31.08.2025

Від передбачення нових загроз до балансування між управлінням ризиками та сприянням розвитку бізнесу, керівники CISO стикаються з низкою складних викликів, які вимагають постійного осмислення та стратегічного впровадження. 

Зі зростанням статусу та відповідальності керівників інформаційної безпеки (CISO), вимоги до керівної посади у сфері безпеки стають дедалі вищими. Окрім необхідності постійно оцінювати свої системи безпеки, щоб визначити, які корективи внести для належного захисту своїх організацій, сучасні CISO повинні узгоджувати свої зусилля з бізнесом таким чином, щоб забезпечити досягнення ключових бізнес-цілей, а також вивести на перший план питання та компроміси щодо управління ризиками. 

Тут лідери думок пропонують 10 найактуальніших питань, на які керівники служб безпеки повинні відповісти в рамках своєї поточної стратегії безпеки та планів кар'єрного зростання. 

 1. Чи я сприяю розвитку бізнесу, чи я є йому перешкодою? 

Функція безпеки може мати репутацію «відділу «ні», тому керівникам відділів інформаційної безпеки слід задуматися, чи виправдовують вони та їхні команди цю назву.Керівники CISO повинні запитати себе: Чи сприймають мене як стимулюючу чи блокуючу особу?.Пояснення. Керівники інформаційної безпеки, які виявляють, що їхні колеги-керівники уникають їх або залучають лише тоді, коли проекти досягають пізніх стадій, ймовірно, сприймаються як перешкоди для досягнення бізнес-цілей, а не як фактори, що сприяють успіху бізнесу . Так само керівники інформаційної безпеки, які чують про ініціативи з офісних розмов, а не як партнери під час сесій планування, ймовірно, також сприймаються як «проблемні».Ті, хто опинився в таких обставинах, можуть змінити ситуацію. Ось приклад.«Не просто блокуйте ідеї. Допоможіть їм робити те, що вони хочуть, консультуючись та робіть це без осуду. Навчіть бізнес приймати ризикі і дозвольте йому самостійно вирішувати, який рівень ризику він хоче взяти на себе. Або, якщо це виходить за межі рівня толерантності організації до ризику, тоді скажіть: «Давайте підвищимо рівень ризику»». 

 2. Як ми можемо досягти правильного балансу безпеки для толерантності нашої компанії до ризику? 

Щоб відігравати цю консультативну роль, директори з інформаційної безпеки також повинні ставити це питання та відповідати на нього.Роль CISO полягає у зменшенні ризиків таким чином, щоб бізнес міг впевнено працювати, одночасно ефективно обслуговуючи наших клієнтів. Якщо ми все заблокуємо, ми зашкодимо бізнесу, розчаруємо користувачів і втратимо гнучкість. Але якщо ми недостатньо забезпечимо безпеку, ми наражаємо компанію на порушення, регуляторні ризики та репутаційну шкоду. Щоб досягти правильного балансу, ми зосереджуємося на розумінні того, як працює бізнес, його пріоритетів, викликів та людей. Це означає міжфункціональну роботу для оцінки не лише технічного впливу, а й операційного впливу.Як керівники служб інформаційної безпеки можуть продемонструвати цінність бізнесу за допомогою показників?Керівники служб інформаційної безпеки можуть продемонструвати цінність своїх зусиль для бізнесу, використовуючи ключові показники ефективності (KPI), які безпосередньо відповідають місії організації . Ефективно кількісно оцінювати переваги технологічних ініціатив у фінансовому вираженні, наприклад, економію витрат завдяки автоматизації або зменшення ризиків . Керівники служб інформаційної безпеки повинні зосередитися на показниках, що мають значення для бізнесу, орієнтованих на ризики та заснованих на фактичних даних, які демонструють, як безпека сприяє розвитку бізнесу. Важливі показники включають участь безпеки в процесі продажу, швидкість безпечного заповнення анкет з продажів та загальну вартість доходу від контрактів з клієнтами, що включають зобов'язання з безпеки та дотримання вимог. Представляючи докази того, що безпека є джерелом доходу, а не центром витрат, керівники служб інформаційної безпеки можуть кількісно оцінити вплив безпеки на прибутковість .Йдеться не лише про технічні засоби захисту; йдеться про побудову довіри, інформування про ризики з точки зору бізнесу та перетворення безпеки на стратегічний фактор сприяння, а не блокування.Директори з інформаційної безпеки також повинні запитати себе: «Чи підтримує безпека бізнес і одночасно захищає клієнтів?»Керівникам інформаційної безпеки потрібно знайти баланс між цими двома факторами. Наприклад, ми спостерігаємо зростання «розумного тертя» — стратегічно розміщених перешкод у взаємодії з користувачем, призначених для підвищення безпеки та уповільнення авторизації платежів. 

 3. Які показники слід представити раді директорів? 

Директори з інформаційної безпеки повинні демонструвати, як вони сприяють розвитку бізнесу, а це означає визначення того, як оцінювати їхню роботу таким чином, щоб це було важливо для ради директорів.Дані кількості виправлених систем, середнього часу реагування та середнього часу виправлення не дають раді директорів жодних підстав вважати, що безпека допомагає бізнесу розвиватися!Замість використання цих показників, керівникам відділів безпеки потрібно знайти показники, які відображають роль безпеки у підтримці бізнес-цілей, а також показники, які дозволяють керівництву та раді директорів приймати кращі рішення. 

 4. Що означає кібербезпека для організації? 

Керівники відділу кібербезпеки також повинні розуміти, де в організації знаходиться функція безпеки, щоб вони могли з'ясувати, чи мають вони повноваження впливати на правильні дії.Часто керівники відділу інформаційної безпеки відповідають за вжиття заходів щодо наявних ризиків, але чи справді вони мають достатньо ресурсів, щоб відповідати на ці виклики? Чи отримають вони відповідну підтримку та ресурси? Чи справді вони мають підтримку на рівні керівництва, щоб бути учасниками змін? Це все питання, які зараз кожен керівник відділу інформаційної безпеки повинен поставити собі та іншим.В епоху, коли CISO фактично несуть відповідальність за непідготовленість організацій до кіберінцидентів і можуть бути притягнуті до відповідальності. Для CISO вкрай важливо знати, чи мають вони повноваження, які повинні супроводжувати таку відповідальність.Їм слід переглянути свою оцінку того, як організація сприймає управління ризиками та наскільки велика їхня роль у прийнятті рішень. Це ключові питання, щодо яких вони повинні бути дуже прозорими самі з собою. CISO без повноважень – це найгірше місце в палаті». 

5. Чи ефективно я повідомляю про технічні ризики? 

Керівники інформаційної безпеки також повинні запитати себе, чи здатні вони викладати ризики кібербезпеки в термінах, зрозумілих для бізнесу.Він бачив, як керівники служб безпеки занадто часто говорять про ризики в технічних термінах, але розмови з іншими керівниками про відсутність безпеки хмарних контейнерів або неправильні конфігурації, наприклад, не допоможуть їм зрозуміти, що поставлено на карту.Це стане для всіх незрозумілим. Навіть сьогодні, коли члени правління більше обізнані в кіберпростірі, вони все одно запитуватимуть: «Що це насправді означає?».Він радить керівникам відділу інформаційної безпеки (CISO) подумати, чи справді вони розповідають історії безпеки та ризиків у спосіб, зрозумілий для бізнесу; він пропонує керівникам відділу інформаційної безпеки звертатися за відгуками до колег, яким вони довіряють, як у відділі безпеки, так і за його межами, щоб допомогти їм у цьому завданні.Він додає, що це варте зусиль, адже керівники відділу інформаційної безпеки, які розповідають кращі історії, ефективніше доносять бізнес-ризики, що дає їм більше повноважень, ресурсів та узгодженості з бізнес-цілями. 

6. Чи відчуває моя команда силу кинути мені виклик? 

Жодна окрема людина, навіть керівник відділу інформаційної безпеки, не може завжди приймати найкращі рішення, тому керівники служб безпеки повинні бути вітати інформацію про те, де їхні програми мають недоліки.Тож вони мають запитати себе: чи почувається моя команда впевненою, щоб оскаржувати мої рішення? Чи заохочую я інакомислення?.Де кілька керівників радять керівникам відділів інформаційної безпеки, які вважають, що їхні команди не можуть висловитися, працювати над покращенням культури на робочому місці, заохочуючи обговорення, позитивно реагуючи на виклики та шукаючи думки. Тут може допомогти просте запитання: «Мені потрібні інші точки зору на це», додає Ансарі. 

 7. Чого наші клієнти хочуть від нас для забезпечення безпеки? 

Керівники інформаційної безпеки (CISO) отримують інформацію від клієнтів про їхні пріоритети у сфері безпеки за допомогою сторонніх анкет безпеки, які поширилися останніми роками. Ці питання дають CISO уявлення про те, що хвилює клієнтів і що вони хочуть, щоб організації CISO робили з точки зору безпеки.Якщо ви це розумієте, ви можете побудувати бізнес-кейс для безпеки, директори з інформаційної безпеки (CISO) можуть використовувати вартість контролю безпеки, який шукають певні клієнти, та дохід, отриманий цими клієнтами, для розрахунку цінності робіт з безпеки. «CISO повинні визначити це: скільки клієнтів звертаються до нас з цим питанням і який дохід вони приносять?» 

 8. Де насправді зберігаються всі дані організації? 

Досвід показає майже у всіх компаніях дані знаходяться десь, де вони не бачили та не міркували про ці місця.Наприклад, було виявлені конфіденційні дані, заховані в папках рахунків-фактур, на серверах і в базах даних зі старих тіньових проектів, у паперових блокнотів. Директори з інформаційної безпеки можуть мати дані в невідомих місцях після придбань та злиття компаній. А потім ви додаєте до цього штучний інтелект, та маєте витік даних, про які навіть не знаєте.Керівникам відділів інформаційної безпеки необхідно постійно запитувати себе: «Де знаходяться найцінніші дані організації та як ми їх захищаємо?» та «Де ключі від царства?», щоб допомогти їм вирішити цю проблему та забезпечити належний захист конфіденційних даних.Керівникам відділів інформаційної безпеки (CISO) потрібно запитати, чи мають вони необхідне розуміння того, де знаходяться неструктуровані дані організації, і чи належним чином захищені ці дані. Наприклад, порадьте керівникам відділів інформаційної безпеки відмовитися від надсилання вкладень електронною поштою та натомість надсилати посилання на документи, що зберігаються в безпечних місцях, переносити файли з пристроїв працівників у ті ж безпечні місця, а також впроваджувати шифрування. 

 9. Як штучний інтелект вплине на мій штат? 

В останні роки керівники відділів безпеки (CISO) навчили свої команди безпеки підтримувати безпечне використання штучного інтелекту бізнес-командами. Тепер їм потрібно скоригувати власні стратегії підбору персоналу, оскільки штучний інтелект стає дедалі важливішим інструментом у відділі безпеки. Потрібно дослідити, який вплив штучний інтелект матиме на мій персонал? Чим моя організація відрізнятиметься?.Керівники інформаційної безпеки повинні враховувати, як члени їхніх команд працюватимуть разом з агентами штучного інтелекту та чи готові вони ефективно це робити. Також їм слід враховувати, як зміниться штатний розклад у центрі операцій безпеки. Наприклад, ШІ, ймовірно, зменшить потребу в працівниках початкового рівня, але може означати більше аналітиків 2-го рівня. Це вимагає від керівників інформаційної безпеки подумати про те, як вони набиратимуть та навчатимуть цих старших аналітиків. 

 10. Яка наступна атака може мене здивувати? 

Яка наступна вразливість чи наступна загроза?, — це ключове питання, яке потрібно поставити та на яке потрібно відповісти.Звісно, керівники інформаційної безпеки (CISO) вже давно стурбовані експлойтами нульового дня. Вони повинні продовжувати це робити. Але їм також потрібно враховувати, як їхній новий шар атак та зростаюча витонченість зловмисників можуть майже миттєво створювати прогалини в їхніх планах безпеки.«Мої найбільші страхи завжди пов’язані з тим, чого я не знаю, де мене можуть здивувати», — каже багато CISO.Щоб розвіяти такі побоювання, радять керівникам відділу інформаційної безпеки запитувати себе: «Яка моя поверхня атаки?» та «Хто мене переслідує і чому?» і використовувати ці відповіді для розробки відповідних планів захисту даних і систем.Ще одне питання, яке варто поставити, на думку таке: чи маю я оборонний технологічний стек, який відповідає призначенню, але водночас спрямований на майбутнє?Потужні нові інструменти озброюють зловмисників для вчинення ефективніших шахрайських атак, атак програм-вимагачів та DDoS-атак, серед інших загроз. Керівники інформаційної безпеки повинні оцінити, чи мають вони правильні інструменти та кваліфікацію для боротьби з цими загрозами та реагування на нові.Наприклад, керівникам інформаційної безпеки (CISO) слід інвентаризувати свої криптографічні активи, щоб підготуватися до дня, коли квантові технології змінять усі їхні плани .Керівникам інформаційної безпеки потрібно робити більше, щоб випередити майбутнє, то їм потрібно призначати співробітників, які будуть шукати можливості для подальшого розвитку, так само як технічні директори зазвичай мають людей для вивчення нових технологій.Керівники інформаційної безпеки дивляться вперед, але занадто часто вони чекають, поки інші люди розберуться та скажуть їм, що робити, а це означає, що виправлення [визначені] завдяки деяким успішним атакам. Але сьогодні потрібно мати підхід до експериментів та справді намагатися з’ясувати, що буде далі, можливо, використовуючи інструменти моделювання, щоб знайти нові поверхні для атак. 

 Як завжди, боріться у доброму бою! 

 Станіслав Бичков 

Містер ISO 27001