Что все делают в кризис? Правильно, сокращают расходы. На все подряд. Как уверяют эксперты, половина компаний, еще держащихся на плаву, резко снизили расходы на программное обеспечение и оборудование. Урезаются зарплаты специалистов, затраты на услуги подрядчиков. До лучших времен откладываются мероприятия, призванные обеспечивать информационную безопасность компании…
Но у этих, в общем-то, понятных действий руководителей, стремящихся любой ценой свести концы с концами, есть оборотная сторона: подобные меры вызывают озлобленность работников, провоцируя персонал на саботаж и преднамеренную кражу информации.
Такой вывод содержится в результатах первого российского исследования «Информационная безопасность в условиях кризиса»*, недавно проведенного консалтинговым бюро «Практика безопасности» и порталом SecurityLab.ru.
Важность информационной безопасности (ИБ) для любых компаний не вызывает сомнений. Однако, несмотря на то что половина (50,6%) участников исследования считает, что защита корпоративных секретов во все времена является первоочередной задачей, а укрепление ИБ особенно важно в период кризиса для повышения конкурентоспособности (22,7%), увеличивать расходы на ИБ собираются лишь наиболее дальновидные компании (см. таблицу 1).
Таблица 1. Важность информационной безопасности в условиях кризиса
Защита корпоративных секретов всегда является первоочередной задачей 50,6%
Укрепление ИБ особенно важно в кризисные времена для повышения конкурентоспособности 22,7%
ИБ помогает выявить инсайдеров, которых можно будет уволить без выходного пособия 5,5%
Несоблюдение политик ИБ можно использовать как предлог для сокращения ненужных сотрудников 4,2%
Бюджеты на ИБ были слишком завышены, урезать расходы на безопасность не помешает 5,2%
Затрудняюсь ответить11,8%
Интересны две малочисленные доли ответов: 5,5% респондентов намерены использовать возможности систем информационной безопасности для выявления инсайдеров, которых можно будет сократить без выходного пособия. А 4,2% готовы воспользоваться нарушением правил безопасности как предлогом для увольнения. Авторы исследования считают: при таком подходе и желании убрать неугодный персонал руководству будет довольно просто создать жесточайшие регламенты, не нарушить которые будет практически невозможно. И предупреждают, что изначально цели ИБ совсем иные, а потому подобные меры вызовут лишь озлобленность работников и спровоцируют персонал на саботаж и преднамеренную кражу информации.
С винтовкой против танка
Итак, увеличивает расходы на безопасность лишь одна компания из 20, зато уменьшает – каждая вторая. В условиях тотальной экономии компании готовы забыть о безопасности? Да, об этом свидетельствуют данные исследования (см. таблицу 2).
Таблица 2. Перераспределение затрат на ИБ
Уменьшены расходы на зарплату сотрудникам 27,0%
Уменьшены расходы на оборудование 42,1%
Уменьшены расходы на программное обеспечение37,0%
Уменьшены расходы на услуги подрядчиков27,0%
Уменьшены другие статьи затрат28,5%
Увеличены расходы на зарплату сотрудникам 4,8%
Увеличены расходы на оборудование 4,5%
Увеличены расходы на программное обеспечение 5,5%
Увеличены расходы на услуги подрядчиков 2,4%
Увеличены другие статьи затрат 3,9%
Перераспределения не произошло 26,7%
Затрудняюсь ответить15,2%
Самые распространенные статьи расходов, которые компании подвергаются сокращению, – закупка оборудования (42,1%) и программного обеспечения (37%). Авторы исследования соглашаются с тем, что мощности уже приобретенных аппаратных средств вполне могут оказаться достаточными для выполнения большинства задач компании. Вместе с тем, по их мнению, программное обеспечение – это совсем иная категория. Его своевременное обновление исключительно важно, особенно в той части, которая касается обеспечения ИБ – именно здесь ежедневно появляется множество новых угроз. Поэтому сокращение финансирования на обновление программного обеспечения нельзя считать правильным шагом. Зачастую это похоже на попытку воевать с винтовкой против танка.
Однако в такой ситуации есть и положительный момент. Как прогнозируют эксперты, при отсутствии средств на приобретение новых инструментов обеспечения информационной безопасности, компании, скорее всего, начнут более полно использовать существующие. К тому же многие крупные организации и госструктуры располагают арсеналом не доведенных до эксплуатации систем.
Сократить, уплотнить и… оставить
Специалистов в области ИБ сокращения коснулись не только в части заработной платы (см. таблицу 3). В организациях по-разному подошли к обеспечению безопасности оставшимися силами. В 9,7% компаний полномочия уволенных ИБ-сотрудников передали в ИТ-подразделения. В 11,8% фирм оставшиеся ИБ-специалисты обходятся собственными силами. Кроме того, обращает на себя внимание и тот факт, что 40,3% и в хорошие времена не имели выделенного ИБ-отдела.
Таблица 3. Сокращения сотрудников ИБ-подразделений
Подразделение ИБ вообще расформировано, а его функции переданы в подразделение ИТ 4,2%
Подразделение ИБ подверглось сокращению, часть функций передана подразделению ИТ 5,5%
Подразделение ИБ подверглось сокращению, но все функции возложены на оставшихся сотрудников 11,8%
Подразделение ИБ не подвергалось сокращению, и не планируется 38,2%
Компания не имеет выделенного ИБ подразделения 40,3%
По данным исследования, увольнение грозит прежде всего работникам с малым опытом работы в отрасли вообще (14,8%) или в конкретной организации (9,4%). Не грозит сокращение специалистам 42,7% фирм.
Лоялен, но халатен
В большинстве случаев на предприятиях сотрудники по-разному встретили кризис. Эксперты считают, что выраженной тенденции к массовым хищениям информации пока нет. Но очевидно, что среда неоднородна. Кто-то, узнав о готовящемся сокращении, попытается получить хоть какую-то компенсацию. Например, вынести сведения, которые помогут ему устроиться на новую работу. Однако оставшиеся сотрудники, опасаясь за свое место, станут бдительнее обращаться с конфиденциальной информацией. 13% компаний отмечают, что работники начали красть ценную информацию либо стали более халатными (12,7%). Учитывая, что халатность даже лояльных сотрудников является настоящим бичом ИБ, такое положение удручает. В то же время в других организациях ситуация, наоборот, улучшилась. 15,5% респондентов сообщили, что пользователи теперь более ответственны в вопросах ИБ, стремясь поддержать своего работодателя. Еще в 8,8% компаний сотрудники также стали более ответственными, но уже по прозаическим причинам – вследствие угрозы штрафов и увольнения. Поэтому нагрузка на департаменты, в ведении которых находятся вопросы ИБ, в каких-то компаниях увеличилась, в каких-то уменьшилась, а где-то осталась на прежнем уровне.
В поисках альтернативы
По прогнозам экспертов, в скором времени можно ожидать замораживания комплексных ИБ-проектов с неочевидными либо отдаленными результатами. Пора закупок программ и оборудования впрок и для того, чтобы освоить бюджет, прошла. Теперь от каждого вложенного рубля руководство компаний будет требовать реальной отдачи. Как следствие, предприятия начнут заказывать только действительно эффективные ИБ-проекты и доводить их до конца. Особый интерес будут представлять проекты, способствующие повышению эффективности бизнеса. Поэтому повысится ценность специалистов, одновременно разбирающихся в вопросах безопасности и тонкостях бизнес-процессов.
Как считают авторы исследования, эффективным альтернативным способом сокращения финансирования без ущерба для безопасности может стать перераспределение средств между статьями расходов. В сложившейся ситуации наиболее востребованными окажутся продукты для защиты информации, позволяющие уберечь от воровства корпоративные секреты, персональные данные, интеллектуальную собственность, а также услуги профессиональных консультантов по ИБ, которые будут предлагать более качественные услуги за меньшие деньги.
Несмотря на тотальное сокращение расходов, отдать решение вопросов ИБ на аутсорсинг готовы только в 5,5% компаний. Вместе с тем организации не имеют противопоказаний для привлечения внешних консультантов на конкретные проекты. Как рекомендуют авторы исследования, подобных специалистов следует приглашать на запуск какой-то одной определенной системы в рамках небольшого проекта, при этом не передавать им контроль за основными информационными процессами компании. Поддержка уже работающей системы останется прерогативой ее собственных сотрудников. Такой подход позволит получить услуги высокого качества по разумной цене и сохранить независимость службы ИБ.
Таблица 4. Влияние кризиса на отношение сотрудников к вопросам ИБ
Некоторые сотрудники пытались вынести ценную информацию 13,0%
Сотрудники стали более халатными и менее бдительными в отношении ИБ 12,7%
Сотрудники стали более ответственными, поскольку нарушение политик ИБ грозит штрафами и (или) увольнением 8,8%
Сотрудники стали более ответственными, стремятся помочь компании пережить сложные времена 15,5%
Сотрудники по-разному отреагировали на наступление кризиса 42,1%
Существенных изменений мы не заметили 44,5%
Затрудняюсь ответить (мы не регистрируем инциденты ИБ) 15,5%
* Исходные данные для исследования собирались с помощью онлайн-анкетирования специалистов по ИБ на портале SecurityLab.ru. Вопросы для исследования составлялись с учетом компетенции и специфики профессиональной деятельности респондентов. В опросе приняли участие 330 человек. Представители малого (до 100 сотрудников), среднего (от 100 до 1000 работников) и крупного (свыше 1000 человек) бизнеса оказались примерно в равных долях. Большинство участников исследования – это люди, прекрасно осведомленные о состоянии дел в области ИБ в своих организациях. Примерно четверть респондентов (25,5%) сами принимают решения по вопросам ИБ. Еще 58,5% дают рекомендации для руководства.