Если в компании нет регулярной кибергигиены — повторяемого цикла обучения сотрудников информационной безопасности, проверки знаний и корректирующих действий — бизнес платит за это не только инцидентами, но и авралами и ростом управленческого риска.
Для генерального директора информационная безопасность — это разговор не «про курсы» или антиспам, а про управляемость: контролирует ли компания риски, которые привносят сотрудники, или только реагирует на последствия.
Обучение сотрудников информационной безопасности: что говорят данные
- В 2025 году злоумышленники отправляли фишинговые письма в 3 раза чаще, чем годом ранее, а число фишинговых атак выросло на 38% (данные — BI.ZONE Mail Security)
- По итогам анализа 230 ИБ-инцидентов ГК «Солар» основными каналами утечек стали мессенджеры (35%) и корпоративная почта (23%); при этом 82% инцидентов были вызваны ошибками сотрудников.
- По анализу тренировочных рассылок МегаФона и Kaspersky, 40% сотрудников переходили по подозрительным ссылкам, 10% вводили конфиденциальные данные, 9% открывали вложения. Среди обученных сотрудников только 2% переходили по сомнительным ссылкам, а 0,2% компрометировали данные.
Вывод простой: фишинг в рабочих каналах компаний уже стал обыденностью, а человеческие риски находятся на высоких уровнях.
Цена бездействия в информационной безопасности: ошибки сотрудников, утечки данных, фишинг
Цена бездействия редко выглядит как один громкий инцидент. Обычно она накапливается, вызываю необходимость "разруливать" мелкие риски вручную.
Для генерального директора это ведёт к 3 последствиям:
- Растёт операционный риск в обычных рабочих каналах — корпоративная почта становится небезопасной и рано или поздно станет источником утечки или шифрования.
- ИБ и ИТ-отделы платят временем, чтобы реагировать
- Информационная безопасность остаётся расходом без доказанного эффекта.
Кажется, будто каждая следующая проблема — всего лишь случайность. На деле это результат отсутствия управляемого процесса информационной безопасностью в компании.
Читайте также: «Как обосновать бюджет на обучение сотрудников по ИБ перед финдиректором».
Почему технических мер недостаточно без обучения сотрудников информационной безопасности
Техническая защита необходима, но не закрывает весь риск. По данным BI.ZONE, атаки всё чаще идут через скомпрометированные учётные записи и социальную инженерию. По данным МегаФона и Kaspersky, лучше всего срабатывают письма от HR-, финансовой и ИТ-функций.
Для генерального директора это означает одно: антиспам (наиболее используемое решение в российском бизнесе) снижает часть угроз на входе, но человеческий фактор не учитывается, если сотрудники не проходят регулярное обучение по информационной безопасности и не проверяются на реальных сценариях.
Поэтому вопрос, стоящий перед каждым СЕО это не «что выбрать — технологии или обучение?». Это вопрос «есть ли у нас системное управление рисками в ИБ?».
Регулярная кибергигиена сотрудников и проверка знаний по информационной безопасности
Регулярная кибергигиена сотрудников — это не разовая лекция и не памятка после утечки. Это повторяемый цикл:
- Сотрудникам дают понятные правила и обучающие материалы
- У сотрудников проверяет не слова, а поведение: учебный фишинг, тестовые сценарии, контроль реакции
- По результатам корректируют программу и видят динамику влияния.
Генеральному директору здесь важны не детали методики, а понимание — "где уязвимость бизнеса", "что делается для того, чтобы эту уязвимость снизить" и "как мы поймем, что стало лучше".
| Вопрос генерального директора | Что должно быть в ответе |
|---|---|
| Где компания уязвима сильнее всего? | Каналы риска, группы сотрудников, типовые ошибки |
| Что делается для снижения риска? | Повторяемый цикл: обучение, проверка, корректировка |
| Как понять, что ситуация улучшается? | Динамика поведения, а не просто факт проведения мероприятия |
Если у ИБ-отдела нет ответа на эти три вопроса, управляемого процесса в компании пока нет.
Платформа Avareange для обучения сотрудников информационной безопасности и фишинг-симуляций
На определённом этапе памятки, разовые рассылки и Excel-отчёты перестают работать. Как только в компании появляется несколько отлеживаемых отделов, ручной подход начинает сбоить и разваливаться.
Именно здесь имеет смысл задуматься о подключении автоматизированного решения. Платформа Avareange ценна не тем, что это «ещё один ИБ-сервис», а в том, что платформа собирает в один цикл симуляции, обучение и отчётность.
Генеральному директору это даёт не только понимание активностей ("провели, обучили"), но и динамику: какие сценарии проверялись, где были ошибки и как меняется ситуация. Автоматизированные решения позволяют видеть влияние на риски информационной безопасности в бизнес-разрезе, а не в формате отдельных действий.
Скачать технический обзор платформы Avareange
Записаться на демо платформы Avareange
