История которая повторяется в компаниях любого размера
Работающая стратегия информационной безопасности не сводится к документу со слайдами. Это договорённость о том какие риски бизнес готов принять а какие нет. Всё остальное инструменты для реализации этого выбора.
Почему стратегия ИБ не начинается со слайдов
Компания с��еднего размера. Один системный администратор отвечает за всё. Владелец не спрашивает о стратегии. Администратор действует по интуиции. Установлен антивирус, бэкапы делаются раз в неделю, пароли меняются раз в год. Потом приходит атака шифровальщика. Владелец платит. Потому что недельный бэкап означает неделю простоя. Неделя без отгрузок, без выставления счетов, без поступления платежей. Клиенты уходят к конкурентам. Прямые потери это зарплата сотрудникам которые сидят без дела. Косвенный ущерб это репутация и упущенные контракты. Потерянные контракты оцениваются в несколько месяцев выручки. Владелец платит выкуп не потому что верит в успех переговоров а потому что каждый день простоя стоит дороже суммы выкупа. Потом всё возвращается как было.
Администратор считает что владелец не слушал предупреждения. Владелец считает что администратор не предотвратил очевидное. Оба неправы. Причина в том что они говорили на разных языках.
Разрыв между техническими специалистами и бизнесом
В крупной компании с правлением происходит то же самое под другим соусом. ИБ-директор готовит презентацию. Десять слайдов. Три цифры на каждом. Абстрактные проценты эффективности. И получает отказ. Потому что правление не видит связи с реальными проблемами бизнеса. Цифры висят в воздухе без привязки к деньгам которые компания зарабатывает или теряет.
Разрыв одинаков в обоих случаях. Технические специалисты мыслят угрозами. Бизнес мыслит рисками. Угроза это DDoS-атака. Риск это недоступность сервиса на два дня и потеря контрактов. Угроза это уязвимость в системе. Риск это уход сотрудника с базой клиентов и падение выручки. Пока ИБ-директор говорит о технических угрозах правление не видит бизнес-ценности. Когда он говорит о рисках — слышит деньги.
Почему превентивная защита остаётся на бумаге
Политическая сложность признания проблем
Почему этот разрыв так трудно преодолеть? Потому что предупреждающая защита требует признания проблем. Харденинг означает отключение неиспользуемых служб, удаление стандартных учётных записей, настройку политик паролей требующих сложности и регулярной смены. Нулевое доверие означает что каждый запрос к системе проверяется индивидуально независимо от того откуда он пришёл. Такие меры требуют признания что системы работали небезопасно и что сотрудники потенциальная угроза. Политически сложно.
Легче купить инструмент который обещает обнаружить атаку после того как она произошла. Он не требует изменений. Не требует признаний. Так создаётся видимость управления.
Культура аварийного реагирования в ИТ-отделах
ИТ-специалисты часто гордятся своей реакцией на кризисы. Чем масштабнее сбой тем ярче проявляется их компетентность. Предупреждающие меры лишают их этой возможности. Если система не падает никто не видит как специалист её защищает. Так возникает скрытая обратная мотивация — не слишком усердствовать с профилактикой чтобы оставаться востребованным в момент кризиса.
Как устроен рынок реактивных инструментов
Экономика видимого эффекта
Ры��ок подхватывает эту динамику. Реактивные решения продаются лучше предупреждающих. Их эффект виден сразу. Система поймала атаку. Эффективность предупреждающих мер невидима. Если атака не произошла это может быть защита а может удача. Так работает когнитивное искажение подтверждения присутствия. Мы ценим то что видим и недооцениваем то что предотвращено. Специалист который устранил поломку получает благодарность. Специалист который предотвратил поломку через регулярное обслуживание — нет. Точно так же система которая поймала атаку получает признание. Система которая предотвратила атаку — нет потому что атаки как будто не было.
Как рынок кибербезопасности зарабатывает на инцидентах
Чем больше компании тратят на обнаружение тем меньше остаётся на базовую защиту. Компания покупает дорогой комплекс мониторинга но не настраивает политики паролей. Каждая покупка откладывает работу с фундаментальными проблемами.
В результате стратегия ИБ превращается в стратегию закупок. Список инструментов которые должны защитить от всего. Но не защищают потому что не настроены. Или защищают от неправильных вещей. Компания среднего размера покупает решение класса enterprise и не может его настроить. Правление крупной компании одобряет бюджет на инструменты которые не решают их конкретных проблем.
Как перевести язык угроз на язык рисков
Цепочка от технической угрозы до бизнес-последствия
Как это исправить? Начать не с инструментов а с рисков. Что реально может помешать достигать целей? Для компании на сто человек — простой на неделю и потеря клиентов. Для крупной с правлением — репутационные потери и штрафы регуляторов. Для выходящей на новые рынки — несоответствие местным требованиям.
Возьмём конкретную техническую угрозу. Отсутствие многофакторной аутентификации у администратора. Цепочка риска выглядит так. Компрометация учётной записи администратора через фишинг. Доступ к системам бухгалтерии и клиентской базе. Выгрузка данных. Продажа конкурентам или публикация. Штраф регулятора за утечку персональных данных. В российской практике эти штрафы редко банкротят компанию в отличие от некоторых юрисдикций. Например в Китае закон PIPL предусматривает штрафы до пяти процентов годового оборота что может привести к банкротству. В России последствия мягче но не менее болезненны — потеря ключевых клиентов отзыв лицензи�� исключение из тендеров. Такая цепочка показывает что речь идёт не о технической проблеме а о бизнес-риске который можно оценить в конкретных деньгах.
Стратегия отвечает на вопрос какие риски мы готовы принять а какие нет. И сколько готовы платить за снижение каждого. Такое решение принимает бизнес а не технические специалисты. После него выбираются инструменты. Но и здесь есть ловушка — легко выбрать те что создают видимость работы. Поэтому важна метрика эффективности в терминах бизнеса. Не сколько атак отражено а сколько контрактов сохранено. Не сколько уязвимостей закрыто а на сколько снижены ожидаемые потери.
Для презентации это означает отказ от технического жаргона. Не внедрение системы с корреляцией событий. А снижение времени реагирования с двух суток до двух часов. Не харденинг. А снижение вероятности успешной атаки на критическую инфраструктуру.
Структура презентации которая работает
В России правление и собственники принимают ровно один формат стратегии ИБ: 10–12 слайдов, 7 минут презентации, ноль технического жаргона.
Структура из десяти слайдов работает потому что принуждает к конкретике. Три цифры на слайд. Три цели на документ. Каждая инициатива через бизнес-эффект и инвестиции.
Слайд 1. Титульный
«Стратегия информационной безопасности компании «ХХХ»
Генеральному директору и Правлению»
Слайд 2. Одна картинка состояния «Сегодня»
Три цифры:
- Текущий уровень зрелости (например, 2,7 → 3,4)
- Ожидаемые финансовые потери от киберрисков в ближайшие 3 года без изменений (в рублях)
- Размер последнего штрафа / инцидента, если был
Слайд 3. Целевое состояние через 3 года
Три цифры:
- Уровень зрелости 3,8+
- Снижение ожидаемых потерь на 78% (конкретная сумма в рублях)
- Бюджет ИБ как % от ИТ-бюджета (например, с 4% до 9%)
Слайд 4. Три стратегические цели (не более)
1. Нулевой уровень успешных атак с финансовыми последствиями
2. Полное соответствие всем регуляторам без штрафов
3. ИБ как конкурентное преимущество (рост NPS +7 пунктов)
Слайд 5–7. Ключевые инициативы (по одной на слайд)
Каждая инициатива в формате:
Название → Бизнес-эффект в рублях → Необходимые инвестиции → Срок
Слайд 8. Финансовая модель на 3 года
Таблица CAPEX / OPEX по годам + ROSI 380%
Показываем сколько денег нужно вложить и какую выгоду получим.
CAPEX разовые затраты на покупку систем и лицензий. В первый год максимальные (покупаем основное), потом минимальные (только докупаем).
OPEX ежегодные затраты на зарплаты команды, поддержку систем, обучение. Растут с каждым годом по мере развития.
ROSI возврат инвестиций в безопасность.
Означает на каждый вложенный рубль предотвращаем потери на 3,8 рубля. Считается как соотношение предотвращенных потерь к инвестициям. Пример в цифрах:
Вложим 143 млн за три года. Предотвратим потери на 687 млн (штрафы, простои, утечки). Чистая выгода 544 млн. Окупится за полтора года. Правлению важно видеть что деньги на ИБ это не расходы а инвестиция с конкретной отдачей.
Слайд 9. Риски и зависимости
Показываем три главных риска бизнеса и объясняем как глубокая защита их закрывает. Глубокая защита это пять независимых уровней технических средств. Взлом одного не означает взлом всех.
Первый уровень — защита периметра.
NGFW блокирует сетевые атаки и вредоносный трафик на входе в корпоративную сеть. WAF защищает веб-приложения и сайты от эксплуатации уязвимостей и SQL-инъекций. Anti-DDoS отражает массированные атаки на отказ в обслуживании. WAF разворачиваем в облаке для защиты публичных сервисов и on-premise для внутренних приложений. Внедрение 2 месяца, настройка под бизнес-процессы еще 1 месяц.
Второй уровень — защита конечных точек и серверов.
EDR-системы отслеживают все процессы на рабочих станциях и серверах, блокируют запуск вредоносных файлов, останавливают шифрование данных при атаке ransomware, откатывают зашифрованные файлы до исходного состояния. Антивирус ловит известные угрозы, EDR — неизвестные и целевые атаки по поведению. Развертывание на 5000 рабочих мест 1 месяц, обучение администраторов 2 недели.
Третий уровень — контроль доступа и данных.
IAM централизованно управляет правами доступа, автоматически отзывает права при увольнении, ограничивает доступ по принципу минимальных привилегий. MFA требует подтверждение входа через SMS или приложение даже если пароль скомпрометирован. DLP блокирует отправку конфиденциальных документов на личную почту, запрещает копирование базы клиентов на флешку, контролирует печать финансовых отчетов. Интеграция с Active Directory и бизнес-системами 3 месяца, пилот на одном подразделении 1 месяц.
Четвертый уровень — мониторинг и аналитика.
SIEM собирает логи со всех систем в единую базу, коррелирует события, находит аномалии типа входа администратора в 3 ночи или массовой выгрузки данных. SOAR автоматически блокирует подозрительную учетную запись, изолирует зараженный компьютер от сети, отправляет алерты в SOC. NTA анализирует сетевой трафик, выявляет скрытые каналы связи с командными серверами хакеров, обнаруживает lateral movement по сети. Развертывание SIEM 4 месяца, написание правил корреляции под специфику бизнеса еще 2 месяца.
Пятый уровень — резервирование и восстановление.
Резервные копии критичных систем делаются каждые 4 часа и хранятся в изолированном сегменте сети недоступном из основной инфраструктуры ransomware не сможет их зашифровать. Система аварийного восстановления автоматически поднимает сервисы на резервных мощностях за 2 часа. Резервный ЦОД в другом регионе подхватывает критичные процессы при полном отказе основной площадки. Построение системы резервирования 6 месяцев, регулярные учения по восстановлению каждый квартал.
Эта архитектура закрывает три критичных риска. Остановку производства из-за шифровальщика EDR остановит шифрование, резервные копии восстановят данные за 2 часа, потери минимальны вместо 280 миллионов выручки. Утечку персональных данных клиентов DLP не даст вынести базу, IAM ограничит доступ только необходимым сотрудникам, SIEM поймает ��номальную выгрузку, штрафов и потери клиентов не будет. Саботаж или критичную ошибку своего сотрудника MFA не даст войти по украденному паролю, SOAR автоматически откатит опасные изменения, резервные копии восстановят удаленное за 4 часа вместо банкротства.
Слайд 10. Следующие шаги и просьба
«Прошу одобрить стратегию и бюджет в объёме 2,1 млрд руб.»
Три уровня убеждения по римской модели
Слайды только верхушка айсберга. Решение принимается до презентации. Римские ораторы учили что убеждение работает на трёх уровнях.
Логос — логика аргументов.
Этос — доверие к оратору.
Патос — эмоциональное воздействие.
Современные презентации часто фокусируются только на логосе. Правильные цифры в финансовой модели. Но цифры убеждают только тех кто уже склонен верить.
Этос строится до презентации. В коридорах и кабинетах. В разговорах с финансовым директором о методологии расчёта рисков. С операционным о влиянии простоёв. С генеральным о репутации. К моменту презентации каждый участник должен знать что его лично волнует. Такая подготовка не манипуляция а подготовка почвы для честного разговора.
Патос достигается через конкретные истории потерь. Не абстрактные угрозы а реальные сценарии. Что произойдёт, если система простоит два дня. Сколько контрактов сорвётся. Какие штрафы придут. Эмоциональное воздействие работает не через страх а через осознание конкретных последствий.
Для компании среднего размера нет правления но есть владелец. И точно так же нужны разговоры до разговора. Не ждать инцидента а показать что может произойти. Не говорить про уязвимости а говорить про потерю клиентов. Не просить деньги на инструменты а просить решение о приемлемом уровне риска.
Чек-лист подготовки
Перед таким разговором полезен чек-лист подготовки. Конкретные пункты адаптируются под масштаб но логика остаётся.
[ ] Определить три главных риска для бизнеса конкретно в цифрах
[ ] Перевести технические угрозы в бизнес-последствия
[ ] Подготовить сценарий если ничего не делать с конкретными потерями
[ ] Согласовать методологию оценки рисков с тем кто принимает решение
[ ] Проверить что запрашиваемая сумма соответствует масштабу компании
[ ] Протестировать аргументацию на человеке из бизнеса не из ИТ
Этот список не гарантирует успеха но снижает вероятность того что вы говорите на языке который не слышат.
Стратегия ИБ которая работает начинается с выбора какие риски приемлемы. Всё остальное следствие этого выбора и качества разговоров которые его сформировали.
