Кто обучает сотрудников IT-безопасности

Большинство компаний поручают обучение персонала информационной безопасности сотрудникам своих внутренних IT-департаментов, вместо того, чтобы привлечь внешнего IT-консультанта или передать эту задачу внутренним отделам по подбору и развитию персонала. Об этом свидетельствуют результаты опроса Global corporate IT security risks 2013, проведенного международной аналитической компании B2B International совместно с "Лабораторией Касперского" среди компаний по всему миру.

По данным опроса, 4 из 5 внутренних инцидентов безопасности, которые происходили в компаниях чаще всего за последние 12 месяцев, были связаны с деятельностью сотрудников. Так, в Восточной Европе:
32% респондентов сообщили об имевших место случайных утечках конфиденциальных данных;
23% сообщили об утере сотрудниками корпоративных мобильных устройств с важной информацией;
21% столкнулись со случаями намеренной утечки данных;
еще 17% компаний имели дело с инцидентами, в результате которых конфиденциальная информация попадала в чужие руки из-за некорректного использования мобильных устройств (через мобильный почтовый клиент, SMS и т.п.).

Исследования показывают, что ошибки сотрудников ведут к значительной пропорции потерь критических данных и инцидентов в области IТ-безопасности. Ключ в решению данной проблемы лежит в обеспечении хорошего понимания конечными пользователями рисков в области IТ-безопасности и способов их избежать.

Как выяснили специалисты из B2B International, большинство компаний считают, что обучением персонала должен заниматься IT-департамент организации, хотя его основные функции не связаны с образованием сотрудников. Дополнительная нагрузка оказывает влияние на производительность: респонденты отметили, что у IT-департамента, загруженного другими важными задачами, обычно нет времени на обучение сотрудников. Это очевидно может негативно сказываться на качестве исполнения "образовательной" задачи. Выходом из сложившейся ситуации могло бы стать привлечение стороннего IT-консультанта с нужной для обучения экспертизой. Однако этой возможностью воспользовались лишь 11% опрошенных компаний в Восточной Европе.

Департамент по подбору персонала занимается обучением сотрудников в 13% компаний, принявших участие в исследовании, а 11% компаний практикует делегирование этой задачи департаменту по обучению и развитию персонала. Около 3% респондентов сообщили, что доверяют эту задачу внешнему корпоративному провайдеру образовательных услуг.

Распределение сохраняется и от региона к региону, хотя и с некоторыми различиями. Так, например, самый высокий процент компаний, поручающих обучение персонала IT-департаменту, находится в странах Ближнего Востока (73%), Японии (72%) и Северной Америке (71%). Внешнего IT-консультанта чаще всего привлекают к обучению сотрудников компаний из Латинской Америки (16%) и Азиатско-Тихоокеанского региона.

В целом важность образования признает абсолютное большинство компаний, лишь 3% респондентов в Восточной Европе сообщили, что в их компаниях не практикуется обучение IT-безопасности. Однако качество корпоративного образования остается под вопросом – осведомленность сотрудников о киберугрозах напрямую влияет на уровень исполнения политик IT-безопасности, действующих в компании, и – как следствие – на общий уровень ее защищенности от киберугроз. Пока уровень исполнения политик сравнительно невысок – около 54% участников опроса сообщили, что сотрудники их компаний далеко не всегда уважают и прилежно исполняют корпоративные правила информационной безопасности.