Исследование Positive Technologies: как владельцы бизнеса оценивают своих директоров по киберзащите

2026-05-01T14:39:12+03:00

132

Ожидание и реальность CISO: нам нужно сосредоточиться на управлении уязвимостями, защите конечных устройств и сделать так, чтобы TTA было больше, чем TTR. CEO: ты кто такой вообще? Вместе с The Edgers и SuperJob мы провели [исследование](https://edu.ptsecurity.com/transformation-of-the-ciso-role-in-russia/?utm_source=tg_pt&utm_medium=ciso&utm_campaign=01_05) о том, как владельцы бизнеса (CEO) оценивают своих CISO (директоров по киберзащите). Исследование прошло в формате глубинных интервью с представителями трех ключевых ролей: CISO, CEO и CTO/CIO (технические директора). Всего 43 респондента. И результаты нас удивили, делимся выводами. ➥ CEO и CISO по-разному оценивают зрелость роли Мы попросили CEO оценить своих CISO по 10-балльной шкале, а CISO — оценить себя по той же шкале. В результате: более 40% CISO поставили себе 8–9 баллов, тогда как CEO дали 7–10 баллов лишь в 25% случаев. То есть CISO в целом считают себя красавчиками, а часть CEO вообще не до конца понимает, кто это, чем он занимается и как влияет на бизнес. ➥ Эти ребята мало общаются между собой Около 37% CEO отметили, что либо не взаимодействуют с CISO напрямую, либо не могут оценить их работу. ➥ CISO редко участвуют в стратегическом планировании Более половины компаний по-прежнему воспринимают безопасность как техническую функцию, а не как полноценного участника стратегических решений. Хотя кибербез уже давно вышел за рамки покупки продуктов и заполнения бумажек — он напрямую влияет на устойчивость организаций. ➥ Разговор идет на разных языках CISO описывают риски через уязвимости, устойчивость инфраструктуры и технические метрики. Топ-менеджмент — через деньги, риски для бизнеса и устойчивость компании. Связь между этими мирами часто слабая или вообще отсутствует. ➥ Рынок образования не решает эту проблему 100% опрошенных сходятся в одном: существующие образовательные программы не закрывают разрыв в понимании между CEO и CISO. Что с этим делать Чтобы сократить этот разрыв, нужны изменения сразу на трех уровнях: ✓ CISO — системно развивать бизнес-компетенции и навыки управленческой коммуникации, а не только техническую экспертизу. ✓ CEO — научиться формулировать понятные критерии киберустойчивости и понимать, как именно CISO влияет на бизнес-результат. ✓ Рынок образования — создавать практико-ориентированные программы, которые соединяют технологии, бизнес-мышление и стратегическое управление, а не живут в одной из этих плоскостей. Только синхронные изменения на всех трех уровнях способны повысить киберустойчивость компаний и страны в целом. А если CISO продолжат говорить на языке технологий, CEO будет воспринимать безопасность как инфраструктуру, а образовательный рынок останется сосредоточенным на технической подготовке, то существующее расхождение сохранится. Полное исследование — с цифрами и цитатами — [опубликовали на сайте](https://edu.ptsecurity.com/transformation-of-the-ciso-role-in-russia/?utm_source=tg_pt&utm_medium=ciso&utm_campaign=01_05)