Чем занимается служба безопасности предприятия
Что проверяет служба безопасности при приеме на работу
Когда проводится проверка
Служба безопасности при приеме осуществляет целый комплекс мер, направленных на пресечение возможных экономических потерь организации как из-за действий конкурентов, так и из-за работников компании.
Поэтому основные усилия безопасников направлены на работу с кадрами, в частности:
В отношении соискателя проверка происходит:
При устройстве в коммерческую организацию. В крупных компаниях обычно функционирует собственная служба безопасности, которая нередко состоит из бывших сотрудников правоохранительных органов. Эти люди используют инструменты и навыки проверки, полученные на прежней работе. Задача такого отдела — защитить интересы организации, ее имущество и нематериальные ценности от несанкционированного посягательства, сохранение коммерческой тайны и предотвращение конфликтов внутри компании. В этом случае порядок работы СБ регулируется локальными актами (Концепцией безопасности, Положением о СБ).
Проверка документов
Поскольку главная цель службы безопасности при проведении проверки — выявить факты, которые негативно влияют на выполнение соискателем своей трудовой функции, то основной массив исследований проводится до приема на работу. Для этого каждая организация формирует анкету, которую предлагают заполнить кандидату, что позволяет выяснить первичную информацию о нем.
Прежде чем обрабатывать полученные из анкеты сведения, необходимо взять у соискателя письменное согласие на обработку персональных данных. В противном случае на организацию вправе наложить штраф в соответствии с ч. 2 ст. 13.11 КоАП РФ.
Итак, что проверяет служба безопасности при трудоустройстве, какие сведения изучают ее представители перед приемом на работу? Обычно исследованию подвергается следующее:
Трудовая биография. Для этого просят предоставить рекомендательные письма. Если есть сомнения, представители службы звонят бывшим работодателям, а иногда и коллегам. Это позволяет выяснить реальные причины увольнения, особенности характера человека, его компетентность и отношения с коллегами.
Информация из социальных сетей. Иногда личные качества кандидата имеют приоритетное значение. Такой прием, как изучение соцсетей, дает много информации о сотруднике и даже помогает составить его психологический портрет.
Во многих организациях при приеме проверяется кредитная история соискателя и наличие связей с конкурирующими организациями.
Отказ в работе по решению службы безопасности
Работодатель не вправе отказать кандидату из-за того, что тот когда-то нарушил ПДД либо выложил сомнительное фото в Сеть. Случаи, когда служба безопасности отказала в приеме на работу на основаниях, не имеющих ничего общего с деловыми качествами, нарушают действующее законодательство и расцениваются как дискриминация (ст. 64 ТК РФ). Компания использует результаты того, что проверяет служба безопасности при приеме на работу, лишь в качестве вспомогательной информации, необходимой для выбора между двумя равноценными кандидатами при приеме и закрытии вакантной должности.
В случае если кандидат не согласен с полученным отказом и считает его необоснованным, он вправе обратиться в суд за защитой своих прав. Но какой-либо специальной меры пресечения для работодателя законодательство не устанавливает. Максимум, что присуждают несостоявшемуся сотруднику, — это компенсация морального вреда. В любом случае работодатель вправе заявить, что у соискателя недостаточно навыков делового общения, что является необходимым условием получения вакансии и практически недоказуемо.
Внутренняя безопасность предприятия
Защита данных
на базе системы
П очти каждое предприятие имеет службу безопасности, но мало кто понимает, какие задачи перед ней необходимо ставить. Выработанная стратегия защиты и работа на опережение помогают более эффективно отражать внешние и внутренние угрозы.
Угрозы
Задачи, которые ставятся руководством компании в сфере безопасности, связываются с объектами защиты, а не с общим пониманием рисков, характерных для поверхностного подхода к разработке стратегии. При этом любые новые организационные меры, направленные на повышение уровня защиты, встречают неприятие сотрудников и менеджмента, рассматривающих их как ненужные ограничения и помехи в течении бизнес-процессов.
Крупные компании давно выстроили комплексную систему безопасности на всех уровнях – от информационного до экономического.
Небольшие ограничиваются минимумом усилий, неся при этом существенные убытки. Общая система рисков выглядит так:
1. Риски бизнеса. Это угроза репутации, черный пиар с точки зрения внешних взаимодействий или инвестиции, новые разработки, которые могут быть неуспешными с точки зрения внутренних задач.
2. Информационные риски. Это утечки информации, угроза ее целостности, подмена, затрудненный доступ к данным, сервисам и приложениям.
3. Риски персонала. Это текучка кадров, переманивание ценных сотрудников конкурентами, задача по охране труда, снижению травматизма и заболеваемости на рабочих местах с тяжелыми и вредными условиями труда.
4. Инфраструктурные риски. Это поломка или выход из строя оборудования, аварии, проблемы на опасных производственных объектах, загрязнение природной среды выбросами предприятия.
5. Финансовые риски. Это кражи, ущерб, убытки, штрафы, проигрыши в судах.
С этими проблемами сталкивается каждая компания. Опираясь на их понимание, вырабатывается схема компонентов корпоративной безопасности:
Очевидно, что со всеми этими задачами не может справиться исключительно СБ.
Как выстроить систему корпоративной безопасности
Помимо службы безопасности, комплексные задачи защиты предприятия от внутренних и внешних угроз решает высший и средний менеджмент, финансовая дирекция, служба внутреннего контроля, КРУ, юридическое подразделение, службы персонала и ИТ. Возникает необходимость выстраивания их эффективного взаимодействия.
Требуется выработать механизм борьбы с угрозами, состоящий из этапов:
1. Обнаружение. Сотрудники предприятия должны выработать механизм обнаружения угрозы таким образом, чтобы не возникло ложных срабатываний. Так, для ИТ-специалиста решением задачи станет настройка системы мониторинга ИТ-инфраструктуры, оповещающая о вторжениях, для внутреннего аудита – отклонение в результатах финансово-хозяйственной деятельности, отличающееся от обычных значений сезонных или иных колебаний. Например, когда пик продаж сельхозтоплива приходится не на начало посевной кампании, а на ее середину, возникает ситуация, в которой отклонение выглядит неестественным.
2. Анализ. Сотрудник должен предвидеть возможность угрозы, оценивать масштаб, находить источники и меры реагирования своими силами или с привлечением причастных подразделений.
3. Противостояние. Для каждого типа угроз должна быть разработана собственная политика или инструкция, позволяющая быстро принять меры самостоятельно, выбрать подходящее из дерева решений.
4. Регламентация. Все этапы работы с угрозами внутренней безопасности предприятия должны быть регламентированы в четких инструкциях, принятых на уровне руководства компании.
Все эти задачи не должны становиться самоцелью. Выявление угроз и реакция на них не могут быть основными задачами подразделений, чья деятельность связана с иными бизнес-процессами.
Основные проблемы
При выстраивании системы внутренней безопасности необходимо понимать сложности, мешающие сделать ее эффективной:
Невозможно найти эффективное решение в каждой ситуации, все зависит от типа угроз и руководства, на чьи плечи ложится груз принятия решения.
Задачи СБ и принципы ее работы
Тип предприятия определяет функции службы безопасности, созданной из профессионалов, ранее работавших в этой сфере, но основные ее задачи не изменяются в зависимости от структуры организации:
Решение этих задач основывается на следовании общим принципам работы с рисками подразделений, не только решающих проблемы безопасности, но и занятых исключительно вопросами бизнеса. Необходимо:
Профессиональная работа с рисками, построенная на единой стратегии, системности, использовании современных программных средств, поможет защитить компанию от большинства из них и увеличить ее конкурентоспособность.
Задачи и функции службы безопасности предприятия
Служба безопасности – одна из важнейших структурных единиц любого современного предприятия, отвечающая за обеспечение безопасности проведения производственных и прочих внутренних процессов от несанкционированных посягательств. Ознакомившись с нижеизложенной информацией, вы узнаете, чем занимается служба безопасности предприятия и какими полномочиями она располагает.
Задачи и функции службы безопасности
Служба охраны занимается следующими задачами:
Таким образом, служба охраны отвечает за обеспечение безопасности внутри компании по всем возможным направлениям деятельности.
Среди ключевых функций рассматриваемой службы следует выделить нижеперечисленные положения:
Состав, права и обязанности службы безопасности
Служба безопасности относится к числу самостоятельных организационных единиц. Подчиняется руководителю предприятия. Во главе службы – начальник, по совокупности выполняющий функции зама руководителя по безопасности.
В состав службы безопасности входят нижеперечисленные структурные единицы:
Служба охраны имеет право на:
Перечень обязанностей сотрудников службы безопасности состоит из следующих пунктов:
Представители службы безопасности несут личную ответственность за нарушение коммерческой тайны и не использование своих полномочий во время выполнения прямых функциональных обязанностей.
Положения, которые были рассмотрены выше, могут меняться, дополняться и сокращаться в зависимости от особенностей деятельности конкретного предприятия и особенностей его внутренней политики.
Служба безопасности организации
Роман Викторович Г.
обновлено: 28 апреля 2021
Сотрудники службы безопасности состоят в штате предприятия либо выполнение функций СБ передается на аутсорсинг охранным организациям и частным детективным агентствам.
Зачем формировать собственную службу безопансости
На государственные органы правопорядка надежды мало, поскольку они очень медлительны и неэффективны в экстремальных ситуациях.
Недобросовестная конкуренция может стать существенной помехой в развитии бизнеса. Всю ценную и не ценную информацию необходимо удерживать в рамках, и как говорится не выносить сор из избы, так как этим могут воспользоваться в своих целях и смогут нанести вред вашему бизнесу.
Большой ущерб компаниям приносят действия по подкупу персонала и сманиванию ценных кадров, чтобы завладеть сведениями о коммерческой и производственной деятельности организации.
Промышленный шпионаж применяет лучшие достижения техники, идет на кражи, проводит скрытое наблюдение, подкупает и шантажирует при случае. Примеров тому немало.
Нередко злоумышленники инициируют процессы переговоров, для того чтобы заполучить образцы подписей или печатей, чтобы в дальнейшем получить доступ к этой информации. А виза на документе может сыграть злую шутку с вашим имуществом, которое может перестать быть вашим, с легкой руки злоумышленников.
Также не менее важной может стать такая сфера как инвестирование
Чтобы получить доступ к огромным деньгам люди могут применять просто чудеса изобретательности. Строить многоуровневые схемы, использовать налаженные каналы и, как это ни печально, коррумпированных чиновников, чтобы получить какие либо документы, информацию, доступ к секретам и прочим сверхценным вещам для любителей легкой наживы.
Одна из излюбленных схем это конечно инвестиционный проект. Компания организованная и курируемая серьезной преступной группировкой может быть прикрыта по всем фронтам, и все документы будут просто идеальны.
И вот такая организация предложит вам очень выгодный инвестиционный проект. А если проект это на самом деле просто качественно выстроенная афера, ваши убытки и прямые потери будут просто огромны.
Сколько компаний с успешными руководителям использовали свое влияние и выделяли средства на такие проекты, но в итоге через несколько дней, вместо огромных прибылей получали только воздушный замок и разбитые надежды.
Если вас стали беспокоить подобные вопросы, то не откладывайте на последний момент мероприятия подобного рода. Помните, что любую болезнь лучше предотвратить на самом первом этапе, чем прибегать к радикальным мерам увольнять персонал и упразднять подразделения или, следуя медицинской терминологии, осуществлять оперативное вмешательство.
Структура подразделений
Систему безопасности следует формировать ещё на этапе создания бизнеса, встроить на каждой ступеньки иерархии, ибо после того как ваш бизнес выстроен и налажен встроить в него безопасность будет сложнее. Необходимо привить каждому сотруднику, не распространять внутреннюю и пригодную только для работы информацию, вне рабочего пространства и коллектива.
В штат службы безопасности обычно набирают ветеранов и бывших сотрудников правоохранительных органов, армии, спецслужб.
Направления деятельности
Для того чтобы организовать бизнес, тем более в нашей стране необходимо соблюдать, хотя бы основные правила безопасности. Контролировать потоки информации, которые не должны уходить к третьим лицам.
Так, например, для бизнеса очень важна тема минимизации возможного ущерба от неправомерных действий персонала. Это могут быть кражи, повреждение имущества компании, распространение информации, представляющей коммерческую тайну.
Любая служба безопасности содержит в своём составе информационно-аналитическое подразделение. Её задача – вести анализ и накапливать информацию в сфере безопасности. В результате появляется возможность принимать правильные управленческие решения, направленные на минимизацию рисков в данной области.
Кроме того, сотрудникам службы охраны также приходиться охранять высокопоставленных сотрудников корпораций. Перечень таких лиц должен быть строго определён. Цель такой работы – защита руководства предприятия от преступных посягательств.
На службу безопасности могут быть возложены и иные функции, в зависимости от специфики деятельности той или иной организации. Это может быть, например, охрана трубопроводов, грузов, экспедиционные услуги. В некоторых случаях она так же может оказывать услуги в сфере безопасности третьим лицам.
Законодательное регулирование и полномочия
Деятельность любой службы безопасности должная вестись в строгом соответствии с законом. Так, например, некоторые компании создают в структуре своих служб безопасности подразделения наружного наблюдения и оперативно-технического назначения. Это однозначно считается противозаконным и может привести к уголовному преследованию руководства и сотрудников таких подразделений.
Все структуры, занимающиеся вопросами безопасности, должны иметь соответствующую лицензию
К сожалению, во многих случаях это требование не выполняется. Дело в том, что многие представители бизнеса формируют из своих сотрудников подразделения, негласно выполняющие функции сотрудников службы безопасности. Они могут называться «контроллёры» или же «администраторы зала» с целью обойти требования, установленные законом к частным охранникам. Их деятельность не носит законный характер, так как такие сотрудники не имеют лицензии охранника.
Создание системы безопасности в компании
Для одних безопасность немыслима без серьезной «крыши», другие связывает ее с установкой систем слежения и крутыми парнями на входе, третьи не мыслят безопасности без полноты информации о конкурентах. Мнение детективного агентства, что безопасность бизнеса основывается на желании его защитить, а значит заботу о безопасности можно переложить на плечи специалистов в этой области, заключив договор о сотрудничестве с детективным агентством.
Оперативно-сыскное бюро в Москве оказывает услуги по организации службы собственной безопасности компании, организации, предприятия. Создание службы безопасности обеспечит сохранность материальных ценностей, интеллектуальной собственности, обеспечит успешную деятельность компании.
Это угрозы физической, технической безопасности – противопожарная защита, защита от несанкционированного проникновения и так далее. Здесь детективное агентство занимается проверкой качества организованной защиты.
Угрозы технологической, информационной безопасности – связанные с хищением, повреждением информации, нарушением инструкций, техники безопасности, технологических процессов. В случае серьёзной опасности, для противодействия некоторым перечисленным угрозам, нашими специалистами создается ситуационно-аналитический центр управления. Он действует как на постоянной, так и на временной основе.
Основной инстинкт бизнеса: грани корпоративной безопасности
Вы когда-то пробовали внедрить в компании новые регламенты и инструкции? Если да, то наверняка знаете, какая буря возмущения обрушивается со стороны коллектива. Как минимум, вас начинают тихо ненавидеть, как максимум — появляются сплетни, какие-то немотивированные заявления об уходе и общая паника. Стоит ли откатывать процесс? Нет. Если появилось возмущение и сопротивление такому «ограничению свободы», скорее всего вы задели чьи-то интересы. И вроде вы не перегибаете, а вводите минимальные меры по защите, но по мнению части сотрудников, закручиваете гайки, насаждаете режим, давите авторитетом и перекрываете воздух свободы. Успокойтесь — вы на правильном пути. И перекрыв тот самый «воздух свободы», вы позволяете своей компании не про*****, а сохранить «полимеры». Потому что работаете с корпоративной безопасностью, которая в последние несколько лет изменила лицо. Так что давайте познакомимся с ней снова.
А что, нам кто-то или что-то угрожает?
Этой статьи не должно было быть — в планах стояли совсем другие, мирные темы. Но обсуждение предыдущего поста в комментариях и не только натолкнуло нас на мысль, что с безопасностью в российском бизнесе дела обстоят примерно так же, как и с CRM-системами: крупные и опытные и так всё знают, а остальным не надо — «эксельки» (MS Excel) хватит. Тем удивительнее было видеть некоторые высказывания именно на Хабре. Нет, ребята. Проблема безопасности стоит абсолютно перед любой компанией вне зависимости от её размера, отраслевой принадлежности и оборота. Просто потому что ваша компания работает во внешней среде, в ней есть сотрудники, компьютеры, сети, программное обеспечение, клиенты и сам продукт или услуга. И если никто не пытается вас хакнуть или DDoS-ить, это не значит, что компания в полной безопасности. Слишком много аспектов стоит брать во внимание.
Давайте начнём с обзорной схемы корпоративной безопасности компании.
Как видите, в списке угроз субъектам деятельности бизнеса нет ничего неординарного — с подобными аспектами работы сталкивается каждый бизнес, и все они таят угрозы. Рвануть может там, где вы и не ждёте.
Теперь у нас вырисовываются компоненты корпоративной безопасности, о половине которых компании не помнят, а то и вовсе не знают.
Информационная безопасность — на сегодня это тот тип безопасности, обеспечением которого нужно заняться всем. Риск есть на всех уровнях: начиная от нечаянного запуска вредоноса из почтового сообщения, заканчивая рисками, связанными с облачными технологиями, сторонними сервисами и злонамеренными действиями сотрудников.
Экономическая (финансовая) безопасность должна противостоять всем источникам «ухода» либо неполучения денег. Она также актуальна для любой компании и напрямую сопряжена с работой с документами, уплатой налогов, бухгалтерским учётом, вложениями в рекламу и маркетинг и т.д. Кстати, этот тип безопасности наиболее уязвим перед человеческим фактором.
Правовая безопасность — защита от неправомерных действий и правонарушений, идущих вразрез с нормами законодательства: подделка документов, использование мошеннических схем в работе, откаты и проч. Отличается от экономической тем, что нарушения этого типа безопасности чаще всего направлены не на чью-то финансовую выгоду, а на защиту интересов от уже свершившихся фактов (провёз лишний груз — купил маршрутный лист, перерасходовал деньги — подделал акт, потерял пару серверов — сфабриковал акт списания и т.д.).
Физическая и личная безопасность сотрудников — защита сотрудников от проникновения недоброжелателей на территорию компании и от покушения на их жизнь и здоровье. Формулировка звучит утрированно и её полнота восприятия зависит от статуса компании. Но обычно минимальные требования к физической безопасности соблюдаются (охрана, пропускная система, камеры, иные типы аутентификации).
Физическая безопасность инфраструктуры — защита оборудования, сетей и программ от доступа посторонних и лиц, в служебную деятельность которых не входит контакт с этими элементами инфраструктуры. Обязательно должен быть внешний и внутренний контур безопасности. Нарушения безопасности в этой сфере со стороны сотрудников не всегда злонамеренны — иногда это может быть пролитый на дорогостоящее оборудование чай или тонер, рассыпанный вблизи чувствительных приборов.
Безопасность управления рисками — один из самых неочевидных типов, который любит шутить шутки с теми, кто им пренебрегает. Риски нарушения этого вида безопасности связаны с тем, что топ-менеджмент не оценивает проекты, инвестиции и иные перспективы, в которые вкладывает какие-либо ресурсы. Сюда можно отнести рисковые венчурные инвестиции, закупку б/у оборудования, работу с ненадёжными поставщиками за скидку и т.д.
Кадровая (HR) безопасность — защищает компанию от «утечки мозгов». Хорошие специалисты нужны всем, поэтому если ваша компания хотя бы немного засветилась на рынке, ваши сотрудники уже стали желанными кандидатами у конкурентов (идеально — если с вашими наработками или клиентской базой, об этом мы писали). Кроме того, отвечает за систему мер, связанных с обучением сотрудников безопасному диалогу с конкурентами и иными внешними агентами — например, во время интервью, конференций, митапов, семинаров и т.д.
Репутационная безопасность — защита деловой репутации и имиджа компании на рынке. В современных условиях высокоскоростного распространения информации потерять несколько уровней своей репутации — дело одного твита/статьи/выступления/жалобы… Неудачная реклама, неграмотная контентная политика, взломы и утечки данных, попытки влиться в интересы не своей аудитории — всё это может ударить по компании и неминуемо привести к финансовым потерям.
Новая парадигма ответственности и палки в колёсах
Служба безопасности не справится
А теперь давайте посмотрим, в чём же произошла главная трансформация. Кто отвечает за безопасность управления рисками? Топ-менеджмент. Кто отвечает за кадры? HR-служба, менеджер по внутреннему PR, если вы разработчик, то ещё и DevRel. Кто отвечает за репутацию? Пиарщик, маркетолог, менеджер по рекламе. За всем служба безопасности больше не способна уследить (особенно, если её в компании нет). Каждый своими действиями отвечает за безопасность на своём месте, часто не подозревая об этом. И это неправильно. Итак, встаёт задача минимум:
Универсальный, в общем-то, совет. Но трудно исполнимый
Что больше всего мешает выстраивать систему безопасности?
Бизнес в отношении безопасности часто надеется «на авось». В предыдущем посте мы провели опрос и получили такие результаты: 64% из ответивших имеют проблемы с безопасностью, при этом самыми популярными методами обеспечения информационной безопасности являются сложные политики для паролей, отказ от облачных систем, запрет публичных дисков и хранилищ и выделение пула IP-адресов. Чуть больше трети не делают ничего. Конечно, выборка не ахти, но определённые сигналы можно уловить. Причины невнимания к безопасности у каждой компании свои, но есть пять базовых факторов, которые встречаются в компаниях любых размеров и любой отраслевой принадлежности.
Какие задачи стоят перед системой безопасности компании?
Думать, что безопасность это только тотальный контроль и строгая отчётность, может лишь человек не в теме. Перед комплексом корпоративной безопасности стоят серьёзные задачи, напрямую связанные с успехом компании.
Принципы обеспечения безопасности в компании
Подотчётность данных. Вся информация в компании должна быть обязательно классифицирована и ранжирована, чтобы сотрудники имели чёткое понимание, какие доступы у них есть и насколько информация может транслироваться за пределы его компетенций. Например, информация о компании может иметь полностью конфиденциальный характер, иметь хождение внутри фирмы, быть общей для всех филиалов и партнёров и свободно распространяемой.
Установленные политики. Политики безопасности в первую очередь должны касаться сетевой инфраструктуры и рабочих станций сотрудников, чтобы предотвращать вторжение со стороны либо утечку информации. Дополнительно должны существовать регламентирующие политики для распространения коммерческой и иной значимой информации (например, пиарщик в пресс-релизе может сообщить, что оборот компании за два года вырос на 27%, а вот какой он в денежном отношении — нет, если только ваша компания не является публичной, а информация о финансовых показателях открытой).
Постреакция на инциденты, выводы из ситуации. Каждый случай нарушения безопасности должен быть проанализирован и обработан — по итогам стоит сформировать комплекс упреждающих мер и внести правки в базу знаний об управлении безопасностью. Если из инцидента не извлечены уроки — скорее всего, он к вам вернётся.
Управление безопасностью не должно быть лоскутным — хорошая стратегия обеспечения безопасности даёт общую картину текущей ситуации и позволяет управлять безопасностью в комплексе. Целостный подход помогает отслеживать взаимосвязи между бизнес-процессами и охватывать все стороны деятельности компании, не позволяя отбрасывать не важные на первый взгляд факторы. Кстати, современные CRM-системы — хорошее подспорье для максимального обзора бизнес-процессов, ведь они давно не сосредоточены на одних лишь продажах, а автоматизируют максимум аспектов деятельности компаний (особенно универсальные — такие как RegionSoft CRM).
Хотите реальную историю про комплексность безопасности? Один мужчина создал бизнес, связанный с довольно нужной В2В-услугой. Нанял сотрудников, даже безопасника, потихоньку раскачался. Ему не хватало маркетолога. Он взял маркетолога, но чем-то они не сошлись — новый сотрудник хотел гор до небес, желательно золотых. Маркетолог решил хлопнуть дверью, бухгалтер сплошала и вовремя не перечислила расчёт. Злой бывший сотрудник решил, что мир несправедлив и написал в пожарную инспекцию, что нет огнетушителя, в трудовую, что сразу не сделали запись в книжку, в налоговую с сообщением «о возможных нарушениях», в соцсети о том, как его обидели (наврал). На бедного молодого бизнесмена обрушились все органы, какие только могли. Компания закрылась. А всего-то: вовремя сделать свою работу кадровику и бухгалтеру, купить огнетушитель безопаснику, проконтролировать сеть админу, т.к. этот маркетолог ничего на работе не делал и это можно было «вылить» хотя бы на его посты в соц. сетях, не говоря уже о более серьёзных мерах. Вот вам и комплексность для малого бизнеса.
Непрерывность безопасности. Работать над снижением рисков в компании необходимо постоянно, а не от случая к случаю, и тем более от инцидента к инциденту. Каждый сотрудник, выполняя свои обязанности, должен помнить о том, что он отвечает за свои бизнес-процессы, за их безопасное функционирование и за безопасность всех интересов компании в целом.
Безопасность должна быть экономной. Можно нанять компанию на аутсорсе, создать службу безопасности, вложиться в дорогостоящие системы мониторинга, понатыкать камеры, но это выйдет в три раза дороже чем стоят все активы вашей компании, включая клиентскую базу. Выстраивая систему безопасности, исходите из соображений целесообразности, то есть не должен теряться экономический смысл мер. Нелишне также помнить, что дешевле всего обходятся своевременная профилактика и упреждение, а дороже всего — реагирование и ликвидация последствий инцидента.
Безопасность должна быть скоординированной. На этапах упреждения, обнаружения, реагирования и анализа все подразделения должны работать слаженно, быстро и профессионально. На этапе обнаружения и реагирования не стоит устраивать разборки на тему «Кто виноват?», на это у вас будет время сразу после окончания действий по обеспечению безопасности. Для того, чтобы координация была оптимальной, нужно тщательно прописать должностные инструкции и регламенты действий в критической ситуации.
Безопасность должна быть понятной, прозрачной, но открытой для ограниченного круга лиц. Все сотрудники должны понимать, какие действия могут привести к нарушениям безопасности, что нужно делать в случае наступления проблем и какие последствия несёт то или иное событие. Все постулаты, изложенные в инструкциях и донесённые до сотрудников, должны трактоваться однозначно. Но полное видение ситуации, равно как и арсенал средств по защите и минимизации ущерба должен быть в руках нескольких ответственных лиц. Чем больше сотрудников владеют информацией о системе противодействия различным нарушениям, тем выше вероятность инцидентов.
Управлять безопасностью должны профессионалы. Безусловно, большинству компаний малого и среднего бизнеса не по карману содержание службы безопасности. Первый и очевидный вариант — отдать безопасность на аутсорсинг, даже здесь, на Хабре, немало таких компаний для разных сфер, не только ИТ. Второй вариант — приоритизировать угрозы безопасности и сформировать «группу реагирования» на базе своих сотрудников по самым критичным точкам. Это довольно действенная мера, поскольку знание и понимание бизнес-процесса не менее важно, чем арсенал инструментов, которые вы выберете и изучите в процессе мер по упреждению. К тому же, соотнесение целей компании и вероятностей угроз, то есть формирование приоритетов безопасности, даёт хорошую экономию расходов на меры защиты. Главное — не оставлять корпоративную безопасность без внимания и ответственных.
И помните — о безопасности бизнеса прежде всего должны заботиться его владельцы и сотрудники. Не стоит обижаться на хостеров, провайдеров, вендоров, поставщиков услуг, если у вас есть очевидные проблемы, начиная от физической безопасности и заканчивая информационной. В открытую дверь обязательно кто-то войдёт.
Пока мы писали статью и просматривали практики управления безопасностью, чтобы ничего не упустить, нас занесло в начало лихих 90-х на один сайт, где в развёрнутой статье про безопасность компании есть вот такой вот абзац про — внимание! — «негосударственные организации». Тоже своеобразный опыт. Надеемся, что не в ИТ-сфере 🙂
Шпаргалка распознавания угроз
Один из главных факторов успеха в борьбе с проблемами в безопасности — увидеть вовремя маркеры, которые свидетельствуют о том, что где-то что-то пошло не так. Вот базовая схема действий при управлении корпоративной безопасностью:
Картинка кликабельна
Итак, общие рекомендации по работе с угрозами корпоративной безопасности.
Наш Телеграм-канал BizBreeze. Всякое про CRM и бизнес, по уму, без копипаста и на 90% без рекламы. Вступайте в нестройные ряды.