Едно от най-важните качества в бизнеса е умението на висшето ръководство да балансира между множество конкуриращи се интереси. В света на ИТ сигурността не е по-различно: ръководителите по киберзащитата са изправени пред напрягащи ситуации на избор и се налага да правят компромиси, които биха могли да имат монументални последици за бизнеса и кариерата им.
Все по-отговорни за киберсигурността, върху която обаче няма как да имат пълна власт, CISO са добре запознати с динамиката на отстъпките. Според доклад на LevelBlue Futures Report от 2024 г., „73% от CISO изразяват загриженост относно това, че киберсигурността става тромава, изискваща рискови компромиси.“ За сравнение, подобни тревоги са налице у доста по-малка част от ИТ директорите и техническите директори.
Нещо повече: предвид нарастващата отговорност явява и по-голяма нужда CISO да съгласуват своите стратегии за сигурност с бизнес-целите. Това създава допълнително напрежение, когато става въпрос за вземане на решение къде да се прокарат граници между директивите за сигурността и необходимостта от подкрепа за бизнес-иновации.
Ето къде най-често се налага да се търси тази тънка граница.
1. Прекалибриране на толерантността към рисковете
Въпреки всички приказки за съгласуване с бизнес-целите, мнозинството от CISO съобщават за разминавания с висшето ръководство по отношение на разбиранията за риска.
Според проучването „Modern CISO: Bringing Balance“ от доставчика на киберсигурност Netskope, 92% от CISO казват, че различните нагласи към риска пораждат напрежение в отношенията с голямото висше ръководство. 66% описват себе си като „ходещи по тънко въже“ – балансирайки между това, което бизнесът иска, и това, което има смисъл от гледна точка на сигурността.
„Има нужда бизнесът да ме обучава относно своите нужди, но и обратното – аз да обучавам бизнеса относно рисковете“, казва Чък Кеслер, CISO в технологичната компания Pendo. Споделя, че е трябвало да работи върху намирането на среден път по въпросите на риска. Кеслер признава, че в миналото е трябвало да „прекалибрира“ своята толерантност към риска, след като е оценил бизнес-целите, първоначалните си оценки на рисковете, свързани с тези цели, и въведените контроли за сигурност.
„CISO често се питат: „Колко риск мога да понеса?“ – това е най-често задаваният въпрос,“ казва Ричард Уотсън, глобален лидер в консултирането по киберсигурност в EY.
2. Претегляне на инвестициите в сигурност, когато бюджетът налага избор
Тясно свързан с компромисите около риска е въпросът за разпределяне на инвестициите в сигурност. Защото те никога не са достатъчни.
„За повечето CISO, когато трябва да правят трудни избори, в 99% от случаите това се дължи на бюджетни ограничения,“ казва Джон Алън, управляващ директор по технологии, медии и телекомуникации в консултантската компания за киберсигурност MorganFranklin Cyber. „Ограниченията ги принуждават да претеглят рисковете спрямо ползите“.
Като се има предвид, че никой CISO няма неограничен бюджет, ръководителите по ИТ защитата често се питат какво би се случило, ако не осъществят даден проект за сигурност, чиято цена е отвъд бюджета им, и след това се опитват или да го вместят в бюджета, или да го отложат, ако могат.
98% от лидерите по сигурността все някога са били принудени да оставят поне 10% от уязвимостите нерешени – поради ограничени ресурси, сочи пък проучване на Panorays от 2025 г.
CISO правят трудни компромиси поради бюджетни ограничения, според Крис Симпсън, директор на Центъра за киберсигурност към „Национален университет“ в Калифорния. „Понякога те харчат по-малко за откриване и реагиране на инциденти, отколкото биха искали, в полза на харченето на повече за превенция, или пък харчат повече за съответствие и регулаторни изисквания, отколкото искат, защото са длъжни. Така остава по-малко за вложения за други желани инвестиции в сигурността“.
За всеки CISO има различен, уникален контекст, в който трябва да преценява бюджетните компромиси. Както показват изследванията, не всички съкращения са еднакви. Определени избори в определени условия имат по-голямо въздействие върху организационния риск.
3. Искат, но не могат да получат желаните инструменти от висок клас
CISO често правят компромис с инструментите за сигурност, на които могат да разчитат, казва Уотсън от EY. „CISO, които искат най-доброто от всичко, няма как да имат успех всеки път“.
Естествено, като професионалисти всички лидери по киберсигурността се стремят да разполагат с най-добрите, най-висококласните инструменти. Но не винаги могат да си ги позволят.
Кеслер от Pendo знае това от първа ръка. Той се е насочил към инструмент за управление на облачната сигурност с много функции – описва го като „Мерцедеса на ИТ сигурността“. Но въпросният инструмент за сигурност е с висока цена. В крайна сметка Кеслер е трябвало да се примири с факта, че много от възможностите на платформата са били желателни, а не задължителни.
„Затова решихме, че не е подходящият момент за подобна покупка“, обяснява Кеслер. Добавя, че е намерил среден път, като е внедрил няколко други инструмента, които са му предоставили възможностите, от които компанията му се е нуждаела. Така се справил с рисковете, които е искал да смекчи по това време.
„На пазара има толкова много страхотни инструменти за сигурност. Виждаме демонстрация и се вълнуваме. Мислим си, че те ще се справят с всички наши рискове. А реалността е, че ще ни е трудно да получим бюджет за всичко, което искаме. Така че част от задачите ни е да работим върху това, което е възможно“, казва той.
4. Поемане на повече рискове за насърчаване на иновациите
Иновациите, особено около нововъзникващи технологии като AI агентите, въвеждат нови рискове – особено ако иновацията нахлува в ежедневието без активно ангажиране от гледна точка на сигурността. А точно този сценарий се случва днес с AI.
Това създава повече рискове, отколкото много CISO са готови да преборят.
„Приходогенериращата част от бизнеса е движещата сила на решенията. Това не е въпрос на равнопоставеност. Няма как да се случи така – „г-н CISO казва, че няма да го направим заради риска“. Бизнесът казва друго: „Разберете го, защото ще го направим“, споделя Алън от MorganFranklin.
Това не означава, че CISO е безсилен. Лидерите по ИТ сигурността все още имат способността – и задължението – да „ясно формулират опасенията за сигурността, капаните и недостатъците на това, което бизнесът иска да направи“. Те просто трябва да оформят оценките си за сигурност в бизнес-контекст и „да предложат решение, което бизнесът смята за двигател за растеж и за това, което искат да правят“.
5. Сигурност с темпото на бизнеса
По подобен начин CISO често трябва да балансират между това колко бързо иска да се развива бизнесът и по-бавното темпо на сигурността, казва Саймън Бекуел, ръководител на отдела за информационна сигурност в технологичната компания Benifex и член на работната група за нововъзникващи тенденции в ISACA.
Бизнесът и сигурността едва ли са равностойни от гледна точка на темпове и скорост. Бизнесът обичайно има възможност да въвежда иновации поетапно. Ала CISO обикновено трябва да отговарят на разпоредбите за съответствие и рамките за сигурност. А те не позволяват същия итеративен подход. Освен това бизнес-екипите обикновено получават приток на ресурси за финансиране на специализирани екипи, когато стартират нови инициативи – а с екипите по сигурност не е така.
„[Отделът за сигурност] може да работи по 20 различни неща. И ето, идва някой, който иска да започнат да работят по нещо ново. Тогава отделът за сигурност трябва да реши от какво да се откаже, за да си освободи място“, добавя той.
За да се справят, CISO трябва да потърсят равновесие, като погледнат случващото се през очилата на бизнеса и включат сигурността в бизнес-инициативите отрано, за да се справят по-добре с темпото.
6. Проактивно инвестиране, когато се сблъскваме с настоящето
Тъй като CISO все по-рядко работят реактивно и все повече действат стратегически, те са по-способни да видят какво предстои по отношение на бизнес-възможности и нововъзникващите заплахи.
Но това ги поставя в затруднено положение: да инвестират ли в нови инструменти или инициативи за сигурност сега, за да изпреварят времето – въпреки че има други непосредствени нужди, които се нуждаят от внимание – или по-късно, когато нуждите може да са точно на главата им?
7. Сигурен достъп без затрудняване на работата
Друг дългогодишен компромис, с който всеки опитен CISO се е сблъсквал многократно: постигането на правилния баланс между механизмите за сигурност и „триенето“, което те добавят към потребителското изживяване. Но в наши дни, с първостепенното значение на потребителското преживяване, справянето с този казус става все по-трудно.
Да, многофакторното удостоверяване гарантира висока степен на сигурност. Но ако един служител шета постоянно и работи с различни устройства, можеш ли да искаш от него да се удостоверява на всеки няколко минути? А може би той в това време е зает с клиенти и трябва да съсредоточи вниманието си върху тях?
Тази граница е много тънка и отново изисква разумен компромис.
8. Да останеш на работа след толкова компромиси
Може би един от най-трудните избори за CISO е да останат на работа, дори когато са направили много повече компромиси, отколкото биха искали, казва Алън.
Това се случва достатъчно често.
„CISO се разочароват, защото се чувстват експерти по сигурност и ако не могат да свършат нещата, които смятат за необходими, ако няма съгласуваност, ако това е постоянна борба – може да поискат да напуснат“, казва Алън. Някои си тръгват, други не.
„В крайна сметка CISO трябва да следват това, което бизнесът иска“, добавя Алън. „Ако това е несъстоятелно, те си тръгват. Тези, които са гъвкави, са способни да го поемат и остават задълго“.
