Почему многие CISO проигрывают в разговоре с CEO
Проблема часто не в компетенции CISO, а в языке.
CISO приходит к CEO с технической картиной: уязвимости, инциденты, стек, контроль доступа, обновления, сегментация, мониторинг.
CEO оценивает другое: материальный риск для бизнеса, влияние на выручку, репутацию, регуляторику, операционную устойчивость и приоритеты компании.
Когда эти два языка не совпадают, разговор буксует.
Для CISO всё очевидно: риск высокий, меры нужны сейчас.
Для CEO это похоже на ещё одну статью расходов без ясной связи с прибылью.
Именно поэтому многие сильные руководители ИБ проигрывают в подаче.
PwC в Global Digital Trust Insights 2025 прямо показывает две важные вещи: меньше половины CISO в значительной степени вовлечены в ключевые бизнес-активности, а между CEO и CISO / CSO есть разрыв в уверенности по вопросам AI-регулирования и киберустойчивости. Это говорит о разрыве между функцией безопасности и управленческой повесткой.
NIST CSF 2.0 формулирует задачу столь же жёстко: кибербезопасность должна помогать организации понимать, оценивать, приоритизировать и коммуницировать свои усилия по безопасности в контексте риска и целей организации. То есть, сама рамка требует объяснять ИБ в бизнес-контексте.
Какой можно сделать вывод?
Если CISO говорит только на языке технологий, то CEO слышит детали.
Если CISO говорит на языке материального риска и устойчивости бизнеса, то CEO слышит управленческую логику.
Как перевести ИБ с языка тревоги на язык цифр, рисков и ROI
У языка тревоги есть один недостаток: он быстро перестаёт работать.
Фразы вроде «нас могут взломать», «угроз стало больше» или «надо срочно усиливаться» сами по себе не дают руководству основания принимать решение. Они создают фон, но не создают приоритет.
Рабочий язык для CEO и CFO разнятся.
У одного растут угрозы, у другого ожидание, что определённый бизнес-процесс пострадает.
У одного есть необходимость в новом инструменте, у другого «вот какой сценарий убытка мы снижаем».
У первого – «это важно для безопасности», у второго – «это влияет на простой, штрафы, доверие клиентов, срок восстановления и стоимость инцидента».
Такой подход упирается в вопрос управления.
NIST CSF 2.0 прямо говорит о необходимости оценивать и приоритизировать кибер риски как часть общей системы управления. PwC рекомендует CISO выстраивать data-backed reporting для других руководителей и использовать систему количественной оценки кибер риска, чтобы принимать решения и расставлять инвестиционные приоритеты не интуитивно, а на базе данных.
Почему это важно? Потому что последствия инцидента давно считаются не только в нервах ИБ-команды.
По данным IBM, средняя глобальная стоимость утечки данных в 2024 году достигла $4,88 млн, а 70% организаций сообщили о значительном или умеренном нарушении операционной деятельности после инцидента. Это уже прямой бизнес-ущерб.
Поэтому перевод с языка тревоги на язык цифр выглядит так:
- сценарий риска – вероятность и масштаб влияния – затронутый
- бизнес-процесс – стоимость простоя / восстановления / штрафов –
- стоимость меры – ожидаемое снижение ущерба.
Это и есть нормальный разговор о ROI в ИБ.
Внятное объяснение, какой убыток компания снижает и какой устойчивостью покупает себе время.
Защита бюджета на ИБ: что слышит CEO, а что слышит только CISO
Один и тот же запрос на бюджет две стороны часто слышат по-разному.
CISO может говорить о EDR, сегментации, резервировании, IAM, пересборке мониторинга или модернизации SOC.
CEO в этот же момент пытается понять другое: это защита выручки или нет, это снижает вероятность срыва операций или нет, это помогает выдержать регуляторное давление или нет.
Именно здесь и ломается часть бюджетных переговоров.
CISO приносит список нужных мер.
CEO ждёт бизнес-кейс: какой риск материален, что будет, если ничего не делать, и почему именно это вложение сейчас важнее других.
Внешние данные это хорошо подтверждают. По данным PwC, 77% организаций ожидают роста бюджета на кибербезопасность; среди главных драйверов инвестиций называются customer trust (57%) и brand integrity/loyalty (49%), а 96% респондентов сообщили, что регулирование увеличило их киберинвестиции за последние 12 месяцев. То есть на уровне руководства бюджет на ИБ всё чаще воспринимается вовсе не как хотелка службы безопасности, а как вопрос доверия клиентов, бренда, устойчивости и соблюдения требований.
Дополнительно World Economic Forum в Global Cybersecurity Outlook 2025 отмечает, что каждый третий CEO называет кибершпионаж и потерю чувствительной информации/интеллектуальной собственности своим главным поводом для беспокойства. Это тоже важный сигнал: CEO слышит угрозу бизнесу и активам компании.
Поэтому защищать бюджет на ИБ нужно от трёх вещей:
материальность риска, цена бездействия и измеримый эффект меры для бизнеса.
Когда CISO говорит «нам нужен ещё один продукт», CEO слышит: расход.
Когда CISO говорит «эта мера снижает риск простоя критичного процесса, регуляторных потерь и репутационного ущерба», CEO слышит: управленческое решение.