Эта статья является второй из цикла “Сознательный сотрудник — безопасная организация”, в ней мы продолжаем тему зависимости информационной безопасности, а точнее ее уровня в организации от сотрудников. Немного посмотрим на прошлогоднюю статистику, рассмотрим причины потенциально опасных действий сотрудников и постараемся определиться что как мы можем это использовать, чтобы управлять рисками.
В 2018 году более половины утечек данных (54,7%) были вызваны сотрудниками организации. Это данные из аналитического отчета компании InfoWatch.
Согласно отчету внешние атаки и нападения привели к утечке информации в 35,5% случаев. Напомним, что в результате утечек, вызванных персоналом, могут быть раскрыты любые данные, включая коммерческую тайну, ноу-хау, финансовые данные, персональные данные и другие.
Рис. Виновники нарушений информационной безопасности (утечек данных)
Также в 2018 году всемирно известная аналитическая компания Ernst & Young опубликовала пресс-релиз, в котором сказано: «Отсутствие осведомленности и информированности сотрудников в сфере информационной безопасности занимает первое место в списке основных уязвимостей, которые могут быть использованы».
Это подтверждается исследованием, проведенным путем опроса работников организаций, которое показывает, что большинство работников убеждены, что не имееют ничего общего с информационной безопасностью.
Посмотрим как это отражается на непреднамеренных потенциально опасных действиях сотрудника (пользователя информационных систем организации), которые чаще всего вызваны следующими причинами:
• отсутствие знаний и недооценка потенциальных угроз, а также непонимание их отношения к выполняемой работе и действиям;
• незнание принципов и требований информационной безопасности;
• отсутствие понимания необходимости соблюдения правил и требований;
• нежелание соответствовать требованиям установленным организацией;
• невнимательность работников к принципам и требованиям информационной безопасности.
К сожалению, среднее количество дней, необходимых для выявления информационного инцидента, выросла до 49,6 дней. И это, несмотря на то, что в сфере персональных данных максимально допустимое время для выявления, сообщения и устранения угрозы в течение 72 часов определено на законодательном уровне ЕС (в соответствии с GDPR – General Data Protection Regulation). Поэтому очень важно, чтобы кроме использования систем безопасности для мониторинга и анализа деятельности работников организации, все события, подозрительные ситуации, которые могут быть связаны с информационной безопасностью, сообщались ответственным лицам.
Как вы можете видеть, статистика четко говорит, что именно человек или персонал организации является самым слабым звеном в системе информационной безопасности.
Повышение осведомленности сотрудников — ключевой фактор успеха в достижении нужного уровня информационной безопасности в организации. Для эффективного управления осведомленностью и информированностью в сфере информационной безопасности следует применять комплексный подход, который заключается в разработке и адаптации программы формирования организационной культуры в области информационной безопасности.
Наши специалисты будут рады помочь Вам решить проблему информированности и осведомленности сотрудников в Вашей организации. Мы применяем индивидуальный подход к клиентам и их обучению, основанный на многолетнем опыте внедрения, поддержки и совершенствования систем управления информационной безопасностью, управление рисками, непрерывностью бизнеса, сотрудничества и т.д.
