Вижити, існувати, розвиватися

Будь-яка система незалежно від того, держава це, компанія або людина, прагне вижити, існувати і розвиватися. Без забезпечення безпеки як процесу це неможливо. Таким чином, безпека є перша життєва потреба будь-якої системи і основна її життєва цінність. Безпека компанії на ринку – продукт специфічного внутрішнього виробництва «індустрії безпеки». Він проводиться компанією, нею ж споживається і бере участь в виробництві прибули.

Об'єктом захисту корпоративної системи безпеки є ресурси в найширшому сенсі: інформація, інтелектуальна власність, активи, майно, клієнти, персонал, технології і так далі. Сама система управління компанією також є певним ресурсом і вимагає захисту. Управління повинне бути побудоване так, щоб система безпеки не замикалася в окремій структурі. Забезпечення безпеки – це турбота не тільки служби безпеці, але і всього менеджменту компанії. Система повинна охоплювати всіх співробітників, починаючи з президента і закінчуючи технічним персоналом. Локалізація управління безпекою в одному департаменті може бути ефективна тільки в тому випадку, якщо бізнес устоявся і нічого не міняється. Коли ж ринок динамічно розвивається, потрібна гнучка система. Управління безпекою – це процес, що розвивається.

БЕЗПЕКА – ПРОБЛЕМА ЛЮДЕЙ

Одна з аксіом безпеки свідчить: безпека – це проблема людей. Звідси вивід: джерелом погроз є люди. Система безпеки будується людьми і управляє людьми. Вимоги безпеки повинні настільки увійти до крові і плоті співробітників, щоб вони слідували їм, не замислюючись. Такий підхід може уберегти від серйозних проблем. Приведу один приклад. Одного разу в крупну інвестиційну компанію прийшов клієнт і запропонував на підставі довіреності принадну операцію з продажу 20% акцій одного дуже крупного підприємства. У цій компанії діяли правила і процедури, які зобов'язаний був виконувати практично кожен співробітник. Операціоніст почав працювати з клієнтом по відпрацьованій схемі. Зокрема, в процедуру були закладені певні питання, які повинні бути задані, і слова, які в обов'язковому порядку повинні бути сказані клієнтові з погляду українського законодавства. Дівчина чітко виконувала цю процедуру. У будь-якій компанії існують ознаки нормального клієнта. Певні питання викликають певну реакцію. Дівчина відмітила, що деякі з реакцій відвідувача були не зовсім адекватні. Вони не співпадали з середньостатистичною поведінкою клієнта.

Згідно правилам, що діяли в цій компанії, в подібних ситуаціях операціоніст повинен був повідомити вищестоящого менеджера і службу безпеці. Остання відразу ж підключилася до роботи з клієнтом і почала займатися вивченням пред'явлених ним документів. У документах були виявлені ознаки підробки. Зокрема, нотаріус, який завірив довіреність, не існував в природі. Згідно процедурі, в таких випадках служба безпеці тут же зв'язується з правоохоронними органами. Співробітники міліції під'їхали в офіс компанії ще до того, як закінчилася робота з клієнтом. Проте вони не почали його брати на місці. Цій людині був виданий договір, згідно якому він міг «провести перереєстрацію акції» і отримати за них готівку в касі компанії. Наступного дня поряд з офісом була арештована озброєна злочинна група, яка, нічого не підозрюючи, «прийшла за мільйонами». Злочинці не врахували, що людина, яка реально володіє акціями, певним чином реагує і поводиться. А головне, вони не врахували існування професійної системи управління безпекою в компанії і того, що правила безпеки були включені в стандартні процедури на чому місці кожного співробітника.

Будуємо систему

 

Практичної схеми побудови універсальної системи безпеки не існує. Кожна система безпеки - це унікальний продукт. Її потрібно будувати, виходячи з сутнісних зв'язків і бизнес-процессов підприємства. Торгове підприємство і фінансова компанія дуже відрізняються один від одного. Проте, існує загальний алгоритм локалізації погроз, який застосовний для будь-якої системи:

1. Ідентифікація джерел погроз (рисок).

2. Оцінка ступеня серйозності загрози (рівень ресурсів джерела загрози і його мети – можливого збитку ресурсам підприємства).

3. Виділення груп джерел погроз по цілях, ресурсах, інтересах.

4. Оптимальне виділення ресурсів, вибір і застосування оптимального алгоритму локалізації погроз (побудова системи захисту) з урахуванням виділеного на це бюджету.

На одному з семінарів з безпеки я традиційно ставлю наступне питання: «З чого ви почнете побудову системи безпеки на своєму підприємстві?» Мені дуже сподобалася відповідь молодого керівника служби безпеці одного з крупних українських заводів по виробництву морозива. Він сказав, що його головний пріоритет – захист комп'ютерної інформації. Перевірка постачальників, ділерів, персоналу, охорона складів, припинення винесення готового продукту – морозива для нього виявилися другорядними завданнями, оскільки реалізація пов'язаних з цими джерелами риски погроз не привела б до серйозних збитків або краху бізнесу. Проте все управління заводом, включаючи безпосереднє управління виробничим процесом, було побудоване на основі єдиної комп'ютерної системи. Проникнення в неї комп'ютерного вірусу або несанкціонований доступ стороннього міг її зруйнувати, і тоді все виробництво зупинилося б. Компанія була б близька до краху. Таким чином, цей професіонал точно ідентифікував ризики і розклав їх по ступеню важливості. Ідентифікація, ранжирування, вибір найсерйознішої риски, а потім оптимізація рисок і регулювання їх – такі основи грамотного риск-менеджмента в області безпеки.

Золоті правила безпеки

 

При побудові системи безпеки також важливо враховувати декілька моментів:

1. Існують три поняття: безпека, швидкість і дешевизна. Будуючи систему, ви можете вибрати тільки два з них. Система може бути безпечною і швидкою, але при цьому вона виявиться дуже дорогою. Вона може бути безпечною і дешевою, але вона буде страшно повільною. Вона може бути дешевою і швидкою, але небезпечною. Вибір оптимальної комбінації – прерогатива осіб, що ухвалюють рішення. Обнулити ризики неможливо. Нульовий ризик буває тільки у того, хто нічого не робить. Проте в силах ефективної служби безпеці зробити цей ризик оптимальним.

2. У управлінні безпекою як галуззю виробництва діють всі економічні закони і поняття, наприклад ефективність, хоча розрахувати її дещо складніше, ніж звичайну ефективність, оскільки тут ефектом є не прибуток, а економія.

3. Безпека і складність – явища назад пропорційні. Чим складніше процес, тим більше проблем з безпекою, тим менш він надійний. Чим складніше питання, тим більше дорога система потрібна. Якщо порівняти комерційний намет і крупний завод, то для забезпечення безпеки першою досить просто домовитися з міліцією, обслуговуючою район. Що ж до заводу, для забезпечення його безпеки можуть потрібно складні математичні розробки і найсучасніші технологічні системи.

4. Безпека підкоряється правилу бритви Синдера. За відсутності інших чинників завжди використовуйте варіант з найбільшою безпекою. Це вірно при ухваленні будь-яких рішень в бізнесі.

5. Безпека – інвестиція, а не витрата. Вона коштує дорого, і це виправдано, але це зовсім не означає, що в неї можна вкладати нескінченно. Наступає певний момент, коли подальше збільшення витрат практично не підвищує рівень безпеки. Правильно визначити цей момент – означає працювати економічно ефективно.

6. Будь-яка система безпеки гальмує розвиток системи в цілому. Єдиний вихід – слідувати за змінами. Мінятися услід за бізнесом. Прогнозувати невідоме. Найбільш ефективне управління безпекою там, де воно безпосередньо включене в бизнес-процессы. Наприклад, в корпораціях, де реалізуються крупні проекти, в кожен з них включається менеджер безпеки, який відстежує ризики по своєму напряму і ухвалює рішення, як уникнути погроз, не знижуючи ефективності і швидкості роботи.

ЩАСТЯ – ЦЕ...

Мабуть, головна складність, з якою зв'язана діяльність служби безпеці, полягає в людській психології. Щастя – це, як відомо, коли тебе розуміють. Ефективна робота сучасної служби безпеці неможлива без розуміння і довіри на всіх рівнях управління компанією.

Український ринок достатньо молодий. Ресурсів мало, суб'єктів багато. Постійно йде конкурентна боротьба за ці ресурси і переваги на ринку. Роботи у професіоналів безпеки вистачає. Інформація і аналіз сьогодні вирішують все. У інвестиційному і фінансовому бізнесі, крупних корпораціях, службам безпеці і що з'являється вже подекуди службам ділової розвідки доводиться перевіряти практично всіх своїх контрагентів і клієнтів, вивчати конкурентів, аналізувати потоки інформації, займатися моделюванням і прогнозом ситуацій. Це дає можливість уникнути як фінансових, так і, найголовніше, іміджевих втрат.