Поведение удалённых сотрудников остаётся рискованным, но они считают, что контролировать работу вне офиса должны менеджеры, а не ИТ-специалисты. Каждый пятый считает, что контролировать вообще ничего не надо.
Компания Cisco® опубликовала результаты второго глобального исследования особенностей работы удалённых сотрудников. Исследование показало, что удалённые сотрудники неправильно понимают роль ИТ-подразделений, и это может оказать отрицательное влияние на корпоративную и личную безопасность. По мнению удалённых сотрудников, ИТ-подразделения слишком поздно реагируют на проблемы, а ИТ-менеджеры пользуются меньшим авторитетом, чем представители бизнеса.
В ходе исследования исследования, проведённого независимой фирмой летом 2006 года, было опрошено более тысячи удалённых сотрудников и ИТ-менеджеров в 10 странах (США, Великобритании, Франции, Германии, Италии, Японии, Китае, Индии, Австралии и Бразилии). Опрос продолжил предыдущее исследование (результаты которого были опубликованы в октябре), показавшее противоречия между знаниями удалённых сотрудников и их практическим поведением в области безопасности. В рамках нового исследования были опрошены те же сотрудники с тем, чтобы выяснить их мнение о роли ИТ-подразделений в обеспечении безопасной работы. Были опрошены и ИТ-специалисты, чтобы узнать, какова, по их мнению, их роль в глазах конечных пользователей.
Результаты опроса оказались во многом неожиданными. В шести из 10 стран (включая США) большинство удалённых сотрудников считает, что контролировать их работу имеют право только прямые начальники, но не ИТ-подразделения. А во Франции многие респонденты (38%) заявили, что контролировать их работу не имеет право никто. Доля тех, кто признаёт такое право за ИТ-подразделениями, составила 33%.
В США и Франции, а также в Австралии, Бразилии, Китае и Великобритании удалённые сотрудники считают, что их работу должны контролировать только бизнес-менеджеры, но не менеджеры ИТ-подразделений. Респонденты из Индии, Италии, Японии и Германии высказали противоположное мнение, однако в Японии и Германии треть опрошенных заявили, что всю ответственность за безопасность их работы несут прямые начальники, независимо от прав и полномочий, которыми обладают ИТ-подразделения. Среди респондентов не было ИТ-профессионалов. Это означает, что, по их мнению, менеджеры по продажам, маркетингу, учёту, кадрам, технической поддержке, эксплуатации и другим сферам бизнеса имеют больше прав по коррекции онлайнового поведения удалённых сотрудников, чем специалисты в области информационных технологий.
В среднем около 13% опрошенных вообще не признают никакого контроля за использованием служебных компьютеров. Больше всего таких людей во Франции (38%), но и в Италии их больше трети (35%). Среднемировой показатель превышен также в Японии (22%), США (14%) и Австралии (14%).
«Результаты исследования указывают на влияние социальной и корпоративной культуры на представления и поведение удалённых сотрудников, — говорит Джефф Плейтон (Jeff Platon), вице-президент Cisco по маркетингу в области безопасности. — Например, в Германии 71% опрошенных согласны с тем, что ИТ-подразделения должны контролировать их работу, но треть респондентов считает, что и менеджеры должны разделять ответственность за обеспечение безопасности. Каждый четвёртый указывает, что ответственность за безопасность своей работы должны нести и сами сотрудники. Многие опрошенные в Германии ощущают общую ответственность всех сотрудников компании за информационную безопасность».
«Во всех странах, кроме Германии, руководители ИТ-подразделений сталкиваются с проблемой утверждения своего престижа в глазах конечных пользователей», — считает Джефф Плейтон. Поэтому неудивительны результаты опроса самих ИТ-сотрудников о том, какую роль отводят им удалённые сотрудники. Более половины респондентов (53%) считают, что пользователи не согласны с тем, что ИТ-подразделения имеют право знать, как используются служебные компьютеры. Только в Индии и Бразилии большинство респондентов придерживаются противоположной точки зрения.
Как считает Джон Стюарт, руководитель службы информационной безопасности Cisco, «Это не проблема, а ниша, в которой ИТ-подразделения могут утвердить себя в качестве доверенных советников по вопросам безопасности».
«ИТ-подразделения понимают, что сотрудники знают о проблемах безопасности, но часто не понимают, что их собственное поведение ставит корпоративную безопасность под угрозу, — говорит он. — Обучение сотрудников и распространение правильных подходов — вот ключи к решению этой проблемы. ИТ-подразделения и службы безопасности вместе с высшим руководством компании должны разработать программы по обучению сотрудников навыкам безопасной работы и повышению их ответственности. Хотя для защиты от сетевых угроз (а эти угрозы возникают всегда, если к одной сети подключается множество людей с разными интересами) ИТ-подразделения обязательно должны использовать упреждающие «проактивные» технологии, но в конечном итоге безопасная корпоративная культура возникает только при сочетании упреждающих методов с хорошо защищёнными продуктами и обучением сотрудников».
Джефф Плейтон считает, что результаты первого опроса, опубликованные в прошлом месяце («Теория и практика поведения удалённых сотрудников: несмотря на осведомлённость о рисках, многие из них предпринимают рискованные действия», http://www.cisco.com/global/RU/news/releases/0872.shtml), подчёркивают важность слов Стюарта.
«Две трети удалённых сотрудников знают, что удалённая работа требует повышенной осторожности. — говорит Плейтон. — Однако многие из них допускают рискованные действия при использовании служебных компьютеров. Таким образом, знания сотрудников противоречат их поведению».
К рискованным действиям относится подключение к соседским беспроводным сетям, открытие подозрительных электронных писем, доступ к корпоративной информации с помощью личных устройств и доступ посторонних лиц к служебному компьютеру. В своё оправдание удалённые сотрудники приводят множество доводов, например: «не думаю, что это увеличивает угрозу», «моя компания не знает об этом, а если знает, то не возражает», «другие сотрудники поступают так же».
Противоречие между знаниями удалённых сотрудников и их практическим поведением, приводимые «оправдательные доводы» и отношение сотрудников к роли ИТ-подразделений говорят о том, что руководителей ИТ-служб и служб безопасности должны занять позицию доверенного советника по безопасности в своей компании, — говорит Стюарт. — Исследование показало, что безопасность — дело каждого сотрудника. ИТ-подразделения могут и обязаны довести эту идею до всех сотрудников, чтобы те осознали тесную связь между своим поведением и угрозами.
Укрепление безопасности включает формирование единой позиции по этому вопросу в высшем руководстве компании, назначение советников по безопасности, обучение сотрудников, проведение «адресных» мероприятий и введение наград и других стимулов. Все эти меры нужно предпринимать глобально, во всей компании, но с учётом региональных особенностей.
«Большинство служб ИТ-безопасности всё ещё находятся «в тени», занимая выжидательную позицию, и руководство просто не знает, что эти службы могут предотвращать падение производительности и потерю данных. — добавляет Стюарт. — Проводя консультации и обучая конечных пользователей, ИТ-подразделения могут закрепить за собой репутацию доверенного советника по безопасности. Это то, что крайне необходимо не только руководителям ИТ-служб и служб безопасности, но и всей компании».