Почти каждое предприятие имеет службу безопасности, но мало кто понимает, какие задачи перед ней необходимо ставить. Выработанная стратегия защиты и работа на опережение помогают более эффективно отражать внешние и внутренние угрозы.

Угрозы

Задачи, которые ставятся руководством компании в сфере безопасности, связываются с объектами защиты, а не с общим пониманием рисков, характерных для поверхностного подхода к разработке стратегии. При этом любые новые организационные меры, направленные на повышение уровня защиты, встречают неприятие сотрудников и менеджмента, рассматривающих их как ненужные ограничения и помехи в течении бизнес-процессов.

Крупные компании давно выстроили комплексную систему безопасности на всех уровнях – от информационного до экономического.

Небольшие ограничиваются минимумом усилий, неся при этом существенные убытки. Общая система рисков выглядит так:

1. Риски бизнеса. Это угроза репутации, черный пиар с точки зрения внешних взаимодействий или инвестиции, новые разработки, которые могут быть неуспешными с точки зрения внутренних задач.

2. Информационные риски. Это утечки информации, угроза ее целостности, подмена, затрудненный доступ к данным, сервисам и приложениям.

3. Риски персонала. Это текучка кадров, переманивание ценных сотрудников конкурентами, задача по охране труда, снижению травматизма и заболеваемости на рабочих местах с тяжелыми и вредными условиями труда.

4. Инфраструктурные риски. Это поломка или выход из строя оборудования, аварии, проблемы на опасных производственных объектах, загрязнение природной среды выбросами предприятия.

5. Финансовые риски. Это кражи, ущерб, убытки, штрафы, проигрыши в судах.

С этими проблемами сталкивается каждая компания. Опираясь на их понимание, вырабатывается схема компонентов корпоративной безопасности:

1. Информационная безопасность.
2. Экономическая безопасность, задачей которой становится предотвращение утечек средств из компании.
3. Правовая безопасность. В ее рамках компания защищается от неправомерных действий сотрудников и конкурентов, предотвращает подлоги и мошенничество, взаимодействует с проверяющими и правоохранительными органами.
4. Кадровая безопасность. Здесь решаются задачи по защите жизни и здоровья сотрудника, предотвращению «утечки мозгов».
5. Имущественная безопасность, в рамках которой защите подлежат принадлежащие компании помещения, объекты инфраструктуры, оборудование.
6. Риск-менеджмент. Здесь защищаться необходимо от неэффективных инвестиций, ненадежных поставщиков.
7. Репутационная безопасность.

Очевидно, что со всеми этими задачами не может справиться исключительно СБ.

Как выстроить систему корпоративной безопасности

Помимо службы безопасности, комплексные задачи защиты предприятия от внутренних и внешних угроз решает высший и средний менеджмент, финансовая дирекция, служба внутреннего контроля, КРУ, юридическое подразделение, службы персонала и ИТ. Возникает необходимость выстраивания их эффективного взаимодействия. 

Требуется выработать механизм борьбы с угрозами, состоящий из этапов:

1. Обнаружение. Сотрудники предприятия должны выработать механизм обнаружения угрозы таким образом, чтобы не возникло ложных срабатываний. Так, для ИТ-специалиста решением задачи станет настройка системы мониторинга ИТ-инфраструктуры, оповещающая о вторжениях, для внутреннего аудита – отклонение в результатах финансово-хозяйственной деятельности, отличающееся от обычных значений сезонных или иных колебаний. Например, когда пик продаж сельхозтоплива приходится не на начало посевной кампании, а на ее середину, возникает ситуация, в которой отклонение выглядит неестественным.

2. Анализ. Сотрудник должен предвидеть возможность угрозы, оценивать масштаб, находить источники и меры реагирования своими силами или с привлечением причастных подразделений.

3. Противостояние. Для каждого типа угроз должна быть разработана собственная политика или инструкция, позволяющая быстро принять меры самостоятельно, выбрать подходящее из дерева решений.

4. Регламентация. Все этапы работы с угрозами внутренней безопасности предприятия должны быть регламентированы в четких инструкциях, принятых на уровне руководства компании.

Все эти задачи не должны становиться самоцелью. Выявление угроз и реакция на них не могут быть основными задачами подразделений, чья деятельность связана с иными бизнес-процессами.

Основные проблемы

При выстраивании системы внутренней безопасности необходимо понимать сложности, мешающие сделать ее эффективной:

• Отсутствие понимания реальности угрозы. Компания не осознает опасности, даже когда ее активы уже заинтересовали хакеров, конкурентов или рейдеров.
• Низкий уровень подготовки специалистов. Профессионала в сфере корпоративной безопасности невозможно подготовить на курсах, ему требуется длительная практическая школа. Но чем больше трудовой стаж специалиста, тем менее доступны по цене его услуги небольшим компаниям.
• Стремление к экономии. Если оно проявляется в сфере безопасности, убытки могут стать существенно большими, чем возможные издержки.
• Корпоративная культура. Организации со свободным и неформальным стилем общения, проектным типом работы часто боятся растерять ценный персонал, вводя дополнительные ограничения.

Невозможно найти эффективное решение в каждой ситуации, все зависит от типа угроз и руководства, на чьи плечи ложится груз принятия решения.

Задачи СБ и принципы ее работы

Тип предприятия определяет функции службы безопасности, созданной из профессионалов, ранее работавших в этой сфере, но основные ее задачи не изменяются в зависимости от структуры организации:

• обеспечение информационной безопасности на всех уровнях, установление и поддержание режима коммерческой тайны;
• защита компании в конкурентной борьбе;
• обеспечение устойчивости работы компании и стабильности бизнес-процессов;
• работа с кадрами;
• проверка добросовестности клиентов и партнеров;
• взаимодействие с государственными органами;
• обеспечение сохранности финансов.

Решение этих задач основывается на следовании общим принципам работы с рисками подразделений, не только решающих проблемы безопасности, но и занятых исключительно вопросами бизнеса. Необходимо:

• организовать работу с информационными потоками таким образом, чтобы СБ всегда понимала, где сведения находятся и с данными какой степени конфиденциальности может работать каждый сотрудник;
• регламентировать действия. Все действия сотрудников, связанные с рисками и угрозами, должны быть описаны в методиках и политиках. Их нарушение дает возможность привлечь работников к дисциплинарной или гражданско-правовой ответственности при условии, что они были должным образом ознакомлены с регламентирующими документами;
• обеспечить анализ каждого инцидента и подготовку выводов по его результатам. В компании желательно иметь общую базу знаний по ситуациям, связанным с рисками. Даже если доступ к ней будут иметь только уполномоченные сотрудники, она даст возможность не решать задачу заново каждый раз, а обеспечит преемственность методик. Анализ и выработанные рекомендации помогут справиться с рисками даже тогда, когда участников предыдущего инцидента уже уволили;
• добиться системности в обеспечении безопасности на всех уровнях. Для этого необходимо максимально автоматизировать все процессы управления, внедрить CRM-системы с настройками, обеспечивающими не только ручной, но и программный контроль отклонений, уведомляющими об инцидентах. Это поможет решить задачу выведения управления всеми процессами безопасности в одном месте;
• обеспечить непрерывность процессов контроля и мониторинга. Изучение текущей ситуации должно вестись в постоянном режиме, а не только при столкновении с очередным происшествием. Также непрерывно должно идти изучение внешней и внутренней среды, прогнозирование рисков, выработка возможных ходов по их нейтрализации;
• добиться получения наибольшего результата при наименьших вложениях. Экономичность решения не исключает его эффективности. Технические меры, такие как камеры слежения и отслеживающие действия сотрудников программы, эффективны, но организационные и разъяснительные меры превентивного характера дают не меньший результат;
• обеспечить координацию всех сотрудников и подразделений предприятия, решающих вопросы безопасности. Регламенты и должностные инструкции с подробным описанием функций снимут риск конфликта интересов;
• добиться полной прозрачности решений в сфере безопасности, объяснения их необходимости всем причастным. Это поднимет общую мотивацию.

Профессиональная работа с рисками, построенная на единой стратегии, системности, использовании современных программных средств, поможет защитить компанию от большинства из них и увеличить ее конкурентоспособность.

16.01.2020