Выявление угроз для эффективной защиты бизнеса. Аудит безопасности организации
(продолжение статьи «Философия защиты. Аудит безопасности организации», автор Антон Ларин)
Теперь вернемся к созданию системы безопасности организации. Какая бы терминология ни употреблялась, по сути, нам требуется получить ответ на вопрос, что необходимо предпринять для эффективной защиты бизнеса от внутренних и внешних угроз. А для этого следует выяснить, какие угрозы уже есть в наличии, какие могут возникнуть в ближайшее время или в перспективе.
Вне зависимости от того, есть в организации служба безопасности или какое-либо иное структурное подразделение, призванное обеспечивать ее безопасность, предпринимаются какие-либо действия по защите ее интересов или нет, в первую очередь следует выяснить, какие охраняемые интересы характерны именно для этой организации.
Охраняемые интересы есть в любой организации, но не в любой организации есть четкое, ясное понимание исчерпывающего перечня своих охраняемых интересов. Одни из них касаются всех организаций, другие являются индивидуальной особенностью отдельно взятых, конкретных организаций.
Итак, охраняемыми интересами могут быть:
1) финансовые ресурсы – наличные и безналичные денежные активы, счета организации;
2) экономические интересы – с определенной долей допущения, этим термином можно обозначить основные бизнес-процессы, с помощью которых организация добивается своей основной задачи в виде получения прибыли;
3) материальные ресурсы – основные средства производства, собственная или арендованная недвижимость, автотранспорт, офисная техника и оборудование и т.п. Словом, все, что можно отнести к материальному обеспечению организации;
4) человеческие ресурсы – управленческий, производственный и хозяйственный персонал организации. Люди, занятые в основных и второстепенных бизнес-процессах;
5) информационные ресурсы и интересы – строго говоря, это не один, а два охраняемых интереса, тесно связанных друг с другом. Под информационными ресурсами понимается совокупность сведений, имеющихся в организации, в первую очередь относящихся к категориям «коммерческая тайна» и «конфиденциальная информация», а также носители информации и средства внутренней и внешней информационной коммуникации.
Под информационными интересами подразумеваются имидж и деловая репутация организации, безопасность ее информационных ресурсов (включая регулируемые федеральным законодательством).
Помимо перечисленных выше, может быть и целый ряд других охраняемых интересов. Например, экологические интересы, если деятельность организации связана с активным воздействием на экологию окружающей среды.
После определения исчерпывающего списка охраняемых интересов организации не так сложно выяснить, пред- принимаются ли какие-либо меры по их защите. Гораздо сложнее получить ответ на вопрос: насколько эффективны используемые меры и достаточны ли они? Если в вопросах информационной безопасности мы можем опираться на требования текущего законодательства по защите данных и некоторые международные стандарты (такие как ISO 27001, ISO 27002 и т.д.), то по большинству других параметров общепризнанных стандартов пока нет. Без помощи профильных специалистов обойтись будет сложно.
На этом этапе потребуется получить ответ на вопрос, какие инструменты и технологии выявления текущих и перспективных угроз используются в организации.
Информационный способ – получение информации от информационных источников среди персонала организации, систем видеонаблюдения и других технических и электронных систем мониторинга. Этот способ требует значительно больших разовых и регулярных финансовых затрат, нежели прогностический. Зато вероятностная величина также выше.
Наконец, по факту реализации – самый точный способ и в то же время наименее эффективный с точки зрения обеспечения безопасности. Ведь речь идет лишь о фиксации факта реализации угрозы, но никак не о ее предотвращении. С другой стороны, технологии инструментального контроля, применяемые в этом способе (например, камеры наружного наблюдения), могут быть успешно применены в комплексной технологии выявления угроз в организации.
Принято различать три основных способа выявления угроз: прогностический, информационный и по факту реализации.
Прогностический способ – это выводы аналитиков, полученные на базе анализа текущей ситуации, бизнес-процессов, результатов решения ситуационных задач и т. п. Основным инструментом в данном случае является ситуационное моделирование. Это относительно недорогой способ, позволяющий получить объемный взгляд на текущую и перспективную ситуацию и заблаговременно предпринять действия по недопущению возникновения серьезных угроз. Однако слабой стороной этого способа является недостаточно высокий уровень вероятности, что не позволяет поставить его на первое место среди других способов.
Процедура проверки
В случае, если в организации существует специальное структурное подразделение – служба безопасности, отдел экономической безопасности, отдел охраны и т.п., – оно также должно быть подвергнуто всесторонней диагностике.
В первую очередь требуется проверка уровня теоретических знаний сотрудников подразделения в рамках их должностных обязанностей. Параллельно определяется соответствие самих должностных обязанностей сотрудников требованиям стратегических целей и тактических задач, стоящих как перед самим подразделением, так и перед всей системой безопасности организации в целом.
Самым простым, недорогим и достаточно объективным способом выяснения уровня теоретической подготовки сотрудников является решение ситуационных задач. Для того чтобы повысить результативность тестов, их оценивают не только с точки зрения правильности ответов, но и в соответствии со временем, которое потребовалось на решение задачи. Одно дело, когда сотрудник дает правильный ответ сразу после получения задачи, и совсем другое, когда на это уходит значительное время. Это говорит о том, что знания человека недостаточно крепки: ему приходится напрягаться и вспоминать, а значит, скорее всего, он не сможет эффективно применить их на практике.
Теория, конечно, важна, но не меньшее значение имеет и практика. Практические навыки проверяются с помощью ситуационных игр. Технология, которая дает точные, наглядные результаты, однако требует материальных затрат и временного отрыва персонала от выполнения текущих должностных обязанностей.
Ни теоретические знания, ни практические навыки не дают гарантии того, что сотрудник будет эффективно работать. Можно быть высококлассным специалистом и никудышным работником, не имеющим какого-либо желания активно и продуктивно работать из-за отсутствия должного уровня внутренней мотивации.
Точная оценка профессиональной мотивации сотрудника – дело непростое. Мотивация нематериальна. Ее нельзя увидеть, пощупать или оценить с помощью тестов. В арсенале специалистов по управлению персоналом есть технология оценки «360°». С ее помощью можно определить ряд объективных параметров, в том числе и уровень мотивации.
Не только результативность работы структурного подразделения, но и эффективность всей системы безопасности организации во многом зависит от взаимодействия между структурными подразделениями. В данном случае оцениваются структура, качество и функциональность взаимодействия.
Специфика деятельности системы безопасности такова, что у нее практически полностью отсутствует такой показатель, как прямой экономический доход. Зато может присутствовать прямой ущерб. Ущерб экономическим, материальным, репутационным или каким-либо другим охраняемым интересам организации, причиненный сотрудником или целым структурным подразделением системы безопасности от ненадлежащего или халатного отношения к выполнению своих функциональных обязанностей.
Не меньшей проблемой для организации может быть косвенный ущерб охраняемым интересам, причиняемый деятельностью системы безопасности. Некорректное поведение охранника на входе в офис или в торговом зале на первый взгляд никак не связано с возможным ущербом организации. Но это не так. Подобное поведение формирует у покупателя или заказчика негативную мотивацию, которая совсем не способствует приобретению товаров или услуг этой организации.
Эффективность защищенности организации определяется также и косвенным экономическим доходом от деятельности системы безопасности. Например, от сокращения дебиторской задолженности, предотвращения бесперспективных и невозвратных расходов.
В заключение определимся с тем, кто должен проводить аудит защищенности организации. Вариантов всего два: либо своими силами, либо силами привлеченных специалистов. Оба варианта имеют право на существование, но и у того и другого есть ряд особенностей.
Аудит собственными силами обходится значительно дешевле. Однако собственные сотрудники:
- как правило, не имеют столь высокой квалификации как специалисты, предлагающие услуги по профильному аудиту;
- обладают более высокой вероятностью проявления эффекта «замыливания глаза»;
зависимы от владельцев бизнеса и руководства; иными словами – есть риск получения предвзятого, субъективного конечного результата.
Привлечение сторонних специалистов: с одной стороны – гарантирует более высокий уровень профессиональных знаний, с другой – требует от организации значительных финансовых затрат, одновременно повышая риск утечки конфиденциальной информации.
Таким образом, выбор способа проведения аудита безопасности – исключительное право организации, но обязательность его проведения является необходимым условием повышения ее конкурентоспособности и залогом дальнейшего успешного развития бизнеса.
По материалам статьи «Философия защиты. Аудит безопасности организации»
Автор статьи Антон Ларин