Корпоративная безопасность

Содержание

Основной инстинкт бизнеса: грани корпоративной безопасности

Вы когда-то пробовали внедрить в компании новые регламенты и инструкции? Если да, то наверняка знаете, какая буря возмущения обрушивается со стороны коллектива. Как минимум, вас начинают тихо ненавидеть, как максимум — появляются сплетни, какие-то немотивированные заявления об уходе и общая паника. Стоит ли откатывать процесс? Нет. Если появилось возмущение и сопротивление такому «ограничению свободы», скорее всего вы задели чьи-то интересы. И вроде вы не перегибаете, а вводите минимальные меры по защите, но по мнению части сотрудников, закручиваете гайки, насаждаете режим, давите авторитетом и перекрываете воздух свободы. Успокойтесь — вы на правильном пути. И перекрыв тот самый «воздух свободы», вы позволяете своей компании не про*****, а сохранить «полимеры». Потому что работаете с корпоративной безопасностью, которая в последние несколько лет изменила лицо. Так что давайте познакомимся с ней снова.
Нам очень нравится советский плакатный жанр. Там было много про технику безопасности. Бизнес вполне может переосмыслить промышленные советы. Не наступайте на грабли, загибайте гвозди — короче, работайте на опережение.

А что, нам кто-то или что-то угрожает?

Этой статьи не должно было быть — в планах стояли совсем другие, мирные темы. Но обсуждение предыдущего поста в комментариях и не только натолкнуло нас на мысль, что с безопасностью в российском бизнесе дела обстоят примерно так же, как и с CRM-системами: крупные и опытные и так всё знают, а остальным не надо — «эксельки» (MS Excel) хватит. Тем удивительнее было видеть некоторые высказывания именно на Хабре. Нет, ребята. Проблема безопасности стоит абсолютно перед любой компанией вне зависимости от её размера, отраслевой принадлежности и оборота. Просто потому что ваша компания работает во внешней среде, в ней есть сотрудники, компьютеры, сети, программное обеспечение, клиенты и сам продукт или услуга. И если никто не пытается вас хакнуть или DDoS-ить, это не значит, что компания в полной безопасности. Слишком много аспектов стоит брать во внимание.
Давайте начнём с обзорной схемы корпоративной безопасности компании.

Как видите, в списке угроз субъектам деятельности бизнеса нет ничего неординарного — с подобными аспектами работы сталкивается каждый бизнес, и все они таят угрозы. Рвануть может там, где вы и не ждёте.
Теперь у нас вырисовываются компоненты корпоративной безопасности, о половине которых компании не помнят, а то и вовсе не знают.
Информационная безопасность — на сегодня это тот тип безопасности, обеспечением которого нужно заняться всем. Риск есть на всех уровнях: начиная от нечаянного запуска вредоноса из почтового сообщения, заканчивая рисками, связанными с облачными технологиями, сторонними сервисами и злонамеренными действиями сотрудников.
Экономическая (финансовая) безопасность должна противостоять всем источникам «ухода» либо неполучения денег. Она также актуальна для любой компании и напрямую сопряжена с работой с документами, уплатой налогов, бухгалтерским учётом, вложениями в рекламу и маркетинг и т.д. Кстати, этот тип безопасности наиболее уязвим перед человеческим фактором.

Правовая безопасность — защита от неправомерных действий и правонарушений, идущих вразрез с нормами законодательства: подделка документов, использование мошеннических схем в работе, откаты и проч. Отличается от экономической тем, что нарушения этого типа безопасности чаще всего направлены не на чью-то финансовую выгоду, а на защиту интересов от уже свершившихся фактов (провёз лишний груз — купил маршрутный лист, перерасходовал деньги — подделал акт, потерял пару серверов — сфабриковал акт списания и т.д.).
Физическая и личная безопасность сотрудников — защита сотрудников от проникновения недоброжелателей на территорию компании и от покушения на их жизнь и здоровье. Формулировка звучит утрированно и её полнота восприятия зависит от статуса компании. Но обычно минимальные требования к физической безопасности соблюдаются (охрана, пропускная система, камеры, иные типы аутентификации).
Физическая безопасность инфраструктуры — защита оборудования, сетей и программ от доступа посторонних и лиц, в служебную деятельность которых не входит контакт с этими элементами инфраструктуры. Обязательно должен быть внешний и внутренний контур безопасности. Нарушения безопасности в этой сфере со стороны сотрудников не всегда злонамеренны — иногда это может быть пролитый на дорогостоящее оборудование чай или тонер, рассыпанный вблизи чувствительных приборов.
Безопасность управления рисками — один из самых неочевидных типов, который любит шутить шутки с теми, кто им пренебрегает. Риски нарушения этого вида безопасности связаны с тем, что топ-менеджмент не оценивает проекты, инвестиции и иные перспективы, в которые вкладывает какие-либо ресурсы. Сюда можно отнести рисковые венчурные инвестиции, закупку б/у оборудования, работу с ненадёжными поставщиками за скидку и т.д.
Кадровая (HR) безопасность — защищает компанию от «утечки мозгов». Хорошие специалисты нужны всем, поэтому если ваша компания хотя бы немного засветилась на рынке, ваши сотрудники уже стали желанными кандидатами у конкурентов (идеально — если с вашими наработками или клиентской базой, об этом мы писали). Кроме того, отвечает за систему мер, связанных с обучением сотрудников безопасному диалогу с конкурентами и иными внешними агентами — например, во время интервью, конференций, митапов, семинаров и т.д.
Репутационная безопасность — защита деловой репутации и имиджа компании на рынке. В современных условиях высокоскоростного распространения информации потерять несколько уровней своей репутации — дело одного твита/статьи/выступления/жалобы… Неудачная реклама, неграмотная контентная политика, взломы и утечки данных, попытки влиться в интересы не своей аудитории — всё это может ударить по компании и неминуемо привести к финансовым потерям.

Новая парадигма ответственности и палки в колёсах

Служба безопасности не справится

А теперь давайте посмотрим, в чём же произошла главная трансформация. Кто отвечает за безопасность управления рисками? Топ-менеджмент. Кто отвечает за кадры? HR-служба, менеджер по внутреннему PR, если вы разработчик, то ещё и DevRel. Кто отвечает за репутацию? Пиарщик, маркетолог, менеджер по рекламе. За всем служба безопасности больше не способна уследить (особенно, если её в компании нет). Каждый своими действиями отвечает за безопасность на своём месте, часто не подозревая об этом. И это неправильно. Итак, встаёт задача минимум:

  • обучить обнаружению — сотрудники должны уметь разработать набор маркеров наступления угрозы для своей зоны ответственности, выбрать инструменты обнаружения (например, система мониторинга для админа, оповещения для вебмастера и алерты для PR и т.д.) и главное — научиться отличать угрозу от иных форм отклонений в стандартном поведении системы;
  • научить анализировать угрозы — уметь быстро либо находить, либо гипотетически предполагать источник угрозы, оценивать возможный масштаб, понимать, где находятся потенциальные бреши в безопасности;
  • обучить противостоянию — выработать адекватные и оперативные меры по упреждению, реагированию и профилактике возможных проблем;
  • ввести определённые регламенты и инструкции — как бы негативно ни относились к ним сотрудники, это необходимый и важный элемент безопасности хотя бы потому что в критической ситуации обратиться к документу быстрее, чем собраться и начать придумывать способы реагирования;
  • не перегнуть палку и не превратить компанию в спецслужбу. Сотрудники должны осознавать меру ответственности за свои действия и бездействие, делать всё для обеспечения безопасности на своём рабочем месте. Но при этом работа не должна формализоваться до того, что становится невозможно общаться с коллегами и с клиентами, обращаться к руководству, обсуждать и предлагать решения. Внутренняя атмосфера вне инцидентов должна оставаться максимально комфортной и доверительной.

Универсальный, в общем-то, совет. Но трудно исполнимый

Что больше всего мешает выстраивать систему безопасности?

Бизнес в отношении безопасности часто надеется «на авось». В предыдущем посте мы провели опрос и получили такие результаты: 64% из ответивших имеют проблемы с безопасностью, при этом самыми популярными методами обеспечения информационной безопасности являются сложные политики для паролей, отказ от облачных систем, запрет публичных дисков и хранилищ и выделение пула IP-адресов. Чуть больше трети не делают ничего. Конечно, выборка не ахти, но определённые сигналы можно уловить. Причины невнимания к безопасности у каждой компании свои, но есть пять базовых факторов, которые встречаются в компаниях любых размеров и любой отраслевой принадлежности.

  • Отсутствие у бизнеса инстинкта самосохранения. Компании всегда надеются, что неприятности происходят с Google, Salesforce, кем угодно — только не с ними. На самом деле, угрозы безопасности рано или поздно обязательно возникнут: даже если на вас не покусятся конкуренты, найдутся недобросоветсные сотрудники или иные контрагенты, которые воспользуются брешью в защите.
  • Низкий уровень компетенции в сфере безопасности. Компании не имеют видения, какой должна быть система безопасности, как управлять её компонентами и работать на упреждение инцидентов. К сожалению, программы подготовки специалистов тоже оставляют желать лучшего, как и учебники и так называемые лучшие практики. Поэтому каждый вынужден учиться на своих ошибках.
  • Дефицит профессиональных кадров. Найти безопасника широкого профиля с высоким уровнем компетенций очень сложно и дорого. Такие обычно уже заняты в высоко критичных отраслях и вряд ли представителям малого и среднего бизнеса удастся переманить профессионала. Компетенции большинства безопасников на рынке сводятся либо к узкоотраслевому опыту (телеком, банки), либо к опыту работы в органах внутренних дел, которые страшно далеки от бизнеса и процессов внутри него.
  • Экономия на издержках. Оставим этот пункт без комментариев, так как экономить на безопасности — это огромными шагами идти к ситуации «жадность фраера сгубила».
  • Страх потерять сотрудников. Очень интересная и многогранная причина. Нередко сотрудники сопротивляются любым нововведениям, направленным на ограничения. Это связано прежде всего с обычным психологическим сопротивлением, но бывает, что свидетельствует о том, что сотрудникам дополнительная безопасность может помешать. Работодатель из страха потерять персонал отступает и не вводит меры безопасности, а старается договариваться и уговаривать. В итоге такая слабина может только усугубить ситуацию и привести к увольнениям и правонарушениям.

Заботясь о безопасности, бизнес заботится не только о прибыли, но и о самих сотрудниках. Поэтому стоит искать компромиссы и твёрдой рукой внедрять необходимые меры. Хотя мы убеждены, что тотальная запись рабочего дня сотрудника, камера за спиной каждого и жесткий контроль времени и передвижений — это однозначно грубый перегиб, который оправдан буквально в единицах компаний. Доверие по-прежнему в цене. Бдительное доверие 🙂

Какие задачи стоят перед системой безопасности компании?

Думать, что безопасность это только тотальный контроль и строгая отчётность, может лишь человек не в теме. Перед комплексом корпоративной безопасности стоят серьёзные задачи, напрямую связанные с успехом компании.

  • Защита информации в компании. В принципе, информация составляет большую часть деятельности любого субъекта бизнеса: данные о продукте, клиентах, поставщиках, партнёрах, реклама, стратегия, маркетинг и т.д. И именно информация — самый желанный и, увы, по-прежнему самый легкодоступный актив компании. Можно снять трафик через брешь в защите Wi-Fi, можно заслать вредонос, можно подобрать пароли, можно купить сотрудника, который сольёт всё, что нужно. И от всех этих действий неминуемо наступает вред бизнесу. Поэтому информационная защита — самый горячий фронт корпоративной безопасности, который стоит финансировать, автоматизировать и страховать от человеческого фактора. Набор средств в данной ситуации у всех компаний разный, но лучше использовать максимальное количество инструментов.
  • Предотвращение угроз со стороны конкурентов. Найти компанию, у которой нет хотя бы одного конкурента, крайне сложно. А значит, в какой-то момент ваш соперник на рынке захочет получить ваши технологии, информацию, кадры, код и т.д. Потому что, если ваш бизнес ещё в тренде, значит в чём-то вы лучше и чем-то привлекаете свой сегмент потребителей. Задача корпоративной безопасности — выстроить мощный контур защиты от внешней среды и тщательно контролировать все попытки внедрения. Это почти шпионская война, а иногда и реальный промышленный и коммерческий шпионаж.

Вообще, очень сложно разобраться, что является сотрудничеством, а что — конкурентной разведкой. К тому же, иногда такие действия бьют по самому конкуренту. История из 2010-х. Два оператора связи, их в регионе продают одни и те же дилеры. Перед выводом нового тарифа эксклюзивные дилеры получают информацию за неделю, чтобы обучить сотрудников, ввести данные в CRM и прайсы, подготовить раскладку. И вот дилер передаёт информацию второму оператору за особый бонус (конечно, официально оформленный). Второй оператор не спит три ночи и выкатывает тариф на точно таких же условиях у себя на сайте, делая СМС-рассылку, а потом уже готовит промо. Обидно, вроде. Но нет — важная часть описания тарифа попадёт к дилерам только в день старта продаж при отгрузке листовок со звёздочками и мелким шрифтом. А второй оператор по сути бахнул непродуманный и убыточный для себя тариф. Так что, прежде чем сунуться к конкурентам, стоит научиться распоряжаться информацией.

  • Обеспечение устойчивой операционной деятельности компании и стабильности бизнес-процессов. Очень важная функция. Корпоративная безопасность должна быть нацелена на то, чтобы инциденты не влияли на скорость работы и на выполнение обязанностей сотрудниками. Каждый этап бизнес-процесса сопряжён с уязвимостями и рисками, поэтому стоит охватывать и учитывать их уже на этапе построения процесса как «узкие места». Тогда каждый сотрудник, ответственный за тот или иной этап, будет знать, на что обратить особое внимание.
  • Сохранение и развитие кадрового состава. Кадровая служба (HR) должна не просто предпринимать разовые меры, но развивать систему кадровой безопасности на всём жизненном цикле сотрудника: поиск — подбор — найм — адаптация — обучение — работа — увольнение (а в некоторых компаниях встречается часть цикла «бывший сотрудник», и это как раз не инструмент лояльности, а мера безопасности). Изначально необходимо проверять кадры на благонадёжность и историю трудовой деятельности, адаптировать и обучать силами внутренних наставников, развивать и поддерживать лояльность. Увольнение также должно проходить исключительно в рамках требований Трудового кодекса РФ, с соблюдением всех правил и нормативов.
  • Защита от неправомерных действий клиентов и партнёров. Бизнес не может существовать в вакууме, поэтому важно вести тщательную работу во внешней среде: документально фиксировать все значимые отношения, контролировать внешний доступ к корпоративным системам (например, доступ к личному кабинету в CRM), следить за тем, в какой мере контрагенты получают доступ к информации. Особое внимание стоит уделить бизнес-тренерам и консультантам — они запросто получают доступ к системе продаж, обучения и клиентской базе, а значит потенциально могут делиться информацией с конкурентами, использовать базу клиентов в коммерческих целях и т.д. Некоторые тренеры и коучи имеют дурную привычку выкладывать фотографии из компаний в социальных сетях и описывать особенности бизнеса, с которым им привелось поработать. Оно вам надо?
  • Сохранение финансов компании. Система безопасности обычно требует вложений и не приносит очевидной прибыли. Её главная задача — сохранить деньги компании и создать все условия для того, чтобы бизнес мог продолжить зарабатывать.

Принципы обеспечения безопасности в компании

Подотчётность данных. Вся информация в компании должна быть обязательно классифицирована и ранжирована, чтобы сотрудники имели чёткое понимание, какие доступы у них есть и насколько информация может транслироваться за пределы его компетенций. Например, информация о компании может иметь полностью конфиденциальный характер, иметь хождение внутри фирмы, быть общей для всех филиалов и партнёров и свободно распространяемой.
Установленные политики. Политики безопасности в первую очередь должны касаться сетевой инфраструктуры и рабочих станций сотрудников, чтобы предотвращать вторжение со стороны либо утечку информации. Дополнительно должны существовать регламентирующие политики для распространения коммерческой и иной значимой информации (например, пиарщик в пресс-релизе может сообщить, что оборот компании за два года вырос на 27%, а вот какой он в денежном отношении — нет, если только ваша компания не является публичной, а информация о финансовых показателях открытой).
Постреакция на инциденты, выводы из ситуации. Каждый случай нарушения безопасности должен быть проанализирован и обработан — по итогам стоит сформировать комплекс упреждающих мер и внести правки в базу знаний об управлении безопасностью. Если из инцидента не извлечены уроки — скорее всего, он к вам вернётся.
Управление безопасностью не должно быть лоскутным — хорошая стратегия обеспечения безопасности даёт общую картину текущей ситуации и позволяет управлять безопасностью в комплексе. Целостный подход помогает отслеживать взаимосвязи между бизнес-процессами и охватывать все стороны деятельности компании, не позволяя отбрасывать не важные на первый взгляд факторы. Кстати, современные CRM-системы — хорошее подспорье для максимального обзора бизнес-процессов, ведь они давно не сосредоточены на одних лишь продажах, а автоматизируют максимум аспектов деятельности компаний (особенно универсальные — такие как RegionSoft CRM).
Хотите реальную историю про комплексность безопасности? Один мужчина создал бизнес, связанный с довольно нужной В2В-услугой. Нанял сотрудников, даже безопасника, потихоньку раскачался. Ему не хватало маркетолога. Он взял маркетолога, но чем-то они не сошлись — новый сотрудник хотел гор до небес, желательно золотых. Маркетолог решил хлопнуть дверью, бухгалтер сплошала и вовремя не перечислила расчёт. Злой бывший сотрудник решил, что мир несправедлив и написал в пожарную инспекцию, что нет огнетушителя, в трудовую, что сразу не сделали запись в книжку, в налоговую с сообщением «о возможных нарушениях», в соцсети о том, как его обидели (наврал). На бедного молодого бизнесмена обрушились все органы, какие только могли. Компания закрылась. А всего-то: вовремя сделать свою работу кадровику и бухгалтеру, купить огнетушитель безопаснику, проконтролировать сеть админу, т.к. этот маркетолог ничего на работе не делал и это можно было «вылить» хотя бы на его посты в соц. сетях, не говоря уже о более серьёзных мерах. Вот вам и комплексность для малого бизнеса.
Непрерывность безопасности. Работать над снижением рисков в компании необходимо постоянно, а не от случая к случаю, и тем более от инцидента к инциденту. Каждый сотрудник, выполняя свои обязанности, должен помнить о том, что он отвечает за свои бизнес-процессы, за их безопасное функционирование и за безопасность всех интересов компании в целом.

Безопасность должна быть экономной. Можно нанять компанию на аутсорсе, создать службу безопасности, вложиться в дорогостоящие системы мониторинга, понатыкать камеры, но это выйдет в три раза дороже чем стоят все активы вашей компании, включая клиентскую базу. Выстраивая систему безопасности, исходите из соображений целесообразности, то есть не должен теряться экономический смысл мер. Нелишне также помнить, что дешевле всего обходятся своевременная профилактика и упреждение, а дороже всего — реагирование и ликвидация последствий инцидента.
Безопасность должна быть скоординированной. На этапах упреждения, обнаружения, реагирования и анализа все подразделения должны работать слаженно, быстро и профессионально. На этапе обнаружения и реагирования не стоит устраивать разборки на тему «Кто виноват?», на это у вас будет время сразу после окончания действий по обеспечению безопасности. Для того, чтобы координация была оптимальной, нужно тщательно прописать должностные инструкции и регламенты действий в критической ситуации.

Безопасность должна быть понятной, прозрачной, но открытой для ограниченного круга лиц. Все сотрудники должны понимать, какие действия могут привести к нарушениям безопасности, что нужно делать в случае наступления проблем и какие последствия несёт то или иное событие. Все постулаты, изложенные в инструкциях и донесённые до сотрудников, должны трактоваться однозначно. Но полное видение ситуации, равно как и арсенал средств по защите и минимизации ущерба должен быть в руках нескольких ответственных лиц. Чем больше сотрудников владеют информацией о системе противодействия различным нарушениям, тем выше вероятность инцидентов.
Управлять безопасностью должны профессионалы. Безусловно, большинству компаний малого и среднего бизнеса не по карману содержание службы безопасности. Первый и очевидный вариант — отдать безопасность на аутсорсинг, даже здесь, на Хабре, немало таких компаний для разных сфер, не только ИТ. Второй вариант — приоритизировать угрозы безопасности и сформировать «группу реагирования» на базе своих сотрудников по самым критичным точкам. Это довольно действенная мера, поскольку знание и понимание бизнес-процесса не менее важно, чем арсенал инструментов, которые вы выберете и изучите в процессе мер по упреждению. К тому же, соотнесение целей компании и вероятностей угроз, то есть формирование приоритетов безопасности, даёт хорошую экономию расходов на меры защиты. Главное — не оставлять корпоративную безопасность без внимания и ответственных.
И помните — о безопасности бизнеса прежде всего должны заботиться его владельцы и сотрудники. Не стоит обижаться на хостеров, провайдеров, вендоров, поставщиков услуг, если у вас есть очевидные проблемы, начиная от физической безопасности и заканчивая информационной. В открытую дверь обязательно кто-то войдёт.
Пока мы писали статью и просматривали практики управления безопасностью, чтобы ничего не упустить, нас занесло в начало лихих 90-х на один сайт, где в развёрнутой статье про безопасность компании есть вот такой вот абзац про — внимание! — «негосударственные организации». Тоже своеобразный опыт. Надеемся, что не в ИТ-сфере 🙂

Шпаргалка распознавания угроз

Один из главных факторов успеха в борьбе с проблемами в безопасности — увидеть вовремя маркеры, которые свидетельствуют о том, что где-то что-то пошло не так. Вот базовая схема действий при управлении корпоративной безопасностью:

Картинка кликабельна
Итак, общие рекомендации по работе с угрозами корпоративной безопасности.

  • Подходить к угрозам со всех сторон — оценивать задетые бизнес-процессы, возможный ущерб, повторяемость, уровень опасности, способы ликвидации.
  • Разработать минимальный комплекс документации. Кроме должностных инструкций и общего регламента безопасности, в него должны войти: положение о коммерческой тайне компании, соглашение об NDA, положение о режиме в компании (пропуск, доступы, рабочее время, исключения), положение и регламент проведения служебного расследования. Наличие подписанных каждым сотрудников документов уже отсечёт часть внутренних угроз.
  • Иметь набор средств для обнаружения, ликвидации и профилактики угроз корпоративной безопасности.
  • Тщательно относиться к подбору персонала, этапу обучения и адаптации новичков.
  • Провести с сотрудниками беседу (описать на портале, в базе знаний и т.д.) на тему разглашения информации, в том числе в публичных местах, родственникам, друзьям.
  • Накапливать опыт ликвидации инцидентов и хранить его как информацию для служебного пользования.
  • Использовать специализированное программное обеспечение (CRM-систему для клиентской базы, систему мониторинга для управления ИТ-инфраструктурой, антивирусное ПО, защищённые сервисы, в том числе телефонию и почтовые клиенты).
  • Тщательно следить за источниками, по которым внутренняя информация может транслироваться вовне.
  • Развивать лояльность сотрудников, контролировать HR-ресурсы.
  • Транслировать своё понимание безопасности контрагентам, партнёрам, удалённым филиалам и сотрудникам.
  • Делать бэкапы (любимое же!).
  • Не душить 🙂

Приведённые нами схемы и методы — это база, которую по силам реализовать практически любой компании. Мы много (много-много) лет разрабатываем и внедряем свою CRM-систему, работаем в энтерпрайзе и не понаслышке знаем, как угрозы безопасности могут подкосить бизнес, лишить его ценной информации, распугать или увести его клиентов. Последствия всегда одинаковые — убытки, проблемы с сотрудниками, огромные затраты на восстановление. Выполнение даже малейших норм безопасности ощутимо сокращает риски. В конце концов, вы же проводите ТО автомобиля, ставите пароль на смартфон, закрываете квартиру, покупаете сигнализационные системы для движимого и недвижимого имущества. Чем компания-то хуже?
Наш сайт с абсолютно десктопным ПО для бизнеса и нашей флагманской RegionSoft CRM.
Наш Телеграм-канал BizBreeze. Всякое про CRM и бизнес, по уму, без копипаста и на 90% без рекламы. Вступайте в нестройные ряды.

Корпоративная безопасность — что это

Комплекс мероприятий, направленных на обеспечение информационной, технической и экономической безопасности, работает на сохранение всех бизнес-процессов и их оптимизацию. Корпоративная безопасность предполагает систематический мониторинг всех производственных процессов. Ее задача — обеспечение безопасных условий для роста компании и реализации всех профессиональных задач.

Корпоративная безопасность: составляющие

Только в условиях гарантированной безопасности компания может стать успешной и состоявшейся. Расширение партнерских связей, увеличение клиентской аудитории и стабильность рынка сбыта возможны, если в компании имеет место грамотно сформированная система безопасности. Она во многом определяет не только профессиональную состоятельность предприятия, но и является важной имиджевой составляющей.

При самых крупных инвестициях предприятие не может быть конкурентоспособным, если руководство не гарантирует блокировку воздействия разнообразных отрицательных факторов на бизнес-процессы.

Понятие корпоративной безопасности компании включает в себя:

  • жесткое ограничение доступа к коммерческой тайне;
  • практикумы для сотрудников, на которых рассматриваются способы предотвращения негативных факторов;
  • возможность проведения быстрого служебного расследования при обнаружении угрожающих факторов;
  • профессиональная кадровая политика;
  • физическая защита сотрудников;
  • техническая защита сотрудников.

Нельзя полагать, что единожды сформированная система корпоративной безопасности останется статичной на все время существования предприятия. Руководство должно проводить в этом направлении постоянную аналитическую работу, собирать информацию, из которой было бы ясно: есть ли какие-то способы повысить эффективность безопасности.

Спокойная деловая атмосфера на предприятии, фирме или в учреждении возможна, когда руководство систематически работает над совершенствованием безопасности на всех уровнях.

Что необходимо для обеспечения физической безопасности

Физическая безопасность может обеспечиваться силами самого предприятия или другой компании, которая реализует профессиональные услуги в данной области. Часто физическая безопасность обеспечивается сотрудничеством с подготовленными специалистами, работающими по договору на устранение любых угроз. Они выявляют факт имеющихся угроз и вырабатывают комплекс мероприятий по их устранению.

Для этого в компании устраиваются:

  • блокпосты, имеющие связь между собой (в случае возникновения локальной опасности представители охраны должны иметь возможность связываться друг с другом и реагировать адекватно);
  • система видеонаблюдения, позволяющая проводить мониторинг особенно важных точек;
  • строго дозированное посещение предприятия (допускается устройство КПП у входа с использованием технических средств контроля; крупные корпорации прибегают к системе распознавания лиц или вход по отпечатку пальца, а не только по предъявлению пропуска);
  • мониторинг прилегающей территории, в том числе автономной автопарковки.

Физическая безопасность руководства и персонала предполагает также периодические учения, на которых отрабатываются поведенческие навыки в экстремальных ситуациях. Особенно важно, чтобы каждый член коллектива знал пути эвакуации в случае пожарной опасности. С этой целью вывешиваются информативные стенды с расположением схем эвакуации.

Информационная корпоративная безопасность

Корпоративная безопасность — это умение сохранить вне зоны доступа технологические тайны и важную документацию. Только при соблюдении принципов конфиденциальной информации возможно успешное ведение бизнеса.

Выделяются два направления по выработке корпоративной безопасности:

  • аппаратное обеспечение;
  • организация труда.

В рамках аппаратного обеспечения безопасности руководство создает защиту базы данных на локальных компьютерах, замкнутых сетевых коммуникациях и всем программном обеспечении.

Если обнаруживаются перехваты определяющих профессиональных документов, система безопасности мгновенно их блокирует. Руководство может поменять способ передачи информации или попросту устранить возможность утечки. Для этого используется кодированная связь, а также запрет на передачу особо важных документов открытыми каналами. Поэтому курьерская служба — по-прежнему является важной частью общей системы корпоративной безопасности компании.

Работа над обеспечением информационной безопасности предполагает разбивку замкнутой системы на несколько составляющих. При этом безопасность должна быть сформирована в каждой подсистеме. Очень эффективным считается блокировка BIOS. Это мера обеспечит блокировку попыток внести в BIOS какие-то принципиальные изменения.

Внутренние коммуникации как источник информационной угрозы

Облачные технологии обеспечивают ведение бизнеса особым комфортом.

  • минимизируется архив;
  • ускоряется передача данных;
  • устраняется географический фактор (устанавливаются коммуникации с самыми удаленными подразделениями);
  • обеспечивается доступ к базе данных для руководства в любое время суток.

Но с другой стороны, без должного обеспечения конфиденциальности сетевая информация чрезвычайно уязвима для конкурентов и злоумышленников. Иногда простейшие мероприятия по ограничению доступа к факсу или принтеру может повысить уровень защиты базы данных.

Информационная безопасность на предприятии тем выше, чем меньше общих сетей для коммуникации внутри ее. Дело в том, что даже при наличии грамотно сгенерированных паролей и при ограничении доступа сетевое общение внутри корпорации автоматически предполагает доступ к паролям многих лиц.

Враждебным проникновением считается не только кража документов, данных и сведений, но и порча их. Иногда буквально несколько цифр в базе данных могут обрушить весь экономический процесс. Поэтому очень эффективным в этом отношении является отключение оптических проводов. Это особенно актуально для USB портов.

Передача данных конкурентам упрощена в век цифровых технологий. Достаточно скопировать важные сведения на жесткий носитель и вынести их за пределы предприятия. Задачи руководства опять-таки заключается в ограничении доступа к архивным сведениям и технологическим секретам.

Безопасность корпоративной документации

Если у злоумышленников поставлена цель завладеть какой-то информацией, он добьется своего независимо от того, хранятся ли документы на облаке, на удаленном сервере или на бумажных носителях.

Разработка хакерских программ с агрессивным поглощением идет параллельно с разработкой способов защиты от враждебного поглощения. Поэтому для компании, заинтересованной в корпоративной безопасности, основополагающим является вопрос сотрудничества с профессиональными сетевыми специалистами, которые будут отслеживать все инновационные предложения по защите базы данных.

ОфисМетрика на страже корпоративной безопасности

Информационная безопасность может быть нарушена и без умысла. Иногда сотрудники в частной беседе могут разговаривать о предметах, сутью которых является коммерческая тайна. Задача руководства — изначально проводить разъяснительные беседы, а в случае необходимости брать подписку о неразглашении тех или иных данных.

Сетевой серфинг на работе — еще один пример неумышленной порчи базы данных. Для того чтобы выяснить наличие правонарушителей в компании, многие руководители практикуют сбор информации о каждом сотрудников в рамках программы ОфисМетрика.

Данная методика позволяет составить представление о том, кто из сотрудников чем был занят в тот или иной промежуток времени. Все сведения подаются руководству в графическом виде, что позволяет более наглядно уяснить проблему.

Но даже тотальный контроль в организации может не всегда препятствовать использованию кем-то из персонала вредоносных программ. При этом не всегда удается выяснять, кто внес заведомо искаженную информацию в базу данных, а кто скопировал сведения. Система только беспристрастно выдает уже совершившиеся факты правонарушений.

Поэтому ОфисМетрика становится все более актуальной для современного бизнеса. Она представляет собою программу, скрупулезно учитывающую рабочее время персоналий на производстве или в офисе. ОфисМетрика дает возможность отражать детально факт присутствия в сети кого-то из сотрудников и, соответственно, весь комплекс совершенных им действий на рабочем месте.

В рамках данной методики фиксируется:

  • время заступления сотрудника на рабочее место;
  • время ухода сотрудника домой;
  • период бездействия на работе (фиксируется по отсутствию задействования клавиатуры или мышки);
  • сетевой серфинг сотрудника (программа четко фиксирует: какие порталы сотрудник посещал, какой информацией интересовался, а также на каких сайтах задерживался особенно долго).

ОфисМетрика фиксирует также, какими программами пользовался сотрудник. Это позволяет руководству перераспределять рабочие обязанности. Срабатывает человеческий фактор: если в рабочем времени слишком много свободных минут, сотрудник начинает заполнять их бесцельным блужданием по Интернету.

Дело не только в неорганизованности и недисциплинированности данного сотрудника. Оставаясь на чужеродных порталах, такой сотрудник может невольно «привести за собой» в компанию вредоносную информацию или разнообразные вирусы.

ОфисМетрика — это лучший способ отражения производительности сотрудников, работающих за компьютером. Особое удобство этой программы заключается в визуальной доступности отчетов. Они представляются в виде графиков, на которых четко вырисовывается, кто пытался скачивать или копировать конфиденциальную информацию.

Важно, что Офис-Метрика не нарушает прав сотрудников. Она не интересуется паролями и личной перепиской людей. Все данные, которые программа поставляет руководству, касаются исключительно профессиональных интересов.

Выстраивание комплексной системы корпоративной безопасности

Руководство должно определить, какие объекты должны обеспечиваться безопасностью.

К ним относятся:

  • экономические процессы;
  • финансы компании;
  • технологические сведения;
  • материальная база;
  • информационная база;
  • имидж компании.

Система безопасности может обеспечиваться непосредственно администрацией. Более профессиональным подходом будет создание специального координирующего центра безопасности. Это может быть совещательный орган, который принимает коллегиальные решения на базе собранных сведений о потенциальных угрозах.

Построение системы безопасности может быть доверено кому-то из сотрудников. Такая должность проводится через приказ по производству и оформляется как внутреннее совместительство. Допускается также создание отдельной штатной единицы, в обязанности которой вменяется выработка системы корпоративной безопасности компании. С таким сотрудником заключается отдельный договор, ему определяется оклад.

Наконец, обеспечением корпоративной безопасности компании может заниматься профессиональная организация в рамках аутсорсинга.

Почему аутсорсинг предпочтителен в вопросе обеспечения корпоративной безопасности

Прежде всего, для руководства такой вариант удобен тем, что он высвобождает трудовые ресурсы. С приглашенными сотрудниками заключается договор на предоставление определенных услуг. Соответственно, данный договор может регулироваться нормами гражданско-правовыми.

С сотрудниками, которые работают в рамках аутсорсинга, выгодно сотрудничать также в том отношении, что руководство получает заведомо профессиональные и рациональные решения. Ведь все, что пытается сделать администрация для сохранения материальных и информационных ценностей, может рассматриваться как дилетантство. В то время как приглашенные сотрудники выполнят тот же комплекс мероприятий профессионально (значит, более рационально и качественно).

Минусом аутсорсинга будет допуск посторонних персоналий к базе данных. Уровень доверия определяется руководством.

Еще одним недостатком аутсорсинга является недостаточно оперативная реакция приглашенных сотрудников на внутрикорпоративные изменения. Предприятие может расширяться или сокращаться, в нем могут появляться дополнительные подразделения, открываться удаленные офисы.

Каждая из перечисленных точек также нуждается в информационной безопасности. Для того чтобы сотрудники в рамках аутсорсинга вливались в процесс, требуются дополнительные соглашения к договору. На это иногда уходит время, которым могут воспользоваться злоумышленники и конкуренты.

Услуги квалифицированного персонала по обеспечению информационной безопасности компании востребованы на рынке, что обеспечивает жесткую конкуренцию в этой области. Профессионалы, в свою очередь, стремятся сотрудничать с ключевыми клиентами.

Таким образом, руководство компании, нуждающееся в квалифицированном персонале в рамках аутсорсинга, поставлено перед выбором: либо платить за качественную работу по обеспечению безопасности, либо решать этот вопрос самостоятельно. Если решение принимается в пользу привлечения профессионалов со стороны, то выгоды компании очевидны.

Они проявляются в:

  • защите профессиональных интересов;
  • обеспечении стабильности бизнес-процессов;
  • предотвращении потенциальных угроз;
  • защите базы данных;
  • выявлении угроз, исходящих изнутри компании.

При этом руководство компании может и не подозревать о том, какие угрозы имеют место внутри предприятия. Они могут связываться не только с человеческим фактором (невольным разглашением конфиденциальной информации), но и с организованной преступностью.

Охота за информацией на рынке идет ежеминутно, поэтому услуги профессионалов по обеспечению экономической и информационной безопасности актуальны всегда.

Князева Ирина Олеговна

Обеспечение безопасности бизнеса

Обеспечение безопасности бизнеса Безопасность бизнеса представляет собой один из самых главных элементов менеджмента на предприятии. От уровня безопасности во многом зависит эффективность работы и уровень доходности бизнеса, а также деловая репутация компании. Обеспечение безопасности на предприятии включает в себя комплекс технических, организационных, правовых, информационных и других мер. Все они направлены на обеспечение уровня безопасности, достаточного для противостояния внешним и внутренним угрозам для бизнеса. Кроме того, в комплекс мер по обеспечению безопасности входит постоянный контроль деятельности сотрудников предприятия, а также контрагентов и деловых партнёров. Целью такого контроля является своевременное выявление угроз безопасности бизнес-процессов и их предотвращение. Обязанности по обеспечению безопасности бизнеса выполняют сотрудники службы безопасности. В случае, если организация не имеет штатного отдела безопасности, эти обязанности возлагаются на сторонние организации. Методика обеспечение безопасности бизнеса Проблемы, решаемые отделом безопасности, зависят от особенностей производственного процесса, а также численности персонала. В основном, функции сотрудников отдела безопасности сводятся к выполнению следующих задач, направленных на обеспечение разносторонней безопасности бизнеса:

  • Оценка внешних и внутренних угроз для деятельности организации и их своевременное предотвращение;
  • Оценка деятельности конкурентов и бизнес-партнёров;
  • Подготовка отчетов и информационных материалов о партнерах, рынках сбыта, контрактах и т.д.;
  • Проверка благонадежности новых контрагентов и деловых партнеров;
  • Предотвращение угроз, возникающих вследствие неправомерной деятельности партнеров и сотрудников организации;
  • Проверка сотрудников организации и вновь поступающего персонала;
  • Обеспечение физической безопасности сотрудников и имущества предприятия;
  • Взаимодействие с правоохранительными органами и другими государственными структурами;
  • Обеспечение безопасности конфиденциальной информации;
  • Осуществление постоянного мониторинга с целью своевременного предотвращения угроз деятельности предприятия.

Обеспечение безопасности бизнеса — очень важный процесс для нормальной работы любой организации, независимо от численности персонала и сферы деятельности.

Управление корпоративной безопасностью

Сущность и значение корпоративной безопасности

Определение 1

Под корпоративной безопасностью (КБ) в общем смысле принято понимать надежную защищенность коренных основ функционирования корпорации и ее жизненно важных интересов от угроз внешней и внутренней среды. В сущности, она является результатом реализации целого комплекса мер организационно-управленческого, пропагандистского, профилактического и технического характера.

Корпоративная безопасность предполагает наличие у руководства компании возможности самостоятельного определения характера и форм производственной деятельности, обеспечивающих эффективное функционирование и устойчивое развитие корпоративных структур.

Объектами корпоративной безопасности выступают:

  • сама деятельность корпоративных структур снабженческого, производственного, коммерческого и управленческого характера;
  • имущество и ресурсы компании;
  • персонал корпорации.

К числу субъектов безопасности корпоративных структур относятся люди, службы, отделы, органы и учреждения, непосредственно принимающие участие в реализации мер, направленных на обеспечение корпоративной безопасности. Вся их совокупность условно может быть подразделена на две группы. К первой относятся службы, непосредственно занятые обеспечением безопасности компании, а ко второй – внешние органы и организации.

Ничего непонятно?

Попробуй обратиться за помощью к преподавателям

Генеральная цель КБ заключается в обеспечении защиты компании от всевозможных угроз. Угрозы корпоративной безопасности также делятся на два вида – внешние и внутренние.

Внешние угрозы обусловлены факторами внешней макро- и микросреды (природные катаклизмы, техногенные катастрофы, экономические и политические кризисы, недобросовестная конкуренция и пр.).

Внутренние угрозы связаны с проблемами баланса интересов участников корпоративных отношений, эффективность корпоративного управления, общей результативностью и устойчивостью деятельности корпоративных структур.

Обеспечение корпоративной безопасности возможно лишь при условии построения системы ее контроля и управления. Рассмотрим систему КБ более подробно.

Система корпоративной безопасности

Под системой корпоративной безопасности в общем виде принято понимать организованную совокупность специальных органов, методов, средств и мероприятий, посредством которых обеспечивается защита корпорации от угроз, как внешних, так и внутренних. Иначе говоря, ее можно определить в качестве ограниченного множества взаимоувязанных компонентов, обеспечивающих безопасность корпоративных структур и достижения стратегических целей, перед ними стоящих.

Основными элементами системы КБ являются:

  • кадровая безопасность;
  • информационная безопасность;
  • экономическая безопасность;
  • личная безопасность;
  • инженерно-техническая и техническая безопасность;
  • ИТ-безопасность.

Одной из важнейших составляющих системы КБ считается безопасность кадровая. Она включает в себя защиту от разглашения коммерческих тайн, промышленного шпионажа и некомпетентности сотрудников.

Информационная безопасность предполагает защиту информационных ресурсов компании и потоков информации.

Основными направлениями защиты экономического толка считаются защита от мошенничества и враждебных поглощений, управление и снижение экономических рисков, а также бизнес-разведка.

В основе личной безопасности лежит обеспечения физической, юридической и психологической защиты сотрудников корпорации.

Инженерно-техническая безопасность направлена на обеспечение физической и организационной безопасности корпорации, а техническая – на защиту технологий от утечки информации.

Наконец, ИТ-безопасность связана с защитой информации посредством использования соответствующих ИТ-технологий.

Основные принципы построения системы безопасности корпоративных структур представлены на рисунке 1. Рассмотрим их более подробно.

Рисунок 1. Принципы корпоративной безопасности. Автор24 — интернет-биржа студенческих работ

Комплексность предполагает необходимость построения системы КБ, обеспечивающей защиту различных сторон деятельности корпорации (персонал, информация, экономическая деятельность и пр.).

Согласно принципу своевременности меры по нивелированию угроз КБ и минимизации последствии их реализации должны осуществляться на всех стадиях жизненного цикла. При этом построение системы Кб должно осуществляться таким образом, чтобы ее функционирование было постоянным (непрерывным).

В основе обеспечения корпоративной безопасности должно лежать неукоснительное соблюдение требований, принципов и норм действующего законодательства.

Сама деятельность системы КБ должна осуществляться планомерно и последовательно, таким образом, чтобы полученные результаты превышали затраты на ее функционирование.

Принцип взаимодействия сводится к необходимости координации деятельности всех лиц и подразделений, принимающих участив в обеспечении безопасности корпоративных структур.

Замечание 1

В целях своевременного выявления и предотвращения угроз КБ все ключевые мероприятия в области ее обеспечения необходимо в короткие сроки доносить до всех сотрудников компании и обеспечить их строгое выполнение каждым из них.

Наконец, принцип компетентности предполагает, что КБ должна выступать ключевой задачей управления, а вопросами ее обеспечения должны заниматься профессионалы.

Основы менеджмента корпоративной безопасности

Управление (или менеджмент) корпоративной безопасности представляет собой стратегическую деятельность по построению и управлению функционированием системы КБ, основные черты которой были рассмотрены выше.

Формирование системы КБ осуществляется поэтапно. Общий алгоритм ее построения представлен на рисунке 2.

Рисунок 2. Этапы построения системы КБ. Автор24 — интернет-биржа студенческих работ

Замечание 2

Управление КБ неизменно сопряжено с принятием и реализацией управленческих решений в области защиты компании от корпоративных угроз и обеспечении устойчивости ее развития в долгосрочной перспективе.

Одной из особенностей управления КБ выступает вовлечение в данный процесс всех сотрудников корпорации. Его основной целью выступает достижение эффекта синергии от обеспечения безопасности составных элементов системы КБ.

Управление корпоративной безопасность предполагает необходимость разработки и реализации соответствующей стратегии и политики.

Стратегия КБ – это комплекс наиболее значимы управленческих решений, направленных на защиту корпорации от внешних и внутренних угроз.

Политика КБ – это система взглядов, решений и действия в сфере КБ, которые формирую благоприятную среду для получения желаемых результатов.

Если стратегия КБ определяет базовый вектор ее развития, то политика КБ формирует программу ее реализации.

Менеджмент и трудовые отношения : Обеспечение корпоративной безопасности

Обеспечение корпоративной безопасности

  • ВВЕДЕНИЕ 3
  • ЗАДАЧИ И ОСНОВНЫЕ НАПРАВЛЕНИЯ ОБЕСПЕЧЕНИЯ КОРПОРАТИВНОЙ БЕЗОПАСНОСТИ 4
    • Получение корпоративной информации 4
    • Уязвимые места 4
    • Служба безопасности 6
  • Заключение 13
  • Список литературы 15

ВВЕДЕНИЕ

ЗАДАЧИ И ОСНОВНЫЕ НАПРАВЛЕНИЯ ОБЕСПЕЧЕНИЯ КОРПОРАТИВНОЙ БЕЗОПАСНОСТИ

Получение корпоративной информации

От наличия информации зависит успех или неудача любого мероприятия и дела в целом. Мы живем в эпоху информатики, и любая компания, которая игнорирует этот факт, подвергает себя большому риску.

Уязвимые места

Угрозы в адрес вашей компании могут иметь разные формы. На первом месте стоят похищения и применение взрывных устройств. Однако этими акциями угрозы не могут быть ограничены. Человеческое воображение не имеет границ.

Промышленный шпионаж. Корпоративные секреты могут быть украдены конкурентами или иностранными агентами. Этому очень трудно противостоять, т.к. физически пропажу трудно обнаружить.

Нападение на сотрудников компании. Террористы и преступники могут предпринять нападение на сотрудников вашей компании, которые имеют право на защиту от нападений по причине их принадлежности к компании.

Служба безопасности

Регулярно интересуйтесь мнением сотрудников службы безопасности. Никто не может знать лучше сотрудников службы безопасности, есть ли уязвимые места в системе безопасности вашей компании.

Структура службы экономической безопасности является специфичной для различных субъектов предпринимательской деятельности. Она зависит от размера фирмы, количества заняты на ней, характера деятельности, роли конфиденциальной информации (коммерческой тайны) и т.п.

Служба экономической безопасности является важнейшим элементом комплексной системы экономической безопасности субъекта предпринимательства. Если предприятие (фирма) небольшое — целесообразнее не создавать собственную службу безопасности, а использовать услуги соответствующих охранных и детективных агентств. В том же случае если предприятие крупное и использует в своей деятельности значительные массивы конфиденциальной информации, то объективно необходимо создание своей службы безопасности.

Приведем примерную структуру службы экономической безопасности предприятия (фирмы). Выделенные блоки непосредственно входят в службу экономической безопасности, а остальные — только в пределах вопросов, находящихся в компетенции СЭБ.

Данная структура предусматривает организацию подразделений, занимающихся непосредственной защитой основных объектов угроз и, одновременно, взаимодействие с другими структурными подразделениями фирмы, от деятельности которых в той или иной степени зависит обеспечение экономической безопасности. Конечно, такая структура не является всеобъемлющей, однако, она может быть использована в качестве основы при создании более развернутой системы экономической (и общей) безопасности.

Рис. 1 Примерная структура службы безопасности

На предприятии может быть создана специальная группа аналитической безопасности. С некоторыми вопросами анализа и контроля вполне может справиться отдел маркетинга и рекламы фирмы.

В задачи групп безопасности могут входить:

· определение ценности имеющейся информации, потребность ее в защите;

· периодический анализ возможной угрозы хищения информации, определение ее реальности, вида, форм;

· изучение клиентов фирмы, их потребностей, привычек, связей;

· определение потенциальных конкурентов. Контроль за рекламой, рынками сбыта, деловыми контактами; выявление актов недобросовестной конкуренции;

· принятие контрмер в случае нарушения интересов фирмы. Эти проблемы могут быть решены собственными силами фирмы, получением за плату нужной информации у коммерческих структур, которые ею располагают (банки, страховые компании), а также обращением за помощью к специалистам по промышленной разведке, детективным агентствам.

Практическая деятельность службы коммерческой безопасности должна основываться на использовании типовых схем, процедур и действий. Прежде всего, следует сказать об общем алгоритме действий, на котором основана работа службы безопасности. Он включает следующую последовательность операций:

Рис. 2 Алгоритм действий работы службы безопасности

Система предупредительных мер включает деятельность по изучению контрагентов, анализ условий договоров, соблюдение правил работы с конфиденциальной информацией, защита компьютерных систем и т.д. Эта деятельность осуществляется регулярно и непрерывно. Она обеспечивает защиту экономической безопасности на основе постоянно действующей системе организационных мероприятий.

В то же самое время следует учитывать тот факт, что организация эффективной системы профилактических, предупредительных мер обойдется гораздо дешевле, чем борьба с последствиями уже случившихся правонарушений, реализованных угроз.