Поделиться
Сергей Клевогин: Роль руководителя ИБ превратилась из админа в бизнес-лидера
Сергей Клевогин — независимый эксперт в информационной безопасности, обладатель более 50 международных сертификатов, включая OSCP, CCISO, LPT (Master). В интервью CNews он рассказал, как за последние годы изменилась роль руководителя службы информационной безопасности (CISO), почему дефицит кадров и регуляторика — это не «боль», а рабочие задачи, и какие метрики нужны для разговора с советом директоров. Эксперт объяснил, почему без SGRC-системы («управление, риски и соответствие») невозможно управлять сотнями активов и как наступательная безопасность помогает выстраивать реальную защиту. Также Сергей назвал три ключевые компетенции будущего для CISO — финансы, право и искусственный интеллект — и перечислил типичные ошибки, которых стоит избегать.
CNews: Если убрать формальные регламенты, за что в 2026 году в реальности отвечает CISO в российской компании?
Сергей Клевогин: Отвечу как сертифицированный руководитель службы информационной безопасности и человек с практическим опытом управления ИБ в крупном холдинге. Реальная ответственность CISO — это непрерывность бизнес-процессов. Мы отвечаем за то, чтобы бизнес не остановился из за проблем с информационной безопасностью: атак на наши системы, цепочку поставок или отказов импортозамещённого ПО. Также это правовые риски, особенно связанные с выполнением нормативных требований. Но есть и ещё один невидимый уровень — контроль всех вопросов ИБ так, чтобы проблемы не доходили до высшего руководства от кого-либо помимо CISO. Если руководство узнаёт о проблемах из другого источника — значит, CISO не полностью контролирует направление. Зона ответственности — выстроить процессы и коммуникации так, чтобы замкнуть все вопросы ИБ на себе, а если что то нужно обсуждать на высшем уровне, инициатором должен быть сам CISO.
CNews: Какие три проблемы сегодня наиболее актуальны для CISO в российских компаниях? Что забирает больше всего времени и сил?
Сергей Клевогин: Вы, наверное, ожидаете, что я скажу: дефицит кадров, рост регуляторных требований и сложность управления активами в условиях импортозамещения. Но я скажу, что это не боли. Боль — это когда получил удар и неприятно. А здесь — реальные задачи, с которыми CISO справляется с воодушевлением. Дефицит кадров решается бюджетом и выращиванием своих специалистов. Рост требований — дружбой с юристами. Сложность управления активами — мы сами затеяли трансформацию бизнеса, значит, готовы управлять активами в любых условиях. Всё решаемо.
CNews: Как изменилась роль CISO за последние 3–5 лет? Это по прежнему «старший админ по безопасности» или, возможно, уже бизнес лидер по управлению рисками?
Сергей Клевогин: Я уверенно вижу, что роль трансформировалась из старшего админа в полноценного бизнес лидера по управлению рисками. Но окончательно перейти в эту роль часто мешает отсутствие инструментов, которые позволяют говорить с бизнесом на языке цифр, а не технических уязвимостей. Во многих компаниях у CISO слабая интеграция в процессы принятия решений, сильная зависимость от ИТ-директора, который становится фильтром влияния. Задача CISO — либо интегрироваться с ИТ-директором и идти вместе, либо подняться через службу безопасности или напрямую руководству, чтобы убедить: CISO должен принимать решения. Тогда он сможет говорить на языке бизнеса, денег и рисков.
CNews: Какие метрики CISO обязан иметь под рукой, чтобы разговаривать с топ менеджментом на понятном языке — про деньги, риски и устойчивость бизнеса?
Сергей Клевогин: На уровне совета директоров главная метрика — ожидаемый годовой финансовый ущерб от реализации ключевых киберрисков, выраженный относительно общего оборота или бюджета. Вторая — время восстановления критичных бизнес-процессов (RTO). Если мы докладываем: «В случае сбоя восстановимся за 516 часов», а совет директоров хочет 30 часов — значит, нужна горячая площадка за столько то миллионов. Пусть решают: снижаем время или терпим. Третья — процент охвата защитными мерами критически важных активов или доля активов с недопустимым риском. Это даёт понимание руководителям бизнес-подразделений, насколько они рискуют своими процессами. Можно добавить динамику устранения критических уязвимостей, но это уже дальше от финансов.
CNews: Насколько критично сегодня для CISO иметь систему уровня SECURITM как единое окно, где видны инциденты, уязвимости, активы и соответствие требованиям? Какие риски создаёт отсутствие такой системы?
Сергей Клевогин: SECURITM — это SGRC-система («управление, риски и соответствие»). В контексте бизнес-рисков она становится единым окном для CISO. Без такой системы невозможно оперативно видеть актуальные статусы проектов, соответствие требованиям и состояние активов. Какой бы талантливый ни был CISO, даже если голова как Дом союзов, всё это удержать в голове невозможно. Отсутствие централизованного управления создаёт риск «слепых зон» или «белых пятен» ИБ, где инцидент может быть пропущен из за хаоса в документах и таблицах. Решения принимаются на ощущениях, приоритеты искажаются — чиним то, что громче, а не то, что важнее. Нет явной связи «актив — риск — меры — эффект». Пример: финансовый директор пишет гневное письмо об утечке данных из бизнес-системы, а CISO даже не знал, что такая система существует. У нас 300 бизнес-приложений — и без систем класса «управление, риски и соответствие» (SGRC) держать их в голове и увязать с рисками невозможно.
CNews: Вы много лет занимаетесь этичным хакингом. Какие три урока из практики особенно полезны CISO при выстраивании защиты?
Сергей Клевогин: Первое и самое главное — думать как атакующий. Защищать не всё подряд по чек-листу стандарта, а выявлять пути, которыми реально пойдёт хакер, и закрывать их. Я проводил тест на проникновение (пентест) в одном холдинге: мы поднялись до самого главного администратора, а потом вместе с ИТ-подразделением внедрили защитные меры, которые не позволяют пройти этим путём. После этого я сам, как этичный хакер, развожу руками — больше не могу проникнуть, потому что расставил растяжки. Второе — правильная приоритизация. Одна закрытая критическая цепочка важнее сотни средних патчей. Третье — предполагать взлом (breach resistance, defence in depth). Строить защиту на разных уровнях, исходя из того, что злоумышленник уже внутри. Тогда даже если где то не доуследили, мы его перехватим при перемещении по сети.
CNews: В каких областях ИБ-процессов автоматизация даёт реальный ощутимый эффект для CISO, а где — маркетинг?
Сергей Клевогин: Реальный эффект — прежде всего в управлении уязвимостями. Там много времени тратится на обработку типовых данных и подготовку отчётности. Автоматизация позволяет определять приоритеты не по стандартному CVSS (Прим.ред.: Common Vulnerability Scoring System — открытый стандарт для оценки серьёзности уязвимостей в программном обеспечении, программно-аппаратных комплексах и других ИТ-системах), а по реальному риску. Также автоматизированные проверки безопасности, встроенные непосредственно в планы (пайплайны) разработки — SAST, DAST (Прим.ред.: SAST — это метод статического анализа исходного кода приложения без его запуска. DAST — это метод динамического тестирования, при котором анализируется работающее приложение), дают огромный эффект — вручную находить и оценивать уязвимости в коде, когда их тысячи, невозможно. Обработка инцидентов — системы класса SOAR (Прим.ред.: Security Orchestration, Automation and Response — класс программных продуктов и технологий в сфере информационной безопасности, которые автоматизируют процессы обнаружения, анализа и реагирования на киберугрозы) типовые реакции обрабатывают отлично. Управление доступом и жизненным циклом доступа (IDM) — в большой компании ручное управление доступами тяжело. Управление активами с автообнаружением — тоже. А маркетинг — это когда вы слышите термины «полностью автономное» («full autonomous»), «самовосстанавливающееся» («self healing») или «ИИ всё сам защищает». Такого не бывает.
CNews: Какие компетенции CISO должны целенаправленно развивать уже сейчас, чтобы оставаться востребованными в 2030 году?
Сергей Клевогин: Три ключевые компетенции. Первая — финансовая: умение обосновывать бюджет через возврат инвестиций и управление рисками. Нет бюджета — всё пропало. Вместе с ней идут правовые компетенции — знание законодательства в области защиты данных и требований ИБ. Юридический департамент не всегда может отличить, что реально повлияет на ИБ, поэтому CISO должен сам понимать правовое поле. Третья — техническая компетенция, связанная с искусственным интеллектом. Понимание, где ИИ и машинное обучение в кибербезопасности дают эффект. Можно купить дорогую систему анализа журналов, а можно использовать LLM (большую языковую модель), которая прочитает логи и найдёт подозрительное. Тот же результат за другие деньги. Если мы поймём, где ИИ эффективен, — сэкономим бюджет, освободим человеческие ресурсы и повысим эффективность.
CNews: Какие 2–3 ошибки из вашего опыта вы больше всего не хотите повторять и о чём предупредили бы нынешних CISO?
Сергей Клевогин: Ошибка номер один — распыляться и пытаться закрыть всё. Желание сделать безопасность везде приводит к тому, что критические риски остаются недозакрытыми, а внимание уделяется тому, с чем к CISO пришли и чем его дёргали. Нужна жёсткая приоритизация через риски и ущерб. Вторая ошибка — вовлекаться в чужие задачи и операционную «пожарку». На CISO постоянно давят ИТ, бизнес, срочные проекты. Риск стать узким горлышком, универсальным солдатом, который всё решает. Необходимо держать границы ответственности, фильтровать входящий поток задач через стратегию и риск, а не просто через срочность. Третья ошибка — принимать решения без полной картины активов и зависимостей. Некритичная система может влиять на ключевой бизнес-процесс. Сначала добиваемся прозрачности активов и потоков данных с помощью системы класса «управление, риски и соответствие» (SGRC), например, SECURITM, а потом выбираем защитные меры.
■ Рекламаerid:2W5zFHLdQ5FРекламодатель: ООО «СЕКЪЮРИТМ»ИНН/ОГРН: 7820074059 /1207800072589Сайт: https://securitm.ru/
Поделиться
Короткая ссылка
