Каждый сотрудник — от высшего руководства до среднего звена — может ослабить или укрепить систему безопасности организации
Мы живем в эпоху постоянных киберугроз. Заголовки новостей ежедневно напоминают: число кибератак растет, утечки данных становятся все более распространенными, заметными и серьезными. Три четверти нарушений происходят из-за человеческой ошибки или халатности, внутренние угрозы часто перевешивают периферийную опасность.
Культура информационной безопасности — это составляющая цифровой трансформации, культура, которая присутствует во всех бизнес-процессах. Это неотъемлемая часть того, как выполняется работа. Поддержка культуры кибербезопасности на рабочем месте помогает защитить организацию и мотивирует сотрудников, уверена Анна Водолазская, директор по инновациям Академии АйТи.
Построение культуры информационной безопасности не может быть оторвано от общих тенденций в области защиты информации. Эксперты Академии АйТи выделили ряд трендов, которые стали основными в уходящем году и будут иметь продолжение в 2023 году.
Требования регуляторов
Государство уделяет особое внимание вопросам защиты информации и стремится создавать условия, способствующие их решению.
Одними из наиболее важных документов по информационной безопасности в области подготовки руководителей и персонала в 2022 году стали Указ Президента Российской Федерации от 01.05.2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» и Постановление Правительства РФ от 15.07.2022 № 1272, утвердившее типовое положение о заместителе руководителя организации, обеспечивающем информационную безопасность. По экспертным оценкам Указ № 250 затрагивает до 95% организаций.
Регуляторами выделена ответственность руководителей за киберинциденты. Определены требования к квалификации руководителей. Согласно ПП № 1272, заместителю руководителя по информационной безопасности необходимо иметь профильное образование или профессиональную переподготовку в области защиты информации.
Кроме того, создание культуры информационной безопасности, кибергигиена на рабочих местах становятся задачами руководителей, которые теперь несут ответственность за киберустойчивость организаций.
Рынок труда: рост спроса на специалистов по информационной безопасности
Согласно исследованиям рынка труда, эксперты Академии АйТи отмечают, что сегодня спрос на квалифицированных кадров в области защиты информации составляет около 70 000 специалистов, к 2024 году по прогнозу число вакансий вырастет в 1,5 раза.
Необходимо создавать мотивационные механизмы, направленные на сохранение специалистов в области кибербезопасности, а также переобучение ИТ-специалистов и других внутренних кандидатов по направлениям защиты информации.
Хорошим решением будет разработка индивидуальных корпоративных программ обучения совместно с ведущими организациями дополнительного профессионального образования, и обучение команд стажеров. Из таких команд можно формировать кадровый резерв и усиливать отделы информационной безопасности.
Технологический суверенитет
Построение технологического суверенитета является одним из приоритетных направлений государственной политики, поскольку на безопасность критически важной информационной инфраструктуры в значительной степени влияет переход на российское оборудование и программное обеспечение, которое должно быть надежным и отказоустойчивым.
В разрезе работы с российскими решениями изменились требования к компетенциям сотрудников по защите информации. Здесь также важно предусмотреть обучение специалистов по стеку необходимых продуктов для организации. Благо предложения отечественных компаний в области кибербезопасности активно развиваются, предоставляют разнообразный функционал, очень гибко реагируют на нововведения. Российские вендоры разрабатывают и авторизуют программы по обучению специалистов информационной безопасности работе с решениями.
Рост кибератак
Ситуация осложняется смещением цели атак. Если раньше злоумышленники стремились к получению материальной выгоды, то сегодня многие из них руководствуются скорее желанием навредить или испортить репутацию. При этом ключом массовой утечки информации становятся рядовые сотрудники, которые плохо знакомы или игнорируют основы кибергигиены.
Отношение организации к кибербезопасности играет важную роль в том, как сотрудники включают ее в свое повседневное рабочее поведение. Следовательно, обязательно, чтобы руководство на всех уровнях формировало позитивное отношение к осведомленности о кибербезопасности и поощряли сотрудников с энтузиазмом относиться к созданию культуры кибербезопасности.
Киберзащищенность требует большого внимания, серьезного подхода к реализации, гибкого реагирования и работы на опережение. Возлагать всю ответственность на ИТ-специалистов уже недостаточно. Обучение всего персонала основам информационной безопасности и создание специализированных отделов для обеспечения кибербезопасности - основная тенденция для 2023 года.
Руководству организаций необходимо поддерживать инвестиции, связанные с инициативами в области информационной безопасности. Ранее организации полагались только на назначенных сотрудников службы безопасности для выполнения специализированных функций, тем самым ограничивая участие других сотрудников в выполнении этой задачи. В то время как каждый сотрудник на рабочем месте, от высшего руководства до среднего звена, может ослабить или укрепить систему безопасности организации.
Но сегодня то самое время, когда необходимо формировать хорошие привычки личной безопасности на основе руководящих принципов, распространяемых на рабочих месте. Здесь в создании культуры кибербезопасности организации ключевую роль играют все лидеры.
Фото Unsplash
Что Вы думаете об этом?