50% компаний не обучают сотрудников работе с конфиденциальными данными
Системный подход к кибербезопасности — редкость
По данным опроса (есть в распоряжении редакции), большинство компаний малого и среднего бизнеса до сих пор полагаются на осторожность сотрудников, а не на технологии или протокол.
- Лишь 45% работодателей проверяют на собеседовании, насколько кандидат понимает ответственность за сохранность корпоративных данных, и только 59% компаний требуют от новых сотрудников подписания NDA (Non-Disclosure Agreement — соглашение о неразглашении конфиденциальной информации).
- 50% респондентов признались, что не проводят обучение сотрудников по безопасности и работе с конфиденциальной информацией. Ежегодно обучают персонал лишь 19% работодателей, а еще треть делают это нерегулярно.
- Системы противодействия утечкам данных внедрены только у 38% компаний. Остальные 62% ограничиваются базовыми мерами защиты или вовсе обходятся без них.
- Автоматизированные системы обновления, помогающие оперативно устранять уязвимости, использует лишь 21% работодателей.
- В 40% организаций сотрудники самостоятельно решают, когда менять пароль.
- Строгий запрет на использование личных устройств для рабочих целей действует только в 22% компаний.
- 38% работодателей блокируют доступ в день увольнения, 41% делают это в течение недели. У 17% доступ блокируется дольше месяца, а у 4% остается активным и после ухода сотрудника.
В итоге только 15% компаний оценивают уровень своей информационной безопасности (ИБ) как высокий, 52% считают свой уровень средним и признают, что работа ведется несистемно, а 33% характеризуют свой уровень как низкий, ссылаясь на отсутствие закрепленных практик.
Трудности
По мнению респондентов, главные барьеры на пути к построению культуры безопасности — ограниченные бюджеты (46%), нехватка специалистов (22%), сопротивление сотрудников (17%) и отсутствие поддержки со стороны руководства (15%).
Леонид Плетнев, бизнес-партнер по информационной безопасности в «1С-Битрикс»:
«Хакерам проще достигать своих преступных целей при низкой организации защиты. Важно учитывать, что уровень зрелости процессов ИБ закономерно зависит от зрелости и размера самой компании. Нельзя требовать от стартапа полноценной службы безопасности и строгих регламентов. Поэтому важны дисциплина и поэтапный подход к снижению рисков информационной безопасности».
Эксперт добавляет, что для малого бизнеса базовые меры и настройки — это антивирус, двухфакторная аутентификация, своевременные регулярные обновления софта. Для растущей компании добавляется политика доступа, обучение сотрудников, средства защиты сетевого периметра. Для крупных организаций — это оценка рисков, моделирование угроз и комплекс мероприятий, обеспечивающих снижение вероятности их реализации.
Анастасия Боровская, директор «Русской школы управления»:
«Результаты исследования показывают, что вопрос кибербезопасности в малом и среднем бизнесе сегодня упирается не столько в технологии, сколько в управленческие приоритеты. Компании по-прежнему воспринимают безопасность как техническую задачу, а не как элемент корпоративной культуры. Отсутствие системного подхода, редкие обучения и слабый контроль на уровне процессов приводят к тому, что человеческий фактор остается главным источником риска. При этом именно управленческие решения (внедрение правил, обучение сотрудников, контроль за их исполнением) формируют реальную устойчивость компании к угрозам».
В исследовании приняли участие 1508 представителей компаний малого и среднего бизнеса из разных регионов РФ.
➤ Подписывайтесь на телеграм-канал «РБК Трендов» — будьте в курсе последних тенденций в науке, бизнесе, обществе и технологиях.