Как CISO подвести итоги года — Контур.Эгида

В этой статье

Как CISO подвести итоги года

24 декабря 2025 1

Итоги года подводят не только в Яндекс.Музыке и финансовых отчетах. ИБ-отделу и ТОП-менеджменту итоги помогут увидеть значимые события внутри компании, понять и оценить достижения и ошибки, зафиксировать их и сравнить с плановыми показателями на текущий год. В итоге это поможет ИБ-отделу стать эффективнее в следующем году. Расскажем подробнее, как подвести итоги года в ИБ-отделе.

Фотография Даниил Бориславский Даниил Бориславский Заместитель генерального директора по развитию продукта

Инвентаризация активов

Зачем нужно

В ИБ-среде есть шутка: в любой непонятной ситуации проводи инвентаризацию активов. Это действительно базовое действие: важно знать информационные системы компании, количество инцидентов и затраты, которые планово и внепланово несет ИБ-отдел.

Что смотреть

  1. Количество сотрудников.
  2. Количество и перечень информационных систем, где ты «папа» (заказчик бизнес-функциональности)
  3. Количество и перечень информационных систем, где ты мама (ответственный за эксплуатацию системы).
  4. Количество инцидентов с разбивкой по уровням.
  5. Затраты ИБ-отдела. Лучше если они будут посчитаны в CAPEX и OPEX. CAPEX (CApital EXpenditures)это долгосрочные затраты на приобретение, улучшение или модернизацию активов. OPEX (OPerational EXpenditures) это текущие регулярные затраты, связанные с повседневной деятельностью компании.
  6. ROI от внедрения инструментов и процессов.

Важно в этом и следующем пунктах учитывать динамику. Если вы не первый раз подводите итоги года, сравнивайте с прошлогодними показателями.

Разбор инцидентов высокого рискового уровня и недопустимых событий

Зачем нужно

Если инциденты произошли, важно осознать, что к ним привело это поможет внедрить те или иные изменения, чтобы снизить число подобных инцидентов в следующем году.

Что учитывать

  1. Разбор инцидента в метриках:

    1. TTD [Time-to-Detect, время обнаружения атаки]

    2. TTC [Time-to-Contain, время локализации атаки, включая расследование]

    3. TTR [Time-to-Response, время реагирования на атаку]
       

    Насколько уложились в:

    1. MTD [maximum tolerable downtime, допустимое время в течение которого критичный процесс может быть прерванным]

    2. RTO [recovery time objective, целевое время восстановления]

    3. RPO [recovery point objective, максимальное время, за которое могут быть потеряны данные]

  2. Ущерб от инцидента.

  3. Краткая хронология инцидента и реагирования

  4. Правильные и неправильные действия команды.

  5. Меры, принятые по итогам инцидента.

Процессные показатели эффективности ИБ-отдела

Зачем нужно

ИБ-отдел отвечает за бесперебойную работу некоторых систем: uptime, регулярный мониторинг уязвимостей и их закрытие. С помощью метрик можно увидеть эффективность работы в этой сфере.

Что смотреть

  1. Uptime ИС и инфраструктуры.

  2. Работа с уязвимостями:

    1. Сколько было обнаружено CVE в ИС и инфраструктуре.

    2. Какой процент уязвимостей закрыт.

    3. Насколько уложились в сроки по закрытию (зависит от уровня критичности).

    4. Количество ИС, получивших обновления.

  3. SLA по услугам и сервисам которые вы используете (внешним и внутренним).

  4. SLA по услугам и сервисам которые вы предоставляете.

Результаты прохождения аудитов

Зачем нужно

Кроме постоянных процессов существуют внеплановые аудиты, которые также помогают выявлять и закрывать уязвимости в компании.

Что смотреть

  1. Количество аудитов внутренних или второй- третьей- сторон.

  2. Результаты этих аудитов, итоги и дорожные карты по итогам. Реализация дорожных карт.

  3. Фактчекинг по утверждённым рискам. Какие реализовались, а какие нет? Возможно, нужно проверить актуальность модели рисков и пересмотреть ее.

  4. Анализ поставщиков из цепочки поставок (скоринг из устойчивости и защищенности).

Эффективность обучения сотрудников

Зачем смотреть

Один из методов работы ИБ-отдела это провокация сотрудников с помощью симуляций фишинга и последующее переобучение. Важно замерять эффективность этой работы. Также необходимо проводить киберучения по реагированию на инциденты..

Что смотреть

  1. Сколько было учений и каковы их результаты

  2. Сколько сотрудников было обучено, % успешных, % провальных.

  3. Сколько было «провалов» по фишинговым проверкам.

Планы на следующий год

Зачем смотреть

Без планов руководителям других зон сложно будет понять, какие вы цели ставите  и сколько вам понадобится ресурсов. Также в планах стоит учесть, как компанию коснутся требования регуляторов.

Что смотреть

  1. Роадмап задач на следующий год.

    • Задачи, их количественные и качественные показатели.

    • Необходимые ресурсы

    • Запросы на инвестиции и ставки персонала.

  2. Нормативка, которая может «аукнуться» в следующем году.

    • Приказы

    • Необходимые меры

    • Планы действий

  3. Инциденты «у соседей» о которых нужно вспомнить и знать

Как презентовать отчет

При составлении отчета важно помнить, что кроме ИБ-отдела его будут читать и руководители других функциональных зон. Значит отчет должен быть

  • коротким. Важно уместить всю информацию на 5-6 слайдов или страниц.
  • оцифрованным. Чем больше чисел, тем больше понимания, как отражается ваша работа на компании.
  • отвечающим запросам руководителей. Говорим с ними на языке бизнеса.
  • простым и понятным. Тем более перед новогодними праздниками.

Фотография Даниил Бориславский Даниил Бориславский Заместитель генерального директора по развитию продукта
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться