Эксперт Хонин: информационная безопасность невозможна без повышения осведомлённости сотрудников

Согласно исследованию «МТС Линк» и Superjob, 20% сотрудников российских компаний никогда не проходили обучение по защите информации. Александр Хонин, руководитель отдела консалтинга и аудита Angara Security, в комментарии CISOCLUB отметил, что повышение осведомленности рядовых сотрудников – одна из важнейших тем современной информационной безопасности.

По словам эксперта, тезис о том, что в российских организациях всё не очень хорошо с информационной безопасностью, имеет «две стороны медали», потому что тема повышения осведомленности рядовых сотрудников однозначно является важной в вопросах обеспечения информационной безопасности.

«Ведь некоторая часть выполнения мер по защите информации лежит именно на стороне простых пользователей. При этом, если мы посмотрим на зарубежную практику, там повышение осведомленности давно является полноценным отдельным доменом безопасности, который обязателен к выполнению во многих стандартах по ИБ. При этом отдельно стоит отметить, что данная тематика также развивается последнее время», — уточнили Александр Хонин.

Специалист указал на то, что повышение осведомленности имеет различные варианты реализации: от простых инструкций и периодических тестов до полноценной геймофикации в обучении (применение игровых методик и элементов в процессе обучения). Также на рынке представлены различные продукты и сервисы, которые позволяют добавить элементы автоматизации в данное направление по повышению осведомленности в вопросах ИБ.

«В то же время нельзя полностью перекладывать ответственность по информационной безопасности на пользователей. Как правильно отмечено в статье, информационная безопасность — это комплексная задача, которая включает в себя как организационные, так и технические меры», — подчеркнул эксперт.

При этом большинство мероприятий все-таки лежит на стороне самих организаций. Например, потеря рабочего устройства – здесь как минимум необходимо предусмотреть такие меры, как запрет локального хранения данных или же шифрование хранимых данных А доступ к корпоративным ресурсам с таких устройств должен быть обеспечен такими мерами, как усиленная аутентификация.

«В таком случае вполне можно говорить о снижении рисков утечки данных в следствие потери рабочего устройства. И это только один из примеров. Соответственно, резюмируя, обеспечение информационной безопасности – это комплексная задача, важной частью которой в том числе является домен по повышению осведомленности в части обеспечения ИБ», — подытожил руководитель отдела консалтинга и аудита Angara Security.