Вход
Регистрация
Избранное (0)
Подпишитесь на рассылку

Памятка на случай угроз: как обеспечить внутреннюю и внешнюю безопасность компании

23.11.2022

Любая компания ежедневно подвергается рискам — правовым, репутационным, экономическим и программным. Их — десятки. Они могут быть незначительными — из-за мелких оплошностей и недосмотра персонала (не отправили вовремя договор или не подписали документы). А могут быть и довольно серьёзными — утечка баз данных, материальные и репутационные потери и даже разорение предприятия.

Какой бы ни была угроза, её необходимо своевременно выявить, а лучше — предотвратить на корню. Необходимо иметь понимание: откуда и какой опасности можно ожидать, какие действия или бездействия являются рискованными и чего такие риски могут стоить.

Какими бывают корпоративные угрозы

Корпоративные угрозы можно разделить на несколько видов (таблица 1).

Таблица 1. Виды корпоративных угроз

Виды угроз

Источники угроз

В зависимости от места возникновения

Внутренние угрозы

Некачественный отбор персонала.

Нарушение сотрудниками правил трудового распорядка.

Действия сотрудников, причиняющие предприятию материальный и (или) репарационный ущерб.

Внешние угрозы

Действия рейдерских компаний или отдельных лиц, направленные на захват управления или имущества компании.

Действия конкурентов, направленные на подрыв репутации компании, кражу интеллектуальной собственности, коммерческой тайны.

Экономический террор по отношению к компании.

Поступки физических лиц, вызванные личной неприязнью к компании, её руководству или персоналу, нацеленные на подрыв репутации компании и (или) порчу имущества.

Незаконные действия госорганов и силовых структур.

В зависимости от фактора воздействия

Экономические

Объективные

Возникают по причинам экономических кризисов, инфляции, санкций.

Преднамеренные

Могут возникнуть ввиду мошеннических действий, недобросовестной конкуренции, демпинга, промышленного шпионажа.

Юридические

Целенаправленные

Заведомо неправильное оформление документов.

Субъективные

Возникают из-за правовой неосведомлённости.

Информационные

Преднамеренные

Связаны с разглашением, использованием, искажением или уничтожением конфиденциальной информации, порчей используемого для приёма и хранения данных оборудования.

Непреднамеренные

Ошибки при разработке ПО, халатность сотрудников, отказ техники

Физические

Непреднамеренные

Связаны техногенными авариями и природными явлениями.

Преднамеренные

Взломы, кражи, непреднамеренное проникновение на территорию и т.п.

Кроме этого, угрозы можно классифицировать по уровню допустимости — на реальные и потенциальные.

Справка! Потенциальная угроза — это опасность «в зачатке», формирование предпосылок к возможному нанесению вреда. Реальные угрозы представляют собой окончательно сформировавшееся явление, когда для нанесения вреда недостаёт одного или нескольких условий. Вероятность реальной угрозы можно подсчитать исходя из теистических данных, с помощью экспертных методов, методами группового SWOT-анализа.

Руководитель компании для каждой обнаруженной угрозы должен просчитать уровень возможных потерь в материальном или денежном выражении.

Как обеспечить безопасность организации: 10 принципов

Защитным «куполом» от внешних и внутренних угроз для компании станет комплекс мер по обеспечению корпоративной безопасности.

Система безопасности должна быть уникальной для каждой компании, что во многом зависит от рода деятельности. Но есть общие принципы, которые можно взять за основу.

Итак, система безопасности должна быть:

  1. Комплексной. Руководство должно учесть все потенциальные угрозы.
  2. Целесообразной. Расходы на безопасность нужно сопоставить с размерами потенциального ущерба
  3. Постоянной. Цикл защиты должны работать непрерывно по цепочке: планирование — тестирование — внедрение — совершенствование — планирование.
  4. Своевременной. Каждое мероприятие по созданию безопасности должно быть направлено на предупреждение возможных угроз и содержать алгоритмы по недопущению посягательств на ценности компании.
  5. Специализированной. Для работы с системой следует использовать специально обученных и подготовленных специалистов.
  6. Заменяемой. Способы защиты рекомендуется дублировать, чтобы иметь запасной вариант в случае выпадения одного из звеньев системы безопасности.
  7. Централизованной. Система безопасности компании должна функционировать в соответствии с общими утверждёнными принципами и контролироваться руководителем организации.
  8. Плановой. Защита должна укрепляться в соответствии с планами, разработанными для каждого подразделения, отдела, отдельных сотрудников компании.
  9. Законной. Безопасность компании должна обеспечиваться в рамках действующего законодательства.
  10. Прогрессивной. Средства и меры защиты нужно постоянно совершенствовать и дополнять, следить за выходом поправок в законах и методиках, техническими новинками.

Строим систему безопасности: с чего начать

Прежде всего проведите аудит процессов компании и выделите те из них, которые требуют защиты. По итогу аудита нужно составить список слабых мест, конфиденциальных данных компании, отделов, где они используются и допущенных к ним лиц. Также проанализируйте, случались ли ошибки, утечки сведений, и когда это было в последний раз. Не обойдётся без мелких нарушений и оплошностей со стороны сотрудников. Это вполне рабочие моменты, но нужно подумать о том, как их предотвратить или свести к минимуму. Для слабых мест нужно просчитать вероятность наступления негативных моментов (сбои работы систем, проникновения на территорию, кражи данных и т.п.) и размер возможного ущерба, который может понести компания.

Далее можно придерживаться несложного пошагового алгоритма

1. В зависимости от слабых мест и угроз, характерных для конкретной сферы деятельности определите цели и задачи системы безопасности. К примеру, для IT-компаний в приоритете защита от утечек информации, если компания реализует смартфоны или ювелирные изделия, потребуется предотвратить возможные вторжения и внутренние кражи.

2. Разработайте «Политику безопасности предприятия». Это основной документ, необходимый для защиты от угроз. В него можно включить:

  • описание потенциально опасных ситуаций;
  • описание система безопасности компании и её задач;
  • методы оценки состояния безопасности;
  • материально-техническую базу;
  • меры по реализации основных положений концепции безопасности и контроля.

«Политика безопасности» подписывается руководителем компании.

3. Назначьте ответственных или сформируйте отдел. Курировать такие вопросы и заниматься разработкой охранных мероприятий может непосредственно руководитель организации. Если компания небольшая, можно доверить такую работу отдельному сотруднику. Для крупного предприятия целесообразно создать службу безопасности с привлечением обученных специалистов или передать такую функцию на аутсорсинг.

Совет! При разработке стратегии руководствуйтесь принципом рациональной достаточности и адекватности действий. Расходы на обеспечение безопасности не должны превышать сумму возможных потерь в случае возникновения негативных ситуаций.

4. И снова — аудит. Но на этот раз будем проверять на прочность саму систему безопасности. Такие проверки бывают двух видов — внутренние и внешние (таблица 2)

Таблица 2. Особенности аудита службы безопасности

Виды аудита

Цели аудита

Объекты аудита

Внутренний аудит

Проводится для выявления и исправления ошибок службы безопасности и защиты от потенциальных рисков, вызванных некомпетентностью работников службы, их недостаточным взаимодействием с другими подразделениями.

Проверяют:

  • эпизоды биографии и квалификацию работников;
  • степень профессиональной подготовки;
  • методы сотрудничества службы безопасности с другими подразделениями;
  • виды и качество профессиональных мероприятий службы безопасности.

Внешний аудит

Комплекс мер направлен на проверку эффективности реакции на угрозы извне.

Проверяют:

  • эффективность реагирования на вторжения в зону охраняемой территории;
  • оперативность обнаружения «жучков» и других возможных средств слежения;
  • режимы денежных перевозок и перемещений товаров;
  • внеслужебные связи сотрудников (как они могут влиять на отношение сотрудника службы безопасности к работе);
  • функциональность технических систем по контролю доступа.

Для проверки службы безопасности можно привлечь сторонних специалистов, в частности, это целесообразно для внешнего аудита. По завершении проверки составляется отчёт. В нём прописываются слабые места службы безопасности, которые необходимо устранить.

Рекомендуем

Политика безопасности предприятия. Курс в Санкт-Петербурге + Онлайн-трансляция

Слушатели курса «Политика безопасности предприятия» получат системное видение того, что называется «корпоративная безопасность», то есть защищенность предприятия от внешних и внутренних угроз для бизнеса.


К списку статей

Нравится
Комментарии 0Комментировать

Авторизоваться - для того, чтобы оставить комментарий.

Вам могут быть также интересны семинары: