Поделиться
62% компаний МСБ не используют системы защиты от утечек данных
«Битрикс24», сервис для управления бизнесом, и «Русская Школа Управления» (РШУ) изучили, как малый и средний бизнес выстраивает политику хранения и защиты корпоративных данных. Исследователи опросили 1508 респондентов среди компаний малого и среднего бизнеса во всех регионах России. Результаты показали, что системный подход к кибербезопасности — редкость, а большинство компаний до сих пор полагаются на осторожность сотрудников, а не на технологии и протокол. Об этом CNews сообщили представители «Битрикс24».
Выяснилось, что проблемы с кибербезопасностью начинаются уже на этапе найма. Лишь 45% работодателей проверяют на собеседовании, насколько кандидат понимает ответственность за сохранность корпоративных данных, и только 59% компаний требуют от новых сотрудников подписания NDA.
Также половина (50%) респондентов признались, что не проводят обучение сотрудников по безопасности и работе с конфиденциальной информацией. Ежегодно обучают персонал лишь 19% работодателей, а еще треть делают это нерегулярно.
В технологической защите тоже есть пробелы: системы противодействия утечкам данных внедрены только у 38% компаний. Остальные 62% ограничиваются базовыми мерами защиты или вовсе обходятся без них.
Автоматизированные системы обновления, помогающие оперативно устранять уязвимости, используют лишь 21% работодателей.
Не менее тревожная ситуация наблюдается с контролем паролей: в 40% организаций сотрудники самостоятельно решают, когда менять пароль.
Еще одна зона риска — использование личных устройств. Треть компаний (32%) разрешают работать с корпоративными данными без ограничений, а 46% — только при соблюдении правил внутренней политики безопасности. Строгий запрет на использование личных устройств для рабочих целей действует только в 22% компаний.
Исследование также показало трудности с «отключением» уволенных сотрудников от рабочих процессов. Только 38% работодателей блокируют доступ в день увольнения, а почти столько же (41%) делают это в течение недели. У 17% доступ блокируется дольше месяца, а у 4% остается активным и после ухода из компании.
Закономерно, что отношение персонала к внутренним правилам тоже неоднозначное: 28% соблюдают их и воспринимают всерьез, 42% считают излишней бюрократией, а 30% игнорируют, если меры мешают работе.
В итоге только 15% компаний оценивают уровень своей информационной безопасности как высокий. Более половины (52%) считают свой уровень средним и признают, что работа ведется несистемно, а треть (33%) характеризуют свой уровень как низкий, ссылаясь на отсутствие закрепленных практик.
По мнению респондентов, главные барьеры на пути к построению культуры безопасности — ограниченные бюджеты (46%), нехватка специалистов (22%), сопротивление сотрудников (17%) и отсутствие поддержки со стороны руководства (15%).
«Хакерам проще достигать своих преступных целей при низкой организации защиты. Важно учитывать, что уровень зрелости процессов ИБ закономерно зависит от зрелости и размера самой компании. Нельзя требовать от стартапа полноценной службы безопасности и строгих регламентов. Поэтому важны дисциплина и поэтапный подход к снижению рисков информационной безопасности. Для малого бизнеса: базовые меры и настройки: антивирус, двухфакторная аутентификация, своевременные регулярные обновления софта. Для растущей компании добавляется политика доступа, обучение сотрудников, средства защиты сетевого периметра. От более крупных организаций — оценка рисков, моделирование угроз и комплекс мероприятий, обеспечивающих снижение вероятности их реализации» — сказал Леонид Плетнев, бизнес-партнер по информационной безопасности в «1С-Битрикс».
«Результаты исследования показывают, что вопрос кибербезопасности в малом и среднем бизнесе сегодня упирается не столько в технологии, сколько в управленческие приоритеты. Компании по-прежнему воспринимают безопасность как техническую задачу, а не как элемент корпоративной культуры. Отсутствие системного подхода, редкие обучения и слабый контроль на уровне процессов приводят к тому, что человеческий фактор остается главным источником риска. При этом именно управленческие решения (внедрение правил, обучение сотрудников, контроль за их исполнением) формируют реальную устойчивость компании к угрозам», — сказала Анастасия Боровская, директор «Русской Школы Управления».
Поделиться
Короткая ссылка
