Элементы комплексной безопасности бизнеса



Что это? Безопасность бизнеса – это комплекс мер, обеспечивающих нормальное функционирование всех процессов компании за счет отслеживания и ликвидации внешних и внутренних угроз.



Как организовать? Перед созданием системы безопасности, необходимо проанализировать текущее состояние дел в компании: работу отделов, связи с контрагентами и т. д., далее – планомерно отрабатывать риски и закрывать слабые места.

В статье рассказывается:

  1. Цель разработки системы безопасности бизнеса
  2. Компоненты корпоративной безопасности бизнеса
  3. Политика безопасности бизнеса
  4. Основные принципы и правила построения системы безопасности бизнеса
  5. Риски информационной безопасности бизнеса
  6. Обеспечение информационной безопасности бизнеса
  7. Меры обеспечения экономической безопасности бизнеса
  8. Обеспечение физической, правовой, кадровой безопасности бизнеса
  9. Пошаговая инструкция создания службы безопасности

Цель разработки системы безопасности бизнеса

Любой бизнес всегда окружают потенциальные угрозы в виде конкурентов, ненадежных партнеров, плохих руководителей, безответственных сотрудников. Добавьте сюда еще недоброжелательно настроенных третьих лиц, способных на совершение противоправных действий, а также налоговые проверки, которые могут заканчиваться внушительными штрафами. В связи с этим обязательно необходимо подумать об обеспечении организационной, экономической, технической, правовой и социальной безопасности бизнеса.

Под безопасностью бизнеса понимают защиту от тех, кто может как-то ему навредить, испортить имидж или причинить материальный вред. Для обеспечения такой безопасности разрабатываются и внедряются специальные всесторонние системы защитных мер.

Главные цели тут – не позволить нарушать интересы компании, гарантировать безопасность жизни и здоровья сотрудников, уберечь ресурсы от порчи и хищения, обеспечить сохранность служебной информации и т. п. Для этого необходимо своевременно обнаруживать потенциальные угрозы, следить за действиями партнеров, заботиться о безопасности интеллектуальной собственности, проводить специальную подготовку персонала, работающего с конфиденциальными данными и т. д. и т. п.

Цель разработки системы безопасности бизнеса

Плохо, когда владелец начинает заниматься всеми этими вопросами лишь после получения некоего урона. Гораздо проще и эффективнее предупреждать проблемы, чем потом бороться с их последствиями.

Лучше всего начинать формировать систему безопасности бизнеса сразу же в момент его создания. Хорошо бы даже отобразить схематически выявленные угрозы и нуждающиеся в защите аспекты. Это поможет учесть буквально всё до мелочей.

Помните еще и о том, что как только вносите какие-то изменения в бизнес-процесс, тут же необходимо пересматривать и систему защиты. Возможно, эти изменения (пусть и не напрямую) повлекут за собой, например, недовольство партнеров или персонала. В результате у кого-то возникнет желание (и возможность, что немаловажно) отомстить, навредить. Всё это нужно предвидеть и предупредить.

Компоненты корпоративной безопасности бизнеса

Часто владельцы малого и среднего бизнеса представляют себе безопасность в виде строгих охранников на входах-выходах, которые следят за тем, чтобы с объекта не воровали продукцию. Плюс еще подбирают начальника службы безопасности, имеющего «полезные» связи в полиции и прокуратуре, да еще и угрожающего вида, чтобы остальные работники боялись одного только его пронизывающего взгляда.

Однако действительно надежная защита представляет собой нечто более сложное. В целом это десять-двадцать различных мер, которые позволяют с минимальными расходами предотвращать хищения и растраты, или экономить существенные суммы там, где, казалось бы, деятельность вообще никак не зависит от организации системы безопасности бизнеса.

Вот несколько основных составляющих системы защиты:

  • Информационная безопасность бизнеса. Это то, что обязательно необходимо любой современной компании. Тут риски повсюду: возможны, например, вирусы в электронных письмах, проблемы с использованием облачных технологий или иных внешних сервисов, умышленное нанесение вреда кем-то из работников и многое другое.

  • Правовая безопасность бизнеса. Имеется в виду недопущение в работе компании нарушений действующего законодательства, а именно мошенничества, подделки документов, выплаты откатов и т. п. В чем отличие правовой безопасности от экономической?

    Первые нарушения в большинстве своем совершаются не с целью финансового обогащения, а для «маскировки» каких-то неправомерных шагов (заплатил за маршрутный лист, чтобы вывести лишнюю продукцию; подделал документы на расход большей суммы денег; провел утерянное оборудование по сфабрикованному акту списания и т. п.). Правовая безопасность как раз и нацелена на предотвращение подобных действий.

    Правовая безопасность бизнеса

  • Экономическая безопасность бизнеса. Тут ставится задача предотвратить утечку денежных средств либо их недополучение. Речь идет о корректном ведении бухгалтерских и иных документов, отслеживании налоговых выплат, маркетинговых расходов и т. д. и т. п. Именно данная составляющая безопасности, к слову говоря, очень сильно зависит от честности и добросовестности сотрудников.

  • Безопасность персонала (личная и физическая). Это меры по защите территории предприятия от проникновения третьих лиц, которые могут представлять угрозу для сотрудников. Конечно, чем выше статус компании, тем серьезнее предполагается степень такой защиты. Но КПП, охрана, камеры наблюдения, система пропусков (или другие способы аутентификации) непременно должны быть в любой фирме.

  • Безопасность управления бизнес-процессами с учетом рисков. Данной составляющей не стоит пренебрегать, хоть она и кажется малозначимой. А между тем руководители компании непременно должны оценивать риски перед запуском любого (инвестиционного или какого-то иного) проекта. Это и покупка оборудования, и венчурные вложения, и взаимодействие с поставщиками, и многое другое.

  • Физическая защита оборудования, сетей, программного обеспечения (по сути – техническая безопасность бизнеса). Здесь ставится задача организовать внешний и внутренний контуры, предотвращающие доступ к перечисленным выше элементам инфраструктуры для лиц, которые не должны всё это использовать в рамках своих обязанностей. Впрочем, бывают, конечно, и случайные нарушения, совершенные без злого умысла (пролитый на дорогой компьютер кофе или что-то вроде этого).

  • HR-безопасность, то есть защита от утечки кадров. Если компания довольно известна на рынке, то конкуренты непременно будут предпринимать попытки переманить у вас ценных сотрудников. Цель кадровой безопасности – предотвратить подобные выходки. Плюс обучить персонал грамотному, безопасному общению с конкурентами и с любыми представителями внешних структур (к примеру, на семинарах, конференциях, митапах, в ходе интервью и т. п.).

  • Защита деловой репутации и имиджа бизнеса. Современный мир – это вселенная высокоскоростных информационных технологий, и тут любая неудачная публикация (статья, реклама, жалоба, чьё-то выступление) может резко сбросить компанию с небес на землю. Добавьте сюда плохо подобранный контент, утечку данных, выход на неподходящую целевую аудиторию – всё это непременно наносит удар по репутации и приводит к денежным потерям.

Политика безопасности бизнеса

При организации системы безопасности (СБ) бизнеса цели могут быть следующие:

  • улучшать дисциплину на рабочих местах, повышать производительность труда;

  • не допускать нарушения интересов и прав компании;

  • обеспечивать условия для создания технологий и товаров мирового уровня качества;

  • выполнять запланированные программы производства;

  • сотрудничать с госструктурами в рамках интересов компании;

  • отсеивать случайных и недобросовестных партнеров, чтобы собственный бизнес никак не зависел от них.

Начать следует с экспертизы информационных процессов, чтобы понять, какие именно данные важно защитить. В итоге должен получиться их список с указанием мест, где они фигурируют в ходе вашей деятельности и лиц, имеющих к ним доступ. Также следует прописать, какие проблемы может повлечь за собой утечка либо искажение ценной информации.

Это наглядно покажет вам, что именно защищать и как. На практике чаще всего именно персонал (умышленно или нечаянно) выступает в роли нарушителя, и с этим ничего не поделать. Как просчитать бизнес-угрозы и всё-таки обеспечить безопасность? Любое событие, потенциально представляющее проблему, может исполниться с той или иной вероятностью. Далее умножаете ее процент на предполагаемый ущерб (от этого события) и получаете риск угрозы экономической безопасности бизнеса. Когда проблемы известны — остается продумать и внедрить систему их предупреждения.

Политика безопасности бизнеса

Следующий шаг – подготовка «Политики безопасности компании», которая утверждается руководством и является основным документом, защищающим компанию от возможных угроз. Вот какие разделы могут в неё входить:

  1. Описание положения дел в организации с точки зрения безопасности:

    • изучение работы конкурентов;

    • оценка хозяйственной деятельности предприятия, запаса ресурсов, надежности охраны (там, где это нужно) и т. п.;

    • выявление угроз и рисков (реальных и потенциальных) с указанием степени их опасности, возможного времени наступления и предполагаемого экономического урона от них;

    • определение условий и причин, способных вызвать такие проблемы;

    • составления прогнозов потенциального ущерба (в том числе экономического) и иных последствий возможных угроз;

    • описание существующей проблемы.

  2. Задание целей в рамках обеспечения защиты бизнеса:

    • разработка политики безопасности;

    • составление списка целей;

    • выбор стратегии и способов её реализации (для достижения намеченных ориентиров).

  3. Формирование системы безопасности бизнеса:

    • обозначение функций и основных принципов СБ;

    • определение степени защиты выявленных объектов безопасности;

    • формирование списка субъектов, которые будут обеспечивать защиту от угроз;

    • подготовка мероприятий по обеспечению и поддержанию защиты;

    • создание структуры управления безопасностью бизнеса.

  4. Подготовка способов оценки созданной системы:

    • подбор критериев и показателей, с опорой на которые будет квалифицироваться уровень защиты;

    • выбор оценочных методик;

    • разработка системных подходов к анализу возможных бизнес-рисков.

  5. Подсчет необходимых для обеспечения охраны ресурсов:

    • определение объёмов материально-технических и охранных ресурсов, требуемых для защиты объектов, подвергающихся потенциальной опасности;

    • вычисление количества необходимого персонала и затрат на его мотивацию, содержание;

    • подсчет денежных расходов на обеспечение безопасности бизнеса;

    • сопоставление предстоящих затрат с размером потенциальных потерь от рисков и угроз.

  6. Подготовка мероприятий по внедрению СБ:

    • создание подходящих условий;

    • поиск источников ресурсов;

    • выделение необходимого количества средств;

    • формирование специализированного отдела и системы управления безопасностью бизнеса;

    • монтаж необходимых технических средств защиты;

    • обеспечение выполнения положений концепции безопасности;

    • постоянное развитие созданной системы защиты, оперативное внесение необходимых изменений в используемые стратегии.

Всё это должно быть грамотно задокументировано с точки зрения существующих технических и организационно-правовых норм. Стратегии безопасности бизнеса следует подбирать при этом рациональные, разумные и адекватные.

Например, в политике может быть прописано, что для посетителей вход на территорию предприятия с мобильниками запрещен, их необходимо оставлять на пункте охраны. Реально есть компании, где действует такое правило, но за его исполнением невозможно уследить! И на имидже фирмы оно отразится не лучшим образом.

А вот запрет на использование сотрудниками мобильных телефонов на рабочих местах – вполне адекватен (при условии, что стационарных аппаратов достаточно для нормального обеспечения связи между отделами). Суть принципа разумной достаточности сводится к тому, чтобы затраты на безопасность информационных систем бизнеса были не больше потерь от возможных утечек данных.

Основные принципы и правила построения системы безопасности бизнеса

Выстраивать управление безопасностью бизнеса следует с учетом ряда правил, перечисленных ниже:

  • Действовать по нормам права. То есть все применяемые методы и стратегии не должны идти вразрез с действующим законодательством.

  • Все ресурсы задействовать в комплексе. Это значит привлекать каждого сотрудника, все имеющиеся в компании силы и средства.

  • Обеспечивать полное внутреннее и внешнее взаимодействие между департаментами компании. Плюс задействовать сторонние структуры, способные оказать помощь в повышении безопасности бизнеса.

  • Заниматься выявлением и профилактикой потенциальных угроз путем анализа деятельности компании и на основе собранных данных подбирать меры обеспечения защиты.

    Принципы построения системы безопасности бизнеса

  • Применять и секретность, и гласность. Первую – для конфиденциальной информации, а вторую – для прочих сведений о деятельности фирмы, которыми можно делиться с партнерами, коллегами, со СМИ.

  • Придерживаться принципа компетентности. То есть привлекать к обеспечению защиты бизнеса специалистов с достаточным уровнем подготовленности.

  • Соблюдать экономическую целесообразность. Расходы на систему защиты бизнеса должны быть ниже (причем значительно) приносимой этим бизнесом прибыли. Нельзя допускать, чтобы большая часть дохода уходила на обеспечение безопасности.

  • Учитывать и использовать все факторы и ресурсы в комплексе. Тут необходимо продумать подбор персонала (и охранников, и всех прочих сотрудников), монтаж камер слежения, системы сигнализации, применение современных технологий, обеспечение эффективного управления системой защиты бизнеса с гарантией максимальной безопасности.

  • Планирование. Оно должно осуществляться буквально для каждого сотрудника и отдела компании, а выполнение запроектированного непременно следует контролировать.

И ещё: для любого бизнеса в деле обеспечения безопасности гигантское значение имеет человеческий фактор. Поэтому с сотрудниками необходимо проводить большую и серьезную работу по данному направлению, пояснять важность использования паролей, сохранения в тайне конфиденциальной информации и т. д. и т. п.

Кейс: VT-metall

Узнай как мы снизили стоимость привлечения заявки в 13 раз для металлообрабатывающей компании в Москве

Узнать как

Риски информационной безопасности бизнеса

В сфере IT-технологий и информационной безопасности нет-нет да и мелькают сообщения о том, что к каким-либо секретным данным получили доступ третьи лица.

Кто же становится виновником подобных происшествий? – Это может быть:

  • Инсайдер, завладевший ценными данными случайно. К примеру, сотрудник уже не работает в компании, но до увольнения он в рамках служебных обязанностей имел доступ к секретной информации. И человек мог скачать некие конфиденциальные сведения на свой компьютер просто в спешке, по невнимательности. В принципе сама по себе такая утечка не опасна для бизнеса, ведь никто не планировал сливать на сторону полученные данные с целью наживы, из мести или по иным причинам.

    Однако нужно позаботиться о том, чтобы ничего подобного происходить не могло даже по неосторожности. Вирусная активность сейчас достигает таких размахов, что злоумышленники при желании найдут способ добраться до информации, вышедшей за пределы компании.

  • Инсайдер, запланировавший злой умысел. Речь тут чаще идет о сотрудниках, которые покидали компанию, затаив обиду. Такой человек может намеренно задумать информационную диверсию, чтобы навредить репутации фирмы, нанести ей финансовый урон. Сведения он добывает, воспользовавшись личным уровнем доступа или через дружественно настроенных коллег. А полученные данные можно потом использовать, например, как инструмент шантажа (пообещать поделиться ими с конкурирующими фирмами или предать гласности и т. п.).

  • Сторонний злоумышленник. То есть некто, никак не связанный с компанией, но планирующий завладеть её конфиденциальной информацией. К примеру, хакер (с целью наживы), либо ушлый подросток (пробующий свои силы в IT, взламывая чужие базы данных) и др.

Риски информационной безопасности бизнеса

Если в информационных системах компании есть достаточно серьезные уязвимости, то вероятность утечки корпоративных данных, разумеется, возрастает.

Причиной могут стать, к примеру, недостаточно надежные программные и программно-аппаратные базы, слабые коды, которые нарушители легко преодолевают (и получают доступ к секретным сведениям). Конечно, защитные обновления и патчи выходят довольно часто, производители за этим следят, заботясь о безопасности бизнеса своих клиентов. И всё же случается, что хакеры успевают узнать об уязвимости раньше разработчиков ПО и быстренько сделать соответствующий эксплойт.

Основные причины утечек информации

  • Слишком много прав доступа у инсайдеров. Когда большое число людей имеет допуск к конфиденциальным данным, риск утечек возрастает. Как уже упоминалось выше, зачастую именно через инсайдеров (из-за их невнимательности либо злонамеренности) информация уходит налево.

  • Вирусы в ПО. Вредоносные программы, внедренные в корпоративную инфраструктуру, открывают пути для утечки, повреждения, воровства данных, могут вообще вывести из строя IT-систему. В связи с этим для компании возрастает риск получения значительного финансового и имиджевого ущерба.

  • Спланированные атаки. Злоумышленники не обязательно ставят перед собой цель взломать базу данных конкретной компании. Они могут просто рандомно искать слабые места в защите той или иной инфраструктуры. Но бывают и целенаправленные «набеги», с применением хитрых особых методов вроде писем с электронных адресов сотрудников этой же фирмы, дипфейков с участием первых лиц компании и т. п.

  • Фишинг, спуфинг. О чем тут речь? Фишингом обычно называют отправку писем с почты людей, которым получатель доверяет (например, это может быть начальник отдела). Хакеры таким образом подталкивают человека скачать, например, вложение с вирусом, открыть вредоносную ссылку, переслать какие-то важные данные и т. п. То есть адресат заглатывает наживку в виде такого письма и потом своими действиями помогает злоумышленникам.

  • Доступ к учетным записям работников компании. Сотрудник, попавшийся на крючок в результате фишинга, сам того не зная может теперь открыть для злоумышленников свою рабочую учетную запись. Хакерам достаточно переслать ему письмо, отправленное как бы с корпоративной почты и содержащее в себе ссылку (тоже типа на корпоративный сайт). Кликнув по ней, получатель оказывается на странице авторизации, где требуется введение логина и пароля, которые мгновенно оказываются в распоряжении злоумышленников.

  • Ненадежные пароли, повторное их применение. Простыми шифрами легче пользоваться, поэтому часто сотрудники задействуют именно их. Но базы паролей могут сливаться, например, через форумы или через старую взломанную почту и т. п. А дальше подобрать credentials и войти в вашу учетную запись – для злоумышленников задача более чем простая.

Обеспечение информационной безопасности бизнеса

Проблемы безопасности бизнеса чаще всего (более чем в половине случаев) связаны именно с недостаточно надежной системой информационной защиты. Это факт, подтвержденный статистикой. Допускаются утечки, секретные данные теряются, попадают в руки к конкурентам, злоумышленникам. Задача IT-специалистов – принять достаточные защитные меры для снижения рисков, способных нанести урон бизнесу.

В первую очередь важно защитить финансовую информацию, далее – не допустить утечки данных, и третье – предотвратить DDoS-атаки. Первые две задачи давно уже занимают лидирующие позиции, а вот третья – это, так сказать, новинка в списке подобных проблем. Атаки все чаще и чаще предпринимаются в направлении именно малого и среднего предпринимательства.

Если говорить о российских компаниях, то в рамках повышения безопасности бизнеса самые распространенные меры такие: управление приложениями, обновлениями, сетевой структурой, контроль вирусного ПО, отслеживание использования внешних сервисов и мобильников. Плюс следует уделять внимание защищенности денежных переводов и т. д. и т. п.

Далее перечислены основные методы обеспечения информационной безопасности бизнеса.

Предотвращение вторжений

Осуществляется с помощью специального программного и аппаратного обеспечения для мониторинга поступающего трафика. Как только фиксируется нападение, доступ тут же блокируется системой, а к ответственному сотруднику приходит сообщение об опасности.

Обеспечить защиту от вторжений можно двумя способами:

  1. С помощью IPS. Данная система блокирует любую подозрительную активность и тщательно просеивает трафик, отметая всё лишнее. Система хороша тем, что и обнаруживает, и предотвращает угрозы. Из минусов – IPS часто срабатывает не по делу. Администратору приходится на это отвлекаться, запускать проверку, останавливать на время работу сети.

  2. С помощью IDS. Система замечает подозрительную активность и оповещает ответственного сотрудника. Из плюсов данного способа – вторжения отслеживаются весьма эффективно, а дальнейшие решения по ним принимает уже администратор. Отрицательный момент состоит в том, что если этот специалист не сработает достаточно оперативно, система может быть серьезно повреждена.

Предотвращение вторжений

Предотвращение утечек

Имеются в виду меры по сохранению конфиденциальности корпоративных данных. Есть два пути попадания ценной информации в руки посторонних:

  1. целенаправленная кража (шпионская, со стороны инсайдеров, рейдеров);

  2. невнимательность своих же сотрудников (отправка пароля в электронном письме, открытие вирусных ссылок, утеря носителя с ценными данными, отсутствие контроля прав доступа и т. п.).

Предотвращать злонамеренные кражи можно путем введения строгой пропускной системы (для входа на территорию организации, в какое-либо подразделение), установки оборудования слежения. Кроме того, применяется техника для уничтожения информации, данные зашифровывают, хранят на серверах других стран и т. п.

С невнимательностью персонала обычно борются так: сокращают до возможного минимума права доступа к корпоративным данным, налагают на сотрудника индивидуальную ответственность, строго регламентируют работу с важной документацией и носителями информации (которыми пользуются работники), передачу ценных сведений осуществляют только по защищенным каналам.

Также информационной безопасности бизнеса поспособствует запись телефонных переговоров, внедрение RMS и DLP, использование зашифрованных USB-карт, отслеживание трафика, наблюдение за персоналом в ходе работы за ПК и т. п.

Защита файлов с ценной информацией

Речь идет об информации, хранящейся на принадлежащих компании компьютерах и серверах. Способы для защиты файлов есть следующие:

  • шифрование данных (с помощью EFS, Qnap, CryptoPro и т.п.);

  • шифрование используемых персоналом гаджетов: мобильных телефонов, ноутбуков, любых носителей (с помощью специальных программ вроде Kasperskiy, SecretDisk, Endpoint Encryption или модулей шифрования, выпускаемых компаниями Sony, Asus и иными);

  • шифрование данных от сисадмина (применяется TrueCrypt);

  • обязательная регистрация мобильных телефонов через трекеры систем мониторинга (задействуется ПО Касперского или Prey);

  • полное или частичное закрытие доступа к определенным файлам (в качестве инструмента здесь хорошо себя зарекомендовал Active Directory Rights Management Services);

  • применение единой аутентификации. Тут на выбор можно привязать аппаратуру к структуре домена (доменная авторизация) и использовать электронный ключ (E-token), либо применять систему СМС-оповещений.

Защита файлов с ценной информацией

Защита 1С и оптимизация работы с данным ПО

Меры здесь применяются такие:

  • для базы 1С: использование специальных защитных систем шифрования дисков, систем для обмена файлами и ценными сведениями, минимизация прав доступа к ним;

  • для СУБД базы 1С: применение шифрования, запрет или минимизация прав доступа к серверам (как электронного, так и физического), уменьшение объемов административных прав (для персонала) и т. п.

  • защита секретной корпоративной информации.

Кроме того, вот еще несколько мер, способствующих информационной безопасности бизнеса:

  • защита корпоративных каналов взаимодействия;

  • оперативное удаление данных с сервера;

  • мониторинг работы персонала;

  • организация бесперебойного функционирования бизнес-процессов, обеспечение их высокой отказоустойчивости.

Меры обеспечения экономической безопасности бизнеса

Далее перечислены меры, позволяющие обеспечивать экономическую безопасность бизнеса:

Контроль деятельности компании-контрагента

Обязанность проверять будущего партнера не закреплена в РФ на законодательном уровне. Однако бдительность в данном вопросе никогда не бывает лишней, ни одна компания не заинтересована в совершении сомнительных сделок. Иначе можно оказаться перед лицом таких проблем, как:

  • невыполненные обязательства (со стороны контрагента);

  • разочарование и недоверие инвесторов;

  • снижение активности деятельности компании;

  • возможность денежных потерь;

  • нарушения, которыми могут заинтересоваться правоохранительные органы.

Вот что необходимо проверить, прежде чем вступать в деловые отношения с контрагентом:

  • номер регистрации предприятия или ИП в налоговой инспекции (ИНН);

  • точное название будущего контрагента;

  • какая информация о нём есть в ЕГРЮЛ;

  • фамилия, имя, отчество генерального директора;

  • насколько устойчиво положение компании на рынке;

  • действительно ли она зарегистрирована по заявленному адресу;

  • ведется ли ею бухгалтерская документация, сдает ли она отчетность.

Контроль деятельности компании-контрагента

Оптимизация налоговых выплат

Затраты на такие выплаты следует свести к минимуму, и все дела вести так, чтобы со стороны налоговых органов вопросов не возникало. Лучшее, что тут можно сделать – воспользоваться аутсорсингом. Вот что это дает:

  • использование современных, оптимально соответствующих именно вашей компании подходов к планированию налогов;

  • приглашенные опытные специалисты найдут возможности существенно экономить деньги;

  • будут выявлены просчеты в деятельности организации;

  • компания начнет работать эффективнее, качественнее, в целом повысится надежность и экономическая безопасность бизнеса;

  • всё внимание можно будет уделять собственно хозяйственной деятельности и не отвлекаться излишне на вопросы расчетов с бюджетом и фондами.

Оптимизация налогов выполняется в три шага: сначала анализируется работа организации, затем вырабатывается схема предстоящих действий и, наконец, этот план реализуется.

Обеспечение защиты компьютера, на котором стоит программа «Клиент–Банк»

Практика последних лет показывает, что многие экономические преступления были совершены как раз по причине недооценки значимости этого пункта. Часто мошеннические операции проводятся именно через этот компьютер после получения доступа к нему.

Далее – о защитных мерах для компьютера с системой «Клиент–Банк»:

  • не следует использовать данный компьютер для других целей (только для работы с «Клиент–Банк»);

  • максимально ограничить доступ к этой машине;

  • регулярно обновлять антивирус и ОС;

  • поставить сетевой экран (обязательное условие) и заблокировать трафик, не связанный с банковскими операциями;

  • меры безопасности следует соблюдать постоянно, а не вспоминать о них от случая к случаю;

  • нельзя оставлять в компьютере (или рядом) носители, на которых могут быть записаны пароли, права доступа;

  • данный ПК должен быть установлен в отдельном кабинете с видеокамерами и СКУД.

Обеспечение физической, правовой, кадровой безопасности бизнеса

После того, как вы обеспечили информационную и экономическую безопасность своего бизнеса, стоит уделить внимание другим видам защиты. Это не менее важно, поскольку обеспечивает стабильную работу всех систем.

Меры по обеспечению физической защиты

Каждая компания непременно заботится о том, чтобы предотвратить доступ посторонних на свою территорию и в помещения, гарантировать безопасность персоналу, принять необходимые противопожарные меры. Всё это – задачи первостепенной важности.

Вот что можно сделать для их исполнения:

  • Внутри зданий и по периметру поставить видеокамеры, по которым руководителю и службе охраны должно быть видно всё происходящее. Визуальный контроль будет надежнее, если добавить распознаватель номеров, систему автоматического анализа картинки и прочие подобные опции.

  • Внедрить схему контроля доступа, чтобы уменьшить шанс проникновения на объект посторонних.

  • Установить в здании сирену, включающуюся по сигналу системы оповещения об опасности. Обычно достаточно звукового сигнала, но можно добавить и речевой.

  • Поставить домофон на входе и контролировать всех, кто приходит, не контактируя с ними. Впрочем, для крупных компаний это неподходящий вариант из-за большого числа посетителей.

  • Установить пожарную сигнализацию с функцией оповещения персонала и возможностью локализовать источники возгорания.

Меры по обеспечению физической защиты

Обеспечение правовой безопасности бизнеса

Это защита имиджа и денег компании путем предотвращения серьезных юридических нарушений, чреватых внушительными потерями. В целом под правовой безопасностью бизнеса понимают комплекс мер по разрешению вопросов юридического характера, оперативное оказание консультационной и правовой помощи. Эту работу могут выполнять приглашенные специалисты либо кто-то из штата компании.

Вот что поможет поддержать правовую безопасность бизнеса:

  • грамотное составление всей документации и проведение её экспертиз;

  • выступление в судах юриста – представителя компании;

  • полное ведение сделки с компетентным решением всех возникающих правовых вопросов;

  • экспертная оценка предстоящих сделок, любых проектов, касающихся инвестиционной или коммерческой деятельности;

  • оперативное решение вопросов с теми или иными государственными структурами;

  • подготовка к аудиторским проверкам;

  • защита интересов компании в случаях, если правоохранительные органы попытаются изымать любую документацию, не имея на то оснований;

  • грамотное составление жалоб, исков в адрес контролирующих либо правоохранительных органов (если их действия неправомерны либо они бездействуют там, где по закону обязаны принимать какие-то меры).

Организационно-кадровая работа по обеспечению безопасности бизнес-процессов

Мероприятиями по организационно-кадровой безопасности занимается руководитель компании. Именно его забота – работа с кадрами и предупреждение любых попыток злоумышленных действий персонала.

Обеспечение правовой безопасности бизнеса

Далее – о мерах организационно-кадровой безопасности бизнеса. Это:

  • тщательный сбор и изучение информации о сотрудниках, которые будут допущены к работе с секретными данными;

  • анализ прошлой деятельности человека с целью выявления связанных с нею возможных угроз (возможно, была связь с криминалом, работа на конкурентов, или не внушает доверия морально-нравственные качества сотрудника и т. п.);

  • сбор и анализ информации о соискателе еще до его приема на работу;

  • наблюдение за психологической обстановкой в коллективе с тем, чтобы в случае появления проблем обнаружить их как можно раньше;

  • подготовка персонала к работе с конфиденциальной информацией с соблюдением существующих правил безопасности;

  • каждый случай нанесения сотрудником финансового или имиджевого ущерба компании должен быть тщательно расследован;

  • инициация трудовых споров в случаях несоблюдения правил безопасности или отклонений от выполнения прописанных в трудовом договоре обязательств;

  • внимательное отслеживание изменений в любых организационных моментах, представляющих потенциальную угрозу для безопасности компании.

Скачайте полезный документ по теме:

Чек-лист: Как добиваться своих целей в переговорах с клиентами

Пошаговая инструкция создания службы безопасности

Разумеется, мелкие компании не могут позволить себе иметь собственный отдел безопасности. И часто руководители недооценивают важность такой структуры, не понимая, что любой бизнес нуждается в серьезной защите.

В целом процесс формирования службы безопасности можно представить в виде пяти последовательных шагов:

  1. Постановка цели

    Определитесь, для чего вам необходима служба безопасности и контроля (СБК). Каких именно угроз вы опасаетесь? Может, это – придирки представителей налоговых и правоохранительных структур? Или угрозы, связанные с некомпетентностью персонала, либо вы боитесь хищений, или нечестных контрагентов?

  2. Список задач

    Выявив возможные риски, спрогнозируйте последствия. Главной задачей СБК должно стать устранение обнаруженных угроз, а все прочие функции сводятся к минимуму.

    Выбор приоритетов осуществляйте вместе с тем, кто непосредственно будет обеспечивать безопасность организации.

    Для ювелирной компании, например, главные угрозы – это хищения со стороны сотрудников и налёты извне. Значит, тут понадобится служба охраны.

    В IT-сфере важно обеспечить защиту интеллектуальной собственности и данных от утечки, предотвращать шпионаж. То есть тут потребуется еще и следить за действиями конкурентов.

  3. Образование службы безопасности (СБ)

    В больших компаниях такой отдел работает по многим направлениям, обеспечивает правовую, кадровую безопасность бизнеса и проч. В некрупных организациях всё обстоит по-другому. Небольшой отдел не справится с кучей задач, а явные угрозы могут остаться незамеченными.

    Для мелкого бизнеса оптимальный вариант – СБ из трех человек: руководитель (хорошо бы с опытом оперативной работы), его заместитель (к примеру, следователь, аналитик) и еще один сотрудник (раньше работавший в аудите, например).

  4. Подбор профессиональных сотрудников

    Обязательно ознакомьтесь с послужным списком претендента на место начальника охраны. В круг его должностных обязанностей будет входить выполнение поставленных задач по обеспечению безопасности бизнеса.

    Как создать службу безопасности

    Идеальный кандидат в руководители СБ – человек, работавший раньше в ФСО или во вневедомственной охране МВД. Хорошо подойдут бывшие оперативники МВД, ФСБ, ФСКН, они смогут грамотно подойти к вопросу принятия мер против краж, к обеспечению защиты коммерческой тайны компании. Лучше всего справятся с подобными задачами бывшие начальники отделов или групп (то есть руководители среднего звена). К примеру, между бывшим сотрудником уголовного розыска и ОБЭП второй будет предпочтительнее.

  5. Выделение бюджета

    Понятно, что прямого дохода от СБ нет, её задача – не допустить убытков (причем потенциальных; не факт, что они действительно появятся). И все же есть три позиции, на которых точно не следует экономить при создании отдела безопасности. Это:

    • Зарплаты сотрудникам. Они должны получать примерно столько же, сколько и остальные работники. В разных регионах суммы отличаются, но ориентироваться нужно на зарплаты в силовых структурах: для руководящего состава – от 200 тыс. рублей, и 50–120 тысяч — для всех остальных. У работников СБ зарплаты не должны быть меньше.

    • Организация доступа к информационным системам. Для анализа контрагентов необходимо специальное оборудование (вроде «Кронус», «Спарк» и т. п.), эксплуатация которого обходится в 100–300 тыс. за год. Плюс добавьте сюда около 100 тысяч рублей на текущие расходы отдела ежегодно.

    • Переподготовка персонала. Организовывать посещение специальных курсов обязательно нужно. Там сотрудники узнаю́т больше о новых видах угроз, налаживают связи с коллегами. Данная статья расхода составит в год примерно еще 100 тыс. руб.

    Таким образом около 3 млн. рублей будет уходить ежегодно на собственный отдел безопасности. Кто-то решит, что дешевле обратиться к аутсорсингу, но каковы гарантии надежности сторонней компании? Не исключены, кстати, попытки раздутия штата (с целью больше заработать).

Организация безопасности бизнеса – задача достаточно сложная. Охрана от угроз требуется документации, персоналу, бизнес-процессам, финансам и еще по очень многим направлениям. Причем речь идет и о юридической, и о физической защите компании и её сотрудников.

Система безопасности бизнеса должна обеспечивать предотвращение возможных угроз, выявление уже существующих опасностей и устранение их последствий.

Алексей Бояркин

Облако тегов

Понравилась статья? Поделитесь:

В нынешних реалиях ни одна компания не застрахована от различного вида опасностей и угроз, которые способны нанести бизнесу существенный урон.

Система безопасности предприятия – это система выявления, предупреждения и пресечения посягательств на законные права предприятия, его имущество, интеллектуальную собственность, производственную дисциплину, технологическое лидерство, научные достижения и охраняемую информацию.

Зоны риска

Не является верным утверждение, что безопасность – это в первую очередь физическая защищенность предприятия, так как для бизнеса угрозами также могут являться не только имеющие физическую природу грабеж, порча или уничтожение имущества, но и целый ряд факторов некриминального характера: некомпетентность собственного персонала, недобросовестность конкурентов или партнеров, информационные войны, изменение экономической ситуации и многое другое. Основной целью комплексной системы безопасности является обеспечение для предприятия возможности успешно осуществлять свою деятельность в условиях нестабильности (как внутренней, так и внешней), своевременно распознавать и предотвращать все потенциальные угрозы, защищать всеми законными способами свои интересы, охранять здоровье и жизнь работников предприятия.

Субъекты деятельности по безопасности

Выделяют две группы субъектов, обеспечивающих безопасность предприятия: внешние субъекты и внутренние.

К внешним субъектам относятся органы законодательной, исполнительной и судебной власти, призванные обеспечивать безопасность всех без исключения граждан в отдельно взятом государстве. Деятельность этих органов не может контролироваться самими предприятиями. Они формируют законодательную основу функционирования и защиты хозяйственной деятельности в различных ее аспектах и обеспечивают ее исполнение.

К внутренним субъектам относятся подразделения, ответственные лица либо привлеченные предприятием специалисты, непосредственно осуществляющие деятельность по защите безопасности данного конкретного субъекта хозяйственной деятельности.

Управление безопасностью

Эффективному построению системы защиты компании, как правило, мешает невысокий уровень знаний по этому вопросу, дефицит профессиональных кадров, способных эффективно построить систему безопасности компании, отсутствие практического опыта работы, должной литературы и учебных заведений, готовящих специалистов по безопасности коммерческого предприятия.

Из опыта известно, что компания начинает задумываться о своей безопасности только после того, как возникли проблемы и произошли финансовые потери. Этого можно и нужно избежать.

В первую очередь нужно сказать, что комплексная корпоративная безопасность невозможна без обеспечения руководителей компании информацией, необходимой для всесторонне взвешенного принятия управленческих решений, как стратегических, так и оперативных. Если предприятие претендует на долгую жизнь и непрерывное развитие, необходима правильная обработка и анализ информации о внешней и внутренней среде компании, конкурентах, поставщиках, партнерах, сотрудниках, бизнес-процессах и тенденциях развития рынка.

Все это требуется для минимизации предпринимательских рисков. При этом оптимальная политика руководства предприятия в области создания действительно эффективной системы безопасности состоит в том, чтобы, исходя из имеющихся ресурсов и существующих приоритетов, проводить мероприятия, предусматривающие постепенное повышение эффективности всей системы безопасности.

Принципы построения системы безопасности

Каждая система безопасности – это уникальный продукт. Например, системы безопасности торгового предприятия, транспортной компании или производственной фирмы очень отличаются друг от друга. Тем не менее существуют общие принципы, основываться на которые можно при построении любой системы.

Все мероприятия по обеспечению безопасности можно разделить на 5 категорий:

– прогнозирование возможных угроз;

– организация деятельности по предупреждению возможных угроз (превентивные меры);

– выявление, анализ и оценка возникших реальных угроз безопасности;

– принятие решений и организация деятельности по реагированию на возникшие угрозы;

– постоянное совершенствование системы обеспечения безопасности предприятия.

Организация и функционирование системы безопасности компании должны осуществляться на основе следующих принципов:

  1. Комплексность. Руководство компании должно оценивать все возможные угрозы и, исходя из этого, строить систему безопасности.
  2. Своевременность. Все, что делается для обеспечения безопасности, должно быть направлено в первую очередь на упреждение возможных угроз, а также на разработку эффективных мер предупреждения посягательств на интересы компании.
  3. Непрерывность. Защитные меры должны применяться постоянно. Наиболее эффективным считается непрерывный цикл «планирование – реализация – проверка – совершенствование – планирование – …».
  4. Законность. Система безопасности должна опираться на действующее законодательство с применением всех дозволенных методов обнаружения и пресечения правонарушений.
  5. Плановость. Деятельность по обеспечению безопасности должна строиться на основе специально разработанных планов работы всех подразделений компании и ее отдельных
  6. сотрудников.
  7. Целесообразность. Руководству компании обязательно нужно сопоставлять размер возможного ущерба и затраты на обеспечение безопасности (критерий «эффективность – стоимость»).
  8. Дублирование. Средства защиты должны быть продублированы. Тогда при отказе одного звена системы всегда можно задействовать резервный вариант.
  9. Специализация. Не обязательно все вопросы безопасности решать силами штатного персонала. Для большинства предприятий экономически выгоднее привлекать к разработке и внедрению системы безопасности специализированные организации, сотрудники которых подготовлены к конкретному виду деятельности, имеют опыт практической работы и государственную лицензию на право оказания услуг.
  10. Совершенствование. Меры и средства защиты следует изменять и дополнять, основываясь на собственном ежедневном опыте, отслеживать появление новых технических средств и нормативно-технических требований.
  11. Централизация управления.

Система безопасности должна работать самостоятельно по единым утвержденным в компании принципам. А руководитель организации должен при любых условиях владеть ситуацией. И последнее слово в принятии решения остается неизменно за ним.

Виды угроз для бизнеса

Угрозой безопасности компании считается потенциально или реально возможное событие, действие, процесс или явление, которое способно нарушить ее деятельность. Чтобы предпринимать какие-либо действия для предотвращения нежелательных событий, нужно знать, что в принципе может угрожать предприятию.

Угрозы могут быть постоянными или временными, внешними или внутренними.

В соответствии с общей теорией безопасности выделяют пять базовых угроз:

  1. Угрозы, связанные с конкурентной борьбой.
  2. Угрозы, связанные с человеческим фактором.
  3. Угрозы, связанные с деятельностью государства (коррупция, несовершенство
  4. законодательства, административный ресурс, политика и т.д.).
  5. Угрозы, связанные с организованной преступностью.
  6. Угрозы, связанные с техногенными и природными факторами.

Угрозы предпринимательской деятельности также имеют свою классификацию:

  • преднамеренные (кражи, нападения, взломы, проникновения на территорию, недобросовестная конкуренция, демпинг, промышленный шпионаж, шантаж, заведомо неправильное оформление договоров, документов и т.д.);
  • непреднамеренные (природные и технические);
  • информационные (утечка конфиденциальной информации, уничтожение или несанкционированное изменение информации, порча технических средств приема, передачи, обработки и хранения информации и т. д.);
  • непреднамеренная некомпетентность (некомпетентность пользователя, ошибки при разработке программного обеспечения, халатность, и т. д.);
  • экономические (невозврат кредитов, мошенничество, хищение финансовых средств, подделка платежных документов, фальсификация финансовой или бухгалтерской отчетности и т. д.);
  • объективные (инфляция, конкуренция, экономические кризисы и т.д.);
  • юридические (незнание либо игнорирование права и юридической составляющей организации и ведения бизнеса).

По степени вероятности угроза оценивается как:

  • реальная, где вероятность может быть подсчитана, например, исходя из статистики, экспертным методом, методикой группового SWOT анализа и т. д.;
  • потенциальная.

По всем выявленным угрозам руководителю необходимо определить их уровень в материальном (денежном) выражении. Надо оценить возможные потери от реализации каждой угрозы. В общем случае таковыми потерями можно считать произведение суммы возможного ущерба и вероятности его наступления.

Процесс борьбы с угрозами можно разделить на три этапа:

  • предотвращение угроз (меры профилактического характера, когда угроза еще не действует, но потенциально существует);
  • обнаружение угроз (меры, призванные выявить угрозу в момент ее появления);
  • ликвидация последствий угроз (меры, которые принимаются после прекращения действия угрозы).

Построение системы безопасности компании

Чтобы создать систему безопасности в компании, нужно для начала сформулировать, какие функции будут на нее возложены, определить потенциально опасные объекты, провести анализ степени их защищенности.

Затем следует рассчитать силы и средства, необходимые для обеспечения безопасности: количество людских ресурсов, материально-технических ресурсов, оптимальные затраты на их содержание.

Следующим шагом руководства предприятия является создание органов (субъектов) обеспечения безопасности, будь то подразделение внутри фирмы, назначение ответственных лиц либо заключение договоров со специализированными организациями. Далее, совместно с созданными субъектами, происходит разработка механизмов обеспечения безопасности, ввод в эксплуатацию технических средств, создаются структуры управления всей системой.

После того, как система безопасности начала функционировать, руководителю необходимо осуществлять постоянный контроль над выполнением положений концепции безопасности.

Любая, даже очень хорошо организованная система безопасности нуждается в постоянном развитии и постоянной адаптации к изменяющимся условиям, требует совершенствования форм и методов ее работы.

Ещё на сайте:


Комплексная охрана – современный подход к безопасности

КОМПЛЕКСНАЯ СИСТЕМА БЕЗОПАСНОСТИ состоит из СОВОКУПНОСТИ ОХРАННЫХ МЕР, затрагивающих все бизнес-процессы охраняемого предприятия. Система предназначена для обеспечения всесторонней защиты объекта ОТ ЛЮБЫХ ОПАСНОСТЕЙ И УГРОЗ

БЕЗОПАСНОСТЬ — ГАРАНТИЯ СТАБИЛЬНОСТИ И УСТОЙЧИВОСТИ БИЗНЕСА

комплексная охрана объектовБЕЗОПАСНОСТЬ — понятие многогранное, включающее в себя СОВОКУПНОСТЬ МЕРОПРИЯТИЙ, ДЕЙСТВИЙ, ДОКУМЕНТОВ и др., направленных на обеспечение защиты материальных, интеллектуальных и других ценностей, от воздействия чрезвычайных и вредоносных факторов, в том числе человеческих.

УРОВЕНЬ БЕЗОПАСНОСТИ объекта характеризуется параметрами его ЗАЩИЩЕННОСТИ ОТ ВОЗДЕЙСТВИЯ ВНУТРЕННИХ И ВНЕШНИХ ФАКТОРОВ, при этом, ПОД ОБЪЕКТОМ ПОНИМАЕТСЯ территория, включающая помещения, здания, сооружения, на которых необходимо обеспечить безопасность людей, материальных и информационных ценностей, целостность и стабильность функционирования.

Специалисты ГК ТАГГЕРД считают, что ОХРАНА ОБЪЕКТОВ, в особенности важных, должна включать не одну-две, а КОМПЛЕКС МЕР. Проще говоря, если Вы поставите на входе 10 охранников, то все равно не сможете обеспечить 100% безопасность своей компании. Важно организовать защиту и контроль НА ВСЕХ УРОВНЯХ жизнедеятельности предприятия, и комплексный подход позволяет сделать это максимально ЭФФЕКТИВНО.

КОМПЛЕКСНАЯ СИСТЕМА БЕЗОПАСНОСТИ (КСБ) это СОВОКУПНОСТЬ ОХРАННЫХ МЕР, направленных на обеспечение безопасности объекта в соответствии с требованиями и возможностями Заказчика, целесообразностью, индивидуальными особенностями объекта, инженерными и техническими характеристиками, степенью значимости и требованиями к уровню безопасности.

КСБ подразумевает использование всего арсенала мер и возможностей охранных организаций, для обеспечения безопасного и стабильного функционирования бизнеса Клиента, С УЧЕТОМ СПЕЦИФИКИ и индивидуальных особенностей. Эта СИСТЕМА создается один раз и навсегда. Её не возможно поставить на паузу, включить, отключить, потом опять включить… так она работать не будет. Со временем, система совершенствуется и меняется вместе с развитием бизнеса Клиента. Любые НАРУШЕНИЯ В РАБОТЕ КСБ могут иметь НЕГАТИВНЫЕ ПОСЛЕДСТВИЯ, начиная от морального и материального ущерба, и заканчивая потерей бизнеса.

Комплексная охрана, как система правил и взаимосвязанных мероприятий, затрагивает ВСЕ БИЗНЕС-ПРОЦЕССЫ и все стороны производственно-хозяйственной деятельности предприятия, включая: правовую, финансовую, организационную, экономическую, информационную, материально-техническую, экологическую, кадровую, административную и иные виды деятельности.

ЭЛЕМЕНТЫ СИСТЕМЫ КОМПЛЕКСНОЙ БЕЗОПАСНОСТИ

элементы системы комплексной охраны

В СИСТЕМУ КОМПЛЕКСНОЙ ОХРАНЫ могут входить следующие МЕРЫ БЕЗОПАСНОСТИ:

— ФИЗИЧЕСКАЯ ОХРАНА ИМУЩЕСТВА И ТМЦ (с использованием автотранспорта, спецсредств, оружия, собак), в том числе при перевозке;

— ИНЖЕНЕРНАЯ И ЭЛЕКТРОННО-ТЕХНИЧЕСКАЯ ЗАЩИТА, а также средства контроля и мониторинга;

— ЛИЧНАЯ ОХРАНА ГРАЖДАН;

— ИНФОРМАЦИОННОЕ ОБЕСПЕЧЕНИЕ И БИЗНЕС-РАЗВЕДКА;

— ЗАЩИТА КОММЕРЧЕСКОЙ ТАЙНЫ И ЗАКРЫТОЕ ДЕЛОПРОИЗВОДСТВО;

— СЛУЖБА ОПЕРАТИВНОГО ДЕЖУРНОГО И ГРУППА БЫСТРОГО РЕАГИРОВАНИЯ;

— ЮРИДИЧЕСКОЕ СОПРОВОЖДЕНИЕ.

СОВОКУПНОСТЬ ДАННЫХ МЕР и образует единую Комплексную систему безопасности. Чем лучше охранные меры сочетаются между собой, дополняют друг друга, минимизируют и устраняют воздействие внешних и внутренних факторов, тем выше СТЕПЕНЬ ЗАЩИЩЕННОСТИ объекта охраны.

КОМПЛЕКСНАЯ ОХРАНА ЗАЩИЩАЕТ ОТ СЛЕДУЮЩИХ УГРОЗ:

— хищение материальной или интеллектуальной собственности;

— недобросовестная конкуренция;

— шпионская и разведывательная деятельность;

— покушение на жизнь и здоровье персонала и посетителей;

— нарушения внутреннего распорядка и трудовой дисциплины;

— подрыв деловой репутации;

— рейдерский захват и перехват управления бизнесом;

— преступные посягательства, криминал, грабеж, рэкет;

— утечка конфиденциальной информации;

— террористическая деятельность;

— чрезвычайные и форс-мажорные ситуации (пожар, авария, катастрофа и др.).

ЭТАПЫ СОЗДАНИЯ КОМПЛЕКСНОЙ СИСТЕМЫ ОХРАНЫ

Все субъекты и объекты бизнеса обладают индивидуальными и присущими только им ОСОБЕННОСТЯМИ И УРОВНЕМ ЗАВИСИМОСТИ ОТ ВНУТРЕННИХ И ВНЕШНИХ ФАКТОРОВ. Поэтому требования к уровню безопасности на каждом объекте всегда персонифицированы и отличаются друг от друга. Например, один объект будет нуждаться в более серьезной технической защите, другой — в информационной, третий — в физической охране. Поэтому, в каждом конкретном случае, факторы, влияющие на ЦЕЛЕСООБРАЗНОСТЬ тех или иных мер безопасности, их стоимость, функциональность, состав, структура и взаимодействие с другими системами, будет меняться в зависимости от РИСКОВ ВОЗНИКНОВЕНИЯ и СТЕПЕНИ ОПАСНОСТИ угроз, а также от ЗНАЧИМОСТИ объекта охраны.

выбор охранных мерОСНОВНЫЕ ФАКТОРЫ, ВЛИЯЮЩИЕ НА ВЫБОР ОХРАННЫХ МЕР:

— важность и ценность объекта (в том числе его государственная, экономическая, историческая, общественная, культурная и др. ценность);

— категория антитеррористической защищенности;

— тип, количество, степень значимости и концентрации материальных и информационных ресурсов;

— масштаб возможного ущерба, уровня резонанса и последствий, в случае возникновения чрезвычайных ситуаций и преступных посягательств;

— степень сложности обеспечения требуемой надежности охранных мер, строительные и архитектурно-структурные особенности объекта охраны;

— степень посещаемости объекта и требования к безопасности людей;

— режим работы, правила распорядка, функционирования, посещения и др.

Для того, чтобы выявить все внешние и внутренние факторы, влияющие за безопасность объекта, специалисты ГК ТАГГЕРД проводят АУДИТ ЗАЩИЩЕННОСТИ, анализируют реальное положение дел в этой сфере, выявляют уязвимые места, потенциальные опасности и угрозы, оценивают риски возникновения чрезвычайных ситуаций. После этого, разрабатывается и утверждается КОНЦЕПЦИЯ БЕЗОПАСНОСТИ, своеобразный план защитных мероприятий, выбираемый на основе целесообразности и функциональности, а также финансовых возможностей Клиента. Эти меры могут относиться к разным подсистемам безопасности, но в своей совокупности образуют ЕДИНЫЙ КОМПЛЕКС, индивидуальный для каждого объекта и бизнеса.

КОМПЛЕКСНАЯ ОХРАНА ИНТЕГРИРУЕТ РАЗЛИЧНЫЕ ПОДСИСТЕМЫ и меры безопасности, на основе единой формулы управления, взаимодействия, контроля, непрерывного мониторинга, сбора и обработки информации. Данные системы обладают минимальным количеством избыточных элементов одинаковой функциональности, и высокой степени взаимодействия подсистем, что ПРИВОДИТ К СИНЕРГЕТИЧЕСКОМУ ЭФФЕКТУ. Данный эффект характеризуется тем, что совместное действие автономных подсистем существенно превосходит простую сумму действий каждой подсистемы, т.е. происходит значительное усиление коэффициента полезного действия (КПД) предпринимаемых мер и СИСТЕМЫ в целом. При этом, отдельные, внутренние элементы комплексной системы находятся в тесном взаимодействии не только между собой, но и С ВНЕШНИМИ ПАРТНЕРСКИМИ СТРУКТУРАМИ и СЛУЖБАМИ ЭКСТРЕННОЙ ПОМОЩИ: МЧС, ГБР, полиции, скорой медицинской, пожарной, аварийной. Все автономные элементы системы объединены с ЦЕНТРАЛЬНЫМ ПУЛЬТОМ УПРАВЛЕНИЯ, который осуществляет контроль и администрирование КСБ.

ВАЖНОСТЬ ТЕХНИЧЕСКИХ СРЕДСТВ ОХРАНЫ В КСБ

ВАЖНОЙ СОСТАВЛЯЮЩЕЙ КСБ, в функции которой входит ВЫЯВЛЕНИЕ И НЕЙТРАЛИЗАЦИЯ УГРОЗ, являются ТЕХНИЧЕСКИЕ СРЕДСТВА БЕЗОПАСНОСТИ. Охранные системы обеспечивают стабильность работы организации, выполняют различные функции предупреждения, защиты и контроля в режиме реального времени, а также сигнализируют о необходимости принятии срочных мер в случае возникновения нештатных и чрезвычайных ситуаций. Все системы технической охраны объекта должны ДОПОЛНЯТЬ друг друга и ВЗАИМОДЕЙСТВОВАТЬ между собой в штатном режиме, без конфликтов оборудования и с минимальным коэффициентом ошибок.

интегрированные системы охраныВ СОВРЕМЕННЫХ ТЕХНИЧЕСКИХ КОМПЛЕКСАХ БЕЗОПАСНОСТИ ЧАЩЕ ВСЕГО ИСНТЕГРИРУЮТ СЛЕДУЮЩЕЕ ОБОРУДОВАНИЕ:

— СИСТЕМА КОНТРОЛЯ И УПРАВЛЕНИЯ ДОСТУПОМ,

— ВИДЕОНАБЛЮДЕНИЕ И ОХРАННОЕ ТЕЛЕВИДЕНИЕ,

— ОХРАННАЯ И ПОЖАРНАЯ СИГНАЛИЗАЦИЯ,

— ПУЛЬТОВАЯ ОХРАНА И ТРЕВОЖНАЯ СИГНАЛИЗАЦИЯ,

— АВТОМАТИЧЕСКАЯ ПРОТИВОПОЖАРНАЯ СИСТЕМА,

— ОБОРУДОВАНИЕ ДЛЯ ЗАЩИТЫ ПЕРИМЕТРА ОБЪЕКТА,

— СИСТЕМА ОПОВЕЩЕНИЯ И УПРАВЛЕНИЯ ЭВАКУАЦИЕЙ,

— ЗАЩИТНОЕ ИНЖЕНЕРНОЕ ОБОРУДОВАНИЕ,

— ПРОТИВОКРАЖНОЕ И ДОСМОТРОВОЕ ОБОРУДОВАНИЕ.

Каждая из охранных систем решает важные для жизни и здоровья людей и защиты имущества объекта задачи. Вот как это работает…

Как театр начинается с вешалки, так охрана начинается с защиты ПЕРИМЕТРА ОБЪЕКТА, и далее распространяется внутрь объекта НА ВСЕ ЭЛЕМЕНТЫ ВНУТРЕННЕЙ ИНФРАСТРУКТУРЫ: здания, строения, помещения, места хранения товарно-материальных и информационных ценностей. На первом этапе, все структурные составляющие объекта оборудуется ИНЖЕНЕРНЫМИ СРЕДСТВАМИ ЗАЩИТЫ, такими как заборы, ограждения, противотаранные устройства, решетки, ставни, замки, жалюзи, укрепленные ворота, турникеты, калитки, двери, шлюзовые кабины, стены, потолки, полы, окна, воздуховоды и др. элементы конструкций. Особым образом оборудуются контрольно-пропускные пункты, расчетно-кассовые узлы хранилища и серверные. Инженерные средства укрепленности и защиты усложняют и значительно затрудняют проникновение нарушителей на территорию объекта, а также заставляют лишний раз задуматься о целесообразности данного мероприятия.

электронно-технические средства безопасностиВ СОВОКУПНОСТИ С ЭЛЕКТРОННО-ТЕХНИЧЕСКИМИ СРЕДСТВАМИ (такими, как охранная сигнализация, система видеонаблюдения) увеличиваются возможности предотвращения проникновения, своевременного задержания нарушителя и компенсации причинённого ущерба. Применение систем контроля и управления доступом (СКУД), считывателей и оборудования идентификации граждан и  транспортных средств, пожарной сигнализации, различных датчиков и контроллеров, позволяют минимизировать риски и ущерб от внутренних факторов, например, предотвратить несанкционированный доступ в отдельные помещения объекта, предупредить о задымлении и пожаре, своевременно обнаружить и принять меры по устранению утечек газа, воды и т.д. СОВРЕМЕННОЕ ОХРАННОЕ ОБОРУДОВАНИЕ помогает не только своевременно выявить и устранить угрозы, но и поднять уровень трудовой дисциплины и администрирования бизнес-процессов, а также сократить огромные расходы на физическую охрану и иные виды защиты.

СИСТЕМА УПРАВЛЕНИЯ ОХРАННЫМ КОМПЛЕКСОМ ВКЛЮЧАЕТ СЛЕДУЮЩИЕ ЭЛЕМЕНТЫ:

— СЕРВЕР или основной (главный) компьютер для обобщения, хранения, обработки и управления базами данных всех систем и аккумулирования отчетов;

— РАБОЧИЕ СТАНЦИИ отдельных систем для обмена данными и командами с периферийными устройствами своих подсистем и предварительной обработки полученной информации (для передачи на главный сервер);

— ПЕРИФЕРИЙНЫЕ УСТРОЙСТВА подсистем (контроллеры, расширители, пульты управления и т.п.) для взаимодействия на аппаратном уровне со своими извещателями, датчиками, исполнительными устройствами, а на информационном уровне связывающими их по локальному интерфейсу с сервером;

— ИЗВЕЩАТЕЛИ охранной, тревожной, пожарной сигнализации, считыватели, видеокамеры, световые и звуковые оповещатели и т.д.;

— ЛОКАЛЬНАЯ СЕТЬ ИНТЕРНЕТ для обеспечения информационной связи отдельных систем, а также удаленного контроля и управления процессами;

— ПРОГРАМНОЕ ОБЕСПЕЧЕНИЕ — сетевое, системное и прикладное (для сервера и рабочих станций), а также микропрограммное обеспечение для системных контроллеров, контрольных панелей и модулей;

— СИСТЕМА БЕСПЕРЕБОЙНОГО ЭЛЕКТРОПИТАНИЯ для обеспечения работоспособности системы в случае возникновения нештатных ситуаций и перебоев с электричеством.

ОСНОВНЫЕ ПРЕИМУЩЕСТВА КОМПЛЕКСНОГО ПОДХОДА К БЕЗОПАСНОСТИ:

комплексный подход к безопасностиСТАБИЛЬНОСТЬ. Использование комплекса мер обеспечивает живучесть, устойчивость и перспективность бизнеса, защиту от всякого рода угроз, а также безопасное развитие компании в условиях нестабильности, корпоративных войн и высокого уровня конкуренции.

ИНТЕГРИРОВАННОСТЬ. Все системы безопасности комплекса связаны между собой, создавая интегрированную среду обмена сигналами между различными элементами. Комплекс выполняет одновременно функции контроля, сдерживания, обнаружения опасности, ее оценки и реагирования, обеспечивая защиту сразу по нескольким направлениям.

НАДЕЖНОСТЬ. В основе комплексного подхода лежит грамотное проектирование и продуманность всех деталей, грамотное использование и управление, исключающее человеческий фактор (усталость, невнимательность) и технические ошибки. Такой подход обеспечивает высокий уровень прочности, устойчивости, долговечности и защищенности.

ОПЕРАТИВНОСТЬ. Комплексный подход позволяет своевременно отреагировать на опасные ситуации и угрозы, дает дополнительные возможности для консолидации сил, обладает высокой скоростью передачи и обработки информации, адекватным алгоритмом мер, соответствующим степени угрозы в реальной ситуации, мгновенной реакцией соответствующих подсистем.

ЭКОНОМИЯ. Современные технологии безопасности и охранное оборудование позволяют минимизировать уровень воздействия опасностей и угроз для бизнеса, поднимают уровень администрирования, дисциплины и производительности труда, защищают от недружественной конкуренции, максимально сокращают расходы на физическую охрану.

ДОВЕРЬТЕ КОМПЛЕКСНУЮ ОХРАНУ ГК ТАГГЕРД

структура системы комплексной охраныКомплексная система безопасности необходима практически каждому современному предприятию. Грамотное проектирование таких систем позволяет реализовать целый ряд возможностей, не выходя за рамки отведенных бюджетов. Разработанная система безопасности должна предусматривать возможное РАСШИРЕНИЕ БИЗНЕСА КЛИЕНТА и введение в систему новых элементов. На наш взгляд, эффективнее всего использовать единый системный подход, когда проектированием, внедрением, физической охраной, установкой оборудования и управлением комплексом занимается ОДНА КОМПАНИЯ.

РАЗРАБОТКА И ВНЕДРЕНИЕ КСБ — это достаточно трудоемкий и ответственный процесс. Доверить СОДАНИЕ И УПРАВЛЕНИЕ СИСТЕМОЙ можно только профессионалам, обладающим высокой квалификацией и уровнем компетенции в данной конкретной области. И такие специалисты в ГК ТАГГЕРД имеются. Наши ОПЫТНЫЕ СОТРУДНИКИ и консультанты знают, как обеспечить комплексную охрану наиболее эффективным и рациональным образом. Группа компаний «ТАГГЕРД» выполняет ОХРАННЫЕ УСЛУГИ в Москве и Подмосковье С 1993 ГОДА и готова выполнить любую порученную работу с максимальной ответственностью. Многолетний опыт охраны различных форм бизнеса и масштаба объектов, использование в работе инновационных технологий и новейших инженерно-технических средств охраны, позволяют нам предложить Клиентам услуги по комплексной охране объектов, соответствующие самым высоким требованиям ПО ДОСТУПНЫМ ЦЕНАМ.

Более подробную информацию о комплексной охране объектов можно получить у специалистов ГК ТАГГЕРД, задав интересующие вопросы в заявке на услугу. Наши сотрудники в короткий срок обработают полученную информацию и предоставят ответ на поставленные вопросы удобным для Вас способом. ЧЕРЕЗ 12 ЧАСОВ ПОСЛЕ ЗАКЛЮЧЕНИЯ ДОГОВОРА, мы можем приступить к выполнению порученного нам задания.

СТОИМОСТЬ КОМПЛЕКСНОЙ ОХРАНЫ зависит от многих факторов, в том числе от категории объекта и специфики бизнеса, от важности и объема коммерческих секретов, от сложности и объема работы, от наличия дорогостоящих товарно-материальных ценностей и меры ответственности, ну и самое главное, от того НАБОРА ОХРАННЫХ МЕР, который потребуется ДЛЯ ВСЕСТОРОННЕЙ ЗАЩИТЫ КЛИЕНТА.

ПОПРОБУЙТЕ ПРЯМО СЕЙЧАС! ЗАЩИТИТЕ СЕБЯ И СВОЙ БИЗНЕС!

ИЛИ ПОЗВОНИТЕ НАМ ПО ТЕЛЕФОНУ:  +7 (495) 105-50-30

ГК «ТАГГЕРД» — ГАРАНТИЯ НАДЕЖНОЙ ЗАЩИТЫ И БЕЗОПАСНОСТИ ВАШЕГО БИЗНЕСА!

Основной инстинкт бизнеса: грани корпоративной безопасности

Время на прочтение
15 мин

Количество просмотров 24K

Вы когда-то пробовали внедрить в компании новые регламенты и инструкции? Если да, то наверняка знаете, какая буря возмущения обрушивается со стороны коллектива. Как минимум, вас начинают тихо ненавидеть, как максимум — появляются сплетни, какие-то немотивированные заявления об уходе и общая паника. Стоит ли откатывать процесс? Нет. Если появилось возмущение и сопротивление такому «ограничению свободы», скорее всего вы задели чьи-то интересы. И вроде вы не перегибаете, а вводите минимальные меры по защите, но по мнению части сотрудников, закручиваете гайки, насаждаете режим, давите авторитетом и перекрываете воздух свободы. Успокойтесь — вы на правильном пути. И перекрыв тот самый «воздух свободы», вы позволяете своей компании не про*****, а сохранить «полимеры». Потому что работаете с корпоративной безопасностью, которая в последние несколько лет изменила лицо. Так что давайте познакомимся с ней снова.

Нам очень нравится советский плакатный жанр. Там было много про технику безопасности. Бизнес вполне может переосмыслить промышленные советы. Не наступайте на грабли, загибайте гвозди — короче, работайте на опережение.

А что, нам кто-то или что-то угрожает?


Этой статьи не должно было быть — в планах стояли совсем другие, мирные темы. Но обсуждение предыдущего поста в комментариях и не только натолкнуло нас на мысль, что с безопасностью в российском бизнесе дела обстоят примерно так же, как и с CRM-системами: крупные и опытные и так всё знают, а остальным не надо — «эксельки» (MS Excel) хватит. Тем удивительнее было видеть некоторые высказывания именно на Хабре. Нет, ребята. Проблема безопасности стоит абсолютно перед любой компанией вне зависимости от её размера, отраслевой принадлежности и оборота. Просто потому что ваша компания работает во внешней среде, в ней есть сотрудники, компьютеры, сети, программное обеспечение, клиенты и сам продукт или услуга. И если никто не пытается вас хакнуть или DDoS-ить, это не значит, что компания в полной безопасности. Слишком много аспектов стоит брать во внимание.

Давайте начнём с обзорной схемы корпоративной безопасности компании.

Как видите, в списке угроз субъектам деятельности бизнеса нет ничего неординарного — с подобными аспектами работы сталкивается каждый бизнес, и все они таят угрозы. Рвануть может там, где вы и не ждёте.

Теперь у нас вырисовываются компоненты корпоративной безопасности, о половине которых компании не помнят, а то и вовсе не знают.

Информационная безопасность — на сегодня это тот тип безопасности, обеспечением которого нужно заняться всем. Риск есть на всех уровнях: начиная от нечаянного запуска вредоноса из почтового сообщения, заканчивая рисками, связанными с облачными технологиями, сторонними сервисами и злонамеренными действиями сотрудников.

Экономическая (финансовая) безопасность должна противостоять всем источникам «ухода» либо неполучения денег. Она также актуальна для любой компании и напрямую сопряжена с работой с документами, уплатой налогов, бухгалтерским учётом, вложениями в рекламу и маркетинг и т.д. Кстати, этот тип безопасности наиболее уязвим перед человеческим фактором.

Правовая безопасность — защита от неправомерных действий и правонарушений, идущих вразрез с нормами законодательства: подделка документов, использование мошеннических схем в работе, откаты и проч. Отличается от экономической тем, что нарушения этого типа безопасности чаще всего направлены не на чью-то финансовую выгоду, а на защиту интересов от уже свершившихся фактов (провёз лишний груз — купил маршрутный лист, перерасходовал деньги — подделал акт, потерял пару серверов — сфабриковал акт списания и т.д.).

Физическая и личная безопасность сотрудников — защита сотрудников от проникновения недоброжелателей на территорию компании и от покушения на их жизнь и здоровье. Формулировка звучит утрированно и её полнота восприятия зависит от статуса компании. Но обычно минимальные требования к физической безопасности соблюдаются (охрана, пропускная система, камеры, иные типы аутентификации).

Физическая безопасность инфраструктуры — защита оборудования, сетей и программ от доступа посторонних и лиц, в служебную деятельность которых не входит контакт с этими элементами инфраструктуры. Обязательно должен быть внешний и внутренний контур безопасности. Нарушения безопасности в этой сфере со стороны сотрудников не всегда злонамеренны — иногда это может быть пролитый на дорогостоящее оборудование чай или тонер, рассыпанный вблизи чувствительных приборов.

Безопасность управления рисками — один из самых неочевидных типов, который любит шутить шутки с теми, кто им пренебрегает. Риски нарушения этого вида безопасности связаны с тем, что топ-менеджмент не оценивает проекты, инвестиции и иные перспективы, в которые вкладывает какие-либо ресурсы. Сюда можно отнести рисковые венчурные инвестиции, закупку б/у оборудования, работу с ненадёжными поставщиками за скидку и т.д.

Кадровая (HR) безопасность — защищает компанию от «утечки мозгов». Хорошие специалисты нужны всем, поэтому если ваша компания хотя бы немного засветилась на рынке, ваши сотрудники уже стали желанными кандидатами у конкурентов (идеально — если с вашими наработками или клиентской базой, об этом мы писали). Кроме того, отвечает за систему мер, связанных с обучением сотрудников безопасному диалогу с конкурентами и иными внешними агентами — например, во время интервью, конференций, митапов, семинаров и т.д.

Репутационная безопасность — защита деловой репутации и имиджа компании на рынке. В современных условиях высокоскоростного распространения информации потерять несколько уровней своей репутации — дело одного твита/статьи/выступления/жалобы… Неудачная реклама, неграмотная контентная политика, взломы и утечки данных, попытки влиться в интересы не своей аудитории — всё это может ударить по компании и неминуемо привести к финансовым потерям.

Новая парадигма ответственности и палки в колёсах


Служба безопасности не справится


А теперь давайте посмотрим, в чём же произошла главная трансформация. Кто отвечает за безопасность управления рисками? Топ-менеджмент. Кто отвечает за кадры? HR-служба, менеджер по внутреннему PR, если вы разработчик, то ещё и DevRel. Кто отвечает за репутацию? Пиарщик, маркетолог, менеджер по рекламе. За всем служба безопасности больше не способна уследить (особенно, если её в компании нет). Каждый своими действиями отвечает за безопасность на своём месте, часто не подозревая об этом. И это неправильно. Итак, встаёт задача минимум:

  • обучить обнаружению — сотрудники должны уметь разработать набор маркеров наступления угрозы для своей зоны ответственности, выбрать инструменты обнаружения (например, система мониторинга для админа, оповещения для вебмастера и алерты для PR и т.д.) и главное — научиться отличать угрозу от иных форм отклонений в стандартном поведении системы;
  • научить анализировать угрозы — уметь быстро либо находить, либо гипотетически предполагать источник угрозы, оценивать возможный масштаб, понимать, где находятся потенциальные бреши в безопасности;
  • обучить противостоянию — выработать адекватные и оперативные меры по упреждению, реагированию и профилактике возможных проблем;
  • ввести определённые регламенты и инструкции — как бы негативно ни относились к ним сотрудники, это необходимый и важный элемент безопасности хотя бы потому что в критической ситуации обратиться к документу быстрее, чем собраться и начать придумывать способы реагирования;
  • не перегнуть палку и не превратить компанию в спецслужбу. Сотрудники должны осознавать меру ответственности за свои действия и бездействие, делать всё для обеспечения безопасности на своём рабочем месте. Но при этом работа не должна формализоваться до того, что становится невозможно общаться с коллегами и с клиентами, обращаться к руководству, обсуждать и предлагать решения. Внутренняя атмосфера вне инцидентов должна оставаться максимально комфортной и доверительной.

Универсальный, в общем-то, совет. Но трудно исполнимый

Что больше всего мешает выстраивать систему безопасности?


Бизнес в отношении безопасности часто надеется «на авось». В предыдущем посте мы провели опрос и получили такие результаты: 64% из ответивших имеют проблемы с безопасностью, при этом самыми популярными методами обеспечения информационной безопасности являются сложные политики для паролей, отказ от облачных систем, запрет публичных дисков и хранилищ и выделение пула IP-адресов. Чуть больше трети не делают ничего. Конечно, выборка не ахти, но определённые сигналы можно уловить. Причины невнимания к безопасности у каждой компании свои, но есть пять базовых факторов, которые встречаются в компаниях любых размеров и любой отраслевой принадлежности.

  • Отсутствие у бизнеса инстинкта самосохранения. Компании всегда надеются, что неприятности происходят с Google, Salesforce, кем угодно — только не с ними. На самом деле, угрозы безопасности рано или поздно обязательно возникнут: даже если на вас не покусятся конкуренты, найдутся недобросоветсные сотрудники или иные контрагенты, которые воспользуются брешью в защите.
  • Низкий уровень компетенции в сфере безопасности. Компании не имеют видения, какой должна быть система безопасности, как управлять её компонентами и работать на упреждение инцидентов. К сожалению, программы подготовки специалистов тоже оставляют желать лучшего, как и учебники и так называемые лучшие практики. Поэтому каждый вынужден учиться на своих ошибках.
  • Дефицит профессиональных кадров. Найти безопасника широкого профиля с высоким уровнем компетенций очень сложно и дорого. Такие обычно уже заняты в высоко критичных отраслях и вряд ли представителям малого и среднего бизнеса удастся переманить профессионала. Компетенции большинства безопасников на рынке сводятся либо к узкоотраслевому опыту (телеком, банки), либо к опыту работы в органах внутренних дел, которые страшно далеки от бизнеса и процессов внутри него.
  • Экономия на издержках. Оставим этот пункт без комментариев, так как экономить на безопасности — это огромными шагами идти к ситуации «жадность фраера сгубила».
  • Страх потерять сотрудников. Очень интересная и многогранная причина. Нередко сотрудники сопротивляются любым нововведениям, направленным на ограничения. Это связано прежде всего с обычным психологическим сопротивлением, но бывает, что свидетельствует о том, что сотрудникам дополнительная безопасность может помешать. Работодатель из страха потерять персонал отступает и не вводит меры безопасности, а старается договариваться и уговаривать. В итоге такая слабина может только усугубить ситуацию и привести к увольнениям и правонарушениям.

Заботясь о безопасности, бизнес заботится не только о прибыли, но и о самих сотрудниках. Поэтому стоит искать компромиссы и твёрдой рукой внедрять необходимые меры. Хотя мы убеждены, что тотальная запись рабочего дня сотрудника, камера за спиной каждого и жесткий контроль времени и передвижений — это однозначно грубый перегиб, который оправдан буквально в единицах компаний. Доверие по-прежнему в цене. Бдительное доверие :-)

Какие задачи стоят перед системой безопасности компании?


Думать, что безопасность это только тотальный контроль и строгая отчётность, может лишь человек не в теме. Перед комплексом корпоративной безопасности стоят серьёзные задачи, напрямую связанные с успехом компании.

  • Защита информации в компании. В принципе, информация составляет большую часть деятельности любого субъекта бизнеса: данные о продукте, клиентах, поставщиках, партнёрах, реклама, стратегия, маркетинг и т.д. И именно информация — самый желанный и, увы, по-прежнему самый легкодоступный актив компании. Можно снять трафик через брешь в защите Wi-Fi, можно заслать вредонос, можно подобрать пароли, можно купить сотрудника, который сольёт всё, что нужно. И от всех этих действий неминуемо наступает вред бизнесу. Поэтому информационная защита — самый горячий фронт корпоративной безопасности, который стоит финансировать, автоматизировать и страховать от человеческого фактора. Набор средств в данной ситуации у всех компаний разный, но лучше использовать максимальное количество инструментов.
  • Предотвращение угроз со стороны конкурентов. Найти компанию, у которой нет хотя бы одного конкурента, крайне сложно. А значит, в какой-то момент ваш соперник на рынке захочет получить ваши технологии, информацию, кадры, код и т.д. Потому что, если ваш бизнес ещё в тренде, значит в чём-то вы лучше и чем-то привлекаете свой сегмент потребителей. Задача корпоративной безопасности — выстроить мощный контур защиты от внешней среды и тщательно контролировать все попытки внедрения. Это почти шпионская война, а иногда и реальный промышленный и коммерческий шпионаж.

Вообще, очень сложно разобраться, что является сотрудничеством, а что — конкурентной разведкой. К тому же, иногда такие действия бьют по самому конкуренту. История из 2010-х. Два оператора связи, их в регионе продают одни и те же дилеры. Перед выводом нового тарифа эксклюзивные дилеры получают информацию за неделю, чтобы обучить сотрудников, ввести данные в CRM и прайсы, подготовить раскладку. И вот дилер передаёт информацию второму оператору за особый бонус (конечно, официально оформленный). Второй оператор не спит три ночи и выкатывает тариф на точно таких же условиях у себя на сайте, делая СМС-рассылку, а потом уже готовит промо. Обидно, вроде. Но нет — важная часть описания тарифа попадёт к дилерам только в день старта продаж при отгрузке листовок со звёздочками и мелким шрифтом. А второй оператор по сути бахнул непродуманный и убыточный для себя тариф. Так что, прежде чем сунуться к конкурентам, стоит научиться распоряжаться информацией.

  • Обеспечение устойчивой операционной деятельности компании и стабильности бизнес-процессов. Очень важная функция. Корпоративная безопасность должна быть нацелена на то, чтобы инциденты не влияли на скорость работы и на выполнение обязанностей сотрудниками. Каждый этап бизнес-процесса сопряжён с уязвимостями и рисками, поэтому стоит охватывать и учитывать их уже на этапе построения процесса как «узкие места». Тогда каждый сотрудник, ответственный за тот или иной этап, будет знать, на что обратить особое внимание.  
  • Сохранение и развитие кадрового состава. Кадровая служба (HR) должна не просто предпринимать разовые меры, но развивать систему кадровой безопасности на всём жизненном цикле сотрудника: поиск — подбор — найм — адаптация — обучение — работа — увольнение (а в некоторых компаниях встречается часть цикла «бывший сотрудник», и это как раз не инструмент лояльности, а мера безопасности). Изначально необходимо проверять кадры на благонадёжность и историю трудовой деятельности, адаптировать и обучать силами  внутренних наставников, развивать и поддерживать лояльность. Увольнение также должно проходить исключительно в рамках требований Трудового кодекса РФ, с соблюдением всех правил и нормативов.
  • Защита от неправомерных действий клиентов и партнёров. Бизнес не может существовать в вакууме, поэтому важно вести тщательную работу во внешней среде: документально фиксировать все значимые отношения, контролировать внешний доступ к корпоративным системам (например, доступ к личному кабинету в CRM), следить за тем, в какой мере контрагенты получают доступ к информации. Особое внимание стоит уделить бизнес-тренерам и консультантам — они запросто получают доступ к системе продаж, обучения и клиентской базе, а значит потенциально могут делиться информацией с конкурентами, использовать базу клиентов в коммерческих целях и т.д. Некоторые тренеры и коучи имеют дурную привычку выкладывать фотографии из компаний в социальных сетях и описывать особенности бизнеса, с которым им привелось поработать. Оно вам надо?
  • Сохранение финансов компании. Система безопасности обычно требует вложений и не приносит очевидной прибыли. Её главная задача — сохранить деньги компании и создать все условия для того, чтобы бизнес мог продолжить зарабатывать.

Принципы обеспечения безопасности в компании


Подотчётность данных. Вся информация в компании должна быть обязательно классифицирована и ранжирована, чтобы сотрудники имели чёткое понимание, какие доступы у них есть и насколько информация может транслироваться за пределы его компетенций. Например, информация о компании может иметь полностью конфиденциальный характер, иметь хождение внутри фирмы, быть общей для всех филиалов и партнёров и свободно распространяемой.

Установленные политики. Политики безопасности в первую очередь должны касаться сетевой инфраструктуры и рабочих станций сотрудников, чтобы предотвращать вторжение со стороны либо утечку информации. Дополнительно должны существовать регламентирующие политики для распространения коммерческой и иной значимой информации (например, пиарщик в пресс-релизе может сообщить, что оборот компании за два года вырос на 27%, а вот какой он в денежном отношении — нет, если только ваша компания не является публичной, а информация о финансовых показателях открытой).

Постреакция на инциденты, выводы из ситуации. Каждый случай нарушения безопасности должен быть проанализирован и обработан — по итогам стоит сформировать комплекс упреждающих мер и внести правки в базу знаний об управлении безопасностью. Если из инцидента не извлечены уроки — скорее всего, он к вам вернётся.

Управление безопасностью не должно быть лоскутным — хорошая стратегия обеспечения безопасности даёт общую картину текущей ситуации и позволяет управлять безопасностью в комплексе. Целостный подход помогает отслеживать взаимосвязи между бизнес-процессами и охватывать все стороны деятельности компании, не позволяя отбрасывать не важные на первый взгляд факторы. Кстати, современные CRM-системы — хорошее подспорье для максимального обзора бизнес-процессов, ведь они давно не сосредоточены на одних лишь продажах, а автоматизируют максимум аспектов деятельности компаний (особенно универсальные — такие как RegionSoft CRM).

Хотите реальную историю про комплексность безопасности? Один мужчина создал бизнес, связанный с довольно нужной В2В-услугой. Нанял сотрудников, даже безопасника, потихоньку раскачался. Ему не хватало маркетолога. Он взял маркетолога, но чем-то они не сошлись — новый сотрудник хотел гор до небес, желательно золотых. Маркетолог решил хлопнуть дверью, бухгалтер сплошала и вовремя не перечислила расчёт. Злой бывший сотрудник решил, что мир несправедлив и написал в пожарную инспекцию, что нет огнетушителя, в трудовую, что сразу не сделали запись в книжку, в налоговую с сообщением «о возможных нарушениях», в соцсети о том, как его обидели (наврал). На бедного молодого бизнесмена обрушились все органы, какие только могли. Компания закрылась. А всего-то: вовремя сделать свою работу кадровику и бухгалтеру,  купить огнетушитель безопаснику, проконтролировать сеть админу, т.к. этот маркетолог ничего на работе не делал и это можно было «вылить» хотя бы на его посты в соц. сетях, не говоря уже о более серьёзных мерах. Вот вам и комплексность для малого бизнеса.

Непрерывность безопасности. Работать над снижением рисков в компании необходимо постоянно, а не от случая к случаю, и тем более от инцидента к инциденту. Каждый сотрудник, выполняя свои обязанности, должен помнить о том, что он отвечает за свои бизнес-процессы, за их безопасное функционирование и за безопасность всех интересов компании в целом.

Безопасность должна быть экономной. Можно нанять компанию на аутсорсе, создать службу безопасности, вложиться в дорогостоящие системы мониторинга, понатыкать камеры, но это выйдет в три раза дороже чем стоят все активы вашей компании, включая клиентскую базу. Выстраивая систему безопасности, исходите из соображений целесообразности, то есть не должен теряться экономический смысл мер. Нелишне также помнить, что дешевле всего обходятся своевременная профилактика и упреждение, а дороже всего — реагирование и ликвидация последствий инцидента.

Безопасность должна быть скоординированной. На этапах упреждения, обнаружения, реагирования и анализа все подразделения должны работать слаженно, быстро и профессионально. На этапе обнаружения и реагирования не стоит устраивать разборки на тему «Кто виноват?», на это у вас будет время сразу после окончания действий по обеспечению безопасности. Для того, чтобы координация была оптимальной, нужно тщательно прописать должностные инструкции и регламенты действий в критической ситуации.   

Безопасность должна быть понятной, прозрачной, но открытой для ограниченного круга лиц. Все сотрудники должны понимать, какие действия могут привести к нарушениям безопасности, что нужно делать в случае наступления проблем и какие последствия несёт то или иное событие. Все постулаты, изложенные в инструкциях и донесённые до сотрудников, должны трактоваться однозначно. Но полное видение ситуации, равно как и арсенал средств по защите и минимизации ущерба должен быть в руках нескольких ответственных лиц. Чем больше сотрудников владеют информацией о системе противодействия различным нарушениям, тем выше вероятность инцидентов.

Управлять безопасностью должны профессионалы. Безусловно, большинству компаний малого и среднего бизнеса не по карману содержание службы безопасности. Первый и очевидный вариант — отдать безопасность на аутсорсинг, даже здесь, на Хабре, немало таких компаний для разных сфер, не только ИТ. Второй вариант — приоритизировать угрозы безопасности и сформировать «группу реагирования» на базе своих сотрудников по самым критичным точкам. Это довольно действенная мера, поскольку знание и понимание бизнес-процесса не менее важно, чем арсенал инструментов, которые вы выберете и изучите в процессе мер по упреждению. К тому же, соотнесение целей компании и вероятностей угроз, то есть формирование приоритетов безопасности, даёт хорошую экономию расходов на меры защиты. Главное — не оставлять корпоративную безопасность без внимания и ответственных.

И помните — о безопасности бизнеса прежде всего должны заботиться его владельцы и сотрудники. Не стоит обижаться на хостеров, провайдеров, вендоров, поставщиков услуг, если у вас есть очевидные проблемы, начиная от физической безопасности и заканчивая информационной. В открытую дверь обязательно кто-то войдёт.

Пока мы писали статью и просматривали практики управления безопасностью, чтобы ничего не упустить, нас занесло в начало лихих 90-х на один сайт, где в развёрнутой статье про безопасность компании есть вот такой вот абзац про — внимание! — «негосударственные организации». Тоже своеобразный опыт. Надеемся, что не в ИТ-сфере :-)

Шпаргалка распознавания угроз


Один из главных факторов успеха в борьбе с проблемами в безопасности — увидеть вовремя маркеры, которые свидетельствуют о том, что где-то что-то пошло не так. Вот базовая схема действий при управлении корпоративной безопасностью:


Картинка кликабельна

Итак, общие рекомендации по работе с угрозами корпоративной безопасности.

  • Подходить к угрозам со всех сторон — оценивать задетые бизнес-процессы, возможный ущерб, повторяемость, уровень опасности, способы ликвидации.
  • Разработать минимальный комплекс документации. Кроме должностных инструкций и общего регламента безопасности, в него должны войти: положение о коммерческой тайне компании, соглашение об NDA, положение о режиме в компании (пропуск, доступы, рабочее время, исключения), положение и регламент проведения служебного расследования. Наличие подписанных каждым сотрудников документов уже отсечёт часть внутренних угроз.
  • Иметь набор средств для обнаружения, ликвидации и профилактики угроз корпоративной безопасности.
  • Тщательно относиться к подбору персонала, этапу обучения и адаптации новичков.
  • Провести с сотрудниками беседу (описать на портале, в базе знаний и т.д.) на тему разглашения информации, в том числе в публичных местах, родственникам, друзьям.
  • Накапливать опыт ликвидации инцидентов и хранить его как информацию для служебного пользования.
  • Использовать специализированное программное обеспечение (CRM-систему для клиентской базы, систему мониторинга для управления ИТ-инфраструктурой, антивирусное ПО, защищённые сервисы, в том числе телефонию и почтовые клиенты).
  • Тщательно следить за источниками, по которым внутренняя информация может транслироваться вовне.
  • Развивать лояльность сотрудников, контролировать HR-ресурсы.
  • Транслировать своё понимание безопасности контрагентам, партнёрам, удалённым филиалам и сотрудникам.
  • Делать бэкапы (любимое же!).
  • Не душить :-)

Приведённые нами схемы и методы — это база, которую по силам реализовать практически любой компании. Мы много (много-много) лет разрабатываем и внедряем свою CRM-систему, работаем в энтерпрайзе и не понаслышке знаем, как угрозы безопасности могут подкосить бизнес, лишить его ценной информации, распугать или увести его клиентов. Последствия всегда одинаковые — убытки, проблемы с сотрудниками, огромные затраты на восстановление. Выполнение даже малейших норм безопасности ощутимо сокращает риски. В конце концов, вы же проводите ТО автомобиля, ставите пароль на смартфон, закрываете квартиру, покупаете сигнализационные системы для движимого и недвижимого имущества. Чем компания-то хуже?


Наш сайт с абсолютно десктопным ПО для бизнеса и нашей флагманской RegionSoft CRM.

Наш Телеграм-канал BizBreeze. Всякое про CRM и бизнес, по уму, без копипаста и на 90% без рекламы. Вступайте в нестройные ряды.



Ключевые слова: экономическая безопасность, экономическая безопасность предприятия, результат оценки, защита, мера.

Обеспечение безопасности предприятия в современном обществе — одна из актуальных проблем. В первую очередь исследователи рассматривают вопрос формирования системы обеспечения экономической безопасности. Такое внимание хозяйствующие субъекты получили из-за того, что на их экономическую активность оказывают влияние макроэкономические и микроэкономические факторы. В результате обеспечить экономическую безопасность предприятия становится сложнее.

В первую очередь стоит рассмотреть понятие экономической безопасности. Под ней понимается состояние, обеспечивающее наиболее оптимальное использование ресурсов предприятия для обеспечения стабильного функционирования и развития, при котором можно минимизировать его стоимость без превышения допустимого уровня риска [1, с. 460]. При этом основная цель, преследуемая экономической безопасностью — эффективная защита жизненно важных экономических интересов конкретного объекта защиты.

Система безопасности — полноценный комплекс разнообразных мер. Её основные цели состоят в следующем:

− мониторинг и прогнозирование угроз экономической безопасности предприятия;

− оценка рисков и угроз количественными и качественными методами;

− разработка инструментов и механизма нивелирования угроз и поддержания стабильного развития предприятия;

− постоянное совершенствование механизма обеспечения экономической безопасности [1, с. 461].

В то же время добиться указанных целей даже с применением современных мер обеспечения безопасности достаточно сложно — с расширением информационного поля и совершенствованием методик изъятия и переноса данных контролировать все возможные уязвимости не представляется возможным. Поэтому при оценке предприятия выбираются те направления его деятельности, которые больше всего подвержены уязвимости. Так правило, к таким направлениям относится следующее:

− защита материальных и финансовых ресурсов;

− физическая защита рабочего персонала и эффективное его управление;

− защита интеллектуальной собственности;

− защита информационных ресурсов.

При оценке безопасности предприятия оценивается каждый из этих параметров — в дальнейшем выбранная для них оценка будет использоваться при поиске путей их нейтрализации. Для большего удобства результаты оценки сводят в таблицу — так проще контролировать результаты оценки и меры, принятые для нейтрализации угроз. Чтобы нейтрализовать обнаруженные опасности, используют меры:

− физические — создание препятствий для доступа к охраняемому имуществу, финансам, информации;

− административные — введение соответствующего режима работы предприятия, создания службы безопасности;

− экономические — меры материального стимулирования, финансирования защитных мероприятий;

− технические — использование технических средств и системы охраны;

− программные — использование современных информационных технологий, баз данных, систем защиты от несанкционированного доступа к ним и т. д.

− морально-этические — меры морального воздействия,

− воспитательная работа, разработка кодексов поведения, создание атмосферы корпоративного духа, партнерства единомышленников и т. п. [2]

Однако мониторинг и оценка экономической безопасности предприятия проводятся не так гладко, как хотелось бы. На эффективность мер экономической безопасности на предприятии влияет множество факторов, среди которых:

действующие нормативные акты;

выявление и пресечение покушений на законные права организации, ее имущество, положительную финансово-коммерческую конъюнктуру, научные достижения и охраняемую информацию;

устойчивость хозяйственных связей, морально-психологический климат в коллективе, производственная дисциплина. [3, с. 2691].

Оценка проводится в первую очередь — по её параметрам проводится исследование экономической эффективности предприятия.

При этом нормальный уровень экономической безопасности определяется через:

Высокую финансовую эффективность, суверенность и постоянство работы;

− развитость и конкурентоспособность технологической базы;

− строгий кадровый отбор;

− обеспечение соответствия экологическим стандартам;

− эффективный механизм правового регулирования деятельности предприятия;

− обеспечение информационной безопасности предприятия;

− гарантии безопасности работников и сохранности их профессиональных интересов [3, 2962].

Руководство предприятия при желании обеспечить его нормальное функционирование должно постараться наладить функционирование всех приведенных выше параметров. На крупных предприятиях заметна строгость при отборе кадров — подбор персонала, который не только соответствует всем требованиям по квалификации, но и не замечен в порочащих его репутацию связях или действиях — одна из задач кадрового отдела. Проверка в местах, где на этот аспект обеспечения безопасности предприятия обращают внимание, находится на серьезном уровне.

При этом наиболее уязвимые каналы в экономической безопасности определяются устройством предприятия и уровнем, на котором оно работает. Одно из самых уязвимых мест — традиционно плохая организация учета, хранения и прохождения документов, содержащих данные сведения. Причём такую проблему можно наблюдать вне зависимости от уровня предприятия.

Если такая проблема обнаружена, руководство организации с целью сохранения коммерческой тайны должно обратить внимание на делопроизводство и реорганизовать существующую там систему таким образом, чтобы шанс утечки данных был сведен к минимуму, а при её возникновении можно было легко определить, кто и в какой период времени несанкционированно вытащил секретные данные.

Второй по важности аспект обеспечения экономической безопасности — устранением или сведение к минимуму человеческого фактора. Основная проблема обеспечения экономической безопасности предприятия при устранении этого фактора в том, что полностью устранить влияние действий работников на используемую в работе информацию сложно.

Чтобы не допустить потери данных в работе в результате ошибок персонала или перебоев с электроснабжением, достаточно снабдить системы предприятия облаком для резервного хранения данных. Однако при использовании такой технологии возникает другая проблема — автоматически переносимые в облако данные нуждаются в защите, т. е. нужно как минимум обеспечить надежное шифрование.

Но вернемся к человеческому фактору, который по праву можно назвать основной проблемой экономической безопасности. Чтобы свести его к минимуму, работникам необходимо обеспечить достойный уровень заработной платы, страховку, профсоюз на месте работы — для защиты нарушенных прав работников.

В то же время даже соблюдение приведенных выше параметров не гарантирует того, что человек не передаст информацию, коммерчески важную для конкретного предприятия, конкурентам. Потому важно ограничить доступ к информации, составляющей коммерческую тайну, и дать его малому кругу лиц.

Литература:

  1. Серебрякова Н. А., Волкова С. А., Волкова Т. А. Формирование системы обеспечения экономической безопасности предприятия // Вестник ВГУИТ. 2016. № 4. С. 460–465.
  2. Рябов Д. И., Хахалева Е. Н. Основные направления обеспечения экономической безопасности предприятия // Международная научно-техническая конференция молодых ученых БГТУ им. В. Г. Шухова, 2016. С. 4860–4863.
  3. Криворученко Ю. А., Шевченко М. В. Проблема оценки угроз экономической безопасности предприятия и способы их устранения // IX Международный молодежный форум «Образование. Наука. Производство» Белгород, 2017. С. 2691–2695.

Основные термины (генерируются автоматически): экономическая безопасность, экономическая безопасность предприятия, результат оценки, защита, мера.

Like this post? Please share to your friends:
  • Ядран фармацевтическая компания препараты
  • Эльдорадо в вегасе на каширке часы работы
  • Ядринская энергосбытовая компания телефон
  • Якитория зеленый проспект 54а часы работы
  • Якитория зигзаг на лобненской часы работы