Организации направляют существенные ресурсы на технологии защиты информации, однако подлинные риски для безопасности зачастую формируются внутри самой команды. Как показал анализ платформы операционной эффективности «Стахановец», основную опасность порождают распространенные привычки сотрудников, работающих удаленно или по смешанному графику. Такие данные были предоставлены CNews представителями компании «Стахановец».
Наиболее типичными действиями удаленных и гибридных работников являются: отправка служебных документов на личную электронную почту для завершения задач в нерабочее время (43%); хранение паролей непосредственно в браузере из-за кажущейся сложности корпоративных систем (57%); использование для оперативных вопросов не рабочих, а привычных личных мессенджеров (31%); копирование файлов на личные USB-накопители при медленной работе корпоративных сервисов (25%).
«Эти данные отражают не ошибку сотрудников, а пробел в организации процессов, — отметил Дмитрий Исаев, генеральный директор «Стахановец». — Если правила установлены так, что затрудняют работу, люди неосознанно найдут им обход. Недостаточно просто запрещать. Важно понять причины неудобств и предложить простые и защищенные способы решения рабочих вопросов. Безопасность данных должна быть естественно встроена в рабочий процесс — незаметной, но при этом абсолютно надежной».
Массовый переход на удаленный и смешанный формат работы, с одной стороны, и трансформация рынка корпоративного ПО — с другой, привели к расхождению между формальными процедурами и реальными потребностями сотрудников. Стремясь эффективно выполнять задачи вне офиса, работники стихийно создают «теневые ИТ-решения», остающиеся вне зоны внимания и контроля специалистов по безопасности.
Вместо ужесточения ограничений специалисты советуют изменить сам принцип организации удаленной и гибридной работы: выявить причины, провести аудит рабочих процессов и определить, что побуждает сотрудников пересылать файлы на личную почту или применять неофициальные мессенджеры; предложить удобную альтернативу, внедрив официальные, но столь же простые и оперативные инструменты для удаленной работы, обмена файлами и коммуникации, адаптированные к смешанному графику; делать акцент на обучении, а не на запретах, строить программу по информационной безопасности на основе реальных кейсов, наглядно демонстрируя риски и предлагая защищенные варианты действий для работы вне офиса.
