Дата публикации: Декабрь 2025
Источник: Институт изучения мировых рынков
Категории: Информационная безопасность, Кибербезопасность, Управление ИБ, Бизнес-стратегия
Сигналы: Trend, Watch
Описание-резюме отчета
Отчет, опубликованный в декабре 2025 года Институтом изучения мировых рынков, основан на результатах веб-опроса руководителей служб информационной безопасности (CISO) российских компаний и глубинных интервью с топ-менеджерами (в первой половине 2025 года). Он исследует различия в восприятии проблем и стратегий ИБ между этими двумя группами, а также анализирует роль CISO в принятии решений и формировании бюджета. Отчет релевантен для всех, кто занимается вопросами информационной безопасности и стратегического управления бизнесом.
Сама суть
Отчет выявляет существенные различия в восприятии экономической ценности ИБ между CISO и топ-менеджерами. CISO часто переоценивают стоимость взлома и фокусируются на операционных проблемах, в то время как топ-менеджеры видят стратегические риски и недостаточную интеграцию ИБ в бизнес. Проблема коммуникации и отсутствие общих метрик эффективности между ИБ и руководством препятствуют эффективному управлению киберрисками и формированию бюджета.
Ключевые инсайты для СЕО
Что работает
- Рост рынка кибербезопасности: Глобальный и российский рынки кибербезопасности демонстрируют устойчивый и ускоренный рост, что указывает на растущую потребность в защите (9-14% CAGR, российский рынок растет вдвое быстрее).
- Осознание угроз соц. инженерии: 67% CISO называют социальную инженерию серьезной или критической угрозой, что подчеркивает необходимость фокусироваться на этом векторе атак.
- Готовность к аутсорсингу среди малых компаний: 52% малых компаний готовы передавать функции ИБ на аутсорсинг, что является эффективным решением при ограниченных ресурсах.
Что НЕ работает
- Разрыв в восприятии экономической ценности ИБ: Только 38% топ-менеджеров видят связь инвестиций в ИБ со стоимостью бизнеса, против 60% у CISO. Это указывает на проблемы с обоснованием бюджетов и стратегическим планированием.
- Неэффективное обоснование бюджетов: CISO обосновывают бюджеты формальными аудитами и регуляторными требованиями, игнорируя результаты пентестов, которые сами оценивают выше (пентесты 4/5, регуляторы <3/5).
- Низкая вовлеченность CISO в стратегические решения: Почти 70% CISO исключены или имеют ограниченное влияние на стратегические бизнес-решения, что снижает эффективность мер безопасности (33% регулярно, 27% периодически, 27% редко, 11% никогда).
- Неэффективное развитие культуры безопасности: Только 9% компаний считают процесс формирования культуры безопасности очень успешным, а 15% фиксируют неудовлетворительную ситуацию, несмотря на признание угрозы социальной инженерии (27% регулярно проводят обучение).
Радар возможностей и ловушек
| Возможности | Ловушки |
|---|---|
| Более глубокое понимание рисков через зрелые методы ИБ (списки критичных активов, корректная оценка стоимости взлома). | Слишком высокие оценки стоимости взлома из-за психологической переоценки технической сложности. |
| Применение Bug Bounty программ и кибериспытаний для реалистичной оценки защищенности. | Исключение CISO из стратегических бизнес-решений, что приводит к отсутствию их влияния. |
| Расширение аутсорсинга ИБ-функций для оптимизации ресурсов, особенно для малого и крупного бизнеса. | Зависимость от одного поставщика ИБ, которую 88% топ-менеджеров считают стратегическим риском. |
| Создание единой системы рейтингов кибербезопасности для стандартизации оценок (86% CISO считают нужным). | Неспособность CISO эффективно доносить экономическую ценность ИБ до топ-менеджеров. |
Что это значит для бизнеса
- Для финансового сектора: Учитывая рост кибератак на финансовые компании (13% в 1П 2025), критически важно пересмотреть подходы к оценке рисков и бюджету ИБ, фокусируясь на стратегических целях и экономической эффективности.
- Для критической инфраструктуры: Высокий процент кибератак (2/3) на КИИ требует усиления внимания к практическим методам оценки защищенности и тесной интеграции ИБ в стратегическое планирование.
- Для малого и среднего бизнеса: Малым компаниям следует активнее использовать аутсорсинг ИБ-функций при нехватке внутренних ресурсов, а средним – развивать собственные команды ИБ, но с учетом стратегических рисков и экономических обоснований.
Вопросы для управленческой команды
- Как мы обеспечиваем эффективную коммуникацию между нашей службой ИБ и топ-менеджментом для донесения экономической ценности защиты?
- Какие метрики эффективности ИБ мы используем, и насколько они отражают реальное снижение рисков и вклад в стоимость бизнеса?
- Какова наша стратегия по управлению зависимостью от поставщиков ИБ-решений, особенно в условиях текущей геополитической ситуации?
- Как мы можем повысить вовлеченность CISO в стратегические бизнес-решения и обеспечить их влияние на формирование общей стратегии компании?
Stratsessions Signals
- Trend: Продолжающийся рост рынка кибербезопасности и усиление регуляторного давления.
- Watch: Развитие рынка импортозамещения и возможность возвращения западных вендоров в контексте стратегических рисков.
- Cut: Опора на формальные аудиты как основной метод обоснования бюджета ИБ без учета практических результатов (пентестов).
Для кого полезно
- СЕО и топ-менеджеры в любой отрасли, заинтересованные в стратегическом управлении рисками.
- Директора по информационной безопасности, стремящиеся повысить свою роль и влияние в компании.
- Владельцы бизнеса и инвесторы, оценивающие риски и возможности в сфере кибербезопасности.
Call to Action
- Заказать разбор для своей отрасли
- Подпишитесь на Stratsessions Digest: 5 отчетов → 5 идей → 5 минут