Kaspersky и hh.ru провели совместное исследование

Российские компании планомерно выстраивают системный подход к обучению сотрудников кибербезопасности. Совместное исследование* «Лаборатории Касперского» и платформы hh.ru показывает, насколько у российского бизнеса сформирована ИБ-политика и выбирает ли он путь осознанного укрепления цифровой гигиены персонала. Исследование показало, что сегодня за обучение сотрудников основам информационной безопасности в половине компаний преимущественно отвечают профильные ИБ-специалисты — об этом заявили сразу 50% организаций. Еще в 23% случаев эта задача решается в кросс-функциональном партнерстве — HR и ИБ объединяют усилия для создания эффективных образовательных программ. Специалисты по кадрам участвуют в ИБ-обучении персонала существенно реже — в 18% случаев. При этом в 19% компаний пока признают, что у них нет специально выделенного специалиста на эти задачи и процесс обучения проходит интуитивно или по инициативе самих сотрудников.

Компании движутся в сторону осознанного управления рисками, но идут к этой цели разными путями. Так, опрос показал, что две трети организаций (78%) уже используют как минимум один канал информирования о киберугрозах. Но разные и более трех каналов пока задействуют лишь 38% работодателей. Наиболее часто сотрудников учат информационной безопасности через рассылки, курсы и игровые методики. В целом это подчеркивает растущий запрос на создание устойчивых навыков цифровой грамотности в коллективах. Наиболее активно своих сотрудников «прокачивают» по линии инфобеза работодатели из сферы ИТ и телекома, банковского дела и финансов, производства и сервисного обслуживания, а также нефтегазовой и добычной отрасли.

Нарушения правил ИБ со стороны сотрудников встречаются достаточно часто. В рамках опроса 29% работодателей отметили, что это происходит практически ежедневно, 26% — раз в пару недель, а 14% — примерно раз в месяц. Между тем даже при нарушениях базовых правил 46% компаний делают ставку на конструктивный диалог: у нарушившего правила сотрудника проходит беседа со специалистом по информационной безопасности. Еще 33% организаций предусматривают дополнительное обучение для сотрудников. Штрафные санкции вводят лишь 15% компаний и то в зависимости от тяжести проступка и потенциальных угроз. Такой подход, ориентированный на развитие, а не на наказание, постепенно становится стандартом — 40% участников опроса охарактеризовали политику своей компании именно как «поддерживающую и обучающую».

Нарушения далеко не всегда связаны со злым умыслом. Большинство опрошенных сошлись во мнении, что сотрудники не соблюдают ИБ-правила, поскольку не считают их важными (60%) или не понимают, зачем они нужны (49%). Чтобы работники проявляли большую осознанность вопросах кибербезопасности и добровольно выполняли требования, важно формировать у сотрудников полезные привычки кибергигиены и последовательно развивать культуру киберграмотности в компании — и здесь не обойтись без активного вовлечения в процесс HR-специалистов и руководства.

«Российский бизнес находится на важном этапе формирования культуры кибербезопасности. Однако системное управление человеческими рисками выстроено пока не во всех компаниях. Для развития такой поддерживающей среды, где киберустойчивое поведение является нормой, ИБ нужно действовать в партнерстве с HR. Однако постоянное взаимодействие между ними есть лишь в 11% компаний. В 19% организаций пока нет формально закрепленного специалиста, отвечающего за повышение осведомленности сотрудников. Важно перейти от разовых мер и не просто регулярно обучать персонал, но и донести до сотрудников и руководителей ценность обучения кибергигиене. При этом важно наладить открытую коммуникацию — так, чтобы сотрудники своевременно получали информацию от ИБ и не боялись сообщать об ошибках, пока ситуацию можно исправить без серьезных последствий», — говорит Марианна Нечетова, эксперт направления Kaspersky Security Awareness.

«Грамотно выстроенная культура информационной безопасности — это актив, который работает одновременно на репутацию бизнеса и на благополучие людей. Для компании это прямое снижение финансовых и репутационных потерь от возможных утечек. Для сотрудников — возможность перестать воспринимать требования ИБ как выматывающую формальность. Когда человек понимает, зачем нужна регулярная смена пароля или использование второго фактора безопасности, и видит, что его личный вклад — пусть и небольшой — реально защищает общую стабильность, правила становятся осознанным элементом корпоративной культуры. В этом и состоит главная задача бизнеса сегодня: выстроить диалог так, чтобы безопасность не противопоставлялась удобству, а воспринималась как общая ценность, в создании которой участвует каждый», — комментирует Татьяна Фомина, директор по информационным технологиям и кибербезопасности hh.ru.

* Онлайн-опрос был проведен на платформе hh.ru «Как дела» среди российских работодателей. В нем приняли участие представители 271 компании из всех федеральных округов России, в том числе HR- и ИБ-специалисты.