Вопрос: Знаете ли вы, как получить доступ к нужным данным в компании?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Да | 4 | 0 | 6 | 0 | 1 | 1 | 12 |
| Нет | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Обычно спрашиваю у коллег | 5 | 0 | 6 | 0 | 0 | 4 | 15 |
| Частично | 2 | 0 | 1 | 0 | 0 | 1 | 4 |
| Всего | 11 | 0 | 13 | 0 | 1 | 6 | 31 |
🧠 Основные выводы:
-
39% респондентов знают, как получить доступ к нужным данным в компании, что говорит о достаточно высокой осведомленности о процессе доступа.
-
48% респондентов обычно спрашивают у коллег, как получить доступ к данным, что указывает на зависимость от устных коммуникаций, а не на наличие централизованного процесса.
-
13% респондентов частично знают, как получить доступ к данным, что может указывать на неясность или неполное понимание доступных каналов доступа.
✅ Рекомендации:
-
Упрощение процесса доступа к данным:
- Разработать и внедрить четкую документацию и процедуры для получения доступа к данным, чтобы избежать зависимостей от коллег.
-
Автоматизация процесса доступа:
- Внедрить автоматизированные системы, которые позволяют пользователям легко запрашивать и получать доступ к нужным данным без необходимости обращаться к коллегам.
-
Обучение сотрудников:
- Проводить регулярное обучение для сотрудников по процессам получения доступа, чтобы повысить осведомленность и снизить зависимость от неформальных каналов.
Вопрос: Есть ли формализованный процесс запроса доступа к данным?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Не знаю | 2 | 0 | 3 | 0 | 0 | 2 | 7 |
| Частично | 1 | 0 | 1 | 0 | 0 | 0 | 2 |
| Да | 8 | 0 | 9 | 0 | 1 | 4 | 22 |
| Нет | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Всего | 11 | 0 | 13 | 0 | 1 | 6 | 31 |
🧠 Основные выводы:
-
71% респондентов уверены, что в компании существует формализованный процесс запроса доступа к данным, что указывает на наличие налаженной процедуры.
-
23% респондентов не знают или не уверены в наличии такого процесса, что может свидетельствовать о недостаточной прозрачности в организации работы с доступом к данным.
-
6% респондентов считают, что процесс формализован частично, что может означать наличие некоторой структуры, но с элементами неформальности.
✅ Рекомендации:
-
Повышение прозрачности процессов запроса доступа:
- Обеспечить ясность и доступность информации о процессе запроса доступа ко всем сотрудникам через документацию или внутренний портал.
-
Укрепление формализации процесса:
- Убедиться, что процесс запроса доступа четко установлен и документирован, с возможностью отслеживания и управления заявками.
-
Обучение сотрудников:
- Проводить обучение для сотрудников, чтобы каждый знал о существующем процессе и как им правильно пользоваться.
Вопрос: Как вы оцениваете удобство текущего процесса получения доступа?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Очень неудобно | 0 | 0 | 0 | 0 | 0 | 1 | 1 |
| В целом удобно | 7 | 0 | 13 | 0 | 1 | 3 | 24 |
| Очень удобно | 1 | 0 | 0 | 0 | 0 | 1 | 2 |
| Скорее неудобно | 3 | 0 | 0 | 0 | 0 | 1 | 4 |
| Всего | 11 | 0 | 13 | 0 | 1 | 6 | 31 |
🧠 Основные выводы:
-
77% респондентов оценивают процесс получения доступа как удобный или очень удобный, что свидетельствует о положительном восприятии текущей процедуры.
-
13% респондентов считают процесс скорее неудобным, что может указывать на отдельные сложности или задержки, которые требуют улучшения.
-
3% респондентов считают процесс очень неудобным, что может говорить о том, что есть определенные проблемы с доступом, которые влияют на восприятие пользователей.
✅ Рекомендации:
-
Устранение выявленных трудностей:
- Провести анализ текущих проблем и предложить улучшения, чтобы снизить процент неудовлетворенных пользователей.
-
Упрощение и ускорение процесса:
- Оптимизировать процесс получения доступа, возможно, через автоматизацию или улучшение внутренней навигации и коммуникации.
-
Обучение и информационная поддержка:
- Проводить регулярные сессии по обучению сотрудников процессу получения доступа, чтобы снизить число жалоб и улучшить восприятие процедуры.
Вопрос: Кто отвечает за предоставление доступа к данным в вашей команде?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Владельцы данных | 5 | 0 | 2 | 0 | 0 | 0 | 7 |
| Не знаю | 0 | 0 | 0 | 0 | 0 | 1 | 1 |
| Руководитель | 1 | 0 | 1 | 0 | 0 | 1 | 3 |
| Администраторы | 5 | 0 | 10 | 0 | 1 | 4 | 20 |
| Всего | 11 | 0 | 13 | 0 | 1 | 6 | 31 |
🧠 Основные выводы:
-
65% респондентов указывают, что доступ к данным предоставляют администраторы, что может свидетельствовать о централизованной модели управления доступом.
-
22% респондентов считают, что доступ к данным предоставляют владельцы данных, что также может быть важным для управления доступом на уровне данных.
-
10% респондентов не знают, кто отвечает за предоставление доступа, что указывает на отсутствие ясности или прозрачности в процессах управления доступом.
-
3% респондентов считают, что доступ предоставляют руководители, что может свидетельствовать о распределённой ответственности.
✅ Рекомендации:
-
Уточнить и документировать роли и ответственность:
- Обеспечить чёткое определение ролей в процессе предоставления доступа к данным для повышения прозрачности и понимания сотрудниками своих обязанностей.
-
Усилить коммуникацию по процессам управления доступом:
- Провести информационные сессии для сотрудников с разъяснением ролей и процедур, чтобы исключить неопределённости.
-
Оптимизация процессов предоставления доступа:
- Оценить эффективность существующей модели предоставления доступа, возможно, внедрить более автоматизированные решения для улучшения удобства и скорости доступа.
Вопрос: Понимаете ли вы, к каким данным у вас есть доступ и зачем?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Частично | 2 | 0 | 3 | 0 | 0 | 0 | 5 |
| Нет | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Не совсем | 0 | 0 | 1 | 0 | 0 | 1 | 2 |
| Да | 9 | 0 | 9 | 0 | 1 | 5 | 24 |
| Всего | 11 | 0 | 13 | 0 | 1 | 6 | 31 |
🧠 Основные выводы:
-
77% респондентов уверены, что они знают, к каким данным у них есть доступ и зачем. Это говорит о достаточно высоком уровне осведомленности среди сотрудников, особенно среди инженеров данных.
-
16% респондентов понимают, к каким данным у них есть доступ, но не полностью уверены в их назначении, что может указывать на некоторую неопределенность в процессах управления данными.
-
7% респондентов заявляют, что они не совсем понимают, к каким данным у них есть доступ, что может указывать на необходимость улучшения процессов обучения и коммуникации.
-
Отсутствие ответа “Нет” на этот вопрос подтверждает, что сотрудники в целом знают свои данные и имеют доступ к нужной информации.
✅ Рекомендации:
-
Повышение прозрачности по данным:
- Убедиться, что все сотрудники понимают, зачем им необходим доступ к данным и как это соотносится с их ролью.
-
Обучение и разъяснительные сессии:
- Провести дополнительные тренинги по управлению данными для всех сотрудников, особенно для тех, кто не уверен в своём доступе.
-
Документирование и доступность информации:
- Сделать описание доступных данных и их назначения более прозрачным и доступным для всех сотрудников через внутренние системы или справочники.
Вопрос: Имеется ли контроль сроков действия доступа к данным?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Да, всегда | 4 | 0 | 1 | 0 | 0 | 0 | 5 |
| Нет | 2 | 0 | 0 | 0 | 0 | 1 | 3 |
| Не знаю | 2 | 0 | 5 | 0 | 0 | 3 | 10 |
| В некоторых случаях | 3 | 0 | 7 | 0 | 1 | 2 | 13 |
| Всего | 11 | 0 | 13 | 0 | 1 | 6 | 31 |
🧠 Основные выводы:
-
42% респондентов уверены, что существует контроль сроков действия доступа к данным, с пометкой, что контроль осуществляется в некоторых случаях или всегда.
-
32% респондентов заявляют, что не знают, контролируются ли сроки действия доступа к данным, что может указывать на недостаток информированности о политике управления доступом.
-
10% респондентов не уверены в процессе контроля срока действия доступа, что также подчеркивает возможные пробелы в прозрачности процессов безопасности.
-
10% респондентов утверждают, что контроль отсутствует, что может сигнализировать о необходимости улучшения механизмов контроля и управления доступом.
✅ Рекомендации:
-
Установить стандарты и политику контроля сроков действия доступа:
- Разработать и внедрить четкие процедуры для контроля сроков действия доступа, чтобы повысить безопасность данных.
-
Обучение и информирование сотрудников:
- Убедиться, что все сотрудники знают о наличии контроля сроков действия доступа и как этот процесс осуществляется.
-
Улучшить коммуникацию и прозрачность процессов:
- Сделать информацию о сроках действия доступа более доступной для всех сотрудников через внутренние каналы или инструменты.
Вопрос: Применяется ли принцип наименьших привилегий (минимально необходимый доступ)?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Да | 7 | 0 | 3 | 0 | 1 | 5 | 16 |
| Частично | 1 | 0 | 5 | 0 | 0 | 0 | 6 |
| Не знаю | 2 | 0 | 5 | 0 | 0 | 1 | 8 |
| Нет | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Всего | 10 | 0 | 13 | 0 | 1 | 6 | 30 |
🧠 Основные выводы:
-
53% респондентов утверждают, что принцип наименьших привилегий применяется полностью или частично в их организации, что свидетельствует о частичной зрелости процесса безопасности.
-
27% респондентов не уверены в применении принципа наименьших привилегий, что указывает на возможные пробелы в осведомленности сотрудников о текущих политиках доступа.
-
Принцип наименьших привилегий не применяется в организации по мнению 0% респондентов, что говорит о потенциально высоком уровне реализации этого принципа.
✅ Рекомендации:
-
Усовершенствовать процесс применения принципа наименьших привилегий:
- Обеспечить более строгие и четкие правила доступа, чтобы минимизировать риск избыточных привилегий.
-
Повысить осведомленность сотрудников:
- Провести обучение для сотрудников, чтобы улучшить понимание принципа наименьших привилегий и его важности в контексте безопасности.
-
Регулярный аудит и обновление привилегий:
- Внедрить регулярные проверки и пересмотры прав доступа, чтобы удостовериться, что все пользователи имеют только те права доступа, которые необходимы для выполнения их работы.
Вопрос: Есть ли в компании политика классификации данных (например, публичные, внутренние, конфиденциальные)?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Да | 3 | 0 | 8 | 0 | 0 | 3 | 14 |
| Частично | 4 | 0 | 1 | 0 | 0 | 0 | 5 |
| Нет | 1 | 0 | 1 | 0 | 0 | 1 | 3 |
| Не знаю | 2 | 0 | 3 | 0 | 1 | 2 | 8 |
| Всего | 10 | 0 | 13 | 0 | 1 | 6 | 30 |
🧠 Основные выводы:
-
47% респондентов отмечают, что в компании существует политика классификации данных, что подтверждает наличие некоторых стандартов безопасности для различных типов данных.
-
17% респондентов уверены, что политика классификации данных частично реализована в компании, что указывает на неопределенность и возможные пробелы в практике.
-
27% респондентов не знают или не уверены, существует ли такая политика, что говорит о низком уровне осведомленности среди сотрудников относительно важных аспектов безопасности данных.
-
Только 10% респондентов утверждают, что в их компании нет политики классификации данных, что может сигнализировать о слабой зрелости в управлении доступом и защите данных.
✅ Рекомендации:
-
Разработать и внедрить полную политику классификации данных:
- Важно официально классифицировать данные на публичные, внутренние, конфиденциальные и т. д. для повышения безопасности и минимизации рисков утечек.
-
Провести обучение и повысить осведомленность среди сотрудников:
- Обучить сотрудников тому, как правильно классифицировать данные, и повысить их осведомленность о существующих политиках.
-
Установить регулярный аудит политики классификации данных:
- Внедрить процесс регулярного обновления и пересмотра политики, чтобы обеспечить её актуальность и соответствие текущим требованиям безопасности.
Вопрос: Знаете ли вы, как определяются чувствительные или персональные данные?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| В общих чертах | 4 | 0 | 5 | 0 | 0 | 1 | 10 |
| Не уверен(а) | 3 | 0 | 4 | 0 | 1 | 2 | 10 |
| Да | 3 | 0 | 4 | 0 | 0 | 3 | 10 |
| Нет | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Всего | 10 | 0 | 13 | 0 | 1 | 6 | 30 |
🧠 Основные выводы:
-
33% респондентов знают, как определяются чувствительные или персональные данные, что демонстрирует осведомленность в вопросах безопасности данных.
-
33% респондентов имеют неуверенность в определении таких данных, что указывает на необходимость улучшения образования и инструктажей в этой области.
-
33% респондентов способны только в общих чертах понимать, что такое чувствительные или персональные данные, что также свидетельствует о пробелах в понимании специфики работы с персональными данными.
-
Отсутствие полного понимания того, как определяются чувствительные данные, указывает на необходимость дополнительных обучающих мероприятий и ресурсов по вопросам безопасности данных.
✅ Рекомендации:
-
Обучение и повышение осведомленности:
- Организовать регулярные тренинги и курсы по определению чувствительных и персональных данных для всех сотрудников.
-
Разработка и распространение документов:
- Разработать четкие и доступные инструкции по определению чувствительных данных и предоставить их всем сотрудникам.
-
Регулярные обновления и контроль за соблюдением стандартов:
- Внедрить регулярные проверки знаний сотрудников на тему безопасности данных и привести к единому стандарту понимание, что такие данные являются чувствительными и какие меры предосторожности необходимо соблюдать при их обработке.
Вопрос: Проходили ли вы обучение по защите данных или информационной безопасности?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Да | 7 | 0 | 8 | 0 | 1 | 4 | 20 |
| Не помню | 0 | 0 | 2 | 0 | 0 | 0 | 2 |
| Частично | 3 | 0 | 2 | 0 | 0 | 1 | 6 |
| Нет | 0 | 0 | 1 | 0 | 0 | 1 | 2 |
| Всего | 10 | 0 | 13 | 0 | 1 | 6 | 30 |
🧠 Основные выводы:
-
67% респондентов прошли обучение по защите данных или информационной безопасности. Однако 10% не помнят, проходили ли такое обучение, а 23% не прошли обучение вообще.
-
Примечательно, что 27% респондентов сообщили о частичном обучении по защите данных или информационной безопасности, что может свидетельствовать о наличии только базового уровня ознакомления или недостаточной полноты курса.
-
10% участников не уверены в обучении и не могут вспомнить, проходили ли такое обучение.
-
Данные из инженерных команд показывают, что обучение по защите данных более распространено среди них, с 62% прошедших обучение, что связано с их прямой работой с данными.
✅ Рекомендации:
-
Установить обязательные курсы по защите данных:
- Повысить уровень знаний среди сотрудников, особенно в части информационной безопасности.
-
Провести перепроверку программы обучения:
- Обновить и стандартизировать программу, чтобы обеспечить всем сотрудникам равный доступ к актуальным знаниям по безопасности данных.
-
Внедрить регулярные тестирования:
- Это поможет оценить уровень усвоения материала и выявить области, требующие дополнительного внимания.
Вопрос: Как обеспечивается контроль доступа к чувствительным данным?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Не знаю | 2 | 0 | 2 | 0 | 0 | 3 | 7 |
| Не контролируется | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Через политики и роли | 7 | 0 | 10 | 0 | 0 | 3 | 20 |
| Через ручные процессы | 1 | 0 | 1 | 0 | 1 | 0 | 3 |
| Всего | 10 | 0 | 13 | 0 | 1 | 6 | 30 |
🧠 Основные выводы:
-
67% респондентов указывают, что контроль доступа к чувствительным данным осуществляется через политики и роли.
-
23% респондентов признают, что процесс доступа к чувствительным данным осуществляется через ручные процессы, что указывает на недостаточную автоматизацию в этом вопросе.
-
23% респондентов не знают, как обеспечивается контроль доступа к чувствительным данным, что свидетельствует о недостаточной осведомленности среди сотрудников, особенно в отношении этого критичного аспекта безопасности.
-
Не контролируется доступ к чувствительным данным указывается у 0% респондентов, что положительно, но отсутствие осведомленности также является значимой проблемой.
✅ Рекомендации:
-
Усилить информированность о методах контроля доступа:
- Провести обучение для сотрудников о процессах и политике управления доступом.
-
Автоматизировать контроль доступа:
- Инвестировать в решения для автоматизации контроля доступа и снижение зависимости от ручных процессов.
-
Ревизия и оптимизация существующих политик:
- Провести аудит текущих политик и ролей для обеспечения соответствия современным требованиям безопасности.
Вопрос: Есть ли процесс отзыва доступа при смене роли или увольнении сотрудника?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Да | 6 | 0 | 9 | 0 | 1 | 2 | 18% |
| Частично | 1 | 0 | 1 | 0 | 0 | 2 | 11% |
| Нет | 1 | 0 | 1 | 0 | 0 | 0 | 4% |
| Не знаю | 2 | 0 | 2 | 0 | 0 | 2 | 7% |
| Всего | 10 | 0 | 13 | 0 | 1 | 6 | 30 |
🧠 Основные выводы:
-
60% респондентов сообщают, что в компании существует процесс отзыва доступа при смене роли или увольнении сотрудника, что указывает на сильную сторону в области безопасности.
-
11% респондентов утверждают, что процесс отзыва доступа существует частично, что может означать наличие проблем с автоматизацией или не всеобъемлющей практикой в некоторых отделах.
-
4% респондентов отмечают, что процесс отзыва доступа отсутствует. Это важная красная линия, так как отбор доступа при увольнении критичен для обеспечения безопасности данных.
-
7% респондентов не знают, как осуществляется процесс отзыва доступа, что также указывает на недостаточную осведомленность среди сотрудников.
✅ Рекомендации:
-
Усиливать процесс отзыва доступа:
- Инвестировать в автоматизацию этого процесса для обеспечения его универсальности и своевременности.
-
Повышение осведомленности:
- Обучение сотрудников по вопросам безопасности, включая важность отзыва доступа при смене роли или увольнении.
-
Ревизия политики отзыва доступа:
- Провести аудит и улучшить существующую практику, чтобы она охватывала все роли и случаи в организации.
Вопрос: Возникают ли в вашей работе сложности, связанные с ограничениями доступа?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Никогда | 0 | 0 | 2 | 0 | 0 | 1 | 3% |
| Часто | 3 | 0 | 0 | 0 | 0 | 0 | 10% |
| Иногда | 4 | 0 | 5 | 0 | 1 | 2 | 23% |
| Редко | 3 | 0 | 6 | 0 | 0 | 3 | 13% |
| Всего | 10 | 0 | 13 | 0 | 1 | 6 | 100% |
🧠 Основные выводы:
-
36% респондентов сталкиваются с проблемами, связанными с ограничениями доступа, где 23% отмечают, что эти сложности возникают иногда и 13% — редко.
-
10% респондентов утверждают, что сложности с ограничениями доступа возникают часто, что требует дальнейшего внимания к политике доступа и возможной её оптимизации.
-
3% респондентов не сталкиваются с такими проблемами, но это небольшая доля, и проблемы с доступом всё равно могут возникать в различных ролях, особенно среди инженеров данных.
✅ Рекомендации:
-
Провести анализ ограничений доступа:
- Проанализировать причины ограничений, возникающих в работе, чтобы выявить возможные недостатки в настройке прав доступа.
-
Оптимизация процесса доступа:
- Пересмотреть существующие процессы, чтобы обеспечить более гибкие и эффективные способы получения доступа, не создавая ненужных барьеров.
-
Обучение сотрудников:
- Провести дополнительные тренинги для сотрудников по управлению доступом и эффективному использованию доступных инструментов, что может снизить количество затруднений в этом процессе.
Вопрос: Есть ли аудит доступа к данным в вашей организации?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Не знаю | 3 | 0 | 6 | 0 | 0 | 3 | 32% |
| Частично | 4 | 0 | 2 | 0 | 0 | 1 | 26% |
| Нет | 0 | 0 | 0 | 0 | 0 | 0 | 0% |
| Да | 3 | 0 | 5 | 0 | 1 | 2 | 42% |
| Всего | 10 | 0 | 13 | 0 | 1 | 6 | 100% |
🧠 Основные выводы:
-
42% респондентов сообщают, что в их организации есть аудит доступа к данным, что указывает на некоторую степень прозрачности в этом процессе.
-
32% респондентов не знают о наличии такого аудита, что может говорить о недостаточной коммуникации или неинформированности сотрудников в этом вопросе.
-
26% респондентов уверены, что аудит доступа осуществляется частично, что может указывать на неполную реализацию или нерегулярность этого процесса.
-
В целом, отсутствие аудита доступа к данным было отмечено 0% респондентов, что является позитивным знаком, подтверждающим наличие контроля над доступом.
✅ Рекомендации:
-
Улучшить коммуникацию по аудиту доступа:
- Повысить осведомленность сотрудников о существующих процедурах аудита доступа через регулярные уведомления и инструкции.
-
Оптимизировать частичный аудит:
- Проанализировать существующие частичные практики аудита и сделать их более регулярными и всеобъемлющими.
-
Внедрить систему прозрачности доступа:
- Разработать и внедрить систему, которая обеспечит полный контроль и отчетность по доступу к данным для всех сотрудников.
Вопрос: Ведётся ли журнал доступа к данным (кто, когда, к чему обращался)?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Не знаю | 6 | 0 | 5 | 0 | 0 | 4 | 55% |
| Частично | 1 | 0 | 0 | 0 | 0 | 0 | 9% |
| Да | 2 | 0 | 7 | 0 | 1 | 1 | 18% |
| Нет | 1 | 0 | 1 | 0 | 0 | 1 | 18% |
| Всего | 10 | 0 | 13 | 0 | 1 | 6 | 100% |
🧠 Основные выводы:
-
55% респондентов не знают, ведется ли журнал доступа к данным, что указывает на низкую осведомленность и, возможно, недостаточную коммуникацию по этому вопросу.
-
18% респондентов утверждают, что журнал доступа ведется в их организации, что говорит о наличии определенного уровня контроля доступа.
-
9% респондентов сообщают, что журнал ведется частично, что может означать не полный охват или нерегулярность его использования.
-
18% респондентов отмечают, что журнал доступа не ведется в их организации, что является тревожным сигналом о возможном отсутствии контроля доступа.
✅ Рекомендации:
-
Увеличить осведомленность о журналировании доступа:
- Провести разъяснительную работу и обеспечить доступ к информации о ведении журналов доступа для всех сотрудников.
-
Разработать политику полного журналирования:
- Обеспечить ведение полного и прозрачного журнала доступа к данным для всех пользователей, включая информацию о том, кто, когда и к каким данным имел доступ.
-
Автоматизация журнала доступа:
- Внедрить систему, которая будет автоматически регистрировать доступ к данным, чтобы обеспечить полную трассируемость и предотвратить ошибки.
Вопрос: Что происходит при попытке несанкционированного доступа к данным?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Не знаю | 5 | 0 | 6 | 0 | 1 | 4 | 50% |
| Блокировка и уведомление | 4 | 0 | 4 | 0 | 0 | 0 | 36% |
| Уведомление | 0 | 0 | 2 | 0 | 0 | 2 | 14% |
| Ничего | 1 | 0 | 1 | 0 | 0 | 0 | 9% |
| Всего | 10 | 0 | 13 | 0 | 1 | 6 | 100% |
🧠 Основные выводы:
-
50% респондентов не знают, что происходит при попытке несанкционированного доступа к данным, что указывает на нехватку информации по этому важному аспекту безопасности данных.
-
36% респондентов сообщают, что при попытке несанкционированного доступа происходит блокировка и уведомление, что говорит о наличии системы контроля.
-
14% респондентов отмечают, что при несанкционированном доступе происходит только уведомление, что может указывать на слабую защиту данных.
-
9% респондентов утверждают, что при попытке несанкционированного доступа ничего не происходит, что является тревожным сигналом о рисках для безопасности данных.
✅ Рекомендации:
-
Увеличить осведомленность о политике безопасности:
- Обеспечить сотрудников информацией о том, что происходит при попытке несанкционированного доступа, через тренировки или внутренние инструкции.
-
Разработать и внедрить автоматические меры безопасности:
- Внедрить систему автоматической блокировки и уведомлений при попытке несанкционированного доступа.
-
Провести аудит процессов безопасности:
- Регулярно проводить проверку на наличие уязвимостей и актуализировать политику доступа, чтобы минимизировать риски утечек данных.
Вопрос: Как вы узнаёте об изменениях в политике безопасности данных?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Email / внутренний портал | 3 | 0 | 10 | 0 | 1 | 4 | 50% |
| Случайно узнаю | 2 | 0 | 0 | 0 | 0 | 1 | 14% |
| Никак | 1 | 0 | 1 | 0 | 0 | 1 | 9% |
| Руководитель сообщает | 4 | 0 | 2 | 0 | 0 | 0 | 27% |
| Всего | 10 | 0 | 13 | 0 | 1 | 6 | 100% |
🧠 Основные выводы:
-
50% респондентов получают информацию о изменениях в политике безопасности через Email или внутренний портал, что свидетельствует о наличии централизованного канала для распространения информации.
-
27% респондентов узнают о таких изменениях, когда руководитель сообщает об этом, что может указывать на недостаточную прозрачность процесса коммуникации.
-
14% респондентов случайно узнают о таких изменениях, что говорит о низкой эффективности текущих каналов оповещения.
-
9% респондентов не получают никакой информации о изменениях в политике безопасности, что является серьезной проблемой для обеспечения безопасности данных в организации.
✅ Рекомендации:
-
Улучшить систему уведомлений:
- Разработать и внедрить более эффективные каналы для информирования сотрудников о изменениях в политике безопасности, включая автоматические оповещения через внутренний портал и email.
-
Провести внутреннюю коммуникацию:
- Убедиться, что все сотрудники, включая руководителей, понимают важность своевременного информирования о любых изменениях в политике безопасности.
-
Организовать регулярные обзоры и напоминания:
- Обеспечить регулярные обновления политики безопасности и обеспечить, чтобы эти изменения были легко доступны и понятны всем сотрудникам.
Вопрос: Кто отвечает за политику безопасности данных в вашей компании?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Команда ИБ | 6 | 0 | 10 | 0 | 1 | 5 | 68% |
| Владельцы данных | 1 | 0 | 0 | 0 | 0 | 0 | 5% |
| Отдел DG | 0 | 0 | 1 | 0 | 0 | 0 | 5% |
| Не знаю | 2 | 0 | 2 | 0 | 0 | 1 | 22% |
| Всего | 9 | 0 | 13 | 0 | 1 | 6 | 100% |
🧠 Основные выводы:
-
68% респондентов считают, что команда информационной безопасности (ИБ) отвечает за политику безопасности данных, что свидетельствует о централизованной ответственности в рамках ИТ-безопасности.
-
22% респондентов не знают, кто именно отвечает за политику безопасности данных, что указывает на недостаточную осведомленность и прозрачность в организации.
-
5% респондентов считают, что владельцы данных отвечают за политику безопасности данных, и столько же указали, что отдел DG (управление данными) несет эту ответственность.
✅ Рекомендации:
-
Уточнить и закрепить ответственность:
- Рекомендуется четко прописать, кто именно отвечает за политику безопасности данных, и сделать эту информацию доступной для всех сотрудников.
-
Повысить осведомленность:
- Провести обучающие сессии и коммуникационные кампании для сотрудников, чтобы они лучше понимали, кто отвечает за политику безопасности данных и как они могут взаимодействовать с соответствующими командами.
-
Рассмотреть возможность расширения роли владельцев данных или отдела DG:
- Если ответственность за политику безопасности данных должна быть более распределенной, рекомендуется рассмотреть возможность расширения роли владельцев данных или отдела DG в этом процессе.
Вопрос: Были ли у вас случаи, когда вы получили доступ к данным, к которым не должны были иметь доступ?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Не уверен(а) | 1 | 0 | 1 | 0 | 1 | 0 | 13% |
| Да | 0 | 0 | 0 | 0 | 0 | 0 | 0% |
| Нет | 8 | 0 | 11 | 0 | 0 | 5 | 88% |
| Возможно | 0 | 0 | 1 | 0 | 0 | 1 | 13% |
| Всего | 9 | 0 | 13 | 0 | 1 | 6 | 100% |
🧠 Основные выводы:
-
88% респондентов утверждают, что не сталкивались с ситуациями, когда получили доступ к данным, к которым не должны были иметь доступ. Это подтверждает эффективность существующих процедур контроля доступа в организации.
-
13% респондентов выразили неуверенность в этом вопросе, что может свидетельствовать о недостаточной прозрачности или недостатке контроля в некоторых случаях.
-
0% респондентов не сообщили о случаях получения доступа к данным, к которым не должны были иметь доступ, что является положительным сигналом.
✅ Рекомендации:
-
Укрепить контроль доступа:
- Продолжить улучшать процессы контроля доступа, чтобы минимизировать риски несанкционированного доступа.
-
Повышение осведомленности и обучение:
- Обучать сотрудников правильно понимать ограничения на доступ к данным и обеспечивать их осведомленность о политике безопасности.
-
Мониторинг и аудит доступа:
- Регулярно проводить аудиты и мониторинг прав доступа, чтобы выявить и предотвратить возможные нарушения.
Вопрос: Существуют ли ограничения по доступу к данным в зависимости от роли/должности?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Да | 8 | 0 | 11 | 0 | 1 | 4 | 24 |
| Частично | 0 | 0 | 1 | 0 | 0 | 1 | 2 |
| Не знаю | 1 | 0 | 1 | 0 | 0 | 1 | 3 |
| Нет | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Всего | 9 | 0 | 13 | 0 | 1 | 6 | 29 |
🧠 Основные выводы:
-
83% респондентов подтверждают, что ограничения по доступу к данным в зависимости от роли существуют, что указывает на наличие базовой политики дифференциации доступа.
-
10% участников не уверены в существовании таких ограничений, что может говорить о недостаточной прозрачности или слабой вовлечённости в процессы контроля доступа.
-
7% указали на частичное наличие ограничений, что может отражать фрагментарную реализацию политик безопасности.
-
Ни один из респондентов не заявил об отсутствии ограничений, что является положительным сигналом с точки зрения соблюдения принципа минимально необходимого доступа.
✅ Рекомендации:
-
Повысить осведомлённость сотрудников о политике разграничения прав доступа:
- Коммуницировать принципы доступа и ответственность за соблюдение ограничений.
-
Стандартизировать практики ограничения доступа:
- Исключить частичность и вариативность подходов путём внедрения единых правил.
-
Проводить регулярный аудит прав доступа по ролям:
- Проверять соответствие доступов текущим должностным обязанностям.
Вопрос: Какие риски вы видите в области безопасности данных?
📌 Количественные итоги:
| Риск | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Нет классификации данных | 5 | 0 | 5 | 0 | 0 | 3 | 13 |
| Неконтролируемый доступ | 1 | 0 | 4 | 0 | 0 | 0 | 5 |
| Ошибки при разграничении прав | 1 | 0 | 2 | 0 | 0 | 1 | 4 |
| Недостаточная прозрачность | 1 | 0 | 1 | 0 | 1 | 1 | 4 |
| Нет мониторинга | 1 | 0 | 1 | 0 | 0 | 1 | 3 |
🧠 Основные выводы:
-
Наиболее критичным риском участники считают отсутствие классификации данных — его указали 46% респондентов. Это говорит о системной проблеме в определении чувствительности информации.
-
18% участников отметили неконтролируемый доступ, что указывает на возможные пробелы в управлении правами и недостаточную защиту чувствительных данных.
-
Ещё около 14% опрошенных упомянули ошибки при разграничении прав, что сигнализирует о рисках, связанных с человеческим фактором и несоответствием ролей.
-
Прозрачность и отсутствие мониторинга были отмечены реже — по 11% респондентов каждый. Тем не менее, оба аспекта важны для построения устойчивой системы информационной безопасности.
✅ Рекомендации:
-
Разработать и внедрить политику классификации данных:
- Разграничить публичные, внутренние и конфиденциальные данные.
-
Усилить контроль над управлением доступом:
- Внедрить автоматизированные механизмы проверки и контроля прав доступа.
-
Внедрить регулярный аудит безопасности и мониторинг инцидентов:
- Это повысит прозрачность и позволит оперативно реагировать на угрозы.
Вопрос: Считаете ли вы политику безопасности данных в компании достаточной?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Да | 0 | 0 | 2 | 0 | 0 | 0 | 2 |
| В основном да | 6 | 0 | 10 | 0 | 1 | 4 | 21 |
| Скорее нет | 1 | 0 | 1 | 0 | 0 | 2 | 4 |
| Нет | 2 | 0 | 0 | 0 | 0 | 0 | 2 |
🧠 Основные выводы:
-
77% респондентов считают политику безопасности в компании в целом достаточной, при этом только 7% ответили безусловным «Да», а основная масса — с оговоркой «в основном да». Это говорит о базовом уровне удовлетворённости при наличии потенциальных точек улучшения.
-
18% участников выразили сомнение в достаточности текущей политики, указав «Скорее нет» или «Нет», что может указывать на слабые зоны в реализации или восприятии политики безопасности.
-
Отсутствие положительных оценок от части ролей и преобладание вариативных формулировок вместо твёрдого «Да» подчеркивает необходимость дополнительной проработки и коммуникации политики безопасности.
✅ Рекомендации:
-
Провести уточняющий опрос или интервью, чтобы выяснить, какие именно аспекты политики вызывают сомнения или требуют доработки.
-
Разработать и коммуницировать критерии достаточности политики:
-
Прозрачность процедур;
-
Обоснованность ограничений;
-
Соответствие рискам.
-
-
Усилить вовлечённость команд в обратную связь по безопасности:
- Это поможет своевременно устранять недостатки и повышать доверие к политике.
Вопрос: Есть ли необходимость в дополнительной защите персональных/чувствительных данных?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Да | 2 | 0 | 1 | 0 | 0 | 2 | 5 |
| Возможно | 7 | 0 | 4 | 0 | 1 | 4 | 16 |
| Нет | 0 | 0 | 4 | 0 | 0 | 0 | 4 |
| Не знаю | 0 | 0 | 4 | 0 | 0 | 0 | 4 |
🧠 Основные выводы:
-
64% участников считают, что необходимость в дополнительной защите как минимум возможна, причём почти треть респондентов отмечают это с уверенностью. Это указывает на наличие озабоченности рисками в области защиты чувствительных данных.
-
16% участников прямо заявляют, что дополнительная защита не требуется, при этом все они — технические специалисты, что может говорить об уверенности в текущих механизмах защиты в рамках их рабочих процессов.
-
Четверть инженеров и часть других ролей не могут оценить ситуацию, выбрав ответ «Не знаю». Это сигнализирует о недостатке информированности или отсутствии прозрачности в части политики защиты данных.
✅ Рекомендации:
-
Провести оценку текущих механизмов защиты персональных данных, включая технические и организационные меры.
-
Запустить образовательные инициативы, чтобы повысить понимание роли и значения дополнительной защиты среди всех сотрудников, особенно технических.
-
Уточнить области риска через фокус-группы или рабочие сессии:
-
Собрать конкретные кейсы, где текущих мер недостаточно.
-
Выявить направления, требующие усиления (например, контроль доступа, шифрование, мониторинг).
-
-
Рассмотреть внедрение дифференцированной защиты — в зависимости от категории чувствительности данных и роли пользователя.
Вопрос: Получаете ли вы уведомления о критических изменениях в доступе?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Да | 2 | 0 | 1 | 0 | 0 | 0 | 3 |
| Иногда | 1 | 0 | 1 | 0 | 0 | 1 | 3 |
| Никогда | 4 | 0 | 5 | 0 | 1 | 1 | 11 |
| Не знаю | 2 | 0 | 6 | 0 | 0 | 4 | 12 |
🧠 Основные выводы:
-
Только 8% сотрудников регулярно получают уведомления о критических изменениях в доступе — это низкий уровень информирования, особенно учитывая чувствительность подобных событий.
-
44% респондентов не знают, получают ли такие уведомления, что свидетельствует о непрозрачности процессов безопасности и, возможно, отсутствии стандартного канала коммуникации.
-
Ещё 28% участников прямо указали, что никогда не получают подобных уведомлений, в том числе сотрудники с инженерными и аналитическими функциями.
-
Даже среди тех, кто получает уведомления, только малая часть делает это стабильно — в остальных случаях это носит эпизодический характер.
✅ Рекомендации:
-
Внедрить централизованную систему уведомлений:
-
Автоматические алерты при изменении прав доступа, особенно к чувствительным данным.
-
Интеграция с корпоративными мессенджерами или email.
-
-
Обеспечить прозрачность процессов управления доступом:
-
Сделать уведомления обязательными и отслеживаемыми.
-
Указать ответственных за информирование.
-
-
Провести аудит текущих механизмов оповещения:
-
Проверить, действительно ли работают настройки оповещений у сотрудников.
-
Убедиться, что каналы доставки надёжны и понятны.
-
-
Обучить сотрудников значению уведомлений о доступе:
- Разъяснить, почему это важно не только для ИБ, но и для безопасности бизнес-данных.
Вопрос: Как вы обычно запрашиваете доступ к данным?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Через систему тикетов | 9 | 0 | 13 | 0 | 1 | 4 | 27 |
| Email/сообщение коллегам | 0 | 0 | 0 | 0 | 0 | 1 | 1 |
| Через руководителя | 0 | 0 | 0 | 0 | 0 | 1 | 1 |
| Не знаю, как правильно | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
🧠 Основные выводы:
-
93% сотрудников запрашивают доступ через формализованную систему тикетов, что говорит о высоком уровне зрелости процесса.
-
Альтернативные и неформальные методы (обращения к коллегам, руководителю) используются крайне редко и не являются системными — менее 8% респондентов.
-
Полное отсутствие ответов “не знаю” может свидетельствовать о достаточном уровне информированности сотрудников о порядке получения доступа.
✅ Рекомендации:
-
Поддерживать и развивать систему тикетов:
-
Убедиться, что процессы внутри неё соответствуют принципам least privilege и логируются.
-
Обеспечить удобную навигацию и шаблоны для разных типов доступа.
-
-
Минимизировать неформальные каналы:
-
Официально закрепить, что доступ запрашивается только через систему.
-
Закрыть возможность обходных путей в обход ИБ-контроля.
-
-
Обеспечить прозрачность обработки заявок:
-
Включить SLA, автоматические уведомления и трекинг статуса заявок.
-
Интегрировать с кадровыми изменениями (например, смена роли, отделов).
-
-
Провести аудит исключений:
- Проверить случаи, когда используется email или ручное одобрение, и определить причины.
Вопрос: Как часто проводится пересмотр прав доступа в вашей команде?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Регулярно | 1 | 0 | 1 | 0 | 0 | 1 | 3 |
| Никогда | 4 | 0 | 3 | 0 | 1 | 2 | 10 |
| Редко | 3 | 0 | 4 | 0 | 0 | 3 | 10 |
| Иногда | 1 | 0 | 5 | 0 | 0 | 0 | 6 |
🧠 Основные выводы:
-
Только 10% респондентов отметили, что пересмотр прав доступа проводится регулярно, что говорит о слабой культуре пересмотра полномочий.
-
Более 65% участников заявили, что пересмотр либо никогда не проводится, либо происходит редко, что повышает риски избыточных или устаревших доступов.
-
Наиболее уязвимой категорией выглядят инженерные и вспомогательные роли, где регулярно пересматривают права крайне редко.
✅ Рекомендации:
-
Внедрить обязательный цикл пересмотра прав:
-
Установить график (ежеквартально/раз в полгода).
-
Использовать напоминания и автоматизацию в IAM-системах.
-
-
Закрепить процесс в регламентах по информационной безопасности:
- Добавить требования по ревизии доступа при увольнении, переводе, смене роли.
-
Автоматизировать контроль и отчётность:
-
Использовать инструменты, фиксирующие несоответствие доступа должностным обязанностям.
-
Обеспечить контроль со стороны ИБ или владельцев данных.
-
-
Повысить осведомлённость команд:
- Разъяснить, почему пересмотр прав критичен для предотвращения инцидентов и соблюдения принципа минимального доступа.
Вопрос: Какие данные в вашей работе наиболее чувствительны?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Коммерческая тайна | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Операционные метрики | 1 | 0 | 0 | 0 | 0 | 0 | 1 |
| Не работаю с чувствительными данными | 1 | 0 | 3 | 0 | 1 | 4 | 9 |
| Персональные данные | 4 | 0 | 8 | 0 | 0 | 2 | 14 |
| Финансовая информация | 3 | 0 | 2 | 0 | 0 | 0 | 5 |
🧠 Основные выводы:
-
Самой чувствительной категорией данных участники чаще всего называют персональные данные — их указали 50% респондентов, что подчёркивает актуальность требований к защите ПДн.
-
Каждый третий опрошенный заявил, что не работает с чувствительными данными — особенно это характерно для вспомогательных ролей и отдельных инженеров.
-
Финансовая информация и операционные метрики воспринимаются как чувствительные значительно реже (соответственно около 18% и менее 5%).
-
Категория «Коммерческая тайна» вовсе не была выбрана ни одним из участников, что может свидетельствовать о нечеткости её определения в корпоративном контексте.
✅ Рекомендации:
-
Уточнить и актуализировать перечень чувствительных данных:
- Включить в регламенты примеры чувствительных категорий с пояснением, почему они критичны.
-
Сфокусировать меры защиты на персональных данных:
- Убедиться, что правила обработки ПДн соблюдаются во всех командах, где они фигурируют.
-
Провести обучающую сессию по чувствительности данных:
-
Объяснить разницу между типами данных (финансовые, операционные, ПДн, коммерческая тайна и др.).
-
Выявить «серые зоны», где сотрудники не уверены в чувствительности используемой информации.
-
-
Анализировать риски даже в тех ролях, где чувствительность неочевидна:
- Вспомогательные сотрудники и аналитики, считающие данные не чувствительными, могут участвовать в косвенной утечке.
Вопрос: Есть ли требования по шифрованию или защите данных при передаче?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Частично | 4 | 0 | 2 | 0 | 0 | 1 | 7 |
| Нет | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Да | 4 | 0 | 7 | 0 | 1 | 3 | 15 |
| Не знаю | 1 | 0 | 4 | 0 | 0 | 2 | 7 |
🧠 Основные выводы:
-
Около 54% опрошенных знают, что в компании есть требования к шифрованию или защите данных при передаче — это положительный сигнал с точки зрения зрелости практик безопасности.
-
В то же время, четверть участников (около 25%) не осведомлены о наличии таких требований, что может говорить о пробелах в информировании или неформальности процедур.
-
Ещё около 21% указывают на частичную реализацию требований, что может означать фрагментарный подход к обеспечению безопасности — например, защита реализована не на всех этапах или не для всех типов данных.
-
Полный ноль по варианту «Нет требований» может быть признаком как высокой зрелости, так и недостаточной осведомлённости о рисках среди респондентов, которые в этом случае выбрали бы другие варианты.
✅ Рекомендации:
-
Проверить формальное наличие требований и актуальность политики по защите данных при передаче.
- Включает требования по TLS, VPN, защите API, защите данных в логах и др.
-
Разработать и внедрить унифицированные практики шифрования:
- Включая выбор алгоритмов, хранение ключей, аудит каналов передачи.
-
Усилить коммуникацию и обучение команд:
- Особенно для ролей, не вовлечённых напрямую в ИБ — осведомлённость и поведенческая безопасность критичны.
-
Внедрить автоматизированный контроль и мониторинг каналов передачи:
- Особенно в системах, где данные переносятся между зонами (DMZ, облака, внешние партнёры).
Вопрос: Кто в команде отвечает за соблюдение требований информационной безопасности (ИБ) в отношении данных?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Не знаю | 2 | 0 | 1 | 0 | 0 | 1 | 4 |
| Назначенный ответственный | 1 | 0 | 1 | 0 | 0 | 1 | 3 |
| Все сотрудники | 6 | 0 | 10 | 0 | 1 | 4 | 21 |
| Руководитель | 0 | 0 | 1 | 0 | 0 | 0 | 1 |
🧠 Основные выводы:
-
Около 75% респондентов считают, что ответственность за ИБ лежит на всех сотрудниках команды, что говорит о высокой степени распределённой ответственности и, возможно, отсутствии чётко формализованных ролей.
-
Почти 15% не знают, кто отвечает за соблюдение требований — это может указывать на непрозрачность процессов или недостаток коммуникации.
-
Назначенные ответственные обозначены только в около 11% случаев, что может свидетельствовать о слабой практике делегирования роли ответственного за ИБ на уровне команды.
-
Роль руководителя как ответственного упоминается крайне редко, что может означать недостаточную вовлечённость менеджмента в вопросы ИБ или же делегирование этой ответственности другим.
✅ Рекомендации:
-
Определить и задокументировать ответственных за соблюдение ИБ на уровне команд:
- Назначить конкретных лиц, закрепить зону ответственности.
-
Разработать модель распределённой ответственности с опорой на роли (например, data owner, steward, engineer):
- При этом важно сохранить единый центр контроля.
-
Повысить осведомлённость всех участников процесса:
- Включить понимание требований ИБ в онбординг и регулярное обучение.
-
Регулярно проверять, как реализуются требования ИБ в команде:
- В том числе — через аудит, самопроверки и опросы.
Вопрос: Что бы вы улучшили в процессах управления доступом и безопасности данных?
📌 Количественные итоги:
| Ответ | Analytics | Business | Data Engineers | Data Scientists | Managers | Others | Итого |
|---|---|---|---|---|---|---|---|
| Усилить защиту чувствительных данных | 2 | 0 | 2 | 0 | 0 | 0 | 4 |
| Ускорить получение доступа | 2 | 0 | 2 | 0 | 1 | 0 | 5 |
| Обучить сотрудников | 3 | 0 | 5 | 0 | 0 | 3 | 11 |
| Сделать процессы проще | 1 | 0 | 1 | 0 | 0 | 0 | 2 |
| Повысить прозрачность прав | 1 | 0 | 3 | 0 | 0 | 3 | 7 |
🧠 Основные выводы:
-
Самая частая инициатива (около 42%) — необходимость обучения сотрудников по вопросам управления доступом и ИБ. Это подчёркивает актуальность просветительских мер.
-
Около 27% участников хотели бы повысить прозрачность прав, что может свидетельствовать о сложности в понимании текущей модели доступа.
-
Запрос на ускорение процессов получения доступа актуален примерно для 19% респондентов, что может указывать на перегруженные или неэффективные процедуры.
-
Усиление защиты чувствительных данных, несмотря на важность темы, упоминается только в 15% ответов, что может говорить о слабом осознании рисков или о том, что тема воспринимается как “закрытая”.
✅ Рекомендации:
-
Разработать программу регулярного обучения по ИБ и управлению доступом:
- Включить в онбординг и корпоративное обучение.
-
Повысить прозрачность процессов доступа:
- Визуализировать права, внедрить самообслуживание с одобрением.
-
Оптимизировать процесс получения доступа:
- Внедрить автоматизированные процедуры и минимизировать ручные шаги.
-
Провести ревизию защиты чувствительных данных:
- Проверить текущие меры и усилить контроль там, где это необходимо.