Почему CISO в 2026 году нужны не метрики обучения, а метрики защищенности

В программах повышения осведомленности по ИБ хватает цифр: сколько сотрудников прошли курс, сдали тест, справились с учебной атакой.

Для отчета этого достаточно. Для управления риском — нет. CISO важно понимать, что стоит за результатом: например, 10% сотрудников перешли по фишинговой ссылке — это допустимый уровень риска или сигнал для отдельной меры? Или «90% завершили обучение — достаточно ли этого для текущей модели риска?»

Мы поговорили с директорами ИБ и командами, которые отвечают за обучение сотрудников в компаниях из энергетики, телекома и финансов. 

Вот что они нам рассказали:

Получается, CISO нужны метрики, которые связывают результаты обучения с риском и помогают собрать разрозненные данные в понятную картину защищенности.

Разница между метриками — в управленческом выводе. Метрика обучения фиксирует результат программы. Метрика защищенности помогает понять, что этот результат значит для компании.

Например, один и тот же клик в учебной атаке может означать разный уровень риска. Одно дело — сотрудник без критичных доступов, другое — человек, который проводит платежи, меняет настройки системы или работает с конфиденциальными данными.

• Повторяемость ошибок
• Сценарии, в которых сотрудники чаще ошибаются
• Скорость сообщения о подозрительном событии
• Действие сотрудника после атаки
• Риск с учетом роли, доступа и подразделения
• Динамика поведения после обучения, тренировки или другой меры

Метрика полезна, если по ней понятно, из чего сложилась оценка, какое действие выбрать и что изменилось после меры.

Перед тем как выбирать метрику, важно понять, какое решение она должна поддержать. Один показатель нужен для отчета руководству, другой — для работы с группой риска, третий — для проверки меры после обучения или тренировки.

Когда вы готовите отчет для руководства, должно быть понятно, откуда взялась итоговая цифра. Вот что говорит Дмитрий Шарапов, управляющий директор по информационной безопасности ДОМ.​РФ:

Но такая цифра имеет смысл только вместе с расшифровкой:

Метрика должна объяснять свои изменения — почему уровень защищенности растет, снижается или остается прежним.

Например, сотрудник повышает уровень защищенности, когда проходит обучение, выдерживает учебные атаки и сообщает о подозрительных событиях. Уровень снижается, если ошибки повторяются или приводят к инцидентам: запуску вредоносного ПО, компрометации учетной записи, нарушению обязательного процесса.

В новых модулях Start AWR оценка защищенности зависит от поведения каждого сотрудника и меняется, когда появляются новые сигналы

Такая детализация помогает перейти к следующему шагу — выбрать действие, которое соответствует риску.

Показатель полезен, если по нему понятно, что делать дальше.

Например, общий кликрейт показывает долю сотрудников, которые ошиблись в учебной атаке. Чтобы принять решение, команде нужна детализация: повторяется ли ошибка, насколько критичны доступы сотрудника, сообщил ли он о подозрительном письме в SOC.

Так один общий процент распадается на разные управленческие ситуации: где достаточно дополнительной тренировки, где нужен другой сценарий обучения, а где стоит проверить сам процесс.

Пример процесса, в котором обучение, симуляции атак и контрольные проверки связаны в один цикл: команда видит результаты предыдущих проверок и адаптирует меры под поведение сотрудников

Метрика помогает быстрее увидеть сигнал, но решение все равно принимает специалист. Его задача — понять контекст, отделить разовую ошибку от повторяющегося риска и выбрать меру, которая подходит ситуации.

Вместе с INSECA мы запустили практический курс «Security Awareness». На курсе разбираем, как выстраивать программу повышения осведомленности: запускать симуляции атак, внедрять процесс и оценивать его результативность через метрики, индикаторы зрелости и снижение рисков человеческого фактора.

Метрика полезна, если к ней можно вернуться после меры и сравнить результат с исходной точкой. Иначе команда видит отдельные события, но не понимает, меняется ли риск.

Например, группа часто ошибается в одном сценарии учебной атаки. Команда проводит отдельную тренировку и через время повторяет проверку в похожем сценарии. Здесь важен не общий кликрейт по компании, а динамика в той же группе: стало ли меньше повторных ошибок, быстрее ли сотрудники сообщают о подозрительных письмах, изменилось ли поведение после меры.

Так метрика помогает отличить прогресс от случайного колебания. Если результат улучшился, меру можно масштабировать. Если остался прежним, проблема может быть не в обучении, а в сценарии, процессе или условиях, в которых сотрудник принимает решение.

Пример цикла работы с риском: команда фиксирует сигнал, назначает меру, проверяет поведение сотрудника и обновляет уровень защищенности

Метрики защищенности помогают собрать карту человеческого риска, увидеть изменения после решений команды и понимать, какой риск остается в зоне внимания.