Каждый второй сотрудник в России не обучен работе с конфиденциальными данными

Данные нового исследования показали, что системный подход к защите корпоративных данных до сих пор является редкостью, а большинство организаций полагаются на осторожность сотрудников, а не на выстроенные процессы и технологии. По данным РШУ и Битрикс24.

Ключевые проблемы, выявленные в ходе опроса 1508 респондентов:

1. Человеческий фактор: пробелы на старте и в процессе

Проблемы начинаются уже на этапе найма: только 45% работодателей проверяют понимание кандидатами ответственности за данные на собеседовании, а 59% заключают соглашение о неразглашении (NDA). Половина (50%) компаний вообще не проводят обучение по кибербезопасности, и лишь 19% делают это на регулярной основе.

2. Технологические уязвимости

Только 38% компаний внедрили системы защиты от утечек данных (DLP). Автоматизированные системы для оперативного закрытия уязвимостей используют лишь 21% организаций. В 40% компаний сотрудники самостоятельно решают, когда менять пароли, что создает значительный риск.

3. Слабый контроль доступа

Треть компаний (32%) разрешают неограниченно использовать личные устройства для работы с корпоративной информацией. При увольнении доступ блокируется в день ухода только в 38% случаев, а у 4% сотрудников доступ к данным сохраняется и после увольнения.

4. Отношение сотрудников к правилам ИБ

Только 28% сотрудников воспринимают внутренние правила безопасности серьезно. 42% считают их излишней бюрократией, а 30% готовы их игнорировать, если правила мешают работе.

В результате лишь 15% компаний оценивают свой уровень ИБ как высокий. Более половины (52%) признают, что работа ведется несистемно, а 33% характеризуют свой уровень как низкий.

Комментарии экспертов

Леонид Плетнев, бизнес-партнер по информационной безопасности в «1С-Битрикс»:

«Уровень зрелости процессов ИБ закономерно зависит от размера компании. Для малого бизнеса критически важны базовые меры: антивирус, двухфакторная аутентификация и регулярные обновления. Для растущей компании добавляется политика доступа и обучение сотрудников. Крупным организациям необходима оценка рисков и моделирование угроз».

Анастасия Боровская, директор Русской Школы Управления:

«Вопрос кибербезопасности сегодня упирается не столько в технологии, сколько в управленческие приоритеты. Отсутствие системного подхода и редкие обучения приводят к тому, что человеческий фактор остается главным источником риска. Именно управленческие решения формируют реальную устойчивость компании к угрозам».

Главными барьерами для построения культуры безопасности респонденты назвали ограниченные бюджеты (46%), нехватку специалистов (22%) и сопротивление сотрудников (17%).

Источник: РШУ и Битрикс24