«Нас ещё ни разу не взломали» - эту фразу я слышал на каждом третьем совещании с финансовым директором. И каждый раз она убивала мой бюджет. Для CFO это звучит так: «Зачем платить за то, что и так работает?» После третьего провала на бюджетном комитете до меня дошло: проблема не в том, что бизнес не ценит безопасность. Проблема в том, что CISO не умеет говорить на языке денег.
ROI кибербезопасности - не абстрактная метрика для красивого отчёта. Это инструмент выживания ИБ-департамента. Если вы не можете перевести «мы заблокировали 10 000 атак за квартал» в конкретную сумму предотвращённых убытков - бюджет уйдёт в маркетинг или продажи. Туда, где ROI считают до цента.
Ниже - конкретные формулы, метрики и пошаговый процесс расчёта окупаемости инвестиций в информационную безопасность. Всё, что я сам использовал, защищая бюджеты от 20 до 200 миллионов рублей.
Почему бизнес не понимает ценность кибербезопасности для бизнеса
Прежде чем считать формулы, разберёмся с корневой проблемой. Кибербезопасность - одна из немногих функций бизнеса, чей «успех» выражается в отсутствии событий. Маркетинг покажет рост конверсии, продажи - выручку, а ИБ - что? Количество заблокированных писем?Три системные причины, по которым обоснование бюджета на кибербезопасность превращается в мучение:
Парадокс профилактики. Чем лучше работает ИБ, тем меньше инцидентов, тем меньше бизнес видит «проблему» - и тем сложнее обосновать следующий бюджетный цикл. Ловушка, из которой не выбраться без количественных метрик. Это как с тормозами: пока они работают - никто не думает, зачем за них платить.
Разрыв языков. ИБ-специалисты мыслят угрозами, уязвимостями и атаками. Финансовый директор мыслит cash flow, EBITDA и капитальными затратами. Между этими языками - пропасть. По данным Safe Security, одна из ключевых проблем CISO - неспособность транслировать кибер-риски в финансовые термины, понятные совету директоров. Лично я наступал на эти грабли раз пять, прежде чем перестал приходить на бюджетный комитет с картинками из threat intelligence.
Ложная аналогия со страховкой. Руководство часто воспринимает ИБ как страховой полис - фиксированный платёж «на всякий случай». Но в отличие от страховки, ИБ-инвестиции активно снижают вероятность и последствия инцидента. Это ближе к тормозной системе автомобиля, чем к полису КАСКО.
Формулы расчёта: как измерить кибербезопасность в деньгах
Базовая формула ROSI кибербезопасность
ROSI (Return on Security Investment) - адаптация классического ROI для информационной безопасности. Формула, которую я использую в каждом бизнес-кейсе:
Код:
ROSI = (ALE_до − ALE_после − Стоимость_контроля) / Стоимость_контроля × 100%- ALE_до - ожидаемые годовые потери ДО внедрения контроля
- ALE_после - ожидаемые годовые потери ПОСЛЕ внедрения
- Стоимость_контроля - полная стоимость владения решением (TCO за год)
Код:
Security ROI = (Снижение риска в денежном выражении − Стоимость ИБ-инвестиции) / Стоимость ИБ-инвестиции × 100%ALE и количественная оценка рисков
Ключевой элемент формулы - ALE (Annual Loss Expectancy). Без неё ROSI превращается в гадание на кофейной гуще. Вот как я рассчитываю ALE:
Код:
ALE = ARO × SLE- ARO (Annual Rate of Occurrence) - сколько раз в год ожидается инцидент этого типа
- SLE (Single Loss Expectancy) - потери от одного инцидента
- ARO (частота успешных инцидентов, приводящих к потерям, а не частота всех попыток): за последние 3 года в вашей отрасли компании аналогичного размера подвергались успешным ransomware-атакам в среднем 0.4 раза в год (данные вашего ISAC или отраслевых отчётов)
- SLE: простой производства - 2 млн руб./день × 5 дней среднего восстановления = 10 млн + стоимость реагирования 3 млн + регуляторные штрафы 1 млн = 14 млн руб.
- ALE = 0.4 × 14 000 000 = 5 600 000 руб.
- ALE_после = 0.1 × 3 000 000 = 300 000 руб.
- Стоимость контроля (TCO): 2 400 000 руб./год
- ROSI = (5 600 000 − 300 000 − 2 400 000) / 2 400 000 × 100% = 120.8%
Для защиты бюджета перед CFO я рекомендую: (1) показывать диапазон ALE - оптимистичный / реалистичный / пессимистичный, (2) при крупных инвестициях использовать Monte Carlo симуляцию (доступна в инструментах FAIR) для получения распределения вероятных потерь, (3) проводить sensitivity analysis - как меняется ROSI при ±20% ARO и SLE. Это снимает вопрос «откуда цифры?» и повышает доверие к расчёту.
Этот расчёт - не теоретическое упражнение. Я проводил его в Tableau, подключив данные из SIEM по реальным инцидентам за 3 года, и именно он убедил финансового директора выделить бюджет на обновление endpoint-защиты. Не слайды с логотипами APT-группировок, а таблица с рублями.
Метрики MTTD и MTTR в финансовом выражении
Как измерить кибербезопасность в операционных терминах? Через MTTD (Mean Time to Detect) и MTTR (Mean Time to Respond). Сами по себе эти цифры ничего не стоят для бизнеса. Фокус - в их конвертации в деньги.Согласно методологии Auxis, MTTD и MTTR входят в десятку ключевых метрик эффективности кибербезопасности наряду с reduction in downtime, false positive rate и incident frequency.
Вот как я перевожу MTTR в рубли:
Код:
Стоимость_инцидента_время = MTTR_часов × Стоимость_часа_простоя| Метрика | До внедрения SIEM | После внедрения SIEM | Финансовый эффект |
|---|---|---|---|
| MTTD (для lateral movement / data exfiltration) | 72 часа (baseline для организации без централизованного мониторинга) | 4 часа | Сокращение времени обнаружения на 94%, пропорциональное снижение окна для развития атаки |
| MTTR | 48 часов | 8 часов | Экономия 40 часов × стоимость простоя |
| Ложные срабатывания | 60% | 15% | Высвобождение 45% времени аналитиков SOC |
| Время на расследование | 12 часов/инцидент | 3 часа/инцидент | Экономия 9 часов работы L2-аналитика на инцидент |
Цифры - из конкретного кейса внедрения при наличии выделенного SOC-аналитика и настроенных правил корреляции в организации, ранее не имевшей централизованного мониторинга (отсюда baseline MTTD 72 часа). Для организаций с существующим IDS/антивирусом с централизованной консолью baseline MTTD будет сильно ниже. Результаты варьируются в зависимости от зрелости SOC-процессов, качества use cases и уровня персонала.
Когда я защищал бюджет на Splunk перед руководством, именно таблица такого типа - с конкретными часами и рублями - стала решающим аргументом. Не «мы будем быстрее реагировать», а «мы сэкономим 4.2 млн руб. в год на сокращении простоев». CFO кивнул через 30 секунд.
Пошаговый расчёт окупаемости инвестиций в информационную безопасность
Соберём всё в практический алгоритм. Этот процесс я прохожу перед каждым бюджетным циклом.Шаг 1: Инвентаризация полной стоимости ИБ-инвестиций
Total Cost of Ownership безопасность - это не только стоимость лицензии. Частая ошибка: показать CFO цену подписки на SIEM и получить одобрение, а через полгода прийти за дополнительным бюджетом на персонал и обучение. Это подрывает доверие. Причём подрывает надолго - я видел, как после такого фокуса CISO два года не мог получить даже мелкие согласования без допроса.Полная стоимость:
Код:
TCO = Лицензии + Инфраструктура + Персонал + Обучение + Интеграция + Поддержка- Прямые затраты: лицензии/подписки, оборудование, облачные ресурсы
- Внедрение: стоимость интеграции, консалтинг, время внутренней команды на настройку
- Операционные расходы: зарплаты дополнительных специалистов (или % загрузки существующих), обучение и сертификация, поддержка вендора
- Скрытые затраты: время на администрирование, влияние на производительность пользователей, стоимость миграции с текущего решения. Вот этот пункт забывают чаще всего - а он бывает жирнее самой лицензии
Шаг 2: Оценка стоимости инцидента
Самый сложный и самый важный шаг. Стоимость утечки данных - не одна цифра, а сумма компонентов. Методология IBM/Ponemon
Ссылка скрыта от гостей
задаёт отраслевой стандарт категоризации:Прямые издержки: расходы на расследование и форензику, уведомление регуляторов и субъектов данных, штрафы (GDPR, 152-ФЗ, отраслевые стандарты), юридическое сопровождение.
Операционные потери: простой бизнес-процессов (downtime), потеря производительности сотрудников, расходы на восстановление систем и данных.
Стратегические потери: отток клиентов (churn rate после инцидента), репутационный ущерб (снижение стоимости бренда), рост стоимости привлечения клиентов после инцидента, потеря конкурентных преимуществ при утечке IP. Последний пункт - самый болезненный и самый плохо считаемый. Но если ваши чертежи утекли к конкуренту, объяснять CFO ничего не придётся.
На практике я строю три сценария - оптимистичный, реалистичный и пессимистичный - и считаю ALE для каждого. Для презентации CFO беру реалистичный, но держу пессимистичный как аргумент на случай возражений.
Шаг 3: Расчёт ROI кибербезопасности
Собираем формулу. Подход Auxis предлагает простую трёхшаговую модель: сложите инвестиции, сложите стоимость атаки, рассчитайте ROI.Я расширяю эту модель до пяти элементов:
Код:
Эффективность_ИБ = (ALE_до − ALE_после) - это предотвращённые потери
ROSI = (Предотвращённые_потери − TCO) / TCO × 100%| Параметр | Значение |
|---|---|
| ALE до внедрения (3 сценария усреднённых инцидентов) | 18 500 000 руб. |
| ALE после внедрения (сокращение MTTD/MTTR) | 4 200 000 руб. |
| Предотвращённые потери | 14 300 000 руб. |
| TCO за год (лицензии + 1 FTE аналитик + обучение) | 6 800 000 руб. |
| ROSI | (14 300 000 − 6 800 000) / 6 800 000 × 100% = 110.3% |
110.3% говорит CFO: каждый вложенный рубль приносит 1 рубль 10 копеек чистой экономии. Это аргумент, который работает без дополнительных слайдов про «ландшафт угроз».
KPI информационной безопасности для бизнеса
ROSI - главная метрика, но для системного управления нужен полный набор KPI. Я делю метрики кибербезопасности для бизнеса на три уровня - в зависимости от того, кому показываете.Для совета директоров и CFO (стратегические): ROSI по каждому ключевому контролю, стоимость предотвращённых потерь за квартал, cyber risk exposure в денежном выражении (сколько компания может потерять при текущем уровне защиты), соответствие регуляторным требованиям (% compliance).
Для CIO и ИТ-руководства (операционные): MTTD и MTTR в динамике, количество инцидентов по severity, % покрытия активов средствами мониторинга, время простоя, вызванное инцидентами ИБ.
Для команды ИБ (тактические): false positive rate, количество необработанных алертов (alert fatigue metric), % уязвимостей устранённых в SLA, результаты red team / BAS (Breach and Attack Simulation).
Хитрость - показать связь между уровнями. Тактическое «снижение false positive rate на 45%» → операционное «высвобождение 30 часов аналитиков в месяц» → стратегическое «экономия 1.2 млн руб./год или перенаправление ресурса на проактивный threat hunting». Без этой цепочки тактические метрики - просто красивые числа в вакууме.
Экономическое обоснование ИБ: как разговаривать с CFO
Язык денег вместо языка угроз
Риск-ориентированный подход ИБ начинается с перевода на язык финансов. Правила, которые я выработал после десятков бюджетных совещаний:Правило 1: Никогда не начинайте с угроз. «Количество APT-атак выросло на 300%» не вызывает у CFO ничего, кроме скуки. Начните с: «Мы теряем 500 000 рублей за каждый час простоя ERP-системы. Текущая защита даёт нам MTTR 48 часов. Предлагаем сократить до 8 часов». Конкретика бьёт сильнее любой инфографики с черепами.
Правило 2: Привязывайте каждый запрос к бизнес-процессу. Не «нам нужен WAF», а «WAF защитит интернет-магазин, который генерирует 40% выручки, от атак, вызывающих в среднем 6 часов простоя».
Правило 3: Показывайте альтернативу бездействия. Это не запугивание - это честный анализ. «Если не инвестировать X рублей сейчас, при инциденте потеряем Y рублей. Вероятность инцидента - Z% в год». Сухие цифры. Без драматизма.
Согласно фреймворку Safe Security для CISO, ключевая задача при защите бюджета - перейти от нарратива «мы защищаемся от хакеров» к нарративу «мы управляем финансовыми рисками в цифровом пространстве».
Типичные ошибки при обосновании бюджета на кибербезопасность
За годы практики я собрал антипаттерны, которые гарантированно проваливают защиту бюджета:Ошибка 1: Апелляция к страху. «Нас взломают, и всё пропадёт» - это паника, а не бизнес-кейс. CFO привык к рискам - ему нужна вероятность и стоимость, а не эмоции. Xcitium справедливо отмечает, что фокус исключительно на затратах (без оценки снижения рисков) - одна из главных ошибок при измерении Security ROI.
Ошибка 2: Метрики без контекста. «Мы заблокировали 2 миллиона фишинговых писем» звучит внушительно, пока CFO не спросит: «И что бы произошло, если бы не заблокировали?» Если вы не готовы ответить цифрой потерь - метрика бесполезна. На заборе тоже написано «2 миллиона» - а что за забором?
Ошибка 3: Сравнение с рынком вместо внутренних данных. «Средний бюджет на ИБ - 10% от ИТ-бюджета» - не аргумент. Каждый бизнес уникален. Ваш ROSI, основанный на ваших инцидентах и вашей стоимости простоя - вот аргумент.
Ошибка 4: Игнорирование нематериальных выгод. Compliance, доверие клиентов, конкурентное преимущество сертификации ISO 27001 - это реальная ценность. Клиенты из финсектора часто требуют аудиторские заключения перед заключением контракта. Без сертификации вы теряете контракты - и это конкретные деньги, которые легко посчитать по воронке продаж. Отдельного внимания заслуживает цифровая грамотность сотрудников - её повышение снижает число инцидентов, вызванных человеческим фактором, и напрямую влияет на SLE.
Фреймворки количественной оценки кибер-рисков
Для тех, кто хочет выстроить системный процесс, а не разовый расчёт - два ключевых фреймворка.
Ссылка скрыта от гостей
- наиболее распространённый открытый стандарт количественной оценки информационных рисков (входит в семейство Open Group). FAIR раскладывает риск на измеримые компоненты: частоту угрозы, уязвимость, magnitude потерь - и на выходе даёт распределение вероятных финансовых потерь. Именно то, что нужно для зрелого процесса cyber risk quantification.Я использую FAIR, когда нужно обосновать крупную инвестицию (от 10 млн руб.) или когда у компании есть исторические данные по инцидентам минимум за 2–3 года. Для меньших бюджетов его применение избыточно - овчинка не стоит выделки.
Ссылка скрыта от гостей
- хотя NIST CSF не инструмент финансового расчёта напрямую, его функции (Govern, Identify, Protect, Detect, Respond, Recover - шесть функций в версии CSF 2.0, вышедшей в феврале 2024) удобно маппить на бюджетные статьи. Функция Govern, добавленная в CSF 2.0, напрямую связана с темой статьи - она охватывает управление кибер-рисками на уровне руководства и стратегическое обоснование инвестиций. Каждая функция получает свою долю бюджета, а эффективность инвестиций в ИБ измеряется по улучшению зрелости в каждой функции.Практический подход: используйте NIST CSF 2.0 для структурирования бюджета по шести функциям (включая Govern для стратегического управления рисками), а FAIR - для количественной оценки рисков внутри каждой функции. Актуальный контекст угроз для наполнения этих расчётов даёт прогноз киберугроз на Q4 2025 - он помогает калибровать ARO по актуальным векторам атак.
Практический шаблон: расчёт ROSI в таблице
Шаблон, который я использую в Excel для подготовки к бюджетному комитету. Адаптируйте под свои данные:
Код:
| Категория риска | Ключевой контроль | ARO | SLE (руб.) | ALE_до (руб.) | ARO_после | SLE_после (руб.) | ALE_после (руб.) | Снижение (руб.) |
|------------------------|-------------------------------|------|-------------|---------------|-----------|------------------|-------------------|-----------------|
| Ransomware | EDR + air-gapped backup | 0.4 | 14 000 000 | 5 600 000 | 0.1 | 3 000 000 | 300 000 | 5 300 000 |
| Утечка данных клиентов | DLP + шифрование + сегментация | 0.25 | 20 000 000 | 5 000 000 | 0.15 | 10 000 000 | 1 500 000 | 3 500 000 |
| DDoS (простой сайта) | Anti-DDoS + CDN | 2.0 | 800 000 | 1 600 000 | 1.0 | 200 000 | 200 000 | 1 400 000 |
| Компрометация почты | SEG + MFA + awareness | 1.5 | 500 000 | 750 000 | 0.5 | 300 000 | 150 000 | 600 000 |
|------------------------|-------------------------------|------|-------------|---------------|-----------|------------------|-------------------|-----------------|
| ИТОГО | | | | 12 950 000 | | | 2 150 000 | 10 800 000 |
TCO всех ИБ-контролей за год: 5 200 000 руб.
ROSI = (10 800 000 − 5 200 000) / 5 200 000 × 100% = 107.7%Я обычно прикладываю к таблице слайд с источниками данных. Это снимает 80% вопросов CFO о достоверности. Оставшиеся 20% - про sensitivity analysis (см. ниже).
Как обеспечить доверие к расчёту
ROSI легко манипулируем: завысив ARO_до или SLE_до, можно получить любой желаемый результат. Опытный CFO задаст именно этот вопрос: «Кто валидировал ваши входные данные?» Четыре практики, которые я использую:- Внешние источники ARO. Данные ISAC вашей отрасли, отчёты киберстраховщиков,
Ссылка скрыта от гостей- указывайте их явно. «Я так чувствую» - не источник.
- Валидация SLE с финансовым отделом. Стоимость часа простоя, средний чек инцидента - эти цифры должны быть подписаны CFO или финансовым контролёром, а не придуманы ИБ-отделом. Когда финансист сам поставил подпись под SLE - он уже наполовину согласен с вашим ROSI.
- Sensitivity analysis. Покажите, как меняется ROSI при ±20% ARO и SLE. Если ROSI остаётся положительным даже в пессимистичном сценарии - аргумент устойчив.
- Внешний аудит для крупных инвестиций. При запросе свыше 10–15 млн руб. привлеките независимого консультанта для валидации модели.
Что включать в бюджет на информационную безопасность
Правильная структура бюджета - отдельное искусство. Xcitium выделяет ключевые статьи инвестиций в безопасность: инструменты, персонал, обучение, консалтинг и инфраструктура. Я структурирую бюджет по шести блокам - по функциям NIST CSF 2.0, включая Govern:Блок 1: Стратегическое управление (Govern) - центральная функция CSF 2.0, пронизывающая все остальные. Управление кибер-рисками на уровне руководства, обоснование и приоритизация ИБ-инвестиций (расчёт ROSI), политики, роли и ответственность.
Блок 2: Идентификация (Identify) - инвентаризация и классификация активов, CMDB, оценка рисков (именно здесь рассчитывается ALE), управление цепочкой поставщиков.
Блок 3: Предотвращение (Protect) - endpoint-защита, WAF, NGFW, управление уязвимостями, security awareness training.
Блок 4: Обнаружение (Detect) - SIEM / SOAR, NDR / NTA, Threat Intelligence подписки. Здесь важно понимать, как использовать данные об угрозах для проактивной защиты - это напрямую влияет на качество детектирования и снижение MTTD.
Блок 5: Реагирование (Respond) - персонал SOC или MSSP-контракт, IR retainer (договор на реагирование), форензика.
Блок 6: Восстановление (Recover) - резервное копирование и DR, киберстрахование, кризисные коммуникации.
Каждый блок получает свой ROSI. Это позволяет приоритизировать: если бюджет режут на 30%, вы знаете, от чего нельзя отказаться (блок с максимальным ROSI), а что можно отложить. На одном проекте нам срезали бюджет вдвое - и именно эта раскладка по блокам позволила сохранить Detect и Respond, пожертвовав частью Protect. Без ROSI по блокам резали бы вслепую.
Автоматизация расчёта эффективности ИБ-инвестиций
Ручной расчёт ROSI раз в квартал - это минимум. Зрелые организации переходят к непрерывному измерению. Как отмечает Safe Security, continuous ROI measurement интегрирует данные из средств защиты, бизнес-систем и внешних источников threat intelligence для актуальных расчётов рисков.На практике это означает:
- Данные по инцидентам автоматически подтягиваются из SIEM
- Стоимость простоя подключается из ERP/мониторинга
- ALE пересчитывается ежемесячно с учётом актуальных данных
- Dashboard в Tableau или Power BI показывает ROSI в реальном времени
Выводы: CISO и бизнес - один язык, одна цель
Эффективность инвестиций в ИБ - не философский вопрос. Это конкретный расчёт, который можно и нужно делать системно.- Считайте ALE для каждой категории рисков. Без количественной базы любой разговор о бюджете - гадание.
- Используйте формулу ROSI для каждого ключевого контроля. ROSI > 0% означает, что инвестиция окупается.
- Переводите технические метрики в деньги. MTTD/MTTR → часы простоя → рубли потерь. Только так.
- Структурируйте бюджет по функциям NIST CSF 2.0 (Govern / Identify / Protect / Detect / Respond / Recover) с ROSI для каждого блока.
- Автоматизируйте расчёт. Ручной ROSI раз в год - лучше, чем ничего. Автоматический дашборд - на порядок лучше.
- Говорите на языке CFO. Не угрозы, а финансовые риски. Не инструменты, а бизнес-результат. Не страх, а цифры.
ROI кибербезопасности - мост между техническим и бизнес-мирами. Попробуйте собрать таблицу из Шага 3 на данных вашей компании. Если ROSI получился отрицательный - либо у вас всё настолько хорошо, что пора менять работу, либо вы неправильно посчитали SLE. Скорее второе.
Последнее редактирование:
