Лишь пятая часть российских компаний внедрила собственные стандарты информационной безопасности, уделяя внимание актуальным тенденциям в атакующих действиях, а не ограничиваясь лишь формальным прохождением аудита безопасности у регуляторов. Такое заявление сделали представители компаний "К2Тех" и Positive Technologies, основываясь на проведенном ими опросе.

Аналитики выделили, что большинство российских компаний все ещё слабо подготовлены к реальным киберугрозам и не обладают полной ясностью в вопросах самостоятельной защиты. Это оценочное мнение было сформировано на основе анализа данных, собранных от около 400 специалистов, преимущественно занимающих руководящие должности в ИБ и IT направлениях средних и крупных предприятий.

Эксперты считают, что только те компании, которые разработали и ввели в действие собственные стандарты информационной безопасности (20% опрошенных), обладают серьёзным подходом к вопросам кибербезопасности. Всего 15% компаний разработали и регулярно тестируют процедуры реагирования на инциденты, в то время как треть всех предприятий вовсе не осуществляет проверку своих систем на уязвимость. Около 40% компаний регулярно проводят такие проверки.

Серьёзная проблематика обнаружена в обучении персонала: в 76% организаций эта задача остается без внимания. По утверждениям исследователей, обучение кибербезопасности либо отсутствует, либо проводится эпизодически и формально — например, в процессе приёма на работу или уже после инцидента.

В стратегиях безопасности 91% компаний не учитывают киберриски и потенциальные финансовые потери от инцидентов. Лишь 9% организаций интегрировали эти аспекты в свои цели и бюджет на безопасность.

Авторы исследования подчеркивают, что для большинства компаний объём затрат на кибербезопасность определяется количеством сотрудников или общим размером IT-бюджета, из-за чего они продолжают опираться на внешнюю экспертизу ИБ-интеграторов.