Ръководителите по киберсигурността трябва да гарантират, че техните стратегии и екипи за сигурност подкрепят цялостната бизнес-стратегия на организацията. Но как се случва това на практика – и защо остава толкова трудно?
Като част от центъра за върхови постижения в областта на изкуствения интелект на компанията си, Тим Сатлер работи, за да определи къде и как въпросната технология може да донесе реални и измерими ползи. „Обсъждаме различни възможности“, казва той. Това, че екипът по изкуствен интелект на Jungheinrich AG прави описаното, едва ли е забележително; забележително е обаче, че Сатлер, CISO на немския производител на складово оборудване и технологични решения, е част от екипа.
Това е роля, която е крайно нетипична за ръководителите по сигурността. Ала Сатлер вижда членството си в центъра за върхови постижения в областта на изкуствения интелект като доказателство, че той и екипът му по сигурността са в крак с бизнеса и неговата стратегическа визия. „Виждам ролята си не само в това да разпознавам всички рискове, но и всички възможности, които изкуственият интелект предоставя. Така излизам от ъгъла на риска и наистина виждам голямата картина“, обяснява той.
Сатлер предприема същия подход, когато се появява ChatGPT. Тогава той и екипът му правят задълбочено проучване на големите езикови модели, „за да разберат как работи технологията, да разберат рисковете и новите бизнес-възможности, които тя би създала, за да можем да кажем: „Ето правилата; ето как можете да го изпробвате и да си поиграете с него“.
После Сатлер прави почти същото за квантовите изчисления. Обяснява, че членовете на борда са потърсили неговото мнение и мнението на неговите служители по сигурността за технологията и нейния потенциал, не само за нейните последици за киберсигурността.
„Те знаеха, че сме правилните хора, с които първо да говорят за квантовите технологии, защото доказахме, че можем да играем тази консултативна роля“, казва Сатлър. „Много често [ръководителят на отдела] вижда само възможности, а външните съветници се интересуват преди всичко от продажбите, така че и двамата може да не са много обективни. Но ние [в сферата на сигурността] имаме неутрална позиция. Ние виждаме и рисковете, и ползите. Това сега е ролята на CISO и на организацията по сигурността“.
Да се работи с подобен капацитет показва, че ИТ сигурността и бизнесът са в синхрон. „Съгласуваноатта – това за мен означава, че информационната сигурност подкрепя стратегията на организацията“, казва Сатлър, който е и член на борда на директорите на асоциацията за управление ISACA.
„Това означава, че ние знаем какви са целите на организацията, какво иска да постигне компанията, разбираме бизнес-средата, осъзнаваме какво прави конкуренцията, наясно сме с тенденциите в индустрията. Това са всички неща, които отделът по ИТ сигурността трябва да знае, за да подпомогне иновациите и растежа и да подпомогне организацията в постигането на целите ѝ. А това означава, че сигурността не може да се фокусира само върху риска. Трябва да виждаме и възможностите“, споделя той.
Съгласуваността като императив
Идеята за съгласуваността е от голямо значение за ИТ сигурността днес. Едно-единствено търсене в интернет доказва това, като дава безброй резултати, съдържащи някаква вариация на „синхрон между сигурността и бизнеса“.
И все пак изследванията показват, че много CISO не са синхронизирани с останалата част от организацията. Проучването на EY „Global Cybersecurity Leadership Insights 2025“ например показва, че само 13% от CISO „са били попитани, когато са се вземали спешни стратегически решения“ и „58% от CISO и ръководителите по киберсигурност казват, че е трудно да се формулира тяхната стойност отвъд смекчаването на риска“.
Междувременно докладът на Splunk 2025 за ръководителите по ИТ защитата открива разминавания между начина, по който CISO и топ-мениджмънтът възприемат приоритетите. Например, според доклада, 52% от анкетираните членове на бордовете на директорите смятат, че CISO прекарват по-голямата част от времето си в подпомагане на бизнеса, но само 34% от CISO виждат ролята си по този начин.
Същевременно 55% от топ-мениджърите казват, че бизнес-проницателността е изключително ценно умение за CISO, но само 40% от CISO са я класирали като умение, което трябва да развият.
Предвид подобни разминавания, навярно си струва да се запитаме: какво всъщност означава съгласуваност между ИТ сигурността и бизнеса? Защо е важно? И какви стратегии могат да използват CISO, за да постигнат подобен синхрон?
Ако CISO искат успешно да синхронизират сигурността с бизнеса, те трябва да направят синхронизацията нещо повече от мантра, казва Кател Тилеман, изтъкнат вицепрезидент-анализатор в изследователската фирма Gartner. „Не е достатъчно да го кажеш; всъщност трябва да го направиш“, обяснява тя.
„Има контингент от [специалисти по] киберсигурност, който се възприема като остров, задълбочено внедряващ механизми за защита във всяко ъгълче на организацията, приемайки всички рамки и стандарти, но с намаляваща възвръщаемост от това. Така че, вместо да казват: „Това е нашата дисциплина в областта на киберсигурността и ние правим всичко, което правим, защото показателите ни казват да го направим“, CISO трябва да синхронизират усилията си с бизнес-модела на своята организация“, допълва Тилеман.
Индикатори за синхронизация
Един барометър за синхронизацията между сигурността и бизнеса в действие, казва Тилеман, е когато екипите по сигурността се ангажират с бизнеса и използват бизнес-показатели, за да определят ефективността на сигурността.
Като пример тя посочва партньорството между сигурността и инженерството в производствен завод, в който някои устройства използват софтуер, който вече не се поддържа от доставчика. Двата екипа работят заедно, за да внедрят необходимите мерки за сигурност, като например сегментиране, които не биха пречили на ежедневната работа, но биха добавили необходимата сигурност. Да се знае как да се планира работата по сигурността по време на престой на производствения цех допълнително демонстрира съгласуваността.
„Това показва, че отделът по сигурността познава бизнеса и не се занимава само с киберсигурност като дисциплина“, казва Тилеман.
За да я има въпросната съгласуваност, казва тя, лидерите по киберсигурността трябва „да знаят целите на бизнеса и да ги използват, за да оформят стратегията си, независимо дали става въпрос за ограничаване на разходите, навлизане на нови пазари, възприемане на облачни технологии.
Всичко започва от разбиране на организационните приоритети и след това наслояване на ефектите от успех при кибератака – и какво може да се обърка, какъв е рискът, с който организацията може да си позволи да живее, и разбиране и артикулиране на въздействието върху бизнеса от инцидентите със сигурността“.
Един друг пример за съгласуваност може да бъде сценарият с компания, придобиваща друга като част от стратегия за навлизане на нови пазари. CISO на компанията – знаейки, че изграждането на доверие у клиентите е от решаващо значение за растежа след сливането – разработва стратегия за укрепване на сигурността на придобитата компания до нивата, необходими за осигуряване на успешна интеграция, корпоративно разрастване и растеж, казва Аян Рой, лидер по компетенции по киберсигурност в Северна и Южна Америка в фирмата за професионални услуги EY.
Робърт Т. Лий, главен директор по изкуствен интелект и ръководител на изследванията във фирмата за обучение и сертифициране по сигурност SANS, казва, че съгласуването може да се види и по други начини, като например кога и как сигурността работи с бизнеса.
Например, CISO, които осъзнават необходимостта от повишаване на сигурността, като същевременно намаляват триенето, често карат отделите си по сигурност да работят с бизнес звената в най-ранните етапи на инициативите. Екипите по сигурност, интегрирани в звената за научноизследователска и развойна дейност, така че „те да могат да внедряват неща с много повече или модел на доверие“, е друг знак за съгласуваност, казва Лий.
„Съгласуването в цялата информационна сигурност наистина се фокусира върху идеята за подкрепа на дейностите. Става въпрос за управление на риска с акцент върху подпомагането на операциите“, казва д-р Джеймс Хаурес, ръководител на катедрата по киберсигурност и технологии в Националния университет.
И има стойност в съгласуването между сигурността и бизнеса. Според проучването на EY Global Cybersecurity Leadership Insights от 2025 г., „киберсигурността допринася с 11% до 20%, или средно 36 милиона щатски долара, стойност за всяка стратегическа инициатива в цялото предприятие, в която участва“.
Липсата на съгласуваност продължава за много хора
Но, както установи проучването на EY, съгласуваност съществува в малка част от организациите. И както казва Хаурес, точно както има индикатори за съгласуваност между сигурността и бизнеса, има и признаци, когато тя липсва.
Един индикатор, казва той, е „прекомерната сигурност“, където разходите за мерките за сигурност и триенето, което те въвеждат в работните процеси и операции на организацията, надвишават стойността, която те предоставят. Друг е, когато лидерите по сигурността не знаят или не могат да формулират визията или стратегическите цели на организацията, казва той.
Други посочват чувството, че сигурността се чувства изоставена или въвлечена в инициативи, след като те са в ход, като индикатори за липса на съгласуваност.
„Когато сигурността не е съгласувана, сигурността реагира на промените, вместо да ги оформя“, казва Мат Горъм, ръководител на Института за иновации в киберсигурността и риска на PwC. „Но когато сигурността не преследва бизнеса, това е защото е на масата за преговори от самото начало и казва: „Ето как мога да помогна на бизнеса да расте и да се развива сигурно“.
