menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2024
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ

Security Awareness — что это и зачем он нужен?

лонгриды
13.01.2023
26/09/25
Б-152
Лонгриды
События /
Security Awareness — что это и зачем он нужен?
Каждый сотрудник компании выполняет рабочие задачи, но одновременно остается потенциальным каналом, через который злоумышленники могут попытаться проникнуть в систему.
Любое взаимодействие человека с информационными системами несет потенциальные риски: открытое фишинговое письмо, клик по фишинговой ссылке, отправка данных по ошибочному адресу. Злоумышленники давно поняли, что гораздо проще обмануть сотрудника, чем взломать сложную техническую систему защиты. И именно это делает человеческий фактор  решающим в вопросах информационной безопасности.
Организации вкладывают значительные средства в технические решения: строятся периметры защиты, внедряются системы мониторинга и предотвращения атак, усиливаются механизмы шифрования. Но, как показывает практика, даже самые совершенные системы могут оказаться бессильны перед одним человеческим действием.
Security Awareness нужно для того, чтобы этот фактор перестал быть уязвимостью и стал барьером для злоумышленника. Важно подчеркнуть: речь идет не о формальных инструктажах, которые проходят раз в год. Настоящий процесс Security Awareness — это системная работа по формированию культуры безопасности.
Что включает в себя Security Awareness?
Почему это действительно критично для бизнеса?
Содержание
Какие подходы себя не оправдывают?
Как построить эффективную программу?
Баланс между эффективностью и комфортом
Заключение
Что включает в себя Security Awareness?
Почему это действительно критично для бизнеса?
Содержание
Какие подходы себя не оправдывают?
Как построить эффективную программу?
Баланс между эффективностью и комфортом
Заключение

Что включает в себя Security Awareness?

Термин объединяет целый комплекс организационных и образовательных мер. Это не отдельный курс и не разовая акция. Это долгосрочная программа, которая формирует устойчивую привычку сотрудников учитывать риски при работе с информацией.
  1. Security Awareness как процесс. Обучение должно быть постоянным, обновляемым и гибким. Оно должно учитывать изменения в угрозах, появление новых технологий, развитие бизнес-процессов. Одного курса недостаточно, нужен цикл обучения и закрепления.
  2. Security Awareness как культура. Безопасность перестает быть набором навязанных правил. Она становится частью рабочего мышления. Сотрудник автоматически учитывает риски в своей деятельности.
  3. Security Awareness как навыки и поведение. Важно не только знать термины, но и понимать их уметь действовать. Увидел подозрительное письмо — не игнорируй, а отправь в службу ИБ. Работаешь на удаленке — понимаешь, что личный ноутбук без антивируса нельзя подключать к корпоративной сети. Здесь знания превращаются в действия.
  4. Security Awareness как распределенная ответственность. Не только защита информации относится к задачам ИБ-отдела. Каждый сотрудник понимает, что он тоже часть общей системы защиты. Ответственность распределена по всей организации.

Почему это действительно критично для бизнеса?

Цифры и практика говорят сами за себя. По оценкам, около 80% киберинцидентов напрямую связаны с человеческим фактором. 
Ошибки сотрудников приводят к утечкам данных чаще, чем программные уязвимости или технические сбои. Фишинговая ссылка, слабый пароль, передача документов не тому адресату — все эти ситуации из повседневной практики становятся реальными точками атаки.
Важно подчеркнуть еще один момент: рынок Security Awareness в России активно растет. Если в 2023 году объем составлял около 600 млн рублей, то к 2027 прогнозируется рост до 2,4 млрд рублей.
Это говорит о том, что компании начинают воспринимать обучение не как второстепенный процесс, а как стратегическую инвестицию. Более того, бенчмарки фишинг-симуляций показывают, что даже в 2025 году «нормальным» считается показатель click-rate на уровне 8−14%. То есть от 8 до 14% сотрудников все еще нажимают на вредоносные ссылки. А это серьезная угроза для любой организации.

Какие подходы себя не оправдывают?

Многие привычные методы обучения не дают нужного эффекта. Вот наиболее проблемные подходы:
  • Ежегодные инструктажи для галочки. Сотрудники быстро забывают услышанное, а сама процедура создает иллюзию контроля.
  • Обучение без связи с реальностью. Истории про хакеров впечатляют, но если они не имеют отношения к работе конкретного сотрудника, практического эффекта нет.
  • Отсутствие мотивации и обратной связи. Когда человек не понимает, зачем он тратит время, и не получает никакой оценки своих действий, обучение воспринимается как пустая формальность.
  • Универсальные программы для всех сотрудников. У бухгалтера и системного администратора совершенно разные риски и задачи. Унифицированные курсы не учитывают эти различия.
  • Отсутствие метрик. Компании часто считают, сколько сотрудников завершили курс, но не отслеживают, изменилось ли их поведение: сколько человек кликнули по фишинговому письму, сколько сообщили о подозрении, удалось ли реально предотвратить утечку.

Как построить эффективную программу?

Работающая программа Security Awareness должна быть комплексной и учитывать разные аспекты:
— Сегментация сотрудников. Нужно четко делить сотрудников по ролям и рискам. Для HR важны вопросы конфиденциальности при обработке персональных данных, для бухгалтерии — защита финансовых документов, для IT — правила администрирования систем. Универсальных решений не бывает.
— Микрообучение и разнообразие форматов. Короткие и интерактивные модули, тесты, видео, симуляции, игровые элементы. Чем ближе к практике и чем меньше отвлекает от основной работы, тем выше усвоение.
— Регулярные проверки и симуляции. Фишинг-тесты должны проводиться не раз в год, а регулярно. При этом важно моделировать разные сценарии: не только письма, но и звонки, сообщения в мессенджерах, случаи социальной инженерии. Все чаще используются и новые техники (например, deepfake).
— Формирование позитивной культуры. Ошибки сотрудников должны становиться уроками, а не поводом для наказания. Нужна поддержка, объяснение, поощрение. Конкурсы и признание лучших участников помогают формировать правильное отношение.
— Интеграция с бизнес-процессами. Обучение должно быть встроено в повседневную работу. При приеме новых сотрудников, при переходе на удаленную работу, при внедрении новых ИТ-систем — везде должна быть часть Security Awareness.
— Актуальность материалов. Материалы нужно постоянно обновлять. Сегодняшние атаки отличаются от вчерашних, и примеры должны быть живыми и реальными.
— Системное измерение поведения. Важно отслеживать показатели click-rate, report-rate, failure-rate, время реакции на инциденты. Сравнивать их в динамике: до и после обучения, от квартала к кварталу.

Баланс между эффективностью и комфортом

Главная задача программы — приносить пользу, не мешая основной работе. Сотрудники не должны воспринимать ее как дополнительную нагрузку. Чтобы этого достичь:
  • Не перегружать курсами и проверками. Частота должна быть разумной.
  • Делать обучение понятным и прикладным. Это не правила ради правил, а конкретные советы и инструкции.
  • Предоставлять выбор форматов: онлайн, офлайн, короткие лекции, симуляции.
  • Поддерживать обратную связь. Сотрудники должны иметь возможность сказать, что вызывает сложности, что полезно, а что раздражает.
  • Вовлекать руководство. Когда топ-менеджеры сами участвуют в обучении и демонстрируют правильное поведение, это задает тон всей компании.

Заключение

Security Awareness рассматривается не как модный термин и не как формальный пункт ради отчета. Это полноценный стратегический элемент системы защиты.
В условиях, когда угрозы становятся все более изощренными, а работа все чаще строится удаленно и на стыке личных и корпоративных устройств, именно подготовленные сотрудники обеспечивают устойчивость компании. 
Эффективная программа Security Awareness снижает количество инцидентов, экономит ресурсы, формирует культуру ответственности и уверенности. И в итоге именно она делает компанию более защищенной и конкурентоспособной.
Если вы хотите внедрить такую программу у себя, команда Б-152 поможет
Мы разрабатываем тренинги и практические материалы под разные роли в компании, сопровождаем внедрение и даем измеримые результаты. Это позволит не только выполнить требования закона, но и реально снизить риски для бизнеса.
ОСТАВИТЬ ЗАЯВКУ
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме