Кому лучше доверить обучение сотрудников в сфере IT-безопасности?
Обучение персонала IT-безопасности – одна из важных составляющих грамотно построенной стратегии защиты информационной инфраструктуры компании от возможных киберугроз. Большая часть компаний поручает обучение информационной безопасности своего персонала сотрудникам внутренних департаментов, работающих в сфере IT. Внешний IT-консультант при этом не нанимается, внутренние отделы, занимающиеся подбором и обучением персонала, также не задействованы. Такова статистика опроса под названием Global Corporate IT Security Risks 2013, который был проведён международной аналитической компанией B2B International при сотрудничестве с Лабораторией Касперского.
Опрос также свидетельствует о том, что большинство внутренних нарушений безопасности, которые были совершены за последний год, произошли по вине сотрудников компаний. К примеру, в Восточной Европе:
- 32% опрашиваемых рассказали о случайных утечках важной корпоративной информации;
- 23% сообщили, что сотрудники компании теряли мобильные устройства, предназначенные для внутреннего пользования, на которых хранилась важная информация;
- 21% поведали о случаях намеренной утечки данных;
- в 17% компаний их сотрудники случайно «слили» конфиденциальную информацию во время некорректного использования портативных устройств (через SMS, мобильный почтовый клиент и т.д.).
Исследования также показывают, что тенденция потери сотрудниками критически важных для фирмы данных также прогрессирует. Выход из данной ситуации лежит в обеспечение понимания конечными пользователями всех рисков, которым подвержена область IT-безопасности, а также способов их избежать. По данным B2B International, большинство компаний уверены, что обучение персонала в данной сфере должен проводить IT-департамент их организации. При этом все понимают, что в основные функции этого отдела подобное обучение персонала не входит. Также было отмечено, что дополнительная нагрузка сказывается на общей производительности компании: когда IT-отдел загружен важными задачами, у него нет времени брать на себя ещё и обучение сотрудников. На качестве «образовательной» задачи это также может сказаться. Выход из сложившейся ситуации видится следующий: необходимо привлечь стороннего IT-консультанта, желательно, с предварительной экспертизой, необходимой для качественного дальнейшего обучения. Однако только 11% опрошенных в Восточной Европе компаний прибегли к такому виду услуг.
В 13% компаний обучением сотрудников занимается отдел по подбору персонала, тогда как 11% – делегировали эти задачи отделу по обучению и развитию сотрудников. Примерно 3% респондентов посчитали, что могли бы доверить подобную задачу внешней компании, занимающейся предоставлением образовательных услуг. Интересно, что процентное распределение сохраняется по регионам. К примеру, самым высокий процент корпораций, которые поручают образование персонала своим IT-отделам, оказался у Ближнего Востока – 73%. Показатель у Японии на один процент меньше, в случае с Северной Америкой тенденция сохраняется – 71%. IT-консультанта из «внешней среды» чаще всего нанимают в компаниях Латинской Америки – 16%, а также в странах Азиатско-Тихоокеанского региона.
Однако в целом важность обучения признали абсолютное большинство компаний. Только 3% респондентов из Восточной Европы сообщили, что их компании не практикуют обучение в сфере IT-безопасности. Хотелось бы отметить, что качество образования внутри корпорации остаётся под вопросом – осведомлённость сотрудников о различного рода киберугрозах прямо влияет на общий уровень соблюдения политики IT-безопасности в компаниях. Как следствие, это сказывается на общем уровне защищённости компании от киберугроз. Пока что общий уровень соблюдения данной политики относительно невысок – 54% респондентов признали, что их сотрудники часто пренебрежительно относятся к корпоративным правилам информационной безопасности.