Большинство компаний поручают обучение персонала информационной безопасности сотрудникам своих внутренних IT-департаментов, вместо того, чтобы привлечь внешнего IT-консультанта или передать эту задачу внутренним отделам по подбору и развитию персонала.
К такому выводу пришли специалисты международной аналитической компании B2B International в ходе опроса Global corporate IT security risks 2013, проведенного совместно с «Лабораторией Касперского» среди компаний по всему миру.
Обучение персонала в области IT-безопасности – важная составляющая грамотной стратегии защиты IT-инфраструктуры компании от киберугроз. По данным опроса, 4 из 5 внутренних инцидентов безопасности, которые происходили в компаниях чаще всего за последние 12 месяцев, были связаны с деятельностью сотрудников. Так, в Восточной Европе:
· 32% респондентов сообщили об имевших место случайных утечках конфиденциальных данных;
· 23% сообщили об утере сотрудниками корпоративных мобильных устройств с важной информацией;
· 21% столкнулись со случаями намеренной утечки данных;
· еще 17% компаний имели дело с инцидентами, в результате которых конфиденциальная информация попадала в чужие руки из-за некорректного использования мобильных устройств (через мобильный почтовый клиент, SMS и т.п.).
Исследования снова и снова показывают, что ошибки сотрудников ведут к значительной пропорции потерь критических данных и инцидентов в области ИТ-безопасности. Ключ в решению данной проблемы лежит в обеспечении хорошего понимания конечными пользователями рисков в области ИТ-безопасности и способов их избежать. На фоне возникающих инцидентов необходимость обучения персонала очевидна, однако кто должен передать необходимые знания?
Как выяснили специалисты из B2B International, большинство компаний считают, что этим должен заниматься IT-департамент организации, хотя его основные функции не связаны с образованием сотрудников. Дополнительная нагрузка оказывает влияние на производительность: респонденты отметили, что у IT-департамента, загруженного другими важными задачами, обычно нет времени на обучение сотрудников. Это очевидно может негативно сказываться на качестве исполнения «образовательной» задачи. Выходом из сложившейся ситуации могло бы стать привлечение стороннего IT-консультанта с нужной для обучения экспертизой. Однако этой возможностью воспользовались лишь 11% опрошенных компаний в Восточной Европе.
Департамент по подбору персонала занимается обучением сотрудников в 13% компаний, принявших участие в исследовании, а 11% компаний практикует делегирование этой задачи департаменту по обучению и развитию персонала. Около 3% респондентов сообщили, что доверяют эту задачу внешнему корпоративному провайдеру образовательных услуг.
Распределение сохраняется и от региона к региону, хотя и с некоторыми различиями. Так, например, самый высокий процент компаний, поручающих обучение персонала IT-департаменту, находится в странах Ближнего Востока (73%), Японии (72%) и Северной Америке (71%). Внешнего IT-консультанта чаще всего привлекают к обучению сотрудников компаний из Латинской Америки (16%) и Азиатско-Тихоокеанского региона.
В целом важность образования признает абсолютное большинство компаний, лишь 3% респондентов в Восточной Европе сообщили, что в их компаниях не практикуется обучение IT-безопасности. Однако качество корпоративного образования остается под вопросом – осведомленность сотрудников о киберугрозах напрямую влияет на уровень исполнения политик IT-безопасности, действующих в компании, и – как следствие – на общий уровень ее защищенности от киберугроз. Пока уровень исполнения политик сравнительно невысок – около 54% участников опроса сообщили, что сотрудники их компаний далеко не всегда уважают и прилежно исполняют корпоративные правила информационной безопасности.