Что бы мог написать Ицхак Адизес про кибербезопасность современного предприятия

Логотип компании
Что бы мог написать Ицхак Адизес про кибербезопасность современного предприятия
изображение создано нейросетью
Попытка ответить на вопрос о защите персональных данных может многое сказать о вашей роли в компании и о зрелости самого бизнеса. IT-World разбирался, как этапы развития по Адизесу формируют подход к информационной безопасности — от хаоса стартапа до формализма корпораций.

Попробуйте ответить на простой вопрос. У вас есть персональные данные ваших клиентов, хранящиеся в облаке. Как вы поступите, чтобы не попасть под действие поправок в КоАП, вводящие оборотные штрафы за утечку персональных данных? Не торопитесь читать дальше, подумайте…

Если первая ваша мысль была о DLP, CASB и иных технических мерах защиты, вы отвечаете на вопрос «ЧТО надо сделать?» для защиты информации. Если вы начали с того, что задумались о переносе данных из облака в корпоративный ЦОД или обращении к услугам какой-либо аутсорсинговой компании, занимающейся кибербезопасностью, то вы стали отвечать на вопрос «КАК надо делать?». Наконец, если ваша первая реакция была сначала собрать сведения о правоприменении статьи про оборотные штрафы, проконсультироваться с юристами и, возможно, принять решение ничего не делать, то вы отвечали на вопрос «ЗАЧЕМ это делать?». От того, на какой вопрос вы отвечаете, зависит ваша роль (фактическая, а не формальная) в ИБ своей компании — технический специалист, директор или топ-менеджер, несущий ответственность за бизнес-показатели компании.

Инструменты защиты бизнеса от киберугроз
Чем-то эти три вопроса похожи на притчу из книг Ицхака Адизеса про жизненный цикл любой компании. Прохожий подходит к трем каменщикам и спрашивает их, что они делают. «Я кладу кирпичи», — ответил первый. «Я возвожу стену», — ответил второй. «Мы возмодим храм, где мы вместе будем молиться Богу!» — ответил третий. ИБ сегодня похожа на первого и в лучшем случае на второго каменщика, которые не понимают ни потребностей заказчика строительства, ни своего вклада в общее дело. Хотя «класть кирпичи» и «возводить стену» они могут лучше многих.

Кто-то, ответив на вопрос, заданный в начале статьи и отличный от «ЗАЧЕМ», может расстроиться, подумав, что вы идете не туда, принимая неверные решения, которые не приведут вас к результату. Нет! Существует множество причин, способных повлиять на это. В том числе и этап жизненного цикла компании, предложенного Ицхаком Адизесом и описывающего последовательные шаги развития компании, от рождения до упадка. На каждом этапе потребности в информационной безопасности и роль CISO (или аналогичной функции, отвечающей в компании за кибербезопасность) значительно различаются. 

Что бы мог написать Ицхак Адизес про кибербезопасность современного предприятия. Рис. 1
Роль ИБ на разных этапах жизненного цикла компании

Обратите внимание: даже в одной компании на разных этапах ее развития ИБ может быть совсем разной — требовать разных навыков, подходов и даже инструментов. И если вы в компании отвечаете за кибербезопасность, но у вас «не пошло» или вас не воспринимают, то, возможно, дело не в вас, а в том, что на текущем этапе развития компании нужно что-то другое:

  • Ранние этапы (Рождение–Юность). Важно не перегрузить ИБ, но заложить правильную архитектуру и подходы DevSecOps в разработке и MLSecOps, если компания использует машинное обучение в своих проектах (а кто сейчас не использует?).
  • Зрелость (Расцвет–Стабильность). Наиболее эффективное время для инвестиций в зрелую модель ИБ: SOC, DLP, SIEM, Bug Bounty, рои ИИ-агентов для рутинных задач ИБ, обучение персонала, кибериспытания.
  • Упадок (Аристократия–Бюрократия). Задача CISO — не дать компании «уснуть» в комфорте формальностей, сохранить боеспособность.

Что бы мог написать Ицхак Адизес про кибербезопасность современного предприятия. Рис. 2
Визуальная шкала зрелости информационной безопасности (Адизес)

Мы подсели на цифрового паразита
QR-код. От финтех-прорыва к нишевому инструменту
Матрица маркетплейсов. Как бороться с галлюцинациями алгоритмов

Вот визуальная шкала зрелости информационной безопасности (не всегда связано с размером бюджета) по этапам жизни компании согласно модели Адизеса:

  • Низкая зрелость (0–2) — на этапах «Рождение», «Смерть», частично «Детство» и «Бюрократия».
  • Средняя зрелость (3–6) — «Юность», «Аристократия», «Ранняя бюрократия».
  • Высокая зрелость (7–10) — достигается на этапе «Расцвет» и сохраняется в «Стабильности».

ИБ начинает играть роль с «Юности», достигает пика в «Расцвете» и «Стабильности», но затем теряется за формализмом и рутиной.

Что бы мог написать Ицхак Адизес про кибербезопасность современного предприятия. Рис. 3
Приоритет информационной безопасности на разных этапах (Адизес)

Читайте также
Обзор российских NGFW
NGFW давно вышли за рамки классических межсетевых экранов, превратившись в многофункциональные платформы сетевой безопасности. Какие задачи они решают, какими возможностями обладают и на что обратить внимание при выборе — в обзоре IT-World.

Соответственно. и роль главного за ИБ меняется от этапа к этапу — от ИТ-директора или CTO до выделенного CISO или даже вице-президента или заместителя генерального директора. И даже если в компании есть роль CISO, она тоже может сильно отличаться по своим функциям в зависимости от возраста работодателя. Например, на этапе расцвета CISO может входить в состав топ-менеджмента (вот тут реально буква C от английского Chief, к месту) и участвовать в принятии решении о запуске новых проектов и инициатив. На этапе бюрократии CISO становится таким же бюрократом, часто еще и соответствующего предпенсионного возраста и звания (могут брать отставников и бывших сотрудников спецслужб для налаживания контактов и «решения вопросов»). В первом случае ИБ расцветает в компании и реально способствует росту; во втором — висит веригами на ногах бизнеса и тянет его ко дну (хотя и сам бизнес на этой стадии туда уже устремился).

Что бы мог написать Ицхак Адизес про кибербезопасность современного предприятия. Рис. 4
Роль и фокус CISO на разных этапах жизненного цикла компании

CISO появляется ближе к этапу «Юность», становится ключевой фигурой в «Расцвете» и «Стабильности», но теряет влияние в период бюрократизации.

Что бы мог написать Ицхак Адизес про кибербезопасность современного предприятия. Рис. 5
Зрелость и значимость функции CISO по этапам жизни компании (Адизес)

Чувствуете, что вы не нашли себя в компании в роли специалиста по ИБ? Попробуйте прикинуть, на каком этапе находится ваш нынешний работодатель и что интересно вам или чем вы пытаетесь заниматься. Если вы опережаете на один этап (до стабильности) — это неплохо и компания будет тянуться к вам. Если вы запаздываете, тоже на один шаг, вы догоните. Вот если разрыв значительнее, то вам будет очень тяжело в компании (или компании с вами).

Заключение

Жизненный цикл компании по Адизесу наглядно показывает, как трансформируются приоритеты, процессы и роли внутри организации по мере ее роста и старения. Кибербезопасность в этом процессе — не отдельный модуль, а зеркало зрелости самой компании. На ранних этапах она воспринимается как обуза или второстепенная функция, в зрелости становится стратегическим активом, а на стадии упадка — превращается в формальность, теряющую связь с реальностью. Задача руководителей ИБ — не просто «обеспечивать безопасность», а понимать, в каком жизненном этапе находится бизнес, какие у него сейчас приоритеты, как построить диалог и вовлечь ключевых стейкхолдеров. Настоящая эффективность CISO проявляется не в количестве политик или пройденных аттестаций, отраженных атак или устраненных уязвимостей, а в способности адаптировать подходы к ИБ к бизнес-контексту, быть партнером, а не барьером.

Если вы хотите, чтобы ИБ действительно защищала бизнес, а не просто обеспечивала «соответствие», начните с главного вопроса: «На каком этапе развития находится моя компания?» Ответ на него определит и ваш подход к информационной безопасности. Да и что скрывать, даст ответ на вопрос: «А нужен ли именно я моей компании?» или «Стоит ли идти в эту компанию?»

Журнал IT Manager

Опубликовано 30.07.2025

Об авторах
Алексей Лукацкий
Алексей Лукацкий
Бизнес-консультант по безопасности Positive Technologies
Информационная безопасность
Похожие статьи
Персональные данные торчат из почтового ящика
Персональные данные торчат из почтового ящика
В Омске управляющая компания получила предупреждение из-за того, как жильцам доставили квитанции на оплату коммунальных услуг.
13.06.26
Фишинговое письмо заставило ИИ-агента отдать данные
Фишинговое письмо заставило ИИ-агента отдать данные
Автономные ИИ-агенты постепенно выходят из роли «умного чата» и получают доступ к рабочим инструментам. Они читают почту, ищут документы, отвечают на сообщения, обращаются к CRM и другим корпоративным системам.
11.06.26
npm-пакеты как риск для CI/CD и облачных секретов
npm-пакеты как риск для CI/CD и облачных секретов
Злоумышленники все чаще используют npm-пакеты не для атаки на само приложение, а для доступа к среде разработки. Под удар попадают токены, GitHub Actions, облачные ключи и права на публикацию новых версий.
10.06.26
Кибератака приходит к правлению
Кибератака приходит к правлению
Киберинцидент редко начинается так, как его описывают в регламенте. На бумаге есть ответственные, подрядчики, каналы эскалации, планы восстановления и отчеты по аудиту. В реальности все может начаться с ночного письма, которое отправлено вовремя, но атаку не останавливает.
Ольга Попова04.06.26
Загрузить ещё1 2 3 4 5 »» Следующая →
Для корректной работы сайта мы используем куки.