Топ-100
    •  
  • website icon
    •  
    •  
Консультация
Мы перезвоним вам в течение 10 минут
Можете позвонить нам сами
+7(985)8549545
***** БЛОГ АЛЕКСАНДРА МАМАЕВА О ТЕХНОЛОГИЯХ И КИБЕРБЕЗОПАСНОСТИ *****

Почему безопасность нельзя делегировать ИТ

08.05.2026 || Время чтения: 4 минуты
Александр Мамаев
Стратегический управленец с 17-летним опытом работы
«
Во многих компаниях информационная безопасность воспринимается как техническая функция. Считается, что её задача — установить средства защиты, контролировать доступы и реагировать на инциденты. Поэтому ответственность за безопасность часто полностью передаётся ИТ-подразделению.

На практике такая модель оказывается недостаточной.

Информационная безопасность — это не только технологическая задача. Это вопрос управления рисками бизнеса.
»

Киберриски как бизнес-риски

Любая современная компания зависит от цифровых систем и данных. Продажи, финансовые операции, взаимодействие с клиентами, управление цепочками поставок — всё это осуществляется через информационные системы. Если эти системы становятся недоступными или данные оказываются скомпрометированы, последствия выходят далеко за пределы ИТ. Это могут быть:


  • остановка операций (дни простоя);
  • финансовые потери (штрафы, падение выручки);
  • нарушение контрактных обязательств перед клиентами и партнёрами;
  • репутационные риски (уход клиентов, снижение капитализации);
  • юридическая ответственность (особенно в регулируемых отраслях).

Поэтому киберинциденты должны рассматриваться в той же логике, что и другие ключевые риски — кредитные, рыночные, операционные.

«

Ограничения технического подхода

Когда безопасность рассматривается исключительно как техническая задача, компания фокусируется на внедрении инструментов защиты:


  • антивирусных решений;
  • систем обнаружения атак;
  • средств управления доступом.

Эти инструменты важны, но они не решают фундаментальную проблему — архитектуру киберрисков.


Например, даже при наличии современных средств защиты компания может оставаться уязвимой, если:


  • данные распределены между множеством систем без контроля, и никто не знает, где лежит самое критичное;
  • отсутствует понимание критических процессов и их зависимостей от ИТ;
  • нет сценариев реагирования на инциденты, утверждённых на уровне правления;
  • не настроены процессы регулярного тестирования (пентесты, Red Team) и управления уязвимостями;
  • игнорируется человеческий фактор — сотрудники не обучены, а фишинг процветает.
»

Управление безопасностью как управленческая функция

Поэтому эффективная система безопасности должна строиться на уровне управления компанией.


Это предполагает:


  • определение критических активов;
  • оценку ключевых киберрисков;
  • формирование архитектуры защиты;
  • регулярный контроль устойчивости систем.

В итоге ИТ играет важную роль, но не является единственным центром ответственности.


Как я всегда говорю: "Когда безопасность подключается в конце, она всегда конфликтует с бизнесом. Когда встроена в начале — она становится его поддержкой."

«

Что должен делать CEO и совет директоров?

Ответственность за кибербезопасность поднимается на самый верх. Лучшие предписывают:


  • совет директоров должен регулярно (не реже раза в квартал) получать отчёт о состоянии киберрисков, ключевых показателях (например, время обнаружения, время восстановления) и крупных инцидентах;
  • CEO должен утверждать программу управления киберрисками и выделять бюджет на её реализацию не как ИТ-расходы, а как страховку бизнеса;
  • создать или назначить комитет по киберрискам (может быть частью риск-комитета) с участием бизнес-руководителей;
  • регулярно проводить учения с топ-менеджментом: «Что мы делаем, если зашифрована вся ERP? Кто объявляет кризис? Как мы коммуницируем с регуляторами и клиентами?».

Вопросы для самодиагностики компании


  • Включены ли киберриски в общий реестр рисков компании с оценкой вероятности и ущерба (финансового, операционного, репутационного)?
  • Утверждены ли политики информационной безопасности на уровне правления?
  • Проводится ли регулярная (раз в год) оценка зрелости системы управления кибербезопасностью?
  • Есть ли у компании план непрерывности бизнеса с учётом кибератак, который тестировался в последние 12 месяцев?
  • Назначено ли лицо, ответственное за страхование киберрисков (киберстрахование)? Оно должно работать вместе с CISO.
  • Проходит ли совет директоров обучение по кибербезопасности (хотя бы базовое: как распознать атаку, какие вопросы задавать)?

Если хотя бы на половину вопросов ответ «нет», безопасность реально не делегирована ИТ — она просто отсутствует как управленческая функция.

»

Выводы

Безопасность невозможно полностью делегировать техническим специалистам, потому что её последствия напрямую связаны с устойчивостью бизнеса.


Поэтому информационная безопасность должна рассматриваться как часть системы управления рисками компании.


И именно на этом уровне принимаются ключевые решения о том, какие риски бизнес готов принимать, а какие — нет.


Запишитесь на консультацию — и давайте сделаем ваш бизнес надежным и безопасным.


Переходите на сайт агентства — там вас ждут кейсы, которые уже работают, и стратегии, которые выстроят ваш путь к росту.

»
Авторский ТГ-канал Александра Мамаева
О технологиях, кибербезопасности и о том, как компаниям повысить свою эффективность. Подписывайся!
"Мамаев прошёлся"