Журнал "Information Security/ Информационная безопасность" #1, 2026

Система стала чемоданом без ручки: ее внедрили, но не используют Такая ситуация возникает, когда внед- рение SGRC изначально воспринимается как формальный проект для галочки – инструмент для прохождения аудита или закрытия регуляторных требований. В этом случае платформа не встраива- ется в повседневные процессы и остается изолированным контуром отчетности, к которому обращаются эпизодически. Отсутствие практической ценности для пользователей приводит к тому, что данные быстро устаревают, процес- сы ведутся вне платформы, а сама SGRC-система превращается в обреме- нительный актив, который сложно раз- вивать и еще сложнее обосновывать с точки зрения бизнеса. Решение: Обеспечить вовлеченность с самого начала. Для этого нужно: l Встроить SGRC-систему в процессы, не позиционируя решение как новую нагрузку для команд. Систему следует интегрировать в уже существующие про- цессы (согласования, отчетности, управ- ления активами), чтобы их упростить. l Сформировать конкретный бизнес- кейс до старта – проанализировать, сколько времени сэкономит автомати- зация аудита, как снизятся риски от уте- чек и ускорится подготовка отчетов. Кейс продемонстрирует руководству, что SGRC-система – не лишние затраты, а инвестиция в бизнес. l Сразу создать полезные дашборды. Следует фокусироваться на приоритет- ных для бизнеса показателях, таких как динамика остаточных рисков, скорость устранения критических уязвимостей, уровень зрелости процессов для ключе- вых активов. Руководство не будет поль- зоваться отчетами, перегруженными тех- ническими деталями. Не ясно, как оценить эффективность системы Проблема возникает, когда для оценки работы SGRC-системы используются универсальные или формальные метри- ки. Абстрактные показатели, такие как процент выполненных требований или количество закрытых контрольных меро- приятий слабо отражают реальное состояние киберрисков и не показывают, как система влияет на устойчивость бизнеса. В результате SGRC воспринимается как инструмент отчетности, а не управ- ления: метрики не помогают принимать решения, не мотивируют команды и не дают руководству понимания, какие риски действительно требуют внимания. Решение: Ключевые метрики (KPI) должны быть адаптированы под особенности компа- нии и ее риски. Задача этих метрик – показывать прогресс в защите самого ценного для бизнеса. Вот примеры ключевых метрик для разных отраслей: l Ретейл и финтех: доля инцидентов, обнаруженных на ранних стадиях в пла- тежных системах и скорость реакции на угрозы для клиентских данных. l Промышленность и КИИ: покрытие средств защиты критических техноло- гических активов, время восстановления после инцидентов. l Здравоохранение: уровень защиты персональных данных пациентов, пока- затели непрерывности работы медицин- ских информационных систем. Основные трудности при внедрении SGRC-системы связаны не с технологи- ей, а с управлением изменениями. Слож- ностей можно избежать, если сфокуси- роваться на конкретных бизнес-целях, вовлечь пользователей через упрощение рутинных задач и выстроить систему отчетности вокруг реальных рисков ком- пании. Когда SGRC-система становится есте- ственной частью рабочих процессов, она перестает быть головной болью и превращается в источник ценной ана- литики для управления бизнес-рисками. Будущее SGRC-систем в бизнесе На российском рынке интерес к реше- ниям класса SGRC продолжает расти из-за усиления требований регуляторов и усложнения процессов кибербезопас- ности. В крупных компаниях и холдингах управление рисками, контролями и ком- плаенсом все хуже масштабируется вручную: разрозненные таблицы и локальные регламенты перестают давать управляемость и прозрачность. Технологическое развитие, включая применение искусственного интеллекта для предиктивной аналитики, расширит возможности SGRC-систем – от прио- ритизации мероприятий до выявления трендов и автоматизации подготовки доказательств. Однако эффективность таких решений по-прежнему будет зависеть от зрелости внутренних про- цессов. SGRC не выстраивает управле- ние безопасностью с нуля, а усиливает и ускоряет уже выстроенную систему. Заключение SGRC-системы повышают скорость, прозрачность и устойчивость уже суще- ствующих процессов управления кибер- безопасностью, рисками и комплаенсом. Их ключевая ценность не в замене экс- пертизы или регламентов, а в том, чтобы сделать управление системным, изме- римым и понятным для бизнеса. Именно поэтому наибольший эффект такие решения дают в организациях, где про- цессы уже формализованы и имеют ответственных владельцев. Внедрение SGRC требует предвари- тельной подготовки: определения целей, приоритетных рисков и модели взаимо- действия между подразделениями. Без этого платформа не снижает опера- ционную нагрузку, а усложняет работу – добавляет ручные операции, формаль- ные отчеты и дополнительные затраты. Осознанный подход к внедрению позво- ляет превратить SGRC из формального инструмента соответствия требованиям в полноценный механизм управления бизнес-рисками. В конечном итоге SGRC становится управленческой платформой, объеди- няющей стратегию и операционную дея- тельность. Ее внедрение оправдано, если компания рассматривает кибербе- зопасность как элемент устойчивости и конкурентоспособности, а не как вспо- могательную функцию. При таком под- ходе SGRC позволяет видеть взаимо- связи между рисками и бизнес-целями, обосновывать инвестиции в защиту и принимать решения на основе акту- альных данных. l • 47 ТЕХНОЛОГИИ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru