Защита корпоративных данных: что увеличивает риск утечки информации

В большинстве российских компаний отсутствуют единый регламент по работе с учетными записями сотрудников, в том числе после их увольнения, а также обучение основам информационной безопасности. Между тем отсутствие постоянного мониторинга доступа работников к корпоративной информации может привести к утечке персональных данных, что грозит не только потерей репутации, но и серьезными штрафами.

Порядка 30% сорудников работает с конфиденциальной информацией

Платформа онлайн-рекрутинга в России hh.ru и Staffcop провели исследование, чтобы выяснить, насколько сотрудники соблюдают политику защиты данных и другие правила информационной безопасности (ИБ). Для этого был проведен опрос 2000 работников компаний из различных отраслей.

Оказалось, что две трети работников имеют доступ к внутренним отчетам организации, больше половины – к клиентской базе, 42% регулярно работают с финансовыми данными, а также технической информацией (40%).

При этом после увольнения у 5% респондентов доступ к информации оставался открытым в течение нескольких недель, у 6% — больше недели, и, как правило, это сотрудники ИТ-отрасли. И только у трети опрошенных доступ закрыли сразу после прекращения трудовых отношений. Еще 56% уволившихся работников не проверяли свои учетные записи.

Треть топ-менеджеров сохраняют корпоративные данные в облаке и на личных устройствах

Исследование показало, что 4% сотрудников перед расторжением трудового договора намеренно сохраняли конфиденциальную информацию. А у 14% она оставалась на почте, в облачном хранилище. Любопытно, что почти 60% не подписывали NDA, еще 36% подписывали и понимают правовые последствия данного соглашения.

Между тем 22% сотрудников считают, что проверка перед увольнением — это вынужденная мера, такая же доля респондентов признали подобный подход верным, а 23% расценивают это как нарушение личных границ.

Треть респондентов уверены, что контроль службы информационной безопасности только мешает рабочим процесса, а 28% считают его обязательным. 21% заявили об ужесточении контроля, причем чаще всего такую точку зрения высказывают сотрудники из ИТ-сферы (35%) и работники финансовых подразделений (34%).

Почти каждый четвертый участник исследования отметил, что утечки данных происходят по вине персонала, 19% сказали об отсутствии политики безопасности в компании, 9% — о недостаточном контроле со стороны руководителя. 

32% работников поддерживают юридическое преследование лиц, которые незаконно используют конфиденциальную информацию. Треть высказались за жесткий технический контроль, а 21% — за ограничение к данным.

Регулярное обучение основам ИБ проходят сотрудники только финансового сектора

Опрос продемонстрировал, что во многих компаниях не проводится обучение основам информационной безопасности как рядовых работников, так и топ-менеджеров. Лишь 16% респондентов регулярно проходят тренинги по ИБ, 19% рассказали о формальном подходе в компании к данному вопросу. 27% прошли только вводный инструктаж, а 38% не проходили никакого обучения. В группу респондентов, для которых компания не проводила занятия по ИБ, вошли представители рабочих специальностей (51%) и сферы туризма (50%).

При этом занятия по информационной безопасности не проводились как для топ-менеджмента (25%), так и руководителей отделов (20%) и линейного персонала (41%).

Резюме

Несмотря на ужесточение наказания за утечки персональных данных, российские компании не спешат разрабатывать корпоративные регламенты по работе с учетными записями, а также на регулярной основе проводить инструктажи и обучение сотрудников. Если сотрудники будут осознавать пользу информационной безопасности, то внедрение ее инструментов будет происходить быстрее, повысится их эффективность. По мнению экспертов, обучение азам кибербезопасности должно начинаться с руководителей компании, которые должны стать примером для остальных сотрудников.