IANS: роль CISO достигла переломного момента и начала выходить на уровень высшего руководства

По данным исследовательской и консалтинговой компании IANS, должность директора по информационной безопасности всё чаще воспринимается как полноценная руководящая позиция, а не как уровень вице-президента или директора. Это отражает рост влияния функций кибербезопасности на стратегию и устойчивость бизнеса.

Выводы представлены в отчёте «Состояние дел в сфере информационной безопасности в 2026 году», подготовленном на основе интервью с 662 руководителями служб информационной безопасности в Северной Америке. Исследование показывает явный сдвиг в управленческой иерархии. 46% респондентов уже занимают руководящие должности высшего уровня (исполнительный вице-президент, старший вице-президент). Ещё 27% работают на уровне вице-президентов и 27% сохраняют статус директора. В IANS называют это структурным изменением в модели управления безопасностью.

В отчёте говорится, что от CISO всё чаще ожидают роли стратегического лидера, действующего в масштабе всей компании. Продвижение на руководящий уровень усиливает влияние таких специалистов, но одновременно увеличивает нагрузку. Расширяется зона ответственности, возрастает необходимость взаимодействия с бизнес-подразделениями, а также усиливаются контроль и ожидания со стороны топ-менеджмента и советов директоров.

Основной вызов для CISO связан с ростом требований при ограниченных ресурсах. Более половины опрошенных (53%) заявили, что их обязанности заметно расширились за последний год. В большинстве случаев они отвечают сразу за несколько направлений, среди которых SecOps, архитектура и проектирование безопасности, GRC, безопасность приложений, управление идентификацией и доступом, соответствие нормативным требованиям, управление рисками поставщиков, обеспечение непрерывности бизнеса и восстановление после инцидентов, а также безопасность продуктов.

При этом 52% руководителей служб информационной безопасности сообщили, что их полномочия больше не остаются полностью управляемыми, особенно в небольших организациях. По их словам, этот дисбаланс между ответственностью и реальным уровнем контроля замедляет стратегические инициативы и повышает риск реактивного, а не проактивного реагирования на угрозы.