В целом сотрудники компаний признают, что безопасность важна. Однако многие их действия показывают, что для них существуют более важные приоритеты, особенно когда это касается их личных интересов, в том числе, эффективности работы. 76% прямо заявляют, что правила безопасности были разработаны без учета их интересов и существенно мешают работе.
Например, большинство сотрудников выходят с рабочих устройств в социальные сети и работают с личными почтовыми ящиками, и копирование информации на съемные диски и файлообменники носит не менее массовый характер. Что касается распространения конфиденциальной информации, то у сотрудников чаще всего благие намерения, и их действия часто поощряются руководством. Они считают, что приносят пользу компании, работая более эффективно и помогая получать информацию клиентам и партнерам. Однако 35% из них готовы забрать с собой часть информации в случае ухода из компании. Причина та же: личные интересы для многих важнее корпоративных.
Пытаясь контролировать риски, связанные с человеческим фактором, многие крупные компании проводят тренинги по безопасности — 63% опрошенных заявили, что участвовали в них. Однако реальная эффективность таких мероприятий видится сомнительной.
Что характерно, среди людей, посещавших такие тренинги, 18% продолжают подвергать риску корпоративную информацию, потому что полагают, что на самом деле никаких последствий не будет, а 24% прекрасно осознают последствия, но продолжают считать, что выполнить работу для них гораздо важнее. Более того, среди людей, посещавших тренинги по обращению с конфиденциальной информацией, доля нарушителей корпоративных политик выше, чем среди остальных, и достигает 73%. Больше среди них и тех, кто при уходе из компании прихватит информацию с собой.
Как признают аналитики, дело не в том, что тренинги превращают сотрудников в злоумышленников. Скорее всего, просто наиболее «рискованные» категории сотрудников чаще отправляют на тренинги по безопасности.