Приоритеты CISO в 2025 году

В конце марта обновилась популярная шпаргалка по приоритетам ИБ-команды, CISO MindMap. Но экономическая реальность начала меняться спустя буквально пару дней после публикации, и теперь, с учетом высоких шансов экономической нестабильности, рецессии, падения цен на нефть и удорожания чипов, у многих компаний и их CISO на повестке дня может возникнуть болезненный вопрос — оптимизация расходов. С учетом этого мы решили взглянуть на CISO MindMap немного иными глазами и выделить те новые или важные ИБ-проекты, которые могут внести вклад в экономию бюджета, не создавая избыточных рисков для организации.

Рационализация инструментов

Приоритетом CISO будет «консолидация и рационализация инструментов ИБ». В данный момент в половине крупных организаций используется более 40 инструментов ИБ, в четверти — более 60. Как правило, такое изобилие ведет к потере продуктивности, утомлению сотрудников от несинхронизированных и неконсолидированных оповещений, а также к избыточным тратам на оплату всех этих инструментов.

Решение этой проблемы — либо консолидация технологического стека в рамках моновендорного подхода (один поставщик платформы ИБ и всех ее компонентов), либо выбор лучшего инструмента в каждой категории. Во втором случае на инструменты накладываются жесткие требования по открытым стандартам коммуникации и возможностям API-интеграции. Второй подход лучше подходит технологически зрелым командам, которые могут выделить внутренние ресурсы (прежде всего время) на то, чтобы корректно и эффективно наладить интеграцию согласно принятым в отделе ИБ процедурам.

Для эффективной консолидации стека есть специализированные инструменты планирования, позволяющие оценить все внедренные системы ИБ; сферы, ими не покрытые; а также сферы, где есть значительные пересечения функций инструментов. В процессе анализа заодно выявляются неэффективно и бессистемно используемые инструменты, от которых можно безболезненно отказаться. Для нишевых и редких задач можно пользоваться инструментарием open source, экономя бюджет. Нужно учесть, что для крупных и регулярно используемых систем вроде SIEM применение open source может быть не дешевле проприетарных решений из-за высоких трудозатрат на адаптацию и поддержку.

Консолидация часто идет параллельно с автоматизацией, достижимой только с хорошо синхронизированным набором инструментов. Компании, консолидировавшие свои инструменты и в итоге использующие современные инструменты XDR и SOAR, в среднем добиваются снижения расходов на 16% и экономят 20% времени аналитиков. Одновременно растет уровень защищенности организации: Mean Time to Respond (MTTR) снижается на 21%, а время устранения инцидента — на 19,5%.

Автоматизация

Хотя реализация проектов по автоматизации начинается с дополнительных затрат, их внедрение в ИБ-процессы окупится в долгосрочной перспективе благодаря экономии времени аналитиков и снижению кадрового голода. Автоматизация не обязательно основана на нейросетях и языковых моделях, но в ряде областей ИБ эти модные технологии уже вносят практический вклад. Осязаемые результаты в первую очередь достижимы при внедрении:

• выборочной автоматизации реагирования на инциденты;
• приоритизации оповещений в центре мониторинга;
• применения политик ИБ к учетным записям и ресурсам;
• проверки соответствия внутренних политик регуляторным и проверки выполнения этих политик;
• оценки рисков и приоритизации мер ИБ;
• автоматизации оценки рисков контрагентов (TPRM).

Генеративный ИИ

Несмотря на экономические сложности, многие компании продолжают уделять большое внимание внедрению ИИ-инструментов, видя в них залог будущей конкурентоспособности и экономической эффективности. В некоторых даже звучат директивы руководства в духе «перед тем как нанять сотрудника, докажи, что эту работу не может сделать ИИ».

С точки зрения кибербезопасности повальная одержимость внедрением ИИ-технологий несет в себе как плюсы, так и минусы. С одной стороны, обширный и плохо изученный набор ИИ создает большую дополнительную нагрузку на отдел ИБ. С другой — это дает возможность запустить и профинансировать ряд ИБ-инициатив в рамках общекорпоративной программы внедрения ИИ. Чтобы разумно управлять связанными с искусственным интеллектом рисками, потребуется:

• принять стандарты и регламенты применения ИИ-решений в компании, учитывая новые регуляторные требования, которые быстро и повсеместно возникают в этой сфере;
• создать закрытый список ИИ-инструментов, разрешенных в различных отделах и процессах;
• создать процесс регулярного пересмотра рекомендаций, а также процесс проверки, что все внедренные процессы, использующие ИИ, соответствуют ИБ-политикам;
• включить ИИ-инструменты в перечень активов, которым требуются управление уязвимостями и оценки защищенности;
•  разработать тренинги для пользователей ИИ и отдельные — для сотрудников ИБ.

Решения ИИ на базе open source, применяемые вместо проприетарных облачных систем, могут снижать операционные затраты и одновременно улучшать защиту данных — если разворачивать их в периметре организации или в частном облаке. Но есть ли подходящие open-source-модели и решения удовлетворительного качества, зависит от конкретного сценария использования.

Осмысленные метрики ИБ

Это направление не требует существенных денежных затрат, зато значительно упрощает обоснование бюджетов ИБ на заседаниях совета директоров. Состав ключевых метрик существенно различается для различных индустрий и компаний, но стоит рассмотреть следующие группы метрик:

• уровень риска и достигнутое снижение риска, выраженные в терминах финансистов;
• уровень готовности организации к атакам (Mean Time to Respond, Mean Time to Detect) и его динамика;
• прогресс в реализуемых проектах ИБ (в том числе уровень автоматизации и уровень консолидации инструментов);
• уровень эффективности принятых мер ИБ и его динамика (среднее время устранения критичных и прочих уязвимостей, процент пользователей, успешно проходящих ИБ-тестирования, и так далее).

Управление identity

Хотя внедрение крупных решений IAM может быть дорогостоящим, для каждой компании можно найти баланс, обеспечивающий значительное снижение риска при комфортном уровне вложений.

Во многих компаниях до сих пор не используются базовые меры наподобие многофакторной аутентификации. Даже ограниченное внедрение таких мер значительно снижает риск компрометации через украденные учетные записи. В 2025 году, кроме экономически эффективного решения с приложениями-аутентификаторами на базе TOTP, на основных платформах (Microsoft, Google, Apple) достигли зрелости и вполне комфортны в использовании решения на базе ключей доступа (passkeys). Этот устойчивый к фишингу и крайне недорогой способ аутентификации имеет смысл развернуть как минимум для сотрудников, имеющих доступ к критически важным данным и системам, а как максимум — для всех. В итоге переход на passkeys может дать еще и прирост эффективности для всех сотрудников — вход в системы без пароля экономит время, а также снижает затраты на техподдержку пользователей, забывающих пароль.

Другим полюсом IAM является централизованное управление машинными identity, управление API-токенами и другими секретами. Из-за значительного роста атак на облачные среды инвестиции в этой сфере, вероятно, неизбежны, однако многие компании могут рационально спланировать внедрение соответствующих инструментов: развернуть решение open source в своей инфраструктуре, воспользоваться менеджером секретов, уже входящим в подписку облачного провайдера, и так далее.

Управление стоимостью SOC

SOC является крупной статьей затрат любого ИБ-бюджета — кроме труда аналитиков, значительные деньги нужны на хранение и обработку данных. Эффективное разделение на «горячее» и «холодное» хранение журналов может значительно удешевить хранение данных. Для крупных компаний стоит просчитать вариант иерархической или географически разделенной инфраструктуры обработки. В некоторых случаях, как в кейсе с нашей SIEM, Kaspersky Unified Monitoring and Analysis Platform, экономия на оборудовании SIEM достигает 50%.