Исследование: CISO думают, что они стратеги, CEO — что нет. И кто прав?
Российские компании ждут от директоров по кибербезопасности (CISO, Chief Information Security Officer) бизнес-мышления, но не получают его: только 25% глав организаций высоко оценивают их работу, тогда как сами CISO считают себя почти идеальными. Такие выводы сделали авторы исследования The Edgers, SuperJob и Positive Technologies Education. Подробности — в распоряжении «Инка».
Исследование построено на глубинных интервью с 43 участниками рынка. В него вошли действующие CISO, генеральные директора (CEO, Chief Executive Officer) и технические директора/директора по информационным технологиям (CTO/CIO, Chief Technology Officer/Chief Information Officer). В выборку вошли представители банков, финтеха, электронной торговли, промышленности, энергетики и телеком-компаний. Результаты исследования фиксируют системный разрыв в восприятии роли кибербезопасности внутри компаний. Бизнес ждет одного, специалисты по безопасности делают другое — и обе стороны уверены, что правы.
Этот разрыв проявляется сразу на трех уровнях. CEO оценивают работу CISO заметно ниже и часто не понимают, чем именно те занимаются. Более трети руководителей либо не взаимодействуют с ними напрямую, либо не могут оценить их вклад. При этом технические директора, напротив, считают CISO сильными партнерами — но именно внутри ИТ-контура, а не на уровне бизнеса.
Дополнительно по 25% руководителей указали, что директор по безопасности должен уметь планировать бюджет, выстраивать процессы и вести рабочие коммуникации с руководством. Иными словами, компании ждут не инженера, а полноценного управленца.
Интересно, что коммуникация здесь «спотыкается» на довольно просто вещи — на языке. Руководители ждут, что им объяснят риски через деньги: сколько компания потеряет при утечке, сколько стоит простой, какой эффект даст инвестиция в безопасность. Но вместо этого часто получают технические отчеты.
Другая, уже более осязаемая проблема — деньги и метрики. У компаний нет единого способа оценивать эффективность кибербезопасности. Кто-то считает количество инцидентов, кто-то — уязвимости, кто-то пытается говорить о рисках. Но универсального ответа на вопрос «сколько стоит безопасность» внутри компаний часто нет.
Как формулируют участники исследования, разговор о рисках часто превращается в «чистую бюрократию»: данные есть, но они не помогают принять управленческое решение. В итоге инвестиции в безопасность либо недооцениваются, либо обосновываются «на всякий случай».
Давление усиливает и новая регуляторная среда. С 2025 года в России ужесточилась ответственность за утечки персональных данных, включая оборотные штрафы. На этом фоне вопрос киберустойчивости стал темой высшего управленческого уровня.
Для бизнеса это означает прямой риск: решения в области безопасности принимаются без понятной оценки последствий. Проще говоря, компании тратят деньги, не до конца понимая, что именно покупают — защиту, снижение риска или просто «спокойствие».
Авторы исследования считают, что рынок входит в фазу дефицита CISO нового типа — тех, кто умеет связывать киберугрозы с выручкой, затратами и устойчивостью бизнеса. Пока таких специалистов мало, компаниям придется либо учить существующих «говорить на языке денег», либо искать тех, кто изначально понимает, сколько стоит безопасность.
Подпишитесь на «Инк» в Telegram. Там мы пишем нескучным языком о самом важном для предпринимателей. Подписаться.
