Эксперты обсудили, как компании управлять внутренней безопасностью, не разрушая культуру

На полях международной промышленной выставки ИННОПРОМ-2025 прошла открытая дискуссия «HR и ИБ: внутренняя информационная безопасность как точка конфликта и роста», которую организовала Контур.Эгида, направление информационной безопасности в Контуре. Представители корпоративной безопасности, HR, IT и вузов обсудили, как выстроить совместные процессы в зоне, где чаще всего возникают напряжение и риски при взаимодействии внутри компании.

Организации инвестируют в периметр: шифрование, защита от вторжений, системы обнаружения. Но не менее 66% инцидентов происходят не извне, а изнутри — из-за неосторожности, неосведомленности или злоупотреблений сотрудников. Несмотря на это, внутренняя безопасность до сих пор остается серой зоной, где HR и ИБ действуют параллельно, а не совместно.

Устойчивость вместо контроля

Многие участники признали, что само понятие «внутренняя безопасность» по-прежнему трактуется по-разному. Кто-то вкладывает в него регламенты, кто-то — кадровую работу, кто-то — доверие как системный принцип. Тем не менее, обозначился общий вектор — безопасность должна восприниматься не как жесткая система ограничений, а как механизм адаптации к рискам.

Андрей Антипинский, основатель UDV Group, предложил отказаться от термина «информационная безопасность» и заменить его на «информационную устойчивость». По его словам, это более точное понятие, аналогичное гомеостазу в организме, где внутренняя стабильность  достигается не способностью справляться с нагрузками.

Андрей Антипинский
Основатель UDV Group

Мы не можем устранить угрозы полностью, но можем научиться с ними жить. Как у человека есть гомеостаз — так и у организации должна быть способность сохранять равновесие.

По мнению Антипинского, наибольшую опасность представляют не внешние атаки, а действия самих сотрудников, особенно если они обладают доступом к чувствительной информации и нарушают правила на стратегическом уровне.

Роль образования подчеркнул и.о. ректора УрФУ Илья Обабков. Он рассказал, что в университете уделяют особое внимание цифровой грамотности и формированию поведения в ИБ-среде.

Илья Обабков
И.о ректора УрФУ

У нас есть и курс по цифровой гигиене, и клубы, где студенты разбирают реальные инциденты. А еще мы внедряем проектные форматы, где будущие HR и ИБ учатся договариваться прямо во время обучения.

Он добавил, что учебная среда — уникальное пространство, где можно ошибаться без последствий. И важно, чтобы у студентов еще до выхода на рынок труда сформировалась привычка к ответственности за цифровое поведение.

Безопасность как забота

Один из самых повторяемых тезисов — люди не сопротивляются безопасности, они сопротивляются неудобству. Когда требования не объясняются, а внедрение мешает работе, это вызывают раздражение. Но если безопасность встроена в процессы, она воспринимается естественно.

Генеральный директор СКБ Контур Михаил Сродных отметил, что сопротивление новым ИБ-инициативам внутри компании возникает, когда сотрудники не понимают, зачем это делается. Он подчеркнул, что большинство решений по безопасности в компании принимаются совместно с HR.

Михаил Сродных
Генеральный директор СКБ Контур

Мы стараемся показывать, что безопасность — это не запрет, а забота. Например, логин для доступа приходит по почте, пароль — в СМС. При увольнении  специально настроенная коммуникация позволяет безопасно передать справку. Это простые решения, но они делают процесс прозрачным и надежным.

Вице-президент «Лаборатории Касперского» по развитию бизнеса в странах России и странах СНГ Анна Кулашова напомнила, что вовлеченность и осознанность сотрудников — ключевой элемент устойчивости. В компании регулярно проводят фишинговые тренировки, в том числе среди руководителей, чтобы формировать привычку к внимательному поведению, тренинги по кибербезопасности, а также киберучения с симуляцией фишинговых атак, в том числе среди руководителей.

Анна Кулашова
Вице-президент «Лаборатории Касперского» по развитию бизнеса в России и странах СНГ

Если сотрудник один раз попался на фишинг — это не проблема. Главное, что будет дальше. Мы разбираем ситуацию, проводим дополнительные сессии, общаемся с руководителем. Это не наказание, а цикл обучения, и его должны поддерживать на всех уровнях, включая совет директоров.

Анна также отметила, что культура безопасности держится не только на технических мерах и регулярных тренингах, она должна стать частью повседневной жизни. И в этом ключе руководители становятся важным примером для самих сотрудников.

HR и ИБ — не параллельные функции

HR-директор Уральского банка Сбербанка Мария Осипова добавила, что культура безопасности начинает формироваться с первых дней сотрудника. При этом формальные инструкции малоэффективны, они не запоминаются.

Мария Осипова
HR-директор Уральского банка Сбербанка

Мы используем игровые форматы, понятные кейсы с развилками, визуализацию. А еще у нас есть амбассадоры безопасности, которые рассказывают о ней детям, коллегам, родителям. Через это вовлечение у человека появляется ощущение: я часть этой культуры, в данном случае, культуры Сбера.

По словам Осиповой, именно HR может быть связующим звеном между безопасниками и командой. И если этот канал работает, политика ИБ перестает восприниматься как нечто, спущенное сверху.

Генеральный директор УЦСБ Валентин Богданов напомнил, что практически любой этап жизненного цикла сотрудника связан с безопасностью: от найма и проверок до перемещений и увольнения.

Валентин Богданов
Генеральный директор УЦСБ

Ни один специалист по защите данных не может менять культуру информационной безопасности без содействия HR. Безопасность — это не кнопка, это архитектура, где важна согласованность процессов, ролей и полномочий. Только при таком комплексном подходе получается устойчивая и эффективно действующая система информационной безопасности.

Он также отметил, что современные инструменты — нейросети, адаптивный контроль, поведенческий анализ — позволяют повысить уровень прозрачности без постоянного давления. Но ключевым элементом все равно остается культура информационной безопасности, и где нет доверия, техника не спасет.

В завершение дискуссии заместитель гендиректора СКБ Контур Михаил Добровольский подвел итоги. По его словам, несмотря на то что HR и ИБ часто воспринимаются как функции с разными целями, на самом деле обе стороны работают над одной задачей — устойчивостью бизнеса. Чтобы по-настоящему управлять внутренними рисками, этим направлениям нужно общаться на одном языке и действовать согласованно, а не параллельно.

Он отметил, что наиболее ценные практики — те, где культура, процессы и технологии интегрированы между подразделениями. Необходима не только защита как технология, но и безопасность как часть повседневного поведения. Особенно важна роль руководителей, которые задают модель поведения, а также способность организаций учиться на ошибках и быстро адаптироваться.

Участники сошлись во мнении, что внутренняя безопасность — это настройка компании как живой системы: с иммунитетом, срабатывающим вовремя; с процессами, выстроенными вокруг человека, а не против него.

И хотя абсолютной защиты от человеческого фактора не существует, на стыке HR и ИБ появляется шанс снизить риски и построить среду доверия как конкурентное преимущество компании в условиях неопределенности.