Организация корпоративной безопасности первостепенна для любого хозяйствующего субъекта вне зависимости от его правовой формы, вида деятельности и размеров. Это совокупность мероприятий, служб, средств и методов, направленных на защиту предприятия от внешних и внутренних угроз.

Понятие и цели КБ

Под системой корпоративной безопасности (СКБ) понимают комплекс мероприятий, направленный на защиту интересов организации. 

Основная цель разработки подобной системы:

• эффективный контроль бизнес-процессов и охрана конфиденциальной информации;
• защита предприятия от внешних и внутренних угроз;
• создание благоприятных условий для достижения компанией своих целей.

К внешним угрозам относят все, что может помешать нормальному функционированию предприятия извне. Например, экономический или политический кризис, природные явления, техногенные аварии и недобросовестная конкуренция. 

Существенную угрозу безопасности представляет также коррупция. Чиновники могут участвовать и в заговорах конкурентов. Поэтому многие владельцы бизнеса первостепенной среди внешних угроз считают все-таки конкурирующие организации.

К внутренним угрозам относят:

• умышленные и неумышленные действия сотрудников – взлом информационных систем с целью кражи, уничтожения или изменения данных, мошенничество, низкая квалификация и т.п.;
• неэффективное управление;
• незащищенность бизнеса;
• неправильное использование технических средств и средств автоматизации.

Понятие системы безопасности многогранно и в течение последних десятилетий немного изменилось. Точнее, меняется не само определение, а цели. Например, в 1990-х акцент делался на личную безопасность собственника компании и его имущества. Через несколько лет актуальной стала защита от взяточничества и поборов. На сегодня в приоритете разработка защиты информационных систем, конфиденциальных данных, интеллектуальной собственности, бизнес-технологий и новых разработок. 

Объекты и субъекты КБ

К объектам корпоративной безопасности относят:

• финансы;
• информационные системы и ресурсы;
• технологии;
• имущество организации;
• материальные ценности;
• персонал.

К субъектам корпоративной безопасности относят людей, отделы и учреждения, работа которых направлена на ее обеспечение. Они делятся на две группы – внутренние и внешние. К внутренним субъектам КБ относят сотрудников, которые занимаются безопасностью организации во всех направлениях. К внешним – аутсорсинговые компании в сфере ИБ. 

Элементы КБ

Обеспечение корпоративной безопасности может быть эффективным при условии организации безопасности каждого компонента системы в отдельности. Занимается этим на предприятии специальный сотрудник или же отдел, состоящий из нескольких человек в зависимости от размера компании. На крупных предприятиях может быть создано управление, обеспечивающее корпоративную защиту в целом. А в его подчинении – несколько отделов, занимающихся каждым элементом системы безопасности по отдельности.

Их деятельность регулируется внутренним нормативно-правовым документом – Положением о КБ. В нем прописывается структура отдела, основные задачи и функции, права и обязанности, порядок взаимодействия с другими структурами и ответственность сотрудников. 

Защита информации и информационные технологии

Понятие информационной безопасности определяет меры и технологии, направленные на сохранность секретной информации. Осуществляется защита информационных потоков и ресурсов предприятия. Причем охраняют не только данные, но и системы и оборудование, с помощью которых производится обработка, хранение и передача данных.

Утечка конфиденциальных сведений, в том числе персональных данных сотрудников и клиентов, может привести не просто к убыткам, но и к разорению компании. Угрозу информации представляют халатность или умысел сотрудников, вирусы, пиратское программное обеспечение и т.п.

ИТ-безопасность – это охрана электронных данных, передаваемых через разрозненные объекты или хранящихся на отдельных носителях. Сюда включают и защиту информационных сетей и систем, предназначенных для обработки, использования и хранения данных.  

Репутация организации

Деловой имидж и репутация компании могут пострадать из-за утечки информации, неправильного маркетинга и рекламных компаний. В конечном итоге это негативно скажется на получении прибыли, поэтому поддержку репутации компании включают в корпоративную безопасность. 

Инженерно-техническая защита

Организация инженерно-технической безопасности включает:

• выбор помещений для хранения ценных сведений;
• противопожарную охрану;
• организацию системы охраны периметров;
• установку видеонаблюдения и сигнализации;
• контроль и управление доступом в помещения, например, оборудование контрольно-пропускного пункта и внедрение пропускного режима для сотрудников;
• иные охранные мероприятия.

Технические методы защиты информации используются для защиты каналов ее утечки. 

Экономическая (финансовая) безопасность

Одним из элементов корпоративного противодействия правонарушениям внутри компании является снижение финансовых рисков. Сюда относят контроль за сотрудниками с целью пресечь «утечку» денежных средств из компании. 

Финансовые риски минимизируют путем: 

• создания условий для бесперебойной деятельности организации;
• поддержания постоянной платежеспособности;
• внедрения инноваций в производство;
• поддержания конкурентоспособности;
• своевременной уплаты налогов;
• реализации грамотных маркетинговых программ.

Важным нюансом обеспечения финансовой безопасности является мотивация сотрудников работать «на результат». 

Правовая защита

Меры, направленные на защиту от неправомерных действий – подделка документации, применение мошеннических схем в процессе исполнения должностных обязанностей и т.п. Необходимо добиться от сотрудников стопроцентного соблюдения законодательства, в том числе и внутренних положений компании. 

Заниматься этим должен юрист или юридический отдел, в их обязанности которого входит:

• проверка правильности оформления документов и их экспертиза;
• защита интересов организации в судебных инстанциях;
• правовое сопровождение сделок;
• тщательный предварительный анализ инвестиционных проектов;
• предотвращение возникновения спорных ситуаций с госструктурами, в том числе и составление исков на неправомерное действие, бездействие государственных служащих;
• подготовка к проверкам уполномоченными органами.

Основная задача юридического отдела – это своевременное выявление и минимизация правовых рисков.

Личная и кадровая безопасность

Под личной безопасностью понимается физическая, психологическая и юридическая защита каждого сотрудника. Организация физической безопасности происходит в два этапа:

• личная охрана руководства и ведущих специалистов;
• защита всех сотрудников в целом.

Сюда относят:

• охрану труда;
• создание благоприятных условий для работы в плане санитарии;
• благоприятную психологическую обстановку;
• предотвращение переманивания ценных сотрудников к конкурентам;
• работу с персоналом по созданию лояльного отношения к своей компании.

Физическая защита сотрудников подразумевает охрану помещений и работающих в них людей от проникновения злоумышленников и причинения вреда здоровью и жизни. Задача отдела, обеспечивающего корпоративную охрану, избежать этого.

В первую очередь необходимо предотвратить утечку «лучших умов» предприятия и передачу секретной информации конкурентам. «Выпытывать» сведения можно разными способами. В том числе подкуп, угрозы, шантаж. 

Это уже задачи кадровой безопасности, как и:

• выявление и предотвращение угрозы интересам организации со стороны персонала;
• защита от криминальных субъектов;
• предотвращение противоправных действий со стороны сотрудников;
• составление списка требований к персоналу;
• защита материальной и интеллектуальной собственности компании;
• регулярный мониторинг системы кадровой безопасности;
• составление нормативно-правовой документации и ознакомление с ней персонала.

Достойная оплата труда становится главной мотивацией держаться за свое рабочее место и трудиться на благо компании. 

Управление рисками

Многие менеджеры пренебрегают данным направлением, связываясь с непроверенными поставщиками, предоставляющими большие скидки на товар, или непродуманно инвестируют денежные средства компании. Сюда же относят приобретение б/у оборудования без гарантии. Получается, что, пытаясь сэкономить, компания теряет деньги.

Аутсорсинг как вариант обеспечения КБ

Содержать полноценное управление, которое будет заниматься только обеспечением корпоративной безопасности, могут лишь крупные предприятия. Для малого и среднего бизнеса предпочтительнее воспользоваться услугами приглашенного сотрудника или заключить договор со сторонней организацией.  

С людьми «со стороны» выгодно сотрудничать, так как они профессионалы своего дела. Можно даже получить услугу по переподготовке собственных кадров. Один из минусов аутсорсинга – это допуск посторонних людей к информационным системам. Насколько это допустимо и будет ли оправдан риск, решить может только руководство предприятия. Серьезные компании скрепляют обязательства перед клиентами не только договором, но и NDA. 

Причины низкой эффективности СКБ

Отношение бизнесменов к безопасности неоднозначно. Многие надеются на «авось» и система как таковая практически отсутствует. 

Пять основных причин невнимания руководства к СКБ:

1. Экономия денежных средств – многие руководители считают, что «овчинка выделки не стоит», хотя практика показывает обратное. Чаще всего потери значительно превышают размер сэкономленных финансов;

2. Недовольство ценных сотрудников – обычно подчиненные начинают противиться нововведениям и ограничениям. Боясь потерять ценных сотрудников, руководство ослабляет давление на них. Хотя психологическое сопротивление внедрению дополнительных методов корпоративной безопасности является первым признаком «нечистоплотности» кадров;

3. Дефицит профессионалов – найти профессионала с опытом работы сложно. Да и ценится его труд дорого. Чаще всего настоящие безопасники не по карману малому или среднему бизнесу и работают на крупные корпорации;

4. Отсутствие самосохранения – наш русский «авось» во всем его проявлении. Все что может случиться, случится не со мной; 

5. Низкий профессионализм в области безопасности – многие компании работают по факту – случилось, исправили, наказали – работаем дальше. А действовать нужно на упреждение неприятных ситуаций. Хотя учеба на собственных ошибках в конечном итоге приводит к положительному результату.

Необходимо заботиться не только о прибыли и процветании предприятия, но и о персонале. Найти компромисс между психологическим комфортом и внедрением необходимых мер по обеспечению защиты каждого элемента системы КБ.

Корпоративной безопасностью пренебрегать нельзя. Точнее, нельзя игнорировать ни один из элементов системы. Пренебрежительное отношение к работе отдела, занимающегося обеспечением безопасности предприятия и охраной информационных ресурсов, может привести к значительным потерям прибыли или банкротству. 
 

20.05.2020