ли его к работе на ранних этапах, прислушиваются ли к нему и наделяют ли полномочиями формировать то, как работает бизнес? Когда это так, структура работает. Когда нет, никакая линия подчинения ее не спасет».
Санчит Вир Гогиа, главный аналитик Greyhound Research, утверждает, что тенденция подчинять CISO руководителю ИТ «является одной из наиболее структурно разрушительных устаревших привычек, все еще укоренившихся в корпоративном управлении безопасностью».
«На бумаге это может показаться чистым согласованием», — говорит он. «На практике это антипаттерн управления, который незаметно подрывает способность CISO доносить правду, эскалировать риски и привлекать организацию к ответственности. Сохранение безопасности в рамках ИТ может показаться удобным, но в современных условиях угроз это структурная уязвимость, замаскированная под традицию».
Как и у других, аргумент Гогиа сводится к потенциальным конфликтам интересов.
«Задача CIO — обеспечивать работу бизнеса посредством технологий. Инновации, внедрение, скорость. Задача CISO — выявлять и смягчать риски, даже если это замедляет процессы», — говорит Гогиа. «Когда CISO подчиняется CIO, риски могут быть отфильтрованы, выведены из поля зрения или переформулированы так, чтобы соответствовать нарративу внедрения. Дело не в злоумышленниках. Дело в напряжении ролей. И когда это напряжение существует в рамках одной линии подчинения, риск проигрывает».
Более того, Гогиа считает, что подчинение службы безопасности ИТ «посылает все неправильные культурные сигналы».
«Сотрудники знают, где находится власть. Если CISO находится на три уровня ниже CFO, никто не воспримет его эскалацию всерьез. Если CISO должен спрашивать разрешения у своего начальника, чтобы указать на критический пробел в контроле, это не расширение прав и возможностей, а сдерживание. Со временем организация учится обходить CISO в вопросах безопасности, а не действовать через него», — говорит он. «Самое главное — это неограниченная видимость и свобода представлять неудобные истины без карьерного наказания».
Гогиа выступает за лучшую структуру отчетности для кибербезопасности.
«Мы наблюдаем появление модели главного директора по цифровым рискам (CDRO), которая полностью переосмысливает эту роль. Вместо того чтобы быть технологом, подчиняющимся инфраструктуре, CDRO — это старший руководитель, ответственный за цифровые риски в области кибербезопасности, данных, ИИ и рисков, связанных с третьими сторонами», — говорит Гогиа. «Эта роль часто находится на одном уровне с CRO и CFO, а не ниже их. Это отражает реальность того, что цифровой риск не является подмножеством ИТ. Это категория, достойная уровня совета директоров».
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Evan Schuman
