Външен CISO за български компании: какво всъщност прави и кога си струва
Alexander Sverdlov
Анализатор по сигурността
Най-важното накратко
- Външният CISO не е техник, а ръководител. Той не сменя пароли и не кърпи сървъри. Поема отговорността за стратегията по сигурността: рискове, политики, бюджет, съответствие, реакция при инциденти и комуникация с ръководството и клиентите. Това е роля на ниво вземане на решения, не на ниво изпълнение.
- Подходящ е за компании от около 30 до 200 души. Под 30 човека често стига еднократен одит плюс лек надзор. Над 200 или във силно регулиран сектор обикновено идва моментът за вътрешен CISO. В средата е сладкото място, където рискът е реален, но цената на вътрешен директор (120 000-200 000 лв. на година) не е оправдана.
- Реалната цена в България е 2 500-9 000 лв. на месец. Зависи от размера, регулациите и ангажираността. Това е между 5 и 10 пъти по-евтино от вътрешен CISO на пълен щат и идва с целия опит на екип зад един човек.
- Струва си най-много в три ситуации: регулиран сектор (NIS2, DORA, GDPR под надзор на КЗЛД), корпоративни или западни клиенти, които изискват доказана сигурност, и след инцидент или близо до сделка (придобиване, инвестиция), когато сигурността изведнъж става приоритет на борда.
- НЕ си струва, ако очаквате той да върши техническата работа. vCISO ръководи и проектира, но някой все пак трябва да изпълнява. Ако нямате нито вътрешен IT, нито бюджет за корекции, ще платите за стратегия, която няма кой да реализира.
- Качеството се познава по три неща: назован конкретен човек с биография и сертификати, измерими резултати в първите 90 дни, и готовност да застане пред вашия борд или одитор. Анонимен "екип от експерти" без отчетност е червен флаг.
Преди няколко месеца ни писа управителят на софтуерна компания от София с около 60 служители. Голям немски клиент изпратил въпросник за сигурност с 90 въпроса като условие за подновяване на договор за 400 000 евро годишно. "Имаме страхотни програмисти, но никой от тях не знае как се отговаря на това, и честно казано, не съм сигурен, че отговорите ни ще издържат проверка." Питаше дали трябва спешно да наеме CISO. Реалният му проблем не беше липсата на човек на пълен щат, а липсата на някой, който да поеме сигурността като дисциплина: да подреди политиките, да затвори дупките, да отговори на клиента с истина, която издържа одит, и да остане наоколо, когато дойде следващият въпросник.
Това е точно работата на външния CISO. Но "virtual CISO" се е превърнал в маркетингова дума, която лепят и върху сериозна стратегическа услуга, и върху месечен абонамент за автоматичен скенер с красив доклад. Разликата между двете е разликата между договор, който печелите, и одит, който проваляте.
Тази публикация обяснява какво външният CISO реално прави, с примерен месечен план, за кого си струва и за кого не, трите модела на таксуване (fixed-price, по часове, retainer) и как да преценим дали доставчикът е истински, или просто продава думата. Адресатът е управител, финансов директор или IT ръководител на българска компания между 30 и 200 души, който обмисля дали да наеме външен CISO и не иска да плати за грешното нещо.
Стъпка 1
Какво всъщност прави външният CISO (и какво не прави)
Първото объркване, което си струва да разсеем, е, че външният CISO не е "ИТ човек на повикване". Той не сменя пароли, не инсталира антивирус и не кърпи сървъри в три през нощта. CISO е длъжност от ръководно ниво (Chief Information Security Officer), тоест директор по сигурността. Външният CISO изпълнява същата роля, но на непълно работно време и за фиксирана месечна цена, споделена между опита на цял екип, вместо да тежи като една заплата на пълен щат.
Конкретно, външният CISO поема отговорност за следните области. Той прави оценка на риска и решава кои рискове са приемливи и кои не. Изгражда и поддържа политиките по сигурността, така че да са реални документи, които хората следват, а не PDF за чекмеджето. Управлява съответствието с регулациите, които ви засягат: Закона за киберсигурност (NIS2), GDPR под надзора на КЗЛД, а за финансовия сектор DORA. Планира бюджета за сигурност и защитава пред ръководството кое си струва и кое не. Ръководи реакцията при инцидент, когато нещо се случи. И, все по-често, отговаря на въпросниците за сигурност от корпоративни и западни клиенти, които иначе блокират сделки.
Това, което външният CISO обикновено НЕ прави сам, е практическата техническа работа. Той решава, че трябва да включите многофакторна автентикация навсякъде, но самото включване го прави вашият IT екип или външен изпълнител по негови указания. Мислете за него като за архитект и ръководител на строежа, не като за зидаря. Това е важно разграничение, защото е и най-честата причина за разочарование: компания, която очаква vCISO лично да оправи всичко, наема грешната услуга за грешната задача.
Стъпка 2
Как изглежда работата месец по месец: примерен план
Най-честият въпрос след "колко струва" е "а какво точно ще прави всеки месец, за да не плащам за нищо". Справедлив въпрос. Сериозният външен CISO не идва на едно кафе на тримесечие, а води структурирана програма с измерими резултати. Ето как изглежда типичен ангажимент за компания от около 80 души през първите шест месеца. Конкретиката варира, но ритъмът е този.
| Период | Фокус | Конкретен резултат |
|---|---|---|
| Месец 1 | Опознаване и оценка на риска | Карта на активите, регистър на рисковете, приоритетен списък с топ 10 пропуска |
| Месец 2 | Бързи победи и спешни дупки | MFA навсякъде, преглед на достъпите, архивиране тествано, план за инцидент |
| Месец 3 | Политики и процеси | Основен пакет политики, които хората наистина следват, не за чекмедже |
| Месец 4 | Съответствие и клиенти | Gap анализ спрямо NIS2 / GDPR, готови отговори на въпросници, trust материали |
| Месец 5 | Хора и култура | Обучение на екипа, симулиран фишинг, процедура за нови и напускащи служители |
| Месец 6 | Преглед и план напред | Доклад пред ръководството, измерен напредък, пътна карта за следващите 6 месеца |
Освен този проектен ритъм, външният CISO има и текущи ангажименти всеки месец: кратък преглед на новопоявили се рискове, проследяване дали договореното се изпълнява, на разположение е при инцидент или спешен клиентски въпрос, и веднъж месечно дава отчет пред ръководството на разбираем език, не на технически жаргон. Точно тази комбинация от напредък по програма и постоянна готовност прави разликата спрямо еднократния одит.
Обемът на времето варира според пакета. Типичен ангажимент за компания от 50 до 100 души е между половин и два дни на седмица еквивалентно ангажирано време, разпределено според нуждите. В месец с одит или инцидент е повече, в спокоен месец по-малко. Затова retainer моделът работи добре: плащате за достъп до роля и капацитет, не за конкретни часове.
Знак за сериозен доставчик: в първия месец трябва да получите конкретен, написан план с приоритети и срокове, а в края на всеки месец кратък отчет какво е свършено и какво следва. Ако три месеца минават без нито един измерим резултат и без отчет, плащате за присъствие, не за сигурност. Поискайте писмен план за първите 90 дни още преди да подпишете.
Стъпка 3
Кога външният CISO наистина си струва
Външният CISO не е универсален отговор за всяка компания. Има обаче няколко ситуации, в които стойността е очевидна и възвръщаемостта почти винаги оправдава разхода. Ако се разпознавате в поне една от тях, разговорът си заслужава.
Първо, регулиран сектор. Ако попадате в обхвата на Закона за киберсигурност (NIS2) като съществен или важен субект, ако сте във финансовия сектор под DORA, или ако обработвате чувствителни лични данни под надзора на КЗЛД, имате законови задължения, чието неизпълнение носи глоби и лична отговорност за ръководството. Външният CISO знае точно какво изисква регулаторът и превръща изискванията в изпълним план, вместо да рискувате да научите при проверка.
Второ, корпоративни или западни клиенти. В момента, в който голям клиент изпрати въпросник за сигурност или поиска доказателство за сериозни мерки, сигурността спира да е разход и става условие за приход. Външният CISO отговаря на тези въпросници с истина, която издържа проверка, изгражда trust материали и често е разликата между спечелен и загубен договор. За софтуерна компания, която продава на големи клиенти в ЕС или САЩ, това сам по себе си изплаща услугата.
Трето, след инцидент или близо до сделка. След пробив, ransomware или сериозен близо-инцидент сигурността изведнъж става приоритет номер едно на борда. Същото важи при подготовка за инвестиция, придобиване или дю дилиджънс, когато купувачът или инвеститорът ще проверява зрелостта на сигурността. В двата случая външният CISO бързо вкарва ред и дава на ръководството увереност, че рискът е управляван.
Четвърто, растеж без вътрешен капацитет. Компании, които растат бързо от 30 към 150 души, често стигат момент, в който рискът е станал сериозен, но още не оправдава заплата за вътрешен CISO. Външният CISO запълва точно тази празнина: дава ви ръководство на ниво директор на цена на част от заплата, докато пораснете достатъчно, за да си позволите вътрешен. Много компании използват vCISO именно като мост към този момент.
Стъпка 4
Кога външният CISO НЕ е правилният избор
Честният съветник ви казва и кога услугата му не ви трябва. Има няколко случая, в които външният CISO е грешен избор, и е по-добре да ги знаете предварително, отколкото да се разочаровате след три месеца.
Очаквате го да върши техническата работа сам
Ако нямате нито вътрешен IT, нито бюджет за външен изпълнител, който да реализира препоръките, ще платите за стратегия, която няма кой да изпълни. vCISO проектира и ръководи; някой все пак трябва да строи. В такъв случай първо ви трябва изпълнителен капацитет, после стратегически надзор.
Нуждата ви е еднократна, не текуща
Ако ви трябва само пентест преди договор или GDPR преглед веднъж, не наемайте месечен retainer. Купете еднократния одит. Retainer има смисъл, когато сигурността е постоянна нужда, а не когато трябва да затворите една кутийка в чеклист.
Ръководството няма да дава мандат и бюджет
CISO без подкрепа от върха е безсилен. Ако управителят няма да слуша препоръките и няма да отделя бюджет за корекциите, дори най-добрият външен CISO ще пише доклади, които никой не чете. Сигурността е решение на ръководството, не само на един специалист.
Вече сте достатъчно големи за вътрешен CISO
При над 200-250 души в регулиран сектор постоянната нужда от присъствие, бързи решения и дълбоко познаване на средата често оправдава заплата на пълен щат. Тогава външният CISO може да остане като допълнение (за независим поглед или специфична експертиза), но не като основен модел.
Забележете, че в три от тези четири случая решението не е "не наемайте никого", а "наемете правилното нещо в правилния ред". Често пътят е: първо еднократен одит, който дава ясна картина, после изграждане на минимален изпълнителен капацитет, и едва тогава текущ vCISO надзор, който държи всичко в ред. Доставчик, който ви насочва към този ред вместо да ви продаде най-скъпия пакет веднага, е доставчикът, на когото можете да вярвате.
Стъпка 5
Трите модела на таксуване: fixed-price, по часове, retainer
Външният CISO се таксува по три основни начина и изборът на грешния модел е честа причина за надплащане или за разочарование. Ето трите, с реални ценови ориентири за българския пазар през 2026, и за какво пасва всеки.
| Модел | Ориентир за цена (лв., без ДДС) | Пасва за |
|---|---|---|
| Fixed-price проект | 5 000-25 000 за ясно дефиниран обхват | Конкретна цел: NIS2 readiness, отговор на голям въпросник, gap анализ |
| По часове (T&M) | 150-350 на час | Неясен или нерегулярен обхват, консултация при нужда, кратки задачи |
| Месечен retainer | 2 500-9 000 / месец | Постоянна нужда, регулиран сектор, текущ надзор и готовност |
Fixed-price проектът е добър за ясно очертана цел с край. Искате да минете NIS2 readiness, да отговорите на конкретен корпоративен въпросник или да направите gap анализ преди сертификация. Цената е твърда, рискът от изненади е малък, и знаете точно какво купувате. Изисквайте обхватът да е написан черно на бяло, преди да подпишете.
Таксуването по часове има смисъл за нерегулярна или непредвидима нужда: искате достъп до експерт от време на време, за съвет при решение или за кратка задача, без ангажимент за постоянен обем. Недостатъкът е, че при по-голям обем става скъпо и непредвидимо, и често обезкуражава честия контакт, който всъщност е полезен. За постоянна нужда retainer почти винаги излиза по-евтино на свършена работа.
Месечният retainer е най-разпространеният и обикновено най-разумен модел за компания, на която сигурността е постоянна грижа. Плащате фиксирана месечна сума за достъп до роля и капацитет: текущ надзор, отчети, готовност при инцидент и определен обем работа всеки месец. Ценовият диапазон от 2 500 до 9 000 лв. на месец зависи основно от размера на компанията, регулаторната тежест и очаквания обем. За сравнение, вътрешен CISO на пълен щат в България струва между 120 000 и 200 000 лв. на година със заплата, осигуровки и допълнителни разходи, тоест retainer-ът е 5 до 10 пъти по-евтин и идва с опита на цял екип зад един човек.
Практичен ред: за повечето компании най-икономичният път е fixed-price проект за първоначалния одит и наваксване (за да стъпите на ясна изходна точка), последван от по-лек месечен retainer, който поддържа постигнатото и подготвя за следващата проверка. Така плащате за интензивна работа само когато наистина е нужна, а после за поддръжка на по-ниска цена. Пазете се от доставчик, който настоява за най-скъпия retainer от първия ден, без да е разбрал откъде тръгвате.
Стъпка 6
Как да преценим дали външният CISO е истински
Тъй като "virtual CISO" се продава и от сериозни екипи, и от препакетирани абонаменти за скенер, си струва да знаете по какво се различава истинският от имитацията. Ето седемте въпроса, които задавате преди да подпишете, и какво издава добрия отговор.
| Въпрос | Добър отговор | Червен флаг |
|---|---|---|
| Кой конкретно ще е моят CISO? | Назован човек, биография, сертификати (CISSP, CISM, ISO Lead Auditor) | "Екип от експерти" без имена |
| Какво ще постигнем за 90 дни? | Конкретен писмен план с измерими резултати | Мъгляви обещания, без срокове |
| Ще застанете ли пред моя борд / одитор? | Да, презентации и защита на решенията са част от ролята | Само писмени доклади, без присъствие |
| Имате ли опит в моя сектор / регулация? | Конкретни референции, познаване на NIS2 / DORA / КЗЛД | Общи приказки без релевантен опит |
| Какво НЕ влиза в услугата? | Ясна граница: ръководи, но техниката е на IT / изпълнител | "Правим всичко" без граница |
| Как се отчита напредъкът? | Месечен отчет, измерими показатели, ревизия на риска | Без отчетност, "ще се чуваме при нужда" |
| Какво става при инцидент? | Ясен процес, готовност, срокове за реакция | Няма дефиниран процес |
Ако трябва да запомните само три неща от тази таблица, нека са тези. Първо, истинският външен CISO е назован човек с отчетност, не абстрактен "екип". Второ, той дава измерими резултати в първите 90 дни, не мъгляви обещания. Трето, той е готов да застане пред вашия борд или одитор и да защити решенията си, защото носи отговорност за тях. Тези три неща отличават директор по сигурността от продавач на абонамент.
Допълнителен практичен тест: помолете за кратък разговор лично с човека, който ще е вашият CISO, преди да подпишете, не само с търговеца. Петнадесет минути разговор с реалния специалист ви казват повече за това дали разбира бизнеса ви, отколкото десет страници оферта. Ако компанията избягва да ви срещне с конкретния човек, попитайте се защо.
Сравнение за перспектива: вътрешен CISO на пълен щат в България струва 120 000-200 000 лв. на година. Един успешен ransomware инцидент за компания от 80 души лесно достига 150 000-400 000 лв. в престой, възстановяване и загубени данни, без репутацията. Глоба по NIS2 или GDPR може да е стотици хиляди лева плюс лична отговорност за управителите. На този фон външен CISO за 4 000-6 000 лв. на месец не е разход, а застраховка с ръководител, който активно намалява вероятността да платите някоя от горните сметки.
Често задавани въпроси
Въпросите, които чуваме от управители за външния CISO
Каква е разликата между външен CISO и фирма за IT поддръжка?
IT поддръжката е изпълнителна: оправя компютри, поддържа сървъри, инсталира софтуер, реагира на технически проблеми. Външният CISO е ръководна роля: решава кои рискове са приемливи, изгражда политики, управлява съответствие и носи отговорност за стратегията по сигурността пред ръководството. IT поддръжката изпълнява, CISO решава и отговаря. Двете се допълват: най-добрите резултати идват, когато външният CISO задава посоката, а IT екипът или изпълнителят я реализира. Едното не замества другото.
Колко струва външен CISO за българска компания?
Месечният retainer е типично между 2 500 и 9 000 лв. без ДДС, според размера на компанията, регулаторната тежест и обема работа. За компания от 50 до 100 души в умерено регулиран сектор реалистичният диапазон е около 4 000-6 000 лв. на месец. За сравнение, вътрешен CISO на пълен щат струва 120 000-200 000 лв. на година, тоест външният е 5 до 10 пъти по-евтин и идва с опита на цял екип. Има и проектен (fixed-price) модел за конкретна цел и почасов за нерегулярна нужда.
Колко часа на месец работи външният CISO?
Зависи от пакета и момента. Типичен ангажимент за компания от 50 до 100 души е между половин и два дни седмично еквивалентно ангажирано време, разпределено според нуждите. В месец с одит, инцидент или голям клиентски въпросник е повече, в спокоен месец по-малко. Именно затова retainer моделът работи добре: плащате за достъп до роля и капацитет, не за фиксиран брой часове, и получавате повече внимание точно когато ви трябва.
Външният CISO ще оправи ли сам техническите проблеми?
Не, и това е важно да се разбере предварително. Външният CISO проектира решението и ръководи изпълнението, но самата техническа работа (включване на MFA, конфигуриране на сървъри, кръпки, настройки) я прави вашият IT екип или външен изпълнител по негови указания. Ако нямате нито вътрешен IT, нито бюджет за изпълнение, vCISO ще ви помогне да изградите този капацитет, но не може да бъде едновременно архитект и зидар. Очакване за обратното е най-честата причина за разочарование.
Кога е моментът да преминем от външен към вътрешен CISO?
Обикновено някъде около 200-250 души, особено в регулиран сектор, когато постоянната нужда от присъствие, бързи решения и дълбоко познаване на средата започне да оправдава заплата на пълен щат. Много компании използват външния CISO именно като мост: той изгражда програмата, наема и обучава вътрешния екип, а после или предава щафетата, или остава като независим съветник и допълнение. Няма твърдо число; знакът е, че работата за сигурност вече стабилно изпълва длъжност на пълно работно време.
Външният CISO помага ли с клиентски въпросници за сигурност?
Да, и за много компании това е една от най-ценните части от услугата. Когато голям корпоративен или западен клиент изпрати въпросник за сигурност (SIG, CAIQ или собствен) като условие за договор, външният CISO отговаря с истина, която издържа проверка, изгражда trust материали и често превръща "нямаме сертификат" в спечелен договор чрез правилно представени реални мерки. Това сам по себе си често изплаща месечния retainer, особено за софтуерни и SaaS компании, продаващи на големи клиенти в ЕС и САЩ.
Искате безплатен разговор за вашата конкретна ситуация? Свържете се с нас или пишете на alexander@atlantsecurity.com. Ще преценим заедно дали ви трябва външен CISO, еднократен одит или просто няколко бързи корекции.
Александър Свердлов
Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.