Неочевидные уязвимости в стратегии безопасности вашей компании. Что их вызывает и как их предотвратить?

На протяжении всего последнего десятилетия компании пытаются справиться с угрозами в области безопасности, приватности и соответствовать требованиям, которые сопровождают цифровую трансформацию рабочих процессов. Ситуацию усложняет рост количества распределенных команд, активное внедрение инструментов на базе искусственного интеллекта и постоянно расширяющийся набор всевозможных SaaS-инструментов. 

В условиях, когда эффективность стала ключевым фактором, современная стратегия безопасности должна учитывать и такие аспекты, как неконтролируемое использование сторонних или так называемых «теневых сервисов», инструментов на базе ИИ и непредсказуемое поведение сотрудников. Сейчас руководителям бизнеса критически важно пересмотреть подход к безопасности — не только в части внешних угроз, но и через призму внутренних рисков.

Скрытая цена высокой продуктивности

В условиях высокого ритма современного рабочего процесса сотрудники постоянно сталкиваются с давлением «делать больше за меньшее время». При этом ужесточение сроков и сокращение ресурсов не снижают ожиданий руководства. Когда сроки поджимают, а объем задач растет, сотрудники не ждут одобрения со стороны IT-департамента или службы безопасности — они сами ищут инструменты, которые, по их мнению, быстро решат проблемы и ускорят бизнес-процессы.

Именно поэтому SaaS-платформы, спрос на которые растет благодаря широкому внедрению ИИ, стали незаменимым решением для современных команд. По прогнозу Gartner, мировые расходы на ПО с ИИ к 2027 году достигнут $297,9 млрд. Такой рост отражает активное внедрение инструментов во всех бизнес-функциях: сотрудники все чаще используют приложения для управления проектами, сервисы для обмена файлами и генеративные ИИ-помощники, обещающие скорость, простоту и результат.

Хорошая новость: многие из этих инструментов действительно повышают эффективность. Но есть и обратная сторона медали — эти инструменты проникают в рабочие процессы, получают доступ к корпоративным данным и остаются незамеченными службой информационной безопасности.

Неавторизованное использование сторонних инструментов становится повсеместным. Согласно отчету Verizon Data Breach Investigations Report 2025, 15% сотрудников признаются, что используют корпоративные устройства для работы с генеративными ИИ-платформами. Это упрощает процессы и повышает их продуктивность, но одновременно увеличивает возможную поверхность атаки на организацию экспоненциально.

Прозрачность как инструмент для повышения безопасности

Сегодня безопасность — это не только фаерволы и антивирусное ПО. Ключевым фактором становится прозрачность работы ИТ-систем, которой на текущий момент не могут похвастаться внушительное количество компаний. В отчете Verizon отмечается, что с 2024 по 2025 год доля нарушений безопасности, связанных с влиянием третьих сторон, удвоилась с 15% до 30%.

В мире, где производительность часто важнее формальных правил, трудно строго контролировать сотрудников, которые стараются сделать больше при меньших ресурсах. К счастью, жесткие меры не всегда нужны. Прозрачность процессов и контроль за их исполнением помогают снижать риски, не тормозя работу компании.

В такой ситуации незнание — не благо. Без понимания того, какие инструменты используют сотрудники, вы полностью работаете вслепую.

Правила с акцентом на доверие и вовлечение

Если говорить о контроле SaaS-инструментов в компании, то первой на ум приходит Политика приемлемого использования (AUP, от англ. Acceptable Use Policy) — документ, который определяет правила и ограничения для использования ресурсов компании, таких как компьютерные системы, интернет и корпоративные сети. Вместо того чтобы пугать сотрудников запретами, создавайте правила, которые обеспечивают безопасность, не тормозя их эффективность.

Чтобы политика работала на сотрудников, а не против них, важно:

• Признавать добрые намерения. Большинство сотрудников используют SaaS-инструменты, чтобы выполнять задачи лучше, а не во вред компании. Зафиксируйте это в AUP, чтобы сотрудники видели, что правила созданы для их поддержки, а не для наказания.
• Избегать запугивания. Вместо запрета всех новых инструментов дайте понять, что открыты к диалогу и компромиссам. Опишите процесс, который позволит сотрудникам использовать инновации, не нарушая правила безопасности.
• Перенаправлять, а не ограничивать. Жесткие запреты на инструменты продуктивности, включая AI, не работают: при желании сотрудники найдут обходные пути. Если инструмент нельзя использовать, предложите безопасную альтернативу.
• Разделять ответственность и вовлекать. Безопасность — это задача не только IT-департамента. Вовлекайте сотрудников, дайте им возможность участвовать в решении проблем и чувствовать значимость своего вклада.
• Говорить простым языком. Юридическая терминология понятна только юристам. Используйте простой и понятный язык, чтобы правила было легко читать и соблюдать.
• Четко обозначать ключевые риски. Если есть популярный инструмент с потенциальными угрозами, лучше прямо указать его в AUP, чем надеяться, что сотрудники догадаются о них сами. 

Специальный инструментарий

Обновление AUP — важный шаг, но как убедиться, что регламенты действительно работают? Здесь на помощь приходят платформы мониторинга SaaS-решений, обеспечивающие необходимую прозрачность.

Функционал таких платформ может различаться, но в целом они предоставляют возможность:

• Отслеживать использование приложений в реальном времени и выявлять подозрительную активность.
• Контролировать доступы, помогая гарантировать соблюдение правил безопасности.
• Анализировать реальные рабочие привычки сотрудников, чтобы оптимизировать подписки на сервисы и корректировать политику компании.

С помощью платформ мониторинга руководство компании получает точное представление о том, какие инструменты действительно востребованы в работе команды и где их использование требует контроля или оптимизации.

Безопасность и инновации можно совмещать

Хотя SaaS и AI порой воспринимаются как потенциальная угроза, настоящая опасность заключается в том, что сотрудники скрывают использование этих инструментов. Риск возникает там, где менеджмент не видит, что происходит.

Руководителям важно помочь сотрудникам перестать рассматривать безопасность как преграду для инноваций и показать, что она может стать надежной основой для их развития. За счет прозрачного контроля, четких правил и грамотного выбора инструментов компании способны защищать ключевые данные, одновременно поддерживая скорость внедрения новых технологий и эффективность работы команды.