Expel: расходы на кибербезопасность продолжают расти, но влияние на бизнес остаётся трудноизмеримым

Бюджеты на кибербезопасность продолжают увеличиваться, однако руководители служб ИБ сталкиваются с трудностями при объяснении конкретной ценности этих вложений для бизнеса. В исследовании компания Expel опросила руководителей служб ИБ и финансовых руководителей крупных предприятий, чтобы понять различия в оценке рисков, инвестиционных решений и взаимодействия между этими группами.

Руководители служб безопасности утверждают, что их приоритеты соответствуют целям бизнеса. Большинство считают, что кибербезопасность поддерживает стратегические цели компании и играет роль в корпоративной стратегии. Финансовые отделы в целом согласны с этим и рассматривают безопасность как часть бизнес-планирования, а не как второстепенную техническую функцию.

Однако уверенность снижается при оценке хода реализации проектов. Финансовые руководители отмечают неравномерное доверие к способности команд безопасности объяснить влияние на бизнес, расставлять приоритеты в инвестициях с учётом рисков и связывать инициативы со стратегией компании. Эти сомнения влияют на утверждение и пересмотр бюджетов.

Руководители служб безопасности признают это несоответствие. Многие указывают на недостаток уверенности в том, что текущие инвестиции соответствуют уровню рисков для бизнеса. Стратегическое согласие существует, но уверенность в результатах остаётся нестабильной.

Специалисты по безопасности обычно оценивают неприемлемый риск через призму нарушений соответствия, потери доверия клиентов или ущерба репутации.

Финансовые потери имеют меньший вес в их подходе. Финансовые отделы, напротив, оценивают риски через финансовое моделирование и обеспечение непрерывности бизнеса. При принятии решений основное внимание уделяется предотвращению убытков, экономии времени и снижению сбоев. Показатели соответствия и внутренние отчёты безопасности оказывают меньшее влияние.

Различие в подходах формирует дискуссии между командами. Специалисты по безопасности акцентируют внимание на средствах контроля, зрелости процессов и снижении угроз, а финансовые руководители оценивают прогнозируемое финансовое воздействие и операционные результаты. Несмотря на разные точки отсчёта, обе стороны отмечают, что взаимодействие проходит эффективно.