Как UDV Group советует сокращать ИБ-бюджет без роста рисков

В 2026 году бюджеты на информационную безопасность будут считать жестче, чем раньше. С одной стороны, число атак растет, регуляторные требования ужесточаются, а последствия инцидентов становятся дороже. С другой стороны — бизнесу нужно контролировать расходы, особенно в условиях кадрового дефицита, импортозамещения и роста стоимости сопровождения ИБ-инфраструктуры.

Главная проблема в том, что ИБ-бюджет нельзя просто «срезать на 20%» как обычную административную статью. В безопасности такая экономия может быстро превратиться в отложенный инцидент: сегодня компания отказалась от аудита, мониторинга или сопровождения, а завтра получила простой, утечку данных или срочные расходы на восстановление.

О том, как приоритизировать расходы, где проходит граница между разумной оптимизацией и опасной экономией, когда аутсорсинг действительно выгоднее штата и какими аргументами CISO может защищать бюджет, рассказал Денис Назаренко, руководитель отдела технической поддержки продаж UDV Group.

— Денис, начнем с самого болезненного сценария. Допустим, бизнес приходит к ИБ-команде и говорит: бюджет нужно сократить на 20-30%. Как в UDV Group советуют действовать в такой ситуации, чтобы не начать резать вслепую?

Если стоит задача сокращения бюджета, я бы в первую очередь рекомендовал не идти по формальному пути, а опираться на практику.

У любой компании уже есть сложившийся контур информационной безопасности и планы его развития. Но в условиях ограничений важно понять, какие из этих элементов действительно работают на снижение рисков, а какие скорее поддерживают статус-кво.

Поэтому оптимизацию логично строить через практическую проверку — например, через тестирование на проникновение или аналогичную оценку защищенности. Такие результаты дают гораздо более объективную картину: где есть реальные уязвимости, а где инвестиции носят скорее поддерживающий характер.

— То есть вы предлагаете сначала посмотреть, где компания реально уязвима, а уже потом решать, что сокращать? Это звучит разумнее, чем просто убрать часть лицензий.

Именно. И это позволяет избежать типичной ошибки, когда бюджет сохраняется на продление существующих решений, но при этом остаются незакрытые риски.

С другой стороны, если есть направления развития, которые не критичны в текущий момент, их можно отложить без существенного влияния на уровень защищенности. Поэтому универсального ответа здесь нет — приоритизация всегда должна идти от фактической картины угроз.

Мы в UDV Group исходим из того, что защищать в первую очередь нужно не сам бюджет и не конкретные продукты, а способность компании выдерживать наиболее вероятные и наиболее болезненные сценарии атак.

— Тогда следующий вопрос почти неизбежен. Многие любят делить расходы на must have и nice to have. В ИБ такая логика вообще применима или это слишком упрощенная схема?

Если говорить откровенно, универсальной модели «must have vs. nice to have» в информационной безопасности не существует.

Причина в том, что сами векторы атак и инструменты злоумышленников постоянно меняются, причем иногда достаточно быстро — в пределах одного квартала.

Даже базовые вещи, такие как защита периметра, сегодня уже реализованы у большинства компаний. Но это не означает, что есть фиксированный набор решений, который гарантирует безопасность. Любая архитектура со временем устаревает относительно текущих угроз.

— Получается, нельзя один раз составить список «обязательного минимума» и дальше просто его поддерживать?

Да. В этом и сложность. То, что вчера казалось второстепенным, завтра может оказаться критичным из-за изменения ландшафта атак.

Поэтому и границы «безопасной экономии» на практике не существует. Нельзя однозначно сказать, от чего можно отказаться без последствий. В какой-то момент именно это решение может оказаться критичным.

Да, можно ориентироваться на статистику, на опыт прошлых инцидентов, на отраслевую практику. Но это всегда ретроспективный взгляд. Нет гарантии, что следующая атака будет развиваться по тому же сценарию.

— Тогда как в UDV Group предлагают искать легальные и разумные способы оптимизации? Где вообще можно экономить так, чтобы не ослабить защиту?

Наиболее рабочий подход здесь — архитектурный.

Вместо того чтобы сокращать расходы «по линейке», имеет смысл пересобрать картину инфраструктуры и посмотреть на нее с точки зрения сегментов и их критичности.

Не все части сети одинаково важны для бизнеса, и, соответственно, не все требуют одинакового уровня защиты. Это хорошо видно на примере промышленных объектов, где используется категорирование: в зависимости от значимости объекта к нему применяются разные требования безопасности.

— То есть экономия появляется не за счет отказа от защиты, а за счет более точного распределения уровня защиты по инфраструктуре?

Да, именно так. Аналогичную логику можно перенести и в корпоративную инфраструктуру.

Нужно выделить сегменты с повышенными требованиями — например, зоны, где находятся критичные сервисы и данные, — и сегменты, где достаточно базового уровня защиты.

За счет этого можно перераспределить бюджет: усилить действительно важные зоны и не тратить одинаковые ресурсы на всю инфраструктуру без разбора. Мы в UDV Group считаем, что такая модель дает более устойчивый эффект, чем механическое сокращение расходов по всем направлениям сразу.

— Часто бывает, что бюджет вроде бы запланировали, а потом внезапно появляются срочные траты: что-то не учли, что-то нужно закрывать экстренно, где-то возник риск штрафа. На что компании чаще всего забывают заложить деньги?

Чаще всего проблема возникает не потому, что что-то забыли, а потому что нет целостного понимания собственной инфраструктуры и ее развития.

Когда у компании нет актуальной картины используемых систем и плана развития безопасности, бюджет неизбежно становится реактивным. То есть деньги начинают искать уже после того, как появляется проблема.

Если же ведется учет систем, есть процессы их сопровождения и понятный план развития, риск «выпадающих» расходов существенно снижается. Конечно, человеческий фактор полностью исключить нельзя, но это уже частные случаи, а не системная проблема.

— Получается, главная защита от незапланированных расходов — это не просто резерв в бюджете, а нормальная инвентаризация и планирование?

Да. Без этого любая «подушка» быстро превращается в пожарный фонд, который тратится на самые срочные проблемы.

Что касается резерва, здесь важно понимать: его некорректно формировать только на уровне ИБ-подразделения. Последствия инцидентов — расследования, восстановление, простой — выходят за рамки этого бюджета.

Поэтому резерв должен формироваться на уровне компании в целом. Его размер сильно зависит от масштаба и структуры бизнеса, но в качестве отправной точки можно ориентироваться примерно на 10% от бюджета информационной безопасности. В UDV Group мы рассматриваем такую подушку не как замену планированию, а как страховочный механизм на случай непредвиденных сценариев.

— Еще один вечный вопрос для CISO: люди. Что выгоднее — нанимать дорогих универсалов в штат, привлекать фрилансеров под отдельные задачи или отдавать защиту на аутсорсинг?

Если рассматривать вопрос с точки зрения экономики и качества результата, то чаще всего более эффективной оказывается работа с аутсорсингом.

В этом случае компания получает не отдельных специалистов, а готовую услугу с понятным результатом. Кроме того, снимаются затраты на найм, удержание и обучение сотрудников, что особенно актуально в условиях дефицита кадров.

— Но у бизнеса здесь обычно сразу возникает внутреннее сопротивление: безопасность — слишком чувствительная зона, чтобы отдавать ее наружу. Насколько это оправданный страх?

На практике ситуация действительно сложнее, чем в расчетах на бумаге.

Далеко не все российские компании готовы передавать функции безопасности на сторону, особенно если речь идет о критичных процессах, таких как управление инцидентами. Поэтому чаще используется гибридная модель: часть задач отдается на аутсорсинг, а ключевые зоны остаются внутри.

Теоретически аутсорсинг часто выгоднее. Но в реальности компании балансируют между разными моделями, исходя из уровня доверия, зрелости внутренних процессов и критичности инфраструктуры. Мы в UDV Group видим, что гибридная модель для многих компаний оказывается наиболее практичной: она позволяет получить внешнюю экспертизу, но не терять контроль над ключевыми решениями.

— И наконец, вопрос про защиту бюджета перед руководством. CISO часто приходится объяснять, почему деньги нужны сейчас, хотя инцидента еще не произошло. Какие аргументы работают в 2026 году?

Если говорить о том, как обосновывать затраты, здесь ситуация за последние годы принципиально не изменилась. По-прежнему работают два основных драйвера.

Первый — регуляторные требования. Законодательство, требования профильных органов и отраслевые рекомендации формируют базовый уровень обязательных инвестиций.

Второй — собственный опыт инцидентов. Пока риск остается теоретическим, его сложнее обосновать. Но как только компания сталкивается с реальной атакой, отношение к затратам на безопасность меняется кардинально: они начинают восприниматься как необходимость, а не как опция.

— То есть самый убедительный ROI в ИБ часто появляется уже после болезненного опыта? Звучит неприятно, но очень похоже на реальность.

Да, это неприятная, но распространенная логика.

Что касается ROI, здесь также не появилось принципиально новых подходов. Там, где компании готовы считать эффективность, используются стандартные бизнес-метрики. Но важно понимать, что в информационной безопасности это всегда оценка не прибыли, а предотвращенных потерь, а значит — с определенной долей допущений.

Поэтому в UDV Group мы считаем, что CISO важно говорить с бизнесом не только на языке технологий, но и на языке рисков: простоя, штрафов, восстановления, репутационных потерь и влияния на операционные процессы.

— Если подытожить, получается довольно жесткая мысль: в 2026 году экономить на ИБ можно, но только если компания хорошо понимает, где у нее реальные риски. Иначе сокращение бюджета превращается в игру вслепую?

Да, именно так. Экономия сама по себе не является проблемой. Проблема начинается тогда, когда компания сокращает расходы без понимания собственной инфраструктуры, актуальных угроз и критичности активов.

Рациональное бюджетирование ИБ — это не про то, чтобы тратить больше или меньше. Это про то, чтобы тратить точнее. Мы в UDV Group считаем, что в 2026 году выигрывать будут те компании, которые смогут связать бюджетирование безопасности с реальной картиной рисков, архитектурой инфраструктуры и бизнес-последствиями возможных инцидентов.