1. Главная
  2. Статьи
  3. Кибербезопасность как часть бизнеса: почему управление данными становится делом топ-менеджмента

Кибербезопасность как часть бизнеса: почему управление данными становится делом топ-менеджмента

Кибербезопасность как часть бизнеса: почему управление данными становится делом топ-менеджмента
photo_2026-02-16_09-57-26 (2)-Photoroom.png
Денис Кириченко, архитектор решений, DataCatalog (входит в Группу Arenadata)
фото_4 (2)-Photoroom.png

Алиса Школьникова, руководитель направления Data Governance, «ДАР» (ГК «КОРУС Консалтинг»)

Долгое время тема ИБ воспринималась как нечто сугубо техническое. Её относили к сфере ИТ, к «тем, кто знает, как устроены серверы». Но в последние годы стало очевидно, что безопасность данных — это уже не вопрос технологий, а вопрос выживания бизнеса. Каждая крупная кибератака или внутренний сбой — будь то случай с авиакомпанией, банком или ритейлером — приводит к реальным финансовым потерям, простоям и удару по репутации.

По данным экспертов, ущерб от крупных инцидентов в России исчисляется миллиардами рублей. При этом ответственность за такие события сегодня несут не только службы ИБ: за сбой в цифровых процессах отвечают топ-менеджеры. Денис Кириченко, архитектор решений, DataCatalog (входит в Группу Arenadata), и Алиса Школьникова, руководитель направления Data Governance, «ДАР» (ГК «КОРУС Консалтинг») в статье для Кибер Медиа расскажут, как защита информации напрямую влияет на выполнение бизнес-обязательств, клиентский опыт и доверие рынка.

От «защиты периметра» к управлению данными и оценке рисков

Многие компании всё ещё воспринимают кибербезопасность через призму классической модели как защиту от внешних угроз. Но современная безопасность данных не может существовать в отрыве от управления данными. Защита информации должна быть частью Data Security Governance — системы правил и процессов, регулирующих работу с данными внутри компании. Только когда бизнес, ИТ и служба безопасности действуют вместе, появляется шанс не просто реагировать на угрозы, а предотвращать их.

Ключевая идея заключается в том, что безопасность — это не барьер, а инфраструктура доверия. Она помогает компании понимать, какие данные есть, где они хранятся, кто ими пользуется и что произойдёт, если они будут утеряны или искажены. Без этого невозможно говорить ни о прозрачности, ни об устойчивости бизнеса.

В этом контексте всё чаще используется понятие Data Privacy, под которым понимается сразу три взаимосвязанных аспекта:

  • Конфиденциальность — сохранение ограничений на раскрытие и доступ к информации.
  • Доступность — обеспечение своевременного и надёжного доступа к данным и возможности их использования в бизнес-процессах.
  • Целостность — защита информации от несанкционированной модификации, уничтожения или потери.

Нарушение любого из этих элементов напрямую отражается на операционной устойчивости компании и её финансовых результатах. Главный шаг к осмысленной безопасности — классификация данных. Пока компания не понимает, какие информационные активы у неё есть и насколько они критичны, любые меры защиты будут работать наугад. Опыт показывает: попытки «защитить всё» обречены на провал. Так же, как невозможно сделать все данные идеального качества, невозможно обеспечить стопроцентную безопасность на всех уровнях. Поэтому важно определить фокус: какие данные действительно влияют на деньги, клиентоориентированность и стратегические решения. Критически важными считаются, например, клиентские базы, финансовые показатели, интеллектуальная собственность, операционные отчёты. Потеря или искажение этих данных может привести к сбоям в бизнес-процессах, штрафам или утрате доверия партнёров. Именно вокруг этих активов строится основная стратегия защиты, а не вокруг формальных политик и отчётности.

Безопасность как синергия бизнеса и ИТ

Одно из главных противоречий, с которыми сталкиваются компании, — это конфликт интересов между подразделениями. Руководители хотят быстрых доступов и высокой скорости принятия решений, ИБ-службы настаивают на строгих регламентах и ограничениях, а ИТ-специалисты пытаются найти баланс между удобством и безопасностью. Пока эти функции существуют изолированно, система будет пробуксовывать. Безопасность превращается в тормоз, а не в инструмент развития. Но стоит объединить усилия, и ситуация меняется: совместные рабочие группы, единая карта данных, прозрачные роли и уровни доступа позволяют ускорить процессы без потери контроля.

Простой пример: в крупных организациях сотрудники могут неделями ждать согласования прав доступа, а иногда получают доступы к системам, которые им вовсе не нужны. Это не только снижает эффективность, но и создаёт уязвимости. Когда же карта данных синхронизирована с функциями сотрудников и описана в корпоративном каталоге, все эти процессы становятся прозрачными, управляемыми и предсказуемыми.

Экономика безопасности и технологии

Аргумент «на безопасность нет бюджета» звучит в компаниях так же часто, как «на данные нет времени». Но экономика показывает: каждый день простоя системы обходится в десятки миллионов рублей. Когда происходят утечки или сбои, бизнес редко подсчитывает, сколько реально стоят последствия. Однако, если посчитать стоимость восстановления, потери выручки и удар по клиентской лояльности, становится ясно: инвестиции в Data Privacy Management окупаются быстрее, чем любые «латания дыр» после инцидентов.

По данным отчёта «На защите цифровой экономики: рынок информационной безопасности России», крупнейший сбой в истории, затронувший авиакомпании, банки и медицинские учреждения, привёл к совокупному ущербу порядка 5 млрд долларов. Этот инцидент наглядно показал, насколько бизнес зависит от ограниченного числа критически важных поставщиков и уязвимостей в цепочках поставок.

Регуляторное давление также усиливается: число новых законов и нормативных актов, направленных на защиту данных, постоянно увеличивается. Одновременно растёт и технологический риск: по оценкам аналитиков, около 22% атак и утечек данных в ближайшие годы будут так или иначе связаны с внедрением генеративного искусственного интеллекта. При этом за последние годы в три-четыре раза увеличилось количество отраслей экономики, в которых фиксируются атаки, а значительная доля инцидентов происходит через поставщиков и подрядчиков, находящихся за пределами контура организации.

Отдельной проблемой становится дефицит кадров: по оценкам рынка, нехватка специалистов по информационной безопасности может достигать 20–25% от текущей численности. На этом фоне киберриски выходят на уровень совета директоров. Согласно Указу президента Российской Федерации № 250, персональная ответственность за обеспечение информационной безопасности возложена на руководителей организаций.

В последние годы ключевым инструментом управления безопасностью данных становится Data Catalog — корпоративный каталог, который описывает все источники, таблицы и процессы, связанные с данными. Он выполняет роль единого справочника, в котором фиксируется происхождение данных, их владельцы, правила доступа и политики защиты. Современные каталоги, такие как Arenadata Catalog, позволяют не только хранить эту информацию, но и автоматически анализировать критичность данных, выявлять пересечения между бизнес-процессами и зонами риска. Каталог не заменяет систему кибербезопасности, но он становится её интеллектуальным центром, обеспечивая взаимодействие между ИБ, ИТ и бизнесом. Например, если в процессе работы выявляется инцидент: нарушение доступа, утечка или ошибка в данных, — то система позволяет быстро понять, к какому бизнес-процессу это относится, какие таблицы затронуты и кто отвечает за устранение. Таким образом, безопасность перестаёт быть реакцией на событие и превращается в управляемый, прозрачный процесс.

Безопасность данных как новая культура

Рынок кибербезопасности переживает трансформацию. Появляются новые регуляторные требования, включая законы об обработке данных и инициативы в области искусственного интеллекта, условия прозрачности и отчётности. Всё это подталкивает компании к системному подходу, где безопасность данных — не отдельная функция, а часть корпоративной культуры. Для этого недостаточно внедрить технологию или подписать политику. Нужна организационная зрелость: понимание, что защита информации — это совместная ответственность. Только когда бизнес, ИТ и служба безопасности работают в связке, появляется баланс между скоростью, прозрачностью и надёжностью. Компании, которые уже прошли этот путь, сегодня получают ощутимое конкурентное преимущество. Они быстрее реагируют на инциденты, увереннее выходят на новые рынки и вызывают больше доверия у клиентов и партнёров.

С чего начать Data Privacy Management

Если компания понимает, что управление конфиденциальностью данных требует системных изменений, начинать стоит с базовых, но практичных шагов.

  1. Первый шаг — идентификация данных. Важно зафиксировать, какими данными компания реально обладает, где они хранятся и в каких системах используются. Для этого применяются инструменты каталогизации данных, такие как корпоративные Data Catalog.
  2. Далее следует разработка подходов к классификации данных. Классификация должна охватывать как сами данные — от персональных сведений и коммерческой тайны до публичной информации, — так и ИТ-системы, в которых они обрабатываются. Это позволяет связать требования безопасности с реальными бизнес-процессами.
  3. Затем определение матрицы ущерба для каждого уровня классификации. Оценка должна учитывать не только прямые материальные потери, но и репутационные, правовые риски, простои в операционной деятельности и потенциальный ущерб для физических лиц, если данные связаны с промышленным оборудованием или критическими процессами.
  4. На этой основе формируются требования к средствам защиты для каждого класса данных, а также разрабатываются внутренние нормативные и регламентирующие документы. Финальным шагом становится формирование поэтапного плана внедрения Data Privacy Management — от работы с наиболее критичными данными и быстрых мер к целевому, зрелому состоянию процессов.

Кибербезопасность больше не про «вирусы и антивирусы». Это про умение управлять активами, которые приносят компании деньги. Про осознанное распределение рисков, про культуру обращения с данными и готовность действовать на опережение. Компании, которые видят в Data Privacy Management не обязанность, а инвестицию, уже сегодня формируют новую норму рынка: безопасность — это не затраты, а капитал. И в условиях цифровой экономики именно этот капитал определяет, кто сможет расти, а кто будет восстанавливаться после очередного инцидента.

Теги:

РЕКОМЕНДУЕМ

похожие материалы

Стрелочка
Стрелочка
187‑ФЗ о безопасности КИИ: новые требования 2025–2026 — практический гайд
187‑ФЗ о безопасности КИИ: новые требования 2025–2026 — практический гайд

Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры» действует с 2017 года, однако долгое время компании могли сами определять, какие системы подпадают под КИИ, а регуляторы не имели формализованных инструментов для проверки.

подробнее Стрелочка
Не стать дроппером: как избежать мошенничества при P2P обмене криптовалюты
Не стать дроппером: как избежать мошенничества при P2P обмене криптовалюты

Дмитрий Пойда, аналитик по расследованиям AML/KYT провайдера «Шард», рассказывает с какими частыми мошенническими схемами сталкиваются участники P2P-обменов, как можно неосознанно стать частью преступной операции и что делать, если вы стали жертвой мошенников.

подробнее Стрелочка