Как обеспечить безопасность предприятия, если Вам лень этим заниматься - Алексей Швецкий
Шрифт:
Интервал:
Закладка:
На основании полученных результатов формируется Карта рисков:
…где:
Для обеспечения контроля за текущим статусом работы по митигации рисков безопасности, ведется Реестр с описанием угроз, разбитых по бизнес-процессам, с указанием дирекций-владельцев, ответственных сотрудников (от функции и от СБ), предложенных корректирующих мер и результата их внедрения.
Например, такого вида:
Как правило, митигирующие мероприятия, предложенные службой безопасности, вначале не встречает поддержки у коммерсантов. Проблема аналогична рассмотренной нами в связи с показателем «Предотвращенный ущерб». По мнению бизнеса, СБ сгущает краски и завышает степень угроз.
Однако, если риск имеет денежное выражение, а его размер определен по объективным и понятным правилам, дискуссия переходит в конструктивное русло и появляются предпосылки к успешному взаимодействию.
В части организации повседневной работы подразделения безопасности, для своевременного выявления потенциальных рисков и эффективного управления ими, представителям СБ необходимо принимать участие в активностях других дирекций на всех этапах:
Профилактика
Проведение сотрудниками СБ:
регулярного обучения и инструктажей продавцов и материально-ответственных лиц (МОЛ);
проверок соблюдения регламентов розничной торговли «тайным покупателем» и по чек-листам;
проверок соблюдения регламентов посредством видеонаблюдения;
информирования бизнес-функций об успехах службы безопасности.
Нормотворчество
Участие специалистов СБ в разработке (или как минимум согласовании) локальных нормативных актов (Политик, Регламентов, Инструкций):
по обеспечению информационной безопасности;
по осуществлению закупочной деятельности;
регламентирующих движение и учет товарно-материальный ценностей;
по обеспечению сохранности товарно-материальных ценностей на объектах розничной сети;
по иным вопросам, содержащим риски безопасности.
Коллаборация
Участие экспертов СБ в рабочих группах и комитетах:
по разработке (согласованию) новых продуктов или маркетинговых активностей;
по оценке заявок, на проведение закупочных мероприятий на конкурентность;
по разрешению разногласий с контрагентами (претензии партнеров, дисквалификация подрядчиков);
по проведению сделок слияния, поглощения, продажи части имеющейся бизнес-инфраструктуры;
по оценке рисков создания дочерних предприятий, новых направлений бизнеса, реализации венчурных проектов.
Защита активов и информации
Организация и осуществление СБ технического (физического) контроля:
внедрение и совершенствование информационных систем контроля управление доступом, каналов связи и интернет-трафика, с возможностью их автоматического его блокирования;
регулярные инвентаризации товара силами материально-ответственных лиц;
периодические инвентаризации силами ревизионного подразделения;
проведение расследований по фактам утрат и недостач товара и иного имущества;
обеспечение пропускного и внутриобъектового режимов (автоматизированный контроль доcтупа, видеонаблюдение, посты физ. охраны).
Поддержка бизнес-процессов смежных функций
проверка контрагентов на риски взаимодействия;
проверка кандидатов на работу;
проверка действующих сотрудников на аффилированность с контрагентами и партнерами;
проверка действующих сотрудников на наличие конфликта интересов;
выработка предложений по совершенствованию процедур и бизнес-процессов;
пост контроль эффективности внедренных изменений.
Абсолютная, стопроцентная безопасность чего бы то ни было невозможна, но создать систему мер, направленных на ее обеспечение, задача вполне осуществимая, при условии, что внедрены прозрачные, достоверные и бизнес-ориентированные метрики для измерения и оценки состояния защищенности Вашей компании.
Организационная структура службы безопасности
В разных компаниях руководители подразделений безопасности формируют структуру исходя из собственного опыта и понимания угроз, поэтому на рынке представлено огромное множество вариантов. Некоторые из них далеко опередили свое время, другие безнадежно застряли в прошлом.
В данной статье также представлен авторский взгляд, совершенно не претендующий на истину в последней инстанции, но основанный на бизнес-ориентированном подходе и попытке сделать процесс обеспечения безопасности технологичным.
В основе описываемой концепции лежат несколько тезисов:
Задача службы безопасности — в пределах своих полномочий сокращать потери компании от противоправных действий сотрудников и третьих лиц, посредством возмещения и предотвращения ущерба, а также неэффективных расходов (под ними понимаются любые затраты, которые можно сократить или избежать без негативного влияния на бизнес).
Результаты работы службы безопасности имеют денежное выражение и влияют на эффективность бизнеса.
Подразделение экономической безопасности является единственной структурой в компании, осуществляющей корпоративные расследования.
Структура
Как правило, обеспечение безопасности включает три направления: информационное, физическое и экономическое.
Информационная безопасность (ИБ) решает задачи защиты информационного периметра и накопленных внутри него данных.
Помимо контроля и реагирования на угрозы, подразделение ИБ может администрировать договорные отношения по закупке, сервисной и информационной поддержке специализированного программного обеспечения и аппаратных комплексов, которые использует в работе.
В качестве основных рисков ИБ можно выделить:
несанкционированное подключение к корпоративным ресурсам внешних пользователей с последующей компрометацией чувствительных данных, либо нарушением работы информационных систем;
несанкционированное копирование или пересылка недобросовестными сотрудниками сведений, составляющих служебную или коммерческую тайну на посторонние ресурсы или носители;
нарушения сотрудниками компании установленного порядка обращения с информацией, повлекшую ее модификацию, компрометацию или уничтожение.
Физическая безопасность (ФБ) — контролирует территориальный периметр: производственные площадки, офисы, подсобные помещения, обеспечивает соблюдение установленного порядка допуска сотрудников и посетителей на объекты работодателя, а также ввоз, вывоз и перемещение материальных средств. Для решения функциональных задач применяются посты охраны, контрольно-пропускные пункты и технические средства, такие как автоматизированные системы контроля и управления доступом, видеонаблюдение, объектовые или периметровые комплексы сигнализации.
ФБ, по аналогии с ИБ, может заключать и сопровождать договоры на поставку, монтаж и обслуживание технических средств охраны и пожарной безопасности, включая услуги физической охраны, если она организована силами подрядчиков.
Основные риски:
несанкционированный вынос (вывоз) сотрудниками или контрагентами компании материальных средств или имущества предприятия за пределы контролируемой зоны;
проникновение посторонних лиц на объекты предприятия в целях хищения имущества или его повреждения (вандализм);
нарушение правил пожарной безопасности (если этот функционал возложен на СБ).
Экономическая безопасность (ЭБ) — обеспечивает минимизацию убытков компании от неправомерных действий, материальных и репутационных потерь, возникающих вследствие несовершенства бизнес-процессов. Основные риски вытекают из вышеперечисленных задач.
Подразделение реализует свои активности посредством:
проведения корпоративных расследований;
участия в качестве экспертов в кросс-функциональных рабочих группах и комитетах;
проверки благонадежности потенциальных контрагентов и кандидатов на работу;
постоянного анализа выявленных рисков и выработки мер по их митигации.
При таком распределении зон ответственности, ИБ и ФБ обеспечивают контроль периметров, соответственно информационного и физического, а в случае выявления нарушений купируют угрозу (разово и точечно). В дальнейшем информация об инциденте передается в подразделение ЭБ для проведения расследования, в результате которого будут установлены системные причины происшествия (при их наличии), виновные лица, приняты меры реагирования и предложены митигирующие мероприятия.
Исходя из изложенного, организационная структура службы безопасности компании холдингового (мульти-филиального) типа может выглядеть следующим образом:
В предложенном варианте региональные подразделения безопасности подчинены руководителю направления ЭБ, так как основное содержание их работы — проведение расследований, а за этот процесс отвечает именно он.
Состав подразделений информационной и физической безопасности с приведенной схеме не раскрывается, так как во многом зависит от территориальной и производственной