Регуляторы пока главные поборники культуры обращения с данными. Например, в банковской сфере под контролем Центробанка внедрены все инструменты для защиты, хранения и передачи информации, сотрудники осведомлены о том, как важно соблюдать правила и что будет, если информацию потерять. Там, где контроль регулятора слабее или его нет вовсе, ситуация с информацией выглядит неважно.

В этом плане осознание проблемы в ретейле можно назвать исключительным. Компании из этой сферы гораздо лучше, чем в других отраслях, обеспечены защитными инструментами, хотя никакие регуляторы их к этому не побуждают. Антивирусные программы, судя по нашему исследованию, установлены в 91% компаний, средства администрирования Windows используют 85% организаций, средства NGFW — 76%, DLP-системы стоят в 29% компаний, даже SIEM-системы — в 9 %. Таким образом, ретейлеры действуют из чистой коммерческой необходимости. Но, даже несмотря на осознанную позицию компаний из этой сферы, риск потери информации огромен. Гораздо чаще, чем в других отраслях, ретейлеры фиксируют финансовый ущерб. В 36% случаев компании сообщали о том, что инциденты приводили к мелкому финансовому ущербу, еще в 12% — к крупному. 23% компаний из сферы ретейла сообщили о росте бюджета на безопасность. Но воспитание культуры обращения с данными — это далеко не всегда вопрос денег.

Поговорить
Работодатель должен доносить до коллектива, что техника, программное обеспечение и информация — собственность компании. Для сотрудников это не всегда очевидно, поэтому отношение к сохранности этих ресурсов часто попустительское. Нужно давать понять, что в компании относятся к информации серьезно, осознавая этот факт, сотрудники становятся внимательнее, что снижает число случайных инцидентов.

Обучать
По статистике Сбербанка, 30% продвинутых пользователей открывают фишинговые письма. То есть попадаются даже те, кто осведомлен о такой угрозе. Причина не только невнимательность пользователей. Хакеры совершенствуют и усложняют атаки, например, фишинговые письма и сайты все сложнее отличить от настоящих. Полезным бывает проводить регулярные киберучения, которые будут поддерживать сотрудников в тонусе и дадут работодателю реальную картину уязвимости компании.

Контролировать
Беседы и тренинги дают отличный результат. Но с ростом компании положиться только на них нельзя. По нашим наблюдениям, когда штат организации перешагивает рубеж в 100 сотрудников, начинаются проблемы. Беседы будут действовать на осознанных и добропорядочных сотрудников. Но на людей с дурными мотивами никак не повлияют. Да и хорошие сотрудники не защищены от ошибок, избегать которых помогают, к примеру, современные технологии. Поэтому в крупных компаниях нужно применять комплекс мер: и технические средства контроля, и мотивационные методы.

Из технического арсенала на первом этапе бывает достаточно антивирусных программ, средств администрирования Windows, программ контроля продуктивности сотрудников. Дальше организации приходят к пониманию необходимости использования Firewall, Proxy, IDS/IPS, DLP- и SIEM-систем. Раньше профессиональные инструменты были необходимостью только для крупного бизнеса, сейчас их приобретают и собственники среднего, а в ряде случаев и малого бизнеса.

Вводить ответственность
Подписание бумаг об ответственности — это очень важный шаг к воспитанию культуры обращения с данными в компании. Но кроме простых и достаточных регламентов люди должны понимать и последствия их несоблюдения. Например, угроза выплатить штраф в размере 1,5 млн рублей или получить 7 лет тюрьмы за кражу данных (ст. 183 УК) отбивает у сотрудников желание воровать секреты фирмы.

Я считаю, что это обязательно для любых компаний, где используют компьютерную технику с выходом в Интернет. Правила, как и в каких целях могут использоваться компьютеры, инструменты для работы, интеллектуальная собственность и другие ресурсы фирмы, а также ответственность сотрудников должны быть прописаны во внутренних инструкциях, трудовом контракте и прочих документах. Например, в правилах внутреннего распорядка может появиться пункт: «Предоставляемые работнику для выполнения трудовых обязанностей ЭВМ и другая оргтехника должны использоваться исключительно для решения рабочих задач».

Все вышеупомянутые методы работают только в том случае, если руководитель и сам придерживается правил информационной безопасности. Как ни странно, даже те руководители, которые понимают важность защиты информации, часто пренебрегают собственной безопасностью. В сентябре PwC рассказала о результатах опроса руководителей российских компаний. Оказалось, что 81% членов советов директоров хранят на своих телефонах закрытую и дорогостоящую информацию.