Нужно ли сегодня коммерческим компаниям заниматься IT-обучением персонала? Вопрос неоднозначный, поскольку с одной стороны уже довольно сложно найти людей, которые, как говорится, не знают, с какой стороны подходить к компьютеру; ещё сложнее, а точнее, просто невозможно, представить себе компанию, которая не использует IT вовсе. Знание основ компьютерной грамотности сегодня столь же распространено, как и умение читать. Проблемы с IT-образованием возникают, когда встаёт вопрос о безопасности и, вообще, о чём-то, выходящем за базовые рамки.
Большинство пользователей сегодня как минимум слышали о том, что существуют вирусы, троянцы, хакерские атаки и т.п. напасти. Однако когда речь заходит о каких-то более экзотических угрозах, информированность среднестатистического пользователя оказывается удручающе низкой. Как показывает исследование пользовательских воззрений на IT-безопасность, которое «Лаборатория Касперского» и B2B International проводили в августе 2013 года, только 6% опрошенных знают, что такое уязвимости и эксплойты «нулевого дня». 21% «что-то слышали». 74% понятия не имеют, о чём речь. Сходная картина наблюдается и в отношении ботнетов: 6% знают, что это такое, 24% что-то слышали, 69% это понятие незнакомо.
Более того, согласно результатам исследования Global Corporate IT Security Risks 2013, проведённого компанией B2B International при участии «Лаборатории Касперского», за последние 12 месяцев причиной значительной части инцидентов, приводивших к утечке конфиденциальных корпоративных данных, оказывались действия персонала. С этим сталкивались 19% компаний, опрошенных в ходе исследования. 18% компаний сталкивались с попаданием конфиденциальных данных в чужие руки в результате «неправильного» использования мобильных устройств.
Мы неоднократно указывали, что первейший способ защититься от подобных происшествий — это адекватное информирование конечных пользователей об IT-рисках и способах их избегать. Вопрос заключается в том, кто именно должен заниматься обучением персонала.
В 65% компаний эту обязанность возлагают на собственные IT-департаменты. Это означает дополнительную рабочую нагрузку на них, в то время как айтишникам и без того есть чем заняться. Участники исследования, проведённого B2B International, признали, что в большинстве случаев у IT-отделов нет времени на то, чтобы регулярно заниматься обучением работников. К тому же, обслуживание инфраструктуры и обучение персонала основам IT-безопасности — это в принципе разные сферы специализации.
В этой связи гораздо более продуктивным вариантом было бы возложить задачи по обучению на сторонних специалистов, однако так поступают лишь 12% респондентов.
Образованием персонала в сфере IT-безопасности также изредка (в 8% случаев) занимаются HR-отделы и отделы обучения и развития персонала. Ещё реже — в 3% случаев — компании заключают договоры с компаниями-поставщиками услуг по обучению.
При этом подавляющее большинство компаний признают, что обучать персонал безопасной работе с IT необходимо — лишь 4% опрошенных заявили, что вообще не обучают своих работников. Вопрос заключается в том, насколько качественным в итоге оказывается это обучение, насколько оно охватывает диапазон актуальных угроз, и насколько в итоге пользователи оказываются готовы следовать установленным в компании политикам безопасности.
Пока 39% опрошенных компаний признали, что работники далеко не всегда соблюдают установленные правила. В принципе, эту ситуацию в значительной степени может улучшить наличие эффективного решения, защищающего всю инфраструктуру компании от внешних угроз и ошибок персонала. В Kaspersky Endpoint Security для бизнеса встроены инструменты, автоматически обеспечивающие соблюдение пользователями установленных политик безопасности и, тем самым, страхующие инфраструктуру от некорректных действий персонала.
Однако всякая система прочна настолько, насколько прочно её слабейшее звено. Таким звеном часто оказываются люди, не обладающие необходимым объёмом знаний о киберугрозах. От этого знания зависит, помимо всего прочего, и то, насколько работники готовы следовать установленным в их компаниях политикам IT-безопасности, а значит, и то, насколько инфраструктура компании защищена от «недружественного воздействия» извне и изнутри.