Как безопасность связана с бизнесом
Перейти к содержимому

Как безопасность связана с бизнесом

  • автор:

Сделай мне безопасно или почему безопасники в бизнесе не всегда оправдывают ожидания

Написать статью по безопасности бизнеса меня сподвигли клиенты, у которых раз за разом выявляются схожие «болезни» в этой сфере. Начну наверно с наиболее неявного вопроса в данной теме, а именно «как выбирают безопасников». Здесь хочу заметить, что написанное ниже идет исходя из личного опыта работы консультантом по безопасности с некоторой экстраполяцией. Безусловно, есть службы безопасности (далее — СБ), которые отлично справляются со всеми своими задачами, оперативно и адекватно реагируют на возникающие угрозы безопасности защищаемой компании, выявляют и предотвращают недружественные действия как со стороны сотрудников своей организации, так и со стороны третьих лиц, но в данной статье я хотел бы остановиться больше на проблемных моментах. Ни в коем случае не хочу принизить заслуг тех служб безопасности, которые честно и ответственно выполняют свою работу. К сожалению, в силу описанных ниже особенностей, далеко не всегда СБ компании могут наиболее эффективно выполнять свои задачи, что все же поддается коррекции, но и бизнес часто не понимает, какие задачи ставить перед безопасниками и как оценивать их результативность.

Плохо работающую систему безопасности компании можно сравнить с неисправным огнетушителем в машине, который дает ложное чувство защищенности. Вроде он есть и все хорошо, а вот случится пожар, а огнетушитель не работает, и тогда стресс, паника,…, а машина уже сгорела, ущерб уже нанесен. Так и с плохой СБ – она есть, сотрудники что-то делают, чем-то отчитываются, а как происходит какой-либо инцидент – сами теряются. Или когда сотрудники СБ компании (а они входят в круг доверенных лиц) сами наносят ущерб: крадут ресурсы компании, продают информацию, как и неисправный огнетушитель – вот лежит в салоне спокойно, а в следующий момент БАХ, и вся машина в пене, салон испорчен. Иногда доходит и до парадоксальных ситуаций: у одного моего клиента ООО «Сириус» был серьезный корпоративный конфликт с прямым конкурентом ООО «Вега», который, используя административный ресурс и связи в среде правоохранительных органов инициировал проведение обыска на предприятии «Сириуса» (дело уголовное существовало в отношении «Сириуса» , но было вялым и бесперспективным). Безопасник «Сириуса» (человек с большим опытом работы в одной из силовых структур, имевший множество наград и благодарностей, высокое звание), узнав о готовящемся мероприятии, сообщил руководству: «Через 2 часа с обыском приедут, а я по делам убегаю. Не переживайте, ничего страшного. Такое часто бывает». И действительно, вскоре прибыл ОМОН и благополучно изъял базу данных клиентов, поставщиков и всю бухгалтерию предприятия. В результате, базы попали «Веге». Безопасник «Сириуса» так и не был наказан за оставление объекта охраны в опасный момент, не смотря на то, что не мог не знать о последствиях для себя и для предприятия. На вопросы руководству, как они такое допустили и почему не наказали своего нерадивого сотрудника, до сих пор ответа вразумительного дать не могут. Руководство «Сириуса» не знало, как организовать работу службы безопасности, как контролировать и что требовать от своего безопасника, не говоря о том, что для него был свойственен такой тип контрпродуктивного поведения, как использование рабочего времени в личных целях, чем часто грешат бывшие силовики.

Практически любой руководитель хочет, чтобы его компания была защищена от посягательств злоумышленников, чтобы в кризисной ситуации под рукой находился специалист, который оперативно и эффективно сможет решить возникшую проблему, на которого можно положиться и знать, что бизнес защищен. С другой стороны, далеко не каждая компания может позволить содержать подобного сотрудника, а руководство реагирует на угрозы «по факту», то есть после того, как ущерб уже нанесен или попытка атаки произошла, беря задачу защиты бизнеса на себя, откладывая вопрос комплексного решения на потом. Вопросом создания собственной системы безопасности фирмы, как правило, озадачиваются либо после серьезных инцидентов, приведших к существенным потерям бизнеса; по мере роста, когда нужен дополнительный вектор контроля за персоналам; если деятельность ведется в высококонкурентной среде, особенно если работа балансирует на грани закона; а иногда просто потому, что «ну так другие делают». Часто бизнесу и не требуется отдельное направление по безопасности, особенно если фирма небольшая. Этот функционал может исполнять руководство компании и в этом нет ничего сложно, если достаточно времени. Требуется только правильно оценить угрозы бизнесу и добрать ряд компетенций.

Если задать вопрос практически любому руководителю/собственнику бизнеса, кого он будет рассматривать в качестве кандидата на роль сотрудников службы безопасности, то с огромным отрывом будут лидировать представители «силового блока»: ФСБ, МВД, ФСИН,… Ну тут вроде бы все понятно. Люди много времени проработали в специальных службах, правоохранительных структурах, и кто, как не они, должны разбираться в вопросах безопасности и защиты бизнеса. Так действительно думают наверно большинство людей. По крайней мере, все опрошенные мной, без единого исключения, отвечали так. То есть, с группой, откуда выбирать всем ясно, а далее рассматривают уже иные характеристики, как то: послужной список, сферы деятельности, связи в среде силовиков, награды, отзывы,… Вроде бы все отлично и правильно, но есть один нюанс: большинство сотрудников силовых структур особо безопасностью то в своей жизни и не занимались. Они занимались оперативно-разыскной деятельностью (далее — ОРД), ловили преступников, совершивших противоправные деяния, написанием справок, отчетов, статистикой, совещаниями,…, это не считая обеспечивающие подразделения, такие как: секретариат, кадры, финансово-экономического обеспечения и многие другие. Безопасностью здесь особо и не пахнет, по крайней мере, той ее частью, которая связана с предотвращением нанесения вреда, чему в настоящее время, к сожалению внимания уделяется мало. Конечно, агентурно-оперативная работа поставлена хорошо, и информацию получать многие оперативные сотрудники умеют отлично, проводить ее оценку, работать над раскрытием преступлений, но вот работа на упреждение часто поставлена хуже. А такие аспекты, как постоянный анализ угроз безопасности, определение потенциальных векторов «атак» на предприятие, определение собственных уязвимостей бизнеса (здесь все достаточно плохо, так как анализ такой, если и проводится, то крайне редко и делается формально, к тому же и «глаз сильно замылен», а признаваться в своих просчетах мало кто захочет ), анализ положения конкурентов, оценка их возможностей по нанесению ущерба защищаемому бизнесу, и т.д., как правило, упускаются из вида. Это не значит, что те, кто работают безопасниками глупые или неумелые, а всего лишь то, что во время службы на подобного рода или схожие аспекты рабочего времени практически не оставалось и люди привыкали работать с тем, что было, а потом подобные модели просто переносятся на бизнес.

Кроме того, не стоит забывать и про то, что больше ценятся не предотвращенные преступления, а раскрытые. А именно по итогам раскрытий, арестов, громких посадок, сотрудники получают благодарности и награды, продвижения по карьерной лестнице. Это, безусловно, очень нужная работа и без нее жить было бы наверно страшно, но в таком случае ущерб то уже был нанесен. Человек понесет наказание, но после совершения противоправного деяния. Для бизнеса это означает возможное (именно возможное, так как еще найти и доказать надо) наказание злодея, но после нанесения вреда компании, а это, как правило, потерянные деньги. Кроме того, надо еще уметь переложить свои умения и навыки с охраны интересов личности, общества и государства с позиции сотрудника силовой структуры на почти «бесправного» безопасника в бизнесе.

Любая работа накладывает определенный отпечаток на психику человека, его поведение, общение, акцентирует определенные черты личности и навыки. Как правило, безопасником/начальником службы безопасности берут силовика, вышедшего на пенсию. И тому есть серьезные причины. Ведь обычно это человек с огромным опытом ОРД (здесь и далее рассматриваем только людей с опытом оперативной работы), умеет проводить допросы и опросы, психологически давить на подозреваемого, знает схемы взяток и откатов (если работал по линии экономической безопасности), имеет обширные связи среди своих коллег и смежников, знает и умеет применять практику УК и КОАП, имеет опыт руководящей работы (если был руководителем конечно) и многое другое. НО, если посмотреть с другой стороны, то часто можно увидеть следующее:

  • Чем дольше человек занимал руководящую должность, тем меньше он занимался непосредственно оперативной работой, и тем больше совещаниями, отчетами,… то есть бумажной работой. Кроме того, палочно-галочную систему во всех органах никто не отменял еще, и часто встречается такое явление, как «небольшое» приукрашивание своей работы и результатов, ведь всем хочется в рейтинге подразделений быть повыше, иначе можно и «по шапке получить». Иногда, правда, это переходит в форму сказко-написания, но это не так часто, к счастью. Таким образом, некоторые привыкают постоянно приукрашивать результаты своей деятельности, и так свыкаются с подобной жизнью, что потом это становится обыденным явлением и переносится на гражданскую работу в бизнесе. Так у ООО «Волга» службой безопасности руководил бывший высокопоставленный сотрудник одной из силовых структур, в возрасте. На каждом совещании он докладывал о том, какую работу провел, как обеспечивает охрану территории, ведет «оперативную работу» в компании, контролирует каждый процесс, работает на предотвращение и т.п. Никто не контролировал его работу потому что считали, что он в надзоре не нуждается, полковник в отставке ведь, а что и как проверять, руководители не знали, считая, что их безопасник, как самостоятельный механизм – запусти его в компанию, а он сам найдет проблему и займется ее устранением. По факту выяснилось, что вся работа по обеспечению безопасности была пущена на самотек, над ним сотрудники откровенно посмеивались, в компании были существенные недоимки, но так как работники друг друга покрывали, то на общем фоне это было малозаметно. В итоге, безопасник выполнял роль своего рода умиротворителя для руководства. Он говорил, что все хорошо, а ему верили.
  • У большинство людей с возрастом существенно ослабляется способность к адаптации и обучению, таким образом, они медленнее осваивают новый материал и обучаются новым навыкам и умениям. Появляется ригидность мышления, да и пропадает желание учиться чему-то новому. Зачем? Ведь и так все умею и знаю. Мало кто хочет и может набирать недостающие компетенции, особенно в области психологии, менеджмента, IT. Да и руководители часто не видят необходимости обучать безопасника, ведь он этим всю жизни занимался, все умеет (это при том, что занимался он немножко другими вещами, но об этом мало кто задумывается). В том же примере с «Волгой», безопасник искренне считал, что видит всех буквально «насквозь», прекрасно понимает все бизнес-процессы, бухучет, «а что непонятного то? Не сложнее, чем в уголовном деле разобраться», и, само собой, прекрасно разбирался в людях, а главное, был уверен, что любого лжеца сразу раскусит, чем особенно гордился, приводя в пример свою огромную практику. В итоге, его «источники» на предприятии откровенно водили за нос, сливали ему мелких нарушителей, а серьезные схемы прятали.
  • Связи среди силовиков со временем ослабевают и если безопасника нанимают, как «решалу», то со временем ему все труднее и труднее становится выполнять данную функцию, особенно если нет в компании фонда «представительских расходов».
  • Опять же, многие «зрелые» безопасники с трудом осваивают современные информационные технологии. Если от угроз мошенничества, краж в реальной жизни они могут защитить, предусмотреть подобные варианты, то от негативных действий в киберсфере – далеко не всегда, так как не полностью понимают данную проблематику. Кроме того, одно из самых уязвимых мест бизнеса – связь, в том числе голосовая, остается практически неприкрытой, так как из-за незнания безопасник не может дать рекомендаций, как сохранить в тайне существо переговоров. К этому еще накладывается и то, что вопросы IT-безопасности переносятся на айтишников компании, что, как правило, является для них непрофильной деятельностью, требует отдельного специалиста или хотя бы стороннего консультанта. Это одна из наиболее болезненных тем: то некоторые ходят с десятком простых кнопочных сотовых, считая, что «левый» телефон – лучшая защита тайны переговоров, не понимая, что все сторонние аппараты легко устанавливаются при анализе биллинга операторов, то «кошмарят» сотрудников и системных администраторов требованиями закрыть всем выход Интернет (неплохая мера, но в совокупностью с рядом других – отключение USB-портов,…, а не сама по себе), то выступают против свободного программного обеспечения, ведь «бесплатно – значит плохо» или против иностранного оборудования, «неизвестно, что туда напихали», не говоря уже про то, что мало кто задумывается о комплексной стратегии информационной безопасности компании. Все это приводит к существенному ослаблению IT-защиты бизнеса, недовольству IT-персонала, что также не добавляет безопасности.
  • Сотрудники силовых структур привыкли к жесткой командной вертикали власти. Они привыкли получать приказы и отдавать приказы. (Опять же здесь стоит оговориться, что это верно для большинства, но отнюдь не для всех. И чем дольше человек прослужил в силовых структурах, тем больше характерен для него подобный тип поведения). В результате, адекватное общение с коллегами и сотрудниками компании может быть затруднено. Особенно тяжело найти хорошего безопасника для IT-компании или же другой, предоставляющей услуги и работающей по проектному принципу. Ведь там крайне важны коммуникативные навыки, умения сглаживать конфликты, работать в среде высококвалифицированных специалистов, обладающих определенными «личностными нюансами», как то шизойдная акцентуация характера, и прочее, это если не говорить еще и про понимание специфики работы и особенностей применяемых технологий. В результате, безопасник может вносить больше негатива в работу, чем способствовать повышению защищенности компании. А случайно обиженный сотрудник – крайне уязвим для «злодея», желающего перетащить его на свою сторону.
  • Особенности ведения ОРД накладывают и другие отпечатки на сотрудников. Требования быстрых результатов, которые можно учесть в статистике, жесткая иерархическая структура управления приводят к ослаблению творческой составляющей сотрудников. Это может не быть критичным при каждодневной работе, но дает сильный негативный эффект при работе с новым, ранее неизвестным типом мошенничества, особенно связанного с IT-технологиями. Снижение креативности частое явление и в других госорганах, но для безопасности это достаточно критично в связи с тем, что приходя на работу в частный сектор, безопасник должен не только адаптироваться к совершенно другим условиям среды, но и зачастую создавать саму систему безопасности компании или модернизировать ее. А в связи с часто низким уровнем творческого потенциала, мышление идет по шаблонам, ранее известным моделям поведения или работы, что дает лакомую пищу для мошенников/конкурентов, которые используют неординарный подход к решению задачи. Так, у ИП «Котов» также был корпоративный конфликт с ООО «Бульдог», не гнушавшимся использовать нечестные методы борьбы. К участию в торгах на одной из электронных площадок (условия участия следующие: чтобы торги были признаны состоявшимися, в них должно принимать участие минимум 2 игрока и каждый должен сделать хотя бы по одному шагу. Обязательно вход в личный кабинет осуществлялся с постоянного IP-адреса, чтобы избежать возможных махинаций) были допущены обе компании. После начала торгов по интересующему заказа «Бульдог» сделал первый ход, после чего ход сделал «Котов», потом «Бульдог». На этом торги завершились, так как «Котов» ставок больше не делал. В результате «Бульдог» был признан победившим и получил заказ. Чистая прибыль этой компании, по итогам выполнения работ, составила порядка 10 млн. рублей, не считая того, что это дало гарантию занятости ее сотрудникам, повысило репутацию и активы компании, усилило ее позицию на рынке по отношению к «Котову». На следующий день после торгов, «Котов» заявил руководству площадки, что у них неожиданно пропало соединение с Интернетом и запросили отменить результаты торгов, на что им было отказано. После проведения расследования данного инцидента выяснилось, что действительно в тот день и время на Интернет-канал «Котова» была проведении атака типа «отказ в обслуживании» (весь канал был забит паразитическим трафиком, что подтвердили лог-файлы оператора связи, который предоставлял им услуги). По оценкам, стоимость подобной атака на черном рынке на тот момент времени составляла порядка 100$. Таким образом, за 100$ «Бульдог» заработал 10 млн. рублей чистой прибыли, не считая других бонусов (был и ряд других доказательств их причастности). Служба безопасности «Котова» до инцидента даже не рассматривала возможность подобных действий в свой адрес, не смотря на то, что достоверно знала о намерении «Бульдога» сжульничать на торгах. При этом с рядом других функций, как то: охрана здания и территории «Котова», расследования случаев воровства на предприятии, безопасники справлялись отлично.
  • Часто сотрудники силовых структур, склонны к проявлению 2 производственных девиаций, правда по разным причинам: использование рабочего времени в личных целях, ведь оперативник часто находится в «городе» и презентеизм (бестолковое присутствие на рабочем месте: во время болезни из-за показной ответственности или привычки; сидит, пока начальник на месте,…), что существенно снижает эффективность работы. И проконтролировать безопасника сложно, так как мало кто из руководителей разбирается в его работе.
  • Достаточно спорный момент в лояльности бывшего сотрудника силовых структур. В случае возникновения конфликта между компанией и контролирующим/надзирающим/правоохранительным органом, где ранее служил безопасник, чью сторону он выберет? К сожалению, были (хотя крайне редко) случаи, когда по той или иной причине безопасник передавал своих нанимателей.

Это лишь часть общих «особенностей», характерных для служб безопасности компаний в России. Еще раз повторюсь, что есть службы безопасности/безопасники, практически не подверженные данным проблемам. Каждый случай, каждая компания – уникальна. Часто можно скорректировать работы СБ компании, чтобы существенно повысить ее эффективность. Главное, чтобы сотрудники службы безопасности готовы были учиться и меняться, а бизнес имел понимание необходимости таких изменений.

Вместе с тем, не все так плохо. Многие аспекты работы СБ компании поддаются корректировке для максимизации ее эффективности. Так, при создании/корректировке работы системы безопасности фирмы, руководству желательно иметь максимально возможно полное представление об основных угрозах и их источниках для бизнеса, необходимо понять, «откуда может прилететь», ОБЯЗАТЕЛЬНО знать какие именно задачи хотят решить силами СБ и какими качествами должен обладать сотрудник, чтобы органично вписаться в коллектив, и выполнять свой функционал, то есть составить профиль службы безопасности компании (это поможет существенно сэкономить время в будущем и снизить потенциальные издержки от инцидентов безопасности). При подборе сотрудников, отвечающих за безопасность в компании обращать внимание на профильный опыт и достижения на этом поприще (Для IT-компании бывший сотрудник уголовного розыска, к примеру, скорее всего, будет менее полезен, чем тот, который занимался вопросами информационной безопасности). Проверить коммуникативные и оперативные навыки в части: как сходится с людьми и входит в доверие, как умеет получать и анализировать информацию, какие выводы и решения предлагает по итогам анализа, как умеет работать со техникой, насколько полно знаком с профильными вопросами безопасности (для оценки возможно привлекать IT-персонал, бухгалтеров, юристов,… ), как понимает свои задачи и как планирует строить свою работу. Разработать систему отчетности и контроля для СБ. Важно понимать, как оценивать и что считать результатом работы сотрудника.

Помните: подбирая безопасника в компанию, вы берете человека, который будет знать все грязное белье в организации, владеть многими ее тайнами. Ошибка здесь может дорого стоить.

Безопасность — это полноценная бизнес-функция

Руководители службы безопасности должны начать мыслить по-другому. Мы не можем продолжать изолировать себя от бизнеса, а затем проповедовать, как мы собираемся способствовать развитию бизнеса.

Автор: Алисса Миллер, хакер, исследователь и адвокат

В последнее время все больше руководителей компаний и руководителей служб безопасности считают, что безопасность должна «способствовать развитию бизнеса». Данная тенденция свидетельствует об улучшениях в сфере безопасности, осознании руководством истинной роли безопасности и ее ценности для организации. Тем не менее многие руководители не понимают, каким образом безопасность способствует развитию бизнеса. Им сложно сформулировать, что именно в безопасности способствует успеху бизнеса. Такая проблема возникает из-за того, что мы по-прежнему рассматриваем безопасность отдельно от бизнеса, а нам следует рассматривать безопасность как бизнес-функцию.

Когда заходит речь о функциях поддержки бизнеса, таких как финансовые группы, команды по подбору персонала, команды по работе с кредиторской / дебиторской задолженностью, мы можем четко понять какое прямое влияние оказывает каждое из них (или, по крайней мере, должно оказывать) на достижение успеха в бизнесе. В большинстве случаев мы можем сформулировать, как эти бизнес-функции связаны с получением дохода и увеличением чистой прибыли. Однако, в случае безопасности, нам довольно затруднительно сделать то же самое. Часто безопасность рассматривается как технологическая функция, которая находится в нескольких шагах от основного бизнеса и не имеет возможности напрямую повлиять на бизнес. Как отказаться от традиционной точки зрения на безопасность?

Выход за рамки традиционного мышления

Традиционно специалисты по безопасности, доказывая свою ценность для компании, сразу говорили про снижение рисков. Команды безопасности сосредотачиваются на теоретических (хотя, возможно, неизбежных) последствиях взломов, атак и т. д., и затем пытаются обосновать, как ИБ-инициативы и процессы снижают данный риск. Затем предпринимаются попытки сделать количественную оценку, говоря о сокращении затрат, связанных с уменьшением количества реализуемых угроз. Такой подход проблематичен, потому что для тех, кто занимается бизнесом, данные дискуссии не имеют контекста. Концепция довольно шаткая, подобную количественную оценку будет очень трудно защитить перед внимательными руководителями. В результате ИБ-команда не сможет заручиться твердой поддержкой со стороны коллег из высшего руководства (да, я назвала их коллегами, так как они должны ими быть, но это тема для другой статьи).

Относительно недолгое пребывание в должности руководителя стратегии безопасности в подразделении CRA (CRA, Credit Ratings Agency) организации научило меня необходимости связывать все ИБ-процессы с жизнеспособностью бизнеса, доходом и чистой прибылью. Я также много лет говорила о потребностях в безопасности, необходимых для развития бизнеса. Работая над стоимостной мерой рисков (Value at risk, VaR), я исходила из перспективы обоснования затрат на безопасность. Таким образом я мотивировала руководителей тратить деньги на необходимые инструменты и процессы. Во время работы в компании, занимающейся облачной безопасностью, я заметила, как безопасность может способствовать развитию популярной культуры DevSecOps. Теперь, работая в глобальной финансовой компании из списка Fortune 500, я чувствую, что наконец могу объединить свой 16-летний опыт в области кибербезопасности и выбрать верную стратегию.

Думайте как кредитор

Представьте, что вы являетесь директором по информационной безопасности и пытаетесь продемонстрировать потенциальному кредитору, каким образом программа кибербезопасности положительно влияет на кредитоспособность вашей организации. Многим в сфере безопасности данная задача кажется невозможной или даже смехотворной. Взявшись за данную задачу, мы скорее всего снова придем к сокращению затрат за счет снижения рисков. Сколько кредиторов заинтересуются подобным сюжетом? Уверяю вас, очень немногие. Так что спросите себя, как нам продвинуться дальше?

Когда кредитор смотрит на вашу организацию, он хочет знать, с какой вероятностью вы сможете выплатить свои долги. Конечно, предотвращение неожиданных и незапланированных расходов на безопасность играет определенную роль, но в общей схеме подобные случаи имеют очень незначительное влияние. Вместо этого нам необходимо показать широкую картину влияния нашей программы безопасности. Кредиторы хотят знать, куда вы движетесь с точки зрения роста, инвестиций, инноваций, размещения на рынке. То, где вы находитесь сегодня, на самом деле менее актуально, а то, где вы были раньше, вообще почти не имеет значения. Историческая производительность используется лишь для прогнозирования того, как ваша организация будет действовать в свете будущих проблем. Поэтому для убедительной демонстрации широкой картины влияния наших ИБ-программ следует обратиться к данным перспективным концепциям.

В поисках святого грааля

По сути, это «святой Грааль» поддержки бизнеса, о котором так много говорят в последнее время. Чтобы им воспользоваться, руководителям службы безопасности необходимо изменить показатели приоритизации. Следует обратить внимание на менее традиционные приоритеты, которые определяют направление движения организации:

  • Гибкость продукта – каким образом программа безопасности создает возможность быстрее выводить на рынок продукты и усовершенствования. Устранение проблем конечно важно, но действительно ли вы определяете частоту развертываний, сокращение незавершенных работ и ключевые показатели эффективности продукта / услуги? Если нет, то вы совершенно не понимаете, что означает «общая ответственность» (основной клиент культуры DevSecOps).
  • Инновации — рассмотрите свои стандарты и политики, созданы ли они для обеспечения безопасности и гибкости, позволяющей допускать исключения? Действительно ли они побуждают ваш бизнес искать новые способы достижения той же цели безопасности? Первое утверждение достаточно сложно для многих программ безопасности. Последнее – основная цель, к которой следует стремиться, но очень немногие ИБ-команды имеют ее в виду. Несколько лет назад Netflix представил идею «асфальтированной дороги». Превращение безопасного пути в простой путь к развертыванию поощряет безопасные методы. Но как насчет введения более высокого уровня ответственности? Поощрение бизнес-направления к достижению приемлемого уровня безопасности действительно наилучшим образом соответствует бизнес-целям?
  • Жизнеспособность бизнеса- Существует множество быстро закончившихся неудачных историй. Одной из них является пример империи Heck Alphabet. Даже если мы рассчитываем на короткий срок жизни бизнеса, неудача может дорого обойтись. Задумывались ли вы, как программа безопасности может обеспечить большую жизнеспособность на рынке продуктов и услуг вашей организации? Специалисты по безопасности часто принимают во внимание репутационные риски, но также могут устранить и другие риски для жизнеспособности бизнеса. Программы безопасности должны помогать компании улучшить привлечение клиентов. Возможно ли устранить проблемы в процессе адаптации клиентов? Можно ли использовать имеющийся опыт в области безопасности для более эффективной поддержки инициатив клиентов? Наши ИБ-программы также должны учитывать, как мы можем поддержать согласованность бренда. Каждый хотел бы работать в бизнесе, где безопасность является надежным компонентом бренда. Эти ключевые приоритеты должны определять пути развития программы безопасности компании.
  • Прибыльность — Конечно, вы сразу подумаете, что данный пункт очевиден. При снижении затрат на ИБ-программу, компания станет более прибыльной. Однако, действительно ли сокращение ИБ-бюджета поможет увеличить чистую прибыль компании? Вместо этого сделайте своим приоритетом повышение рентабельности в бизнес-направлении и обязательно отслеживайте и демонстрируйте данный приоритет. Установление связи между инициативами в области безопасности и сокращением жестких долларовых затрат в бизнес-направлениях обеспечит вам поддержку не только со стороны высшего руководства, но и со стороны самих бизнес-направлений. Ищите соответствие между возможностями инструмента и требованиями бизнеса. Более того, создавайте процессы и проекты безопасности, которые устраняют необходимость в обширных бизнес-процессах.

Руководители службы безопасности должны начать мыслить по-другому. Мы не можем продолжать изолировать себя от бизнеса, а затем проповедовать, как мы собираемся способствовать развитию бизнеса. Нельзя дальше требовать, чтобы безопасность являлась обязанностью каждого, при этом отказываясь от ответственности за повышение эффективности разработки, укрепление деловой практики и стратегические маркетинговые цели. ИБ-команды также должны участвовать в общем деле. Интегрировавшись в бизнес-процессы компании, ИБ-команды вместо необходимого центра затрат станут настоящей функцией бизнеса, используя свои возможности на благо организации.

Не ждите, пока хакеры вас взломают — подпишитесь на наш канал и станьте неприступной крепостью!

Основные правила безопасности бизнеса

Безопасность есть первая жизненная необходимость любой системы. Согласно Федеральному закону РФ: «Безопасность — состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз» (ФЗ N 2446-1 от 5 марта 1992). Эксперты ТББ рекомендуют бизнесменам и менеджерам, занимаясь своей профессиональной деятельностью никогда не забывать о сказанном выше.

Как правило, в своих материалах мы обычно уделяем внимание крупным предприятиям и реже средним, а о малых практически не упоминаем. Поэтому ниже приведенные и прокомментированные основные правила безопасности бизнеса адресованы в первую очередь малому бизнесу, но они будут интересны крупному и среднему бизнесу.

Почему люди озабочены безопасностью?

Был долгий период в истории нашей страны, когда большинство граждан никогда не задумывались о безопасности, а бизнесменов в ту пору не было, как класса. Почему так было и почему в настоящее время все не так? Ответ, конечно же, лежит на поверхности. Изменилась страна, изменилось общественно-политическое устройство, изменился экономический базис, у нас появилась частная собственность. Все это изменило взаимоотношения людей, их отношение ко всему, что связано с материальными ценностями. Появился рынок, на котором не только многое можно продать, но он сам формирует спрос на очень многое, что изменяет и жизнь людей, и их взаимоотношения, и отношения к товарно-материальным ценностям, в том числе им не принадлежащим. Появились угрозы товарно-материальным ценностям или активам собственников, т.е. угрозы частной собственности. И источники этих угроз – люди, самые разные по своему социальному статусу и по отношению к частной собственности.

Из сказанного следует, что все проблемы безопасности создаются людьми. Т.е источниками и носителями угроз являются люди. «Источником проблем с безопасностью являются люди. Эти проблемы не возникают сами по себе. (Аксиома Брета Ватсона)»

Следовательно, и защиту могут организовать и реализовать на практике могут только люди. К сожалению, эту простую истину почему-то не все понимают и не все с нею соглашаются. Могу привести пример из жизни, который характерен для всех бизнесменов, делающих первые шаги.

У эксперта ТББ состоялся разговор с собственником магазина молодежной одежды, который готовился открыть его в самое ближайшее время. Уже был просчитан бизнес-план, получен кредит, арендовано помещение в торговом центре, завезен товар и приняты на работу сотрудники. Даже реклама была заказана, оплачена и готовилась к установке в торговом центре. Собственно с рекламы и начался разговор. Новый представитель российского ритейла – человек, безусловно, знающий, экономист и все, что касается затрат, оборота и потенциальной прибыли просчитал, поэтому вопрос о поправке на потери несколько его обескуражил. Такая статья, как потери товарного вида, хищения покупателей и продавцов, козни поставщиков и т.п. им в учет не принимались. Причем, когда эксперт спросил его, о системе учета и защиты ТМЦ от хищений, незамедлительно последовал ответ о том, что для ведения учета закуплен и установлен мощный компьютер и лицензированное программное обеспечение, а надежной защитой от несанкционированного выноса товаров служит противокражная система на входе/выходе торгового зала. Пришлось немного разочаровать молодого бизнесмена и обратить его внимание на то, что корень всех проблем – люди. В его случаи – это сотрудники, имеющие доступ к компьютеру, ТМЦ и обслуживающие покупателей. И т.п. Главный вывод из примера: «Уважаемые бизнесмены, не забывайте о важности обеспечения безопасности ваших активов, иначе все усилия пойдут прахом. И денег не заработаете и потеряете, что вложили в бизнес».

Прежде всего, нужно сделать все, чтобы требования безопасности вошли в кровь и плоть сотрудников, чтобы они следовали им, не задумываясь и не сомневаясь. Такой подход может уберечь от серьезных проблем.

Приведу еще один пример, из статьи в СМИ: «В крупную инвестиционную компанию пришел клиент и предложил на основании доверенности заманчивую сделку по продаже 20% акций одного очень крупного предприятия. В компании действовали правила и процедуры, которые обязан выполнять каждый сотрудник. В данном случае – это была операционистка, которая сразу начала работать с клиентом по заданному алгоритму. Провела опрос клиента, руководствуясь разработанным опросником. Одновременно фиксировала реакции клиента при ответах на вопросы. В компании до сотрудников были доведены реакции клиента при опросе, характеризующие его, как нормального, т.е. клиента, которому можно доверять. Вопросы из опросной анкеты, разработанные психологами, вызывают определенные реакции, реакции на которые формализованы и известны оценки, которыми должны пользоваться сотрудники. Операционистка заметила, что некоторые из реакций посетителя были не совсем адекватны. Они не совпадали с признаками нормального(добропорядочного, законопослушного) клиента. Руководствуясь инструкцией, она поставила в известность вышестоящего менеджера и службу безопасности. В результате проверок, которые выполнили юристы и сотрудники СБ было установлено, что клиент предъявил поддельные документы. СБ сообщило в правоохранительные органы. Далее операцию проводили сотрудники милиции из подразделения по борьбе с экономическими преступлениями. В результате, преступники были задержаны с поличным».

Два примера и два сценария действия сотрудников. В первом случае не продумано и не организовано ничего для обеспечения безопасности активов, а во втором все продумано, спланировано, сотрудники обучены, взаимодействие с правоохранительными органами организовано. Примеров, для того, чтобы сделать правильные выводы достаточно: «Для активной и эффективной защиты своих активов необходимо в любом бизнесе, на любом предприятии организовывать систему безопасности».

Как разработать и организовать систему безопасности предприятия (бизнеса)?

Мы не однократно писали и говорили — не существует универсальной системы безопасности. Каждая система безопасности — это уникальный проект, пригодный только для предприятия, для которого он разработан и, где внедрен. Чтобы система безопасности получилась адекватной бизнесу, его экономической политике, условиям и состоянию рынка ее необходимо строить на основе тщательного и профессионального изучения всех внешних и внутренних факторов, которые оказывают влияние на бизнес-процессы предприятия. На рис. 3 приведены пример алгоритмов разработки концепции системы безопасности.

Торговые и производственные предприятия, финансовые компании имеют принципиальные отличия друг от друга. Тем не менее, существует общий алгоритм локализации угроз, который применим для любой системы:

1. Идентификация источников угроз (рисков) безопасности.

2. Оценка степени серьезности угрозы (уровень ресурсов источника угрозы и его цели — возможного ущерба ресурсам предприятия).

3. Выделение групп источников угроз по целям, ресурсам, интересам.

4. Оптимальное выделение ресурсов, выбор и применение оптимального алгоритма локализации угроз (построение системы защиты) с учетом выделенного на это бюджета.

В процессе общения с руководителями служб безопасности различных предприятий очень быстро приходишь к выводу о том, что и в этой работе справедливо утверждение: «Все системы, построенные без учета политики ведения бизнеса и условий приложения этих политик, а также стратегических целей и задач безопасности – всегда одинаково не эффективны, все системы, ориентированные на конкретные цели, задачи и стратегии – всегда успешно решают задачи сохранности активов!».

Из общения с руководителями предприятий и СБ на семинарах и в ходе аудитов систем безопасности становится ясно, что во всех случаях, когда организация безопасности подчинена конкретным целям и задачам обязательно во главе решении проблемы стоит ранжирование угроз и рисков безопасности. Эксперты таких руководителей относят к категории мыслящих не шаблонно. Всем известно, что безопасность не может быть абсолютной. На такую безопасность у предприятия не хватит ни сил, ни средств. Безопасность должна быть оптимальной, т.е. обеспечивающая благоприятные условия функционирования предприятия при приемлемых затратах.

Занимаясь предпринимательской деятельностью, никогда не следует забывать о том, что предпринимательство – это всегда риск. Предпринимательству, по крайней мере, в условиях нашего государства, всегда сопутствуют такие общественные явления, как организованная преступность, рэкет, чиновничье мздоимство (коррупция) и недобросовестная конкуренция.

Специалисты отмечают, что существующие государственно-правовые механизмы, обеспечения экономической безопасности предприятий оказываются в нынешней ситуации мало эффективными и даже неприемлемыми для организации защиты законных интересов предпринимательства. Наиболее ярким проявлением сказанного являются «битвы» с рейдерами за свои активы. Причем от рейдерского захвата или враждебного поглощения не застрахован никто. Если кто-то «положил глаз» на ваш актив, то механизм захвата (поглощения) обязательно будет запущен, как только будет проведена необходимая предварительная подготовка. Другой, мы бы сказали основополагающей, — причиной угроз бизнесу является коррупция. Если у вашего «оппонента» имеются административный и финансовый ресурсы, то он всегда готов начать атаку на Ваш бизнес, понимая, что в таких условиях законопослушный предприниматель, не имеющий системы экономической безопасности, всегда будет в проигрыше и никогда не сможет добиться справедливости, даже если обратиться в суд. Пока суд да дело – бизнес будет потерян или ему будет нанесен существенный ущерб и вы, как конкурент, будете повержены.

В числе основных причин и условий неудовлетворительного состояния безопасности предпринимательства отмечается несовершенство и противоречивость нашего хозяйственного права, отсутствие необходимой своевременной корректировки законодательства, организационная слабость механизмов согласования интересов государства и предпринимателей, несовершенство института страхования предпринимательских рисков.

В сфере обеспечении безопасности коммерческих предприятий с конца 80-х годов, и практически по настоящее время, определилось два направления: «крышевание» и профессиональная безопасность. Экономическая суть у них разная. Главная задача «крыши» — бить по хвостам, возвращать деньги. С экономической точки зрения, «крышевание» неэффективно. Если что-то случилось, неизбежны разборки. И крайним в них, как правило, оказывается тот, чью безопасность обеспечивают, так как «крыши» умеют в нужный момент договариваться между собой. Второе направление — это профессиональные службы, или предприятия безопасности. Их цель — создание эффективной системы безопасности на собственных коммерческих предприятиях или на предприятиях клиентов (для ЧОПов), то есть профилактика — уменьшение вероятности нежелательных событий или полного краха организации с помощью ряда защитных мероприятий, которые требуют разумных затрат.

Таким образом, профессиональные структуры безопасности призваны защищать бизнес превентивными мерами. В профессиональной безопасности бизнеса можно выделить следующие направления:

1. Обеспечение безопасности бизнеса без организации или привлечения на постоянной основе государственных и негосударственных структур безопасности. Это направления обеспечение безопасности наиболее подходит для малых предприятий. В данном случае эксперты ТББ рекомендуют собственникам и руководителям таких предприятий пройти курс обучения и заказать у консалтингового предприятия организационный проект системы безопасности. Дополнительно можно заключить договор на сопровождение внедрения такого проекта, чтобы гарантированно добиться желаемого результата в обеспечении безопасности и всегда иметь систему безопасности адекватную собственной политике и условиям ведения бизнеса.

2. Обеспечение безопасности бизнеса с привлечением подразделений вневедомственной охраны или частного охранного предприятия. При таком варианте защиты своего бизнеса следует учесть, что главным образом, решаете задачи охраны активов, персонала и интеллектуальной собственности. Остальным букетом проблем безопасности все равно придется поручить заниматься кому-либо из своих сотрудников.

3. Организация собственной службы безопасности. Безусловно – это не дешевое удовольствие, но оно того стоит, особенно для крупных предприятий.

4. В последние годы наблюдается смена видения роли и сущности систем безопасности. Все большее развитие получает внедрение систем внутреннего контроля (СВК). Если СВК, кроме всего прочего, рассматривать как подсистему экономической безопасности, то неизбежно появляются задачи взаимодействия подразделений СВК и служб безопасности. И не стоит сомневаться в том, что такое взаимодействие должно быть исключительно тесным, постоянным и эффективным.

5. Возникает еще один уровень безопасности – система риск-менеджмента. Эксперты ТББ рекомендуют при организации такой системы не забыть привлечь к ее работе и СВК, и СБ. Т.е. мы полагаем, что на предприятиях, где одновременно действуют и система управления хозяйственным риском, и СВК, и СБ, все они должны в формате структурных компонентов входить в систему обеспечения экономической безопасности.

Любая система вне зависимости от принадлежности стремится выжить, существовать и развиваться. Без обеспечения безопасности как процесса это невозможно. Таким образом, безопасность есть первая жизненная потребность любой системы и основная ее жизненная ценность. Безопасность компании на рынке — продукт специфического внутреннего производства «индустрии безопасности». Он производится компанией, ею же потребляется и участвует в производстве прибыли, путем создания конкурентных преимуществ и защиты активов компаний.

Объектом защиты системы безопасности являются ресурсы в самом широком смысле: информация, интеллектуальная собственность, активы, имущество, клиенты, персонал, технологии и так далее. Сама система управления компанией также является определенным ресурсом и требует защиты. Управление должно быть построено так, чтобы система безопасности не замыкалась в отдельной структуре. Обеспечение безопасности — это забота не только службы безопасности, но и всего менеджмента компании. Система должна охватывать всех сотрудников, начиная с президента и заканчивая техническим персоналом. Управление безопасностью — это развивающийся процесс.

При построении системы безопасности также важно учитывать несколько проверенных временем правил. Специалисты безопасности иногда называют их золотыми правилами безопасности:

1. Существуют три понятия: безопасность, скорость и дешевизна. Вы можете выбрать только два показателя из трех: скорость, безопасность, дешевизна. Т.о., внедряя систему безопасности, вы можете выбрать только два из них. Система может быть безопасной и быстрой, но при этом она окажется очень дорогой. Она может быть безопасной и дешевой, но она будет страшно медленной. Она может быть дешевой и быстрой, но небезопасной. Выбор оптимальной комбинации — прерогатива лиц, принимающих решения. Обнулить риски невозможно. Нулевой риск бывает только у того, кто ничего не делает. Однако в силах эффективной службы безопасности сделать этот риск оптимальным.

2. В управлении безопасностью, как бизнес процессом действуют все экономические законы и понятия, например эффективность, хотя рассчитать ее несколько сложнее, чем обычную эффективность, так как здесь эффектом является не прибыль, а экономия, иногда она носит «виртуальный» характер. Т.е. бизнес не понес потери благодаря тому, что система безопасности расстроила контракт с потенциальным партнером-мошенником. Или благодаря контролю за обеспечением безопасности активов от угроз со стороны персонала снизились потери от простого и системного хищения. И в первом и во втором случаях система безопасности в лице СБ и СВК не предотвратили потенциальный ущерб.

3. Безопасность и сложность бизнес процессов — явления обратно пропорциональные. Чем сложнее процесс, тем больше проблем с безопасностью, тем менее он надежен. Чем сложнее система угроз, тем более дорогостоящая система требуется для противодействия ей. Если сравнить коммерческую палатку и крупный завод, то для обеспечения безопасности первой достаточно просто договориться с милицией, обслуживающей район, а лучше заключить договор. Что же касается завода, для обеспечения его безопасности могут потребоваться сложные проектные разработки политик, концепций и внедрение современных систем безопасности.

4. Безопасность подчиняется правилу бритвы Синдера: «В отсутствии прочих факторов всегда используй вариант с наибольшей безопасностью. Вы или серьезны по поводу безопасности или просто дурачитесь. (доктор Джоел Синдер)». Это верно и при принятии любых решений в бизнесе.

5. Безопасность — инвестиция, а не расход. Она стоит дорого, и это оправданно, но это совсем не значит, что в нее можно вкладывать бесконечно. Наступает определенный момент, когда дальнейшее увеличение затрат практически не повышает уровень безопасности. Правильно определить этот момент — значит работать экономически эффективно.

6. Любая система безопасности тормозит развитие системы в целом. Единственный выход — следовать за изменениями. Меняться вслед за бизнесом. Прогнозировать неведомое. «Тот, кто почуял ветер перемен, должен строить не щит от ветра, а ветряную мельницу. (Надпись на китайской вазе)»

7. Наиболее эффективно управление безопасностью там, где оно непосредственно включено в бизнес-процессы. Например, в корпорациях, где реализуются крупные проекты, в каждый из них включается менеджер безопасности, который отслеживает риски по своему направлению и принимает решения, как избежать угроз, не снижая эффективности и скорости работы.

Несколько рекомендаций по экспертизе объектов

Первый и, возможно, наиболее важный вопрос, на который эксперт должен ответить, — почему данная организация нуждается в заключении по состоянию системы безопасности. Этот ответ желательно получить от Заказчика в лице собственника или руководителя компании. Он тает возможность эксперту понять отношение Заказчика к безопасности.

Предварительная информация для анализа должна включать следующие сведения:

— согласованные сроки проведения обследования объекта и подготовки заключения (акта аудита системы безопасности);

— реквизиты компании-заказчика, а также всех организаций, учреждений, предприятий и т.п., подлежащих обследованию;

— согласованный список руководителей и сотрудников компании, с которыми будут проводиться интервью и, которые будут готовить материалы для экспертов по организации бизнеса и безопасности;

— правила внутреннего трудового распорядка;

— штат сотрудников и характеристика (описание) рабочих мест;

— планы размещения активов с выделением наиболее ценных, требующих особого внимания;

— описание реализованных систем, мероприятий безопасности;

— статистика нанесения ущерба компании. Материалы служебных расследований случаев хищения, мошенничества, иных случае нанесения ущерба активам, фактов насилия, пожаров, злоупотребления наркотиками и алкоголем работников, факты сбора разведывательных данных со стороны подозрительных лиц и т.д.;

— проблемы с обеспечением безопасности, источниками которых были органы власти, конкуренты, партнеры, поставщики, потребители и т.п.;

— внутренние регламентирующие документы по обеспечению безопасности.

Задача эксперта состоит в том, чтобы на основание анализа полученных сведений определить достаточность мер безопасности в отношении непосредственной или потенциальной системе угроз активам компании в целом. Следующий шаг — это разработка рекомендаций по совершенствованию системы безопасности или разработка проекта (концепции) системы безопасности.

Правила и принципы безопасности в бизнесе

Компанию всегда окружают угрозы, например конкуренты, недобросовестные партнеры, неквалифицированные работники или руководители. Необходимо организовать безопасность по всем направлениям: информационную, финансовую, материальную, правовую.

Что такое безопасность бизнеса

Безопасность в контексте предпринимательской деятельности – это защита от всех угроз, которые могут причинить вред предприятию. Угрозой считается не только риск потерять деньги, но и потерять репутацию. Чтобы не допустить этого, разрабатываются меры по безопасности жизни и здоровья сотрудников, по конфиденциальности данных. Работа над безопасностью бизнеса подразумевает своевременное обнаружение угроз, подготовку персонала к решению нестандартных ситуаций.

Важно задуматься о безопасности бизнеса сразу после его запуска, не дожидаясь первого урона. Ведь лучше предупредить и предотвратить угрозу, нежели бороться с ее последствиями.

Затем система безопасности дорабатывается. В нее вносятся изменения каждый раз, когда корректируются бизнес-процессы внутри компании. Дорабатывать систему безопасности важно, даже если изменения в бизнес-процессах напрямую не связаны с сохранностью имущества или данных. Например, в производственном отделе руководитель решил изменить график работы и увеличил длительность рабочего дня на один час. У сотрудников постепенно нарастало недовольство, так как за переработки дополнительные деньги они не получали. Однажды недовольный работник саботировал производство, допустив поломку оборудования. Рабочий процесс встал, а компания понесла убытки.

Корпоративная система безопасности и ее компоненты

Стереотипное представление о безопасности – это охранники, стоящие на входе в офис. Однако на самом деле хорошая защита бизнеса представляет собой комплекс из десятков мер. Вот несколько компонентов этого комплекса:

  • информационная безопасность. Меры по информационной безопасности защищают от вирусов на компьютерах или в электронной почте, от воровства данных с облачных хранилищ;
  • правовая безопасность. Благодаря мерам правовой безопасности в компании соблюдаются законодательные требования. Например, отсутствует воровство, подделка документов. Однако важно не путать правовую безопасность с экономической. Экономические нарушения совершаются ради наживы, а правовые – чтобы скрыть мелкие неправомерные шаги;
  • экономическая безопасность. Меры по экономической безопасности предотвращают убытки. Например, важно правильно вести бухгалтерскую отчетность, фиксировать все доходы и расходы. Экономическая безопасность больше всех остальных компонентов зависит от сотрудников, их добросовестности;
  • личная и физическая безопасность работников. Во-первых, необходимо защищать работников от травм на рабочем месте, ведь если сотрудник уйдет на больничный, то работодателю придется выплатить компенсацию и искать замену выбывшему. Во-вторых, важно защищать территорию от проникновения посторонних, которые могут причинить вред сотрудникам или имуществу;
  • безопасность управления бизнес-процессами. Это управление рисками – прогнозирование возможных сложностей и убытков, чтобы либо избежать их, либо минимизировать негативные последствия. Понимая возможные риски, руководство компании может принимать более взвешенные и продуманные решения;
  • защита оборудования. Это техническая безопасность, в рамках которой руководство компании обучает персонал пользоваться оборудованием и ограничивает круг пользователей только теми сотрудниками, которым оборудование нужно для выполнения обязанностей;
  • защита от увольнения и утечки сотрудников. Важно не допускать переманивания работников конкурентами и их добровольного ухода;
  • защита репутации бизнеса. Это отработка негативных отзывов или неудачных публикаций в СМИ, контроль за собственными публикациями в соцсетях, выход на неправильный сегмент потребителей. Всё это портит имидж компании, из-за чего снижаются продажи и компания недополучает прибыль.

Зачем контролировать безопасность бизнеса

Казалось бы, очевидно, что система безопасности бизнеса защищает от убытков. Однако формирование системы помогает руководству предприятия достичь и других целей:

  • повысить дисциплину среди сотрудников. Если работники будут знать, что их действия на рабочем месте известны руководителю, они будут ответственнее относиться к рабочему распорядку, оборудованию;
  • защитить интересы и права компании;
  • создать и поддерживать в компании условия для производства качественных товаров и услуг;
  • выполнять планы по производству и продаже;
  • отбирать только лучших партнеров, вовремя распознавая недобросовестных.

Выстраивая схему защиты бизнеса, желательно начать с изучения информационных процессов. Можно собрать команду экспертов, которые определят, какие именно данные требуют защиты в первую очередь. Составляется перечень мест, где аккумулируются самые важные данные или активы, и список лиц, имеющих к ним доступ. Затем определяются негативные последствия, которые возникнут из-за утечки данных. Обычно нарушителями являются работники компании. Нарушения с их стороны происходят случайно или намеренно, но вероятность возникновения утечки информации можно просчитать.

Чтобы понять, какие именно данные защищать, необходимо оценить имущество по двум критериям: вероятность, что с ним возникнут проблемы (например, информацию «сольют», а оборудование сломается), и размер предполагаемого ущерба. Чем выше риск для компании, тем важнее защищать активы.

После экспертизы подготавливается политика безопасности бизнеса. Это документ, утверждаемый руководством. В него входят следующие разделы:

  • описание текущего уровня безопасности. Например, можно описать количество запасных деталей, которые «спасут» производственный процесс, если оборудование сломается. Еще можно прописать активность конкурентов, особенно если были замечены попытки шпионажа с их стороны;
  • цели, которые нужно достичь с помощью системы безопасности. На основе целей будет выбрана стратегия и способы обеспечения сохранности финансов, имущества и имиджа;
  • детали СБ. Необходимо обозначить основные функции СБ, определить желаемую степень защиты данных, составить список подрядчиков или сотрудников, которые будут заниматься защитой;
  • методы оценки системы безопасности. Важно выбрать критерии, на основе которых будет определяться уровень безопасности, выбрать методики оценки;
  • ресурсы. Необходимо определить, сколько охранных и материально-технических ресурсов требуется. Чтобы активы были защищены от ошибок и намеренного саботажа со стороны работников, необходимо с помощью мотивации повышать дисциплину персонала. Поэтому важно просчитать размер и способы мотивации;
  • план мероприятий. Например, можно указать, кто и когда установит камеры наблюдения, проведет обучение по безопасности для работников.

Все принципы и правила СБ должны быть прописаны с учетом технических и правовых норм. Но также необходимо проверить, что все ограничения рациональные. Например, можно запретить сотрудникам иметь сотовые телефоны на рабочем месте. Но тогда важно обеспечить хранение личных вещей. К тому же необходимо организовать систему контроля за выполнением правила. Если сотрудники будут игнорировать его, испортится имидж фирмы.

Как правильно сформировать систему безопасности

Есть несколько правил, которым должна соответствовать система безопасности. Главное, действовать по закону, чтобы стратегии управления безопасностью не нарушали трудовое законодательство. Остальные правила звучат так:

  • использовать ресурсы комплексно. Например, нельзя требовать соблюдения правил только от части сотрудников, пока остальные работают хаотично;
  • взаимодействие между подразделениями должно быть полным. При необходимости стоит привлечь сторонних подрядчиков, например воспользоваться услугами охранных компаний или передать информационную безопасность на аутсорс;
  • потенциальные угрозы нужно не только отрабатывать, когда они уже приносят проблемы фирме, но и предсказывать их. Важно анализировать работу компании и выполнять профилактические мероприятия;
  • не всю информацию нужно охранять. Секретность должна касаться только некоторых, критически важных, данных. Но также необходимо какой-то информацией делиться с клиентами, партнерами, СМИ, чтобы формировать свой имидж;
  • привлекать для защиты активов квалифицированных специалистов;
  • расходы на СБ не должны быть выше, чем убытки, которые компания может понести в случае проблем. Кроме того, расходы не должны стать значительной долей всех доходов предприятия;
  • планирование работы по обеспечению безопасности должно затрагивать все отделы и сотрудников. Вместе с планированием должна внедряться система контроля за выполнением планов.

Особенности обеспечения информационной безопасности

Успех и конкурентоспособность бизнеса зависят от того, какие методики производства он использует, кто состоит в его клиентской базе, у каких поставщиков и какое сырье он закупает. Важно обеспечить сохранность этой конфиденциальной информации. Но в деловой среде постоянно появляются новости о том, что чьи-то корпоративные данные были украдены.

Третьи лица получают доступ к внутренней информации по нескольким причинам:

  • кто-то из работников случайно завладевает важной информацией. Например, работник отдела продаж сделал скриншот или фото CRM-системы, чтобы иметь под рукой нужную информацию. А позже он уволился из компании, но фото осталось у него в телефоне. Если работодатель расстался с сотрудником на хорошей ноте, у последнего нет желания мстить, распространяя данные. Такая утечка информации неопасна. Но всё же нужно исключить возможности случайного «слива» данных;
  • кто-то из сотрудников целенаправленно слил информацию. Например, работники, которые при увольнении затаили обиду. Они намеренно выкладывают в открытый доступ данные о компании, чтобы испортить ее репутацию, или продают конфиденциальные данные конкурентам. Диверсанты могут добывать нужную информацию, еще находясь в штате компании, пользуясь своим положением в фирме;
  • сторонние люди получают данные фирмы. Например, хакеры, взламывающие базы данных.

Причиной утечки данных могут стать недостаточно защищенные программные базы, слабые коды, неактуальные защитные обновления. Хакеры или желающие получить данные легко взламывают систему защиты. Но иногда к важным данным есть доступ у слишком многих сотрудников. Чем больше инсайдеров допущено к данным, тем выше риск утечки. Желательно открывать данные только для тех лиц, которым информация нужна для выполнения обязанностей.

Второй источник опасности – вирусы в программах. Вредоносные программы оказываются внедренными в корпоративную инфраструктуру. Вирусы внедряют злоумышленники, причем не всегда ради воровства данных какой-то конкретной фирмы. Некоторые хакеры случайным образом ищут прорехи в системе безопасности нескольких инфраструктур.

Но иногда СБ предприятия взламывается целенаправленно. Например, по заказу недобросовестных конкурентов или мошенников, которые хотят шантажировать компанию. Тогда для получения информации используются хитрые многоходовые приемы. Например, отправляют фейковые письма будто бы от лица сотрудника, фальсифицируют данные с использованием дипфейков. Или применяют фишинг и спуфинг, то есть отправляют письма от лица человека, которому сотрудники доверяют. Например, работнику приходит письмо будто бы от начальника отдела. А в письме находится вредоносное ПО, ссылка-ловушка.

Чтобы данные компании были в сохранности, необходима помощь IT-специалистов. Они возьмут на себя управление приложениями и обновлениями, контроль вирусного программного обеспечения, отслеживание использования внешних сервисов. Чтобы защитить компанию от вторжений, используются IPS- и IDS-системы, блокирующие подозрительные активности. Для защиты отдельных файлов используется шифрование данных и используемых работниками гаджетов, регистрация мобильных телефонов.

Обеспечение экономической безопасности

Экономическая безопасность – это предотвращение потери денег. Например, компания может нести убытки из-за нечестного контрагента. Чтобы этого не случилось, необходимо еще до заключения договора с поставщиком или клиентом проверять их деятельность. Если контрагент – это юрлицо, то нужно проверить ИНН контрагента, информацию о нём в ЕГРЮЛ, данные о гендиректоре, местоположение офиса, а также бухгалтерскую отчетность и устойчивость контрагента на рынке.

Еще одна опасность для компании – потери в результате неоптимизированных налоговых выплат. Важно максимально сократить затраты на налоги, но так, чтобы не нарушать требования налоговых органов. Есть несколько путей сокращения налоговых расходов:

  • внедрить планирование налогов и выбирать те варианты планирования, которые максимально соответствуют бизнесу;
  • нанимать опытных сотрудников, которые найдут способы сэкономить деньги;
  • проанализировать отчетность за прошлые периоды, чтобы найти просчеты в ней.

Обеспечение прочих видов безопасности

Для компании важны физическая, правовая и кадровая безопасность, ведь они обеспечивают стабильную работу всех отделов. Но работать над ними нужно только после того, как будет обеспечена информационная и экономическая безопасность.

Например, физическая безопасность предполагает охрану территории от посторонних. Чтобы гарантировать сотрудникам безопасность, а имуществу – неприкосновенность, можно сделать следующее:

  • установить камеры наблюдения внутри компании и по ее периметру;
  • внедрить систему пропусков для прохода на территорию;
  • установить сирену, которая бы оповещала сотрудников об опасности;
  • установить на входе домофон, чтобы контролировать вход на территорию, не контактируя с посетителями напрямую.

Правовая безопасность – работа с документацией, чтобы в ней не было юридических нарушений. Благодаря правовой безопасности сохраняется позитивный имидж компании на рынке. Чтобы поддержать безопасность, необходимо грамотно составлять всю документацию. Каждую предстоящую сделку или проекты (в том числе инвестиционные) необходимо подвергать экспертной оценке. В таких случаях составляются индивидуальные договора, и квалифицированный юрист убедится, что в соглашении нет никаких двойственных формулировок и правовых угроз.

В идеале необходимо сопровождать каждую сделку, ведь на любом этапе могут возникнуть правовые вопросы. Если всё же возникают недопонимания по договору и компания вынуждена судиться с контрагентами, то в суде ее должен представлять юрист.

Правовые вопросы решаются не только с клиентами и контрагентами, но и с государством или аудиторами. К аудиторским проверкам важно готовиться, чтобы защитить себя от обнаружения аудитором ошибок. Во время проверок также необходим юрист. Правоохранительные органы иногда пытаются забрать документацию, хотя формально не имеют на это оснований.

Кадровая безопасность – это работа с сотрудниками таким образом, чтобы они не предпринимали попыток навредить компании. В рамках обеспечения кадровой безопасности компания делает следующее:

  • сбор и изучение информации о кандидате, прежде чем пригласить его работать в компанию. Особенно важно проверять тех, кто будет работать с финансовой отчетностью, с клиентскими базами или с инновационными разработками. Важно изучить его прошлую деятельность. Угрозу для компании представляют кандидаты, пришедшие после работы на конкурентов или из компаний с плохой репутацией. На некоторых должностях важны личностные качества работников, значит, и их нужно изучать с точки зрения возможных угроз. Например, если морально-нравственные качества кандидата не устраивают работодателя, не стоит изначально брать его в штат;
  • когда сотрудники уже приняты, необходимо продолжать за ними наблюдать. Обращать внимание стоит на атмосферу в коллективе. Если кому-то из работников некомфортно среди коллег, повышается вероятность диверсии с его стороны;
  • если уже произошел случай нанесения ущерба компании со стороны работника, необходимо расследовать происшествие. Если правила безопасности не соблюдаются или работник не следует обязательствам, прописанным в договоре с ним, нужно открывать трудовой спор.

Как создать службу безопасности

Служба безопасности необходима всем компаниям, даже маленьким. Ведь именно малый и средний бизнес чаще всего становятся целью хакерских атак. Чтобы создать в компании отдел безопасности, нужно следовать пошаговому алгоритму.

Поставить цель

Казалось бы, очевидно, что отдел нужен для обеспечения безопасности. Но всё же важно уточнить, против каких угроз будут работать его сотрудники. Например, если компания является инноватором в своей отрасли, для нее представляют опасность происки конкурентов, которые могут украсть уникальные разработки. Но, если компания не посягает на лидерство в отрасли, для нее гораздо опаснее проверки налоговых и правоохранительных структур. В розничной и оптовой торговле главной опасностью являются работники: важно не допустить хищений.

Определить задачи

Определив возможные риски, можно поставить перед отделом задачи. Главная задача для сотрудников этого подразделения – нивелировать риски. Но, исходя из целей, можно понять, какие сопутствующие задачи есть у отдела. Например, в розничном магазине самую большую опасность составляют возможные хищения. Значит, задача отдела безопасности – обеспечить видеонаблюдение, проверку сотрудников перед уходом с работы, проведение регулярных инвентаризаций.

Если компания работает в сфере IT, опасность представляет хищение данных. Иначе говоря, задача отдела – обеспечить защиту интеллектуальной собственности. Работники отдела должны проводить мероприятия по информационной безопасности и дополнительно следить за действиями конкурентов.

Включить отдел безопасности в корпоративную оргструктуру

Место отдела в оргструктуре зависит от величины компании. На крупных предприятиях подразделение занимается всеми направлениями безопасности – и информационной, и правовой, и экономической. Но малому бизнесу сложно содержать в одном отделе много разноплановых специалистов. Однако если сформировать небольшой отдел из двух-трех человек, то с полным объемом задач он не справится. Поэтому для мелких компаний оптимальным вариантом остается небольшой отдел, который займется только явными угрозами. Например, в службе безопасности может быть руководитель с опытом оперативной работы, его заместитель с нужным образованием и опытом, а также один рядовой сотрудник. Специализация заместителя и сотрудника определяется исходя из целей и задач. Например, если основная опасность – хищения товаров, то заместитель и работник должны иметь опыт работы в полиции. А если компания защищается от финансовых или информационных потерь, то от сотрудников требуется опыт в IT-отрасли или аналитике.

Подобрать сотрудников

У сотрудников службы безопасности должна быть безукоризненная репутация. Особое внимание следует обращать на послужной список претендента на должность руководителя или начальника охраны. В идеале этот человек должен иметь опыт работы МВД или ФСО.

Выделить бюджет

Компания не будет получать от отдела безопасности дохода, однако экономить на нём не стоит. Например, работники отдела должны получать конкурентоспособную зарплату, уровень которой не может быть ниже других сотрудников фирмы. Достойная зарплата поддержит мотивацию работников СБ.

Нельзя экономить на обучении и переподготовке персонала. Например, работников отдела необходимо регулярно отправлять на обучение, чтобы они были в курсе новых видов угроз и методов борьбы с ними.

Заключение

Чтобы компания могла развиваться, она должна обезопасить себя от внутренних и внешних угроз. На финансовое состояние фирмы, на ее репутацию могут повлиять хищения товаров, порча имущества, недочеты, найденные при проверке. От всего этого защищает отдел безопасности.

Система безопасности в бизнесе должна охватывать несколько направлений. В первую очередь важно защитить фирму от утечки данных о контрагентах, о движении денег, о планируемых проектах и уникальных инновациях. Во вторую очередь обеспечивается безопасность экономическая. Только после этого следует задуматься о физической безопасности имущества и сотрудников.

Система безопасности и отдел безопасности – это то, на чём не стоит экономить, хоть этот отдел и не будет приносить прибыли. Правильно организованная служба с квалифицированными сотрудниками сбережет прибыль компании и ее имидж.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *