ИТ-подразделения становятся корпоративными службами безопасности

Глобальное исследование показало непонимание роли информационных технологий в обеспечении корпоративной безопасности

Поведение удаленных сотрудников остается рискованным, но они считают, что контролировать работу вне офиса должны менеджеры, а не ИТ-специалисты. Каждый пятый считает, что контролировать вообще ничего не надо.

Компания Cisco® опубликовала результаты второго глобального исследования особенностей работы удаленных сотрудников. Исследование показало, что удаленные сотрудники неправильно понимают роль ИТ-подразделений, и это может оказать отрицательное влияние на корпоративную и личную безопасность. По мнению удаленных сотрудников, ИТ-подразделения слишком поздно реагируют на проблемы, а ИТ-менеджеры пользуются меньшим авторитетом, чем представители бизнеса.

В исследовании, проведенном независимой фирмой летом 2006 года, было опрошено более тысячи удаленных сотрудников и ИТ-менеджеров в 10 странах (США, Великобритании, Франции, Германии, Италии, Японии, Китае, Индии, Австралии и Бразилии). Опрос продолжил предыдущее исследование (результаты которого были опубликованы в октябре), показавшее противоречия между знаниями удаленных сотрудников и их практическим поведением в области безопасности. В рамках нового исследования были опрошены те же сотрудники с тем, чтобы выяснить их мнение о роли ИТ-подразделений в обеспечении безопасной работы. Были опрошены и ИТ-специалисты, чтобы узнать, какова, по их мнению, их роль в глазах конечных пользователей.

Результаты опроса оказались во многом неожиданными. В шести из 10 стран (включая США) большинство удаленных сотрудников считает, что контролировать их работу имеют право только прямые начальники, но не ИТ-подразделения. А во Франции многие респонденты (38%) заявили, что контролировать их работу не имеет право никто. Доля тех, кто признает такое право за ИТ-подразделениями, составила 33%.

В США и Франции, а также в Австралии, Бразилии, Китае и Великобритании удаленные сотрудники считают, что их работу должны контролировать только бизнес-менеджеры, но не менеджеры ИТ-подразделений. Респонденты из Индии, Италии, Японии и Германии высказали противоположное мнение, однако в Японии и Германии треть опрошенных заявили, что всю ответственность за безопасность их работы несут прямые начальники, независимо от прав и полномочий, которыми обладают ИТ-подразделения. Среди респондентов не было ИТ-профессионалов. Это означает, что, по их мнению, менеджеры по продажам, маркетингу, учету, кадрам, технической поддержке, эксплуатации и другим сферам бизнеса имеют больше прав по коррекции онлайнового поведения удаленных сотрудников, чем специалисты в области информационных технологий.

В среднем около 13% опрошенных вообще не признают никакого контроля за использованием служебных компьютеров. Больше всего таких людей во Франции (38%), но и в Италии их больше трети (35%). Среднемировой показатель превышен также в Японии (22%), США (14%) и Австралии (14%).

«Результаты исследования указывают на влияние социальной и корпоративной культуры на представления и поведение удаленных сотрудников, - говорит Джефф Плейтон (Jeff Platon), вице-президент Cisco по маркетингу в области безопасности. - Например, в Германии 71% опрошенных согласны с тем, что ИТ-подразделения должны контролировать их работу, но треть респондентов считает, что и менеджеры должны разделять ответственность за обеспечение безопасности. Каждый четвертый указывает, что ответственность за безопасность своей работы должны нести и сами сотрудники. Многие опрошенные в Германии ощущают общую ответственность всех сотрудников компании за информационную безопасность».

«Во всех странах, кроме Германии, руководители ИТ-подразделений сталкиваются с проблемой утверждения своего престижа в глазах конечных пользователей», - считает Джефф Плейтон. Поэтому не удивительны результаты опроса самих ИТ-сотрудников о том, какую роль отводят им удаленные сотрудники. Более половины респондентов (53%) считают, что пользователи не считают, что ИТ-подразделения имеют право знать, как используются служебные компьютеры. Только в Индии и Бразилии большинство респондентов придерживаются противоположной точки зрения.

Как считает Джон Стюарт, руководитель службы информационной безопасности Cisco, «Это не проблема, а ниша, в которой ИТ-подразделения могут утвердить себя в качестве доверенных советников по вопросам безопасности».

«ИТ-подразделения понимают, что сотрудники знают о проблемах безопасности, но часто не понимают, что их собственное поведение ставит корпоративную безопасность под угрозу, - говорит он. - Обучение сотрудников и распространение правильных подходов - вот ключи к решению этой проблемы. ИТ-подразделения и службы безопасности вместе с высшим руководством компании должны разработать программы по обучению сотрудников навыкам безопасной работы и повышению их ответственности. Хотя для защиты от сетевых угроз (а эти угрозы возникают всегда, если к одной сети подключается множество людей с разными интересами) ИТ-подразделения обязательно должны использовать упреждающие "проактивные" технологии, но в конечном итоге безопасная корпоративная культура возникает только при сочетании упреждающих методов с хорошо защищенными продуктами и обучением сотрудников».

Джефф Плейтон считает, что результаты первого опроса, опубликованные в прошлом месяце («Теория и практика поведения удаленных сотрудников: несмотря на осведомленность о рисках, многие из них предпринимают рискованные действия», http://www.cisco.com/global/RU/news/releases/0872.shtml), подчеркивают важность слов Стюарта.