Как безопасность связана с бизнесом

Экономическая безопасность бизнеса: что, где и с кем?

В современных условиях успех бизнеса в значительной мере зависит от степени его защищенности. Проблемы экономической безопасности предприятия приходится решать не только в кризисные периоды, но и при работе в стабильной экономической среде. Руководители вынуждены практически ежедневно принимать ряд решений и искать ответы на десятки вопросов, касающихся сферы экономической безопасности бизнеса…

Что такое экономическая безопасность?

Экономическая безопасность бизнеса (ЭБ) — один из основных элементов современного менеджмента предприятия. От эффективности организации экономической безопасности в значительной степени зависит успех деятельности предприятия на рынке.

Под экономической безопасностью понимают совокупность мероприятий (организационных, правовых, режимных, технических, информационных), направленных на достижение достаточного уровня безопасности от воздействия различных угроз внутренней и внешней среды.

Еще не так давно к числу наиболее распространенных причин нарушения стабильной деятельности предприятия относили стихийные бедствия, пожары и хищения материальных ценностей. Сегодня все чаще приходится сталкиваться с мошенничеством, недобросовестной конкуренцией, коррумпированностью чиновников, посягательствами на коммерческую тайну и интеллектуальную собственность, криминалом. Недостаточно высокая эффективность государственных органов по защите законных прав кредиторов вынуждает руководителей предприятий уделять вопросам обеспечения безопасности своего бизнеса все более серьезное внимание.

Как служба безопасности может помочь бизнесу. Нестандартные кейсы

Вместе с бурными девяностыми годами ХХ века ушел в прошлое и приоритет силовых методов обеспечения безопасности бизнеса. Бизнесмены все меньше стреляют и все больше анализируют информацию и считают риски.

В настоящее время выделяют несколько основных групп средств и методов обеспечения экономической безопасности бизнеса:

  • организационно-правовые;
  • инженерно-технические;
  • информационно-технологические;
  • морально-психологические;
  • специальные.

Основные задачи

К важнейшим задачам обеспечения экономической безопасности предприятия относятся:

  • оценка внутренних и внешних угроз безопасности предприятия, бизнеса, проектов, контрактов;
  • проведение делового маркетинга (конкурентная разведка и контрразведка);
  • подготовка информационно-аналитических материалов о рынках, проектах, контрактах, партнерах;
  • проверка деловой репутации и платежеспособности контрагентов и партнеров;
  • предотвращение угроз и противоправных действий со стороны недобросовестных конкурентов;
  • проверка благонадежности персонала;
  • проведение деловых переговоров с дебиторами, минимизация дебиторской задолженности;
  • обеспечение физической защиты объектов и топ-менеджмента;
  • взаимодействие с правоохранительными и надзорными органами;
  • защита конфиденциальной информации и др.

Наличие многочисленных факторов, несущих в себе угрозы экономической безопасности предприятия, делает актуальным вопрос о создании системы мониторинга с целью заблаговременного предупреждения опасности и принятия необходимых мер защиты и противодействия.

Рецептов безопасности нет

Мировая практика свидетельствует, что для обеспечения безопасной работы компании необходимо создание системы комплексной защиты. Типовых рецептов для этого не существует: в силу индивидуальности каждого предприятия и его бизнеса.

Обеспечение экономической безопасности компании начинается с поиска ответа на вопрос: кому поручить решение этой важной задачи? Вот тут-то и встает выбор между двумя стратегиями.

Создание собственной службы безопасности на предприятии

Создание собственной службы безопасности (СБ) начинается с выбора ключевой фигуры — руководителя, которому можно доверить практически всю информацию о фирме, ее деятельности, сильных и слабых сторонах, возможностях и потенциальных угрозах.

Сосредоточение конфиденциальной информации в узком кругу внутренней СБ, то есть в рамках своего предприятия, — это безусловный приоритет первой стратегии.

Подбор руководителя СБ представляет собой весьма сложную задачу. Человек на этом посту должен удовлетворять ряд специфических требований.

Во-первых, в настоящее время недостаточно, чтобы он был выходцем из силовых структур и имел там хорошие контакты. В ряде случаев это может нести в себе и угрозы для бизнеса (искусственное создание внешних проблем и демонстрация своих способностей по их решению).

Во-вторых, руководитель СБ должен быть знаком не только с силовыми методами борьбы, но и с маркетингом, экономическими аспектами работы предприятия, источниками экономической информации. Необходимость проведения аналитической работы с целью выявления и оценки рисков бизнеса предполагает наличие у руководителя СБ качеств маркетолога. Ведь самую высокую доходность приносят наиболее рискованные сделки, а риск невозможно оценить без знания специфики и динамики рынка, потребительского спроса, позиций партнеров и конкурентов, влияния факторов законодательства и др.

Руководитель СБ должен владеть современными методами делового маркетинга или, иными словами, экономической разведки и уметь организовать ее проведение в интересах фирмы в рамках действующего законодательства.

Наличие у руководителя СБ вышеперечисленных качеств дает возможность, в случае необходимости, организовать контроль сотрудников своего предприятия (маркетологов, менеджеров по продажам, логистиков, бухгалтеров, юристов и других) с целью оценки их действий в интересах фирмы, а также оценки внутренних факторов риска. Кроме того, желательно, чтобы он располагал формальными и неформальными контактами с ведущими специалистами в соответствующих областях.

Руководитель СБ постоянно использует информацию как важный компонент для решения задач экономической безопасности предприятия. Проведение информационно-аналитической работы предполагает необходимость создания и постоянного обновления собственных информационных ресурсов. Не каждое предприятие, особенно малого и среднего бизнеса, способно организовать процесс сбора данных из различных источников.

Особенности и недостатки

Существует некий барьер создания эффективной собственной службы. Помимо зарплаты персонала, это затраты, связанные с приобретением необходимых информационных ресурсов.

Нужно также помнить о том, что собственная СБ — это обоюдоострое оружие. Оно может быть использовано как во благо фирмы, так и (при определенных обстоятельствах) во вред, например, в случае возникновения внутреннего конфликта, работы руководителя СБ не в интересах фирмы. Чем больше полномочий у сотрудника, чем более важный пост он занимает, чем большим объемом информации он обладает, тем больше у него возможностей нанести ущерб предприятию. Поэтому целесообразно его участие в программах лояльности предприятия (достойная заработная плата, премирование за решение важных задач, предоставление социального пакета и др.).

К тому же оплата труда руководителя СБ и других сотрудников данного подразделения — это лишь незначительная часть затрат на обеспечение безопасности. Ведь для эффективной деятельности СБ необходима достоверная информация о конкурентах, партнерах, поставщиках, потребителях, обстановке в регионе. И хотя около 90% сведений можно получить в ходе анализа информации из открытых источников, остаются еще 10%, требующие дополнительных расходов. Как правило, о создании собственной СБ руководители предприятий начинают задумываться при годовом обороте примерно от 5 млн. грн. и численности персонала 20–30 человек. При отсутствии внутренней СБ решение задач по обеспечению экономической безопасности предприятия можно возложить на специализированные фирмы, предоставляющие услуги в этой области.

Передача функций обеспечения ЭБ предприятия в аутсорсинг

Обеспечение безопасности предприятия может осуществляться внешними организациями, профессионально специализирующимися в данной области, в форме абонентского обслуживания или оказания разовых услуг. Такую организацию работ сегодня называют аутсорсингом.

Несмотря на то, что этот сектор растет значительными темпами, руководители многих предприятий все еще стремятся самостоятельно решать возникающие проблемы, в том числе и обеспечивать безопасность своего предприятия.

Сегодня многочисленные охранные фирмы в Украине и России, а также агентства по предоставлению информационно-консультационных услуг в области безопасности бизнеса предлагают аутсорсинг по обеспечению ЭБ. В подавляющем большинстве — это предприятия, которые профессионально осуществляют физическую охрану объектов и личную охрану руководства, взаимодействуют с правоохранительными органами, а также готовят различные информационные бизнес-справки о деловых партнерах и конкурентах, о положении в отдельных секторах рынка и регионах. Свои услуги по урегулированию правовых вопросов активно предлагают юридические фирмы. Финансовые стороны работы предприятия могут решить независимые финансовые консультанты, аудиторы.

Однако их привлечение для комплексного обеспечения ЭБ содержит очень серьезную угрозу, связанную с возможной утечкой конфиденциальной информации. Чем больше внешних структур обслуживает предприятие, тем выше этот риск. Чем больше людей и организаций посвящены в дела компании, тем труднее контролировать защиту безопасности, и тем выше вероятность ее нежелательного распространения. В стремлении обеспечить ЭБ, частью которой является и защита информации, заказчик открывает свои секреты не одному партнеру (руководителю своей СБ или охранному агентству), а нескольким. Такое сотрудничество — немногим менее рискованная ситуация, чем нелояльность или чрезмерная дороговизна собственной компетентной службы безопасности.

го использования конфиденциальной информации заказчика можно сосредоточением в одной партнерской структуре всей или большей части работ по обеспечению ЭБ. Желательно в такой, которая самостоятельно поддерживала бы на высоком уровне собственную информационную безопасность.

Индивидуальные особенности

Услуги аутсорсинга носят индивидуальный характер, что гарантирует дополнительную защиту информации о вас и вашей компании. Если экономическая безопасность предприятия — это его иммунная система, то предоставление индивидуальных услуг по обеспечению безопасности — это своего рода «врачебная тайна».

Известно, что именно соблюдение конфиденциальности является одним из уязвимых мест аутсорсинга. И хотя достоинств у этого механизма сотрудничества больше, чем недостатков, защита коммерческой тайны остается под вопросом, а снижение этого риска — одним из главных факторов успеха партнеров по аутсорсингу.

Опыт западных стран и России показывает, что в ближайшее время в Украине аутсорсинг обретет закономерную популярность. Вопрос лишь в том, как и с кем строить аутсорсинговое сотрудничество?

Ключевые слова:

  • Руководителю
  • Экономическая безопасность

Источник: hr-portal.ru

Роль информационной безопасности в обеспечении непрерывности бизнеса

Экскурс в историю

Впервые о бизнес-непрерывности задумались в пятидесятых годах прошлого века – инженеры стали всерьез заниматься проблемой аварийного восстановления деятельности (disaster recovery) после инцидентов. Окончательное формирование этой практики случилось в восьмидесятые годы, а следующее десятилетие, с его бурным развитием технологий, увеличило сложность используемых подходов.

Понятие непрерывности бизнеса или BCM (Business Continuity Management) пришло на смену аварийному восстановлению во второй половине девяностых, но многие специалисты до сих пор путают эти вещи. Сегодня уже недостаточно резервного копирования данных, холодной или горячей резервной площадки. Проблема бесперебойной деятельностью всей организации затрагивает производственное оборудование и технологические процессы, средства коммуникации, персонал и многое другое. Мы сосредоточимся преимущественно на ИТ-системах, поскольку их отказ может полностью парализовать деятельность компании.

Стандарты и инструменты

Существует множество международных организаций, занимающихся проблемами непрерывности бизнеса. Наиболее известным считается разработанный в BSI (British Standard Institute) стандарт BS25999. Стоит упомянуть лучшие практики британского BCI (Business Continuity Institute), а также американских DRI (Disaster Recovery Institute) и SANS (SysAdmin, Audit, Network, Security Institute) и руководства Австралийского национального агентства аудита (ANAO). Сюда же можно добавить различные национальные, отраслевые и даже внутренние корпоративные нормативы — в этом информационном море легко утонуть. Хуже всего, что описывающие теоретические основы документы не отвечают на простой вопрос: «Как решить проблему на практике?».

Инициируем проект

Анализируем воздействие на бизнес

Шаг номер один: проводим детальное изучение бизнес-процессов (Business Environment Analysis, BEA) компании и определяем требования по непрерывности. Чаще всего отвечающий за выполнение проекта консультант проводит интервью с руководителями затронутых проектом отделов.

Составляется перечень процессов и начинается работа с их владельцами: нужно определить тип воздействия процесса на бизнес, степень его зависимости от ИТ, а также максимально допустимое время простоя (Maximum Allowable Outage, MAO), по истечении которого возникает угроза утраты жизнеспособности организации. Определив MAO для каждого бизнес-процесса, нужно обозначить допустимое время их восстановления (recovery time objective, RTO) и целевую точку восстановления (recovery point objective, RPO) — обычно это временной диапазон перед возникновением чрезвычайной ситуации, данные за который могут быть утрачены.

Стоит обозначить и допустимые уровни производительности (Level of Business Continuity, LBC) в чрезвычайных ситуациях — обычно в процентах от режима штатной работы. При оценке воздействия (Business Impact Analysis, BIA) проводится анализ влияния процессов на весь бизнес в целом. В результате должен быть составлен перечень критических процессов и их взаимозависимостей, а также определены сроки простоя и восстановления как самих процессов, так и связанных с ними информационных систем. Дальше потребуется анализ рисков (Risk Analysis, RA), во время которого оцениваются уязвимости, угрозы непрерывности процессов и эффективность их предупреждения. Определив процессы, которые могут нарушить деятельность компании, а также возможный ущерб, мы сможем предсказать потенциальные опасности, источники угроз и собственные уязвимости.

Стратегия и планы

Шаг номер два: вырабатываем правильную стратегию непрерывности бизнеса (Business Continuity Strategy definition), затрагивающую все аспекты деятельности компании. Для каждого направления создаётся отдельный раздел, описывающий возможные технические и организационные решения по оперативному восстановлению бизнес-процессов.

Используемые ИТ-решения — это в основном горячие и холодные резервные площадки, средства динамического распределения нагрузки, а также мобильные площадки и мощности сторонних поставщиков услуг (аутсорсинг). Отличаются они в основном стоимостью и временем восстановления деятельности. Необходимо создать планы непрерывности бизнеса (Business Continuity Plan, BCP) и восстановления инфраструктуры в чрезвычайных ситуациях (Disaster Recovery Plan, DRP), а также создать техническую и организационную системы BCM. Планы обычно предполагают наличие трёх этапов восстановления непрерывности: реагирование на инцидент, выполнение критичных для бизнеса процессов в условиях чрезвычайной ситуации и переход в режим штатной работы.

Внедрение и сопровождение

Шаг номер три: закупаем и внедряем выбранные решения. Внедрение – сложный процесс, который может потребовать привлечение стороннего подрядчика. Но даже завершив его, не стоит почивать на лаврах – обеспечение непрерывности бизнеса, процесс непрерывный и циклический.

Корпоративную программу BCM придется не только постоянно совершенствовать, но и интегрировать в корпоративную культуру. Не удастся и ограничиться только составлением планов – их нужно будет тестировать, либо настольными проверками (Tabletop), имитациями (Imitation) или полным тестированием (Full business continuity testing). По итогам тестов составляются отчеты с используемыми сценариями и полученными результатами, а также с предложениями по улучшению имеющихся планов. Обновляют их обычно ежегодно, а иногда и чаще — в случае существенных изменений в ИТ-инфраструктуре, например, или в законодательстве.

Связь с ИБ

Специалисты разделяют планы непрерывности бизнеса и планы аварийного восстановления, однако роль политики информационной безопасности в программе BCM не всем очевидна. Один из недавних случаев – происшествие на московской канатной дороге, деятельность которой была полностью парализована в результате кибератаки.

Каким бы хорошим не был в этом случае Disaster Recovery Plan, быстро наладить работу предприятия он не помог — восстановленные из резервной копии серверы будут подвержены тем же уязвимостям. Именно поэтому в планы обеспечения непрерывности бизнеса необходимо было включить перечень действий в случае успешной атаки на ИТ-инфраструктуру, позволяющий сократить время простоя без риска для пассажиров.

В промышленности угроз намного больше. Если в качестве примера взять считающуюся в России наиболее высокоавтоматизированной нефтегазовую отрасль, то технологическими процессами на добывающих, перерабатывающих и сбытовых предприятиях фактически управляют компьютеры.

Никто не снимает вручную показания аналоговых приборов, их заменили цифровые датчики и умные системы мониторинга. Задвижки, клапаны и другие исполнительные устройства тоже стали цифровыми.

Если успешная атака на АСУ ТП прервёт технологический процесс на несколько секунд, это может привести к остановке предприятия на многие часы или недели, к выходу из строя дорогостоящего оборудования и даже к серьёзным техногенным катастрофам. До недавних пор считалось, будто изоляция технологической части от сетей общего пользования делает хакерские атаки на АСУ ТП невозможными, но с развитием цифровизации производства эта изоляция уменьшается, а количество угроз растёт.

Кроме промышленности есть и другие сферы деятельности, к тому же не все критичные для бизнеса сервисы могут быть изолированы. Главный вывод – стратегия информационной безопасности должна быть тесно интегрирована в общую корпоративную программу обеспечения непрерывности бизнеса. Для этого нужны комплексные решения, способные свести воедино все инструменты, обеспечивающие доступность ресурсов и защиту от хакерских атак, конфиденциальность и целостность данных, а также автоматизированный контроль исходного кода и безопасности приложений. На этапах анализа рисков и оценки воздействия на бизнес необходимо учесть возможное наличие в информационных системах подверженных атакам злоумышленников уязвимостей, а в Business Continuity Plan придётся включить процедуры получения актуальных данных об угрозах для ИТ-инфраструктуры, их критичности и наличии исправлений. Стратегия обеспечения непрерывности бизнеса должна также предусматривать процедуры восстановления работы сервисов после успешных атак.

Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Источник: www.securitylab.ru

Построение корпоративной безопасности: как определить угрозы и обеспечить комплексную защиту бизнеса

обеспечение надежности в корпорации

В 2021 году охранная система каждого более или менее крупного бизнеса должна быть не только физической, ведь сегодня угрозы корпоративной безопасности могут принимать практически любой, даже самый простецкий вид. Повсеместная глобализация принесла огромное количество преимуществ, но с повальным развитием технологий у предпринимателей появилось множество проблем, касающихся защиты информации. Человек, сумевший добраться до сведений о своих конкурентах, получает мощный перевес для работы на рынке, тем самым превращаясь в настоящего монополиста. Именно поэтому абсолютно каждой организации следует надежно хранить свои данные, предваряя все попытки несанкционированного вторжения.

Что значит комплексная безопасность компании

Нетрудно догадаться, что в современных реалиях вопросы, связанные с охраной тех или иных особо важных данных, выдвигаются перед каждым предприятием, вне зависимости от вида осуществляемой деятельности, организационно-правовой формы и места, занимаемого в отрасли. Всевозможные утечки, связанные, например, с документацией, способны нанести непоправимый ущерб интересам фирмы, в том числе и благодаря усилению позиций конкурентов.

К счастью, в 2021 году владельцы разных типов бизнеса могут оперировать целыми перечнями различных средств и систем, не допускающих утечки важной информации. Сегодня под термином о корпоративной безопасности подразумевается понятие о целом комплексе различных мероприятий, нацеленных на повсеместную протекцию экономических, технических и юридических выгод какой-либо организации. Причем абсолютно все меры внедряются в структуры корпорации пошагово, в соответствии с этапами изначально проработанного и продуманного плана. Выполнить все операции наскоком и рядом быстрых решений не получится: в современных реалиях высокие заборы и охранные посты не представляют собой особой проблемы для злоумышленников. Нынешние бизнесмены борются буквально за каждого клиента, и любая утечка способна решить исход рыночной коммерческой битвы.

Внешние и внутренние угрозы корпоративной безопасности компании

  • действия нечистых на руку конкурентов;
  • финансовый шантаж;
  • незаконные влияния со стороны сотрудников государственных учреждений;
  • умышленные кражи, взломы, вторжения;
  • случаи некомпетентности сотрудников;
  • мошенничество и ситуации, связанные с намеренным непогашением кредитов;
  • и т. д.

Источник: www.cleverence.ru

Безопасность бизнеса

Безопасность бизнеса – это набор мероприятий и мер, направленных на всестороннюю защиту предпринимательской деятельности от различных видов угроз (информационных, юридических, физических, экономических и организационно-кадровых). Все решения, касающиеся всесторонней охраны бизнеса и принимаемых мер, возлагаются на службу безопасности, руководителей соответствующих отделов и директора организации.

минимальные требования безопасности бизнеса

Виды проблем в безопасности бизнеса и пути их решения

В любом виде бизнеса всегда есть место для риска. При этом хороший руководитель не будет ждать проблем – он своевременно примет меры для защиты от наиболее вероятных проблем в сфере бизнеса. К таким можно отнести:

— корпоративные неурядицы – споры и конфликтные ситуации между акционерами компании, конфликты между топ менеджерами или сложности взаимоотношений между владельцами компании и руководителями подразделений;

— внешние опасности – угрозы со стороны криминальных структур, конфликты с правоохранительными и государственными структурами, рейдерские налеты и так далее;

— финансовые потери – мошеннические действия персонала (клиентов), кража, недобросовестные посредники или поставщики, нецелесообразное применение ресурсов компании, получение взяток за определенную деятельность против интересов компании;

— информационные опасности – утечка секретной информации компании (ее сокрытие или уничтожение), получение несанкционированного доступа к конфиденциальным данным, разглашение коммерческой тайны и тому подобное;

— охранные «прорехи» — кражи материально-технических ценностей посторонними лицами, несанкционированное проникновение на территорию компании, нарушение трудовой дисциплины;

— проблемы с репутацией – наличие в структуре работников, имеющих плохую репутацию, сотрудничество с людьми (контрагентами), имеющими плохую репутацию.

Для решения всех перечисленных проблем бизнеса, требуются следующие виды защиты:

— физическая – системы безопасности, охрана, камеры наблюдения и так далее;
— экономическая – проверка контрагента, защита банка-клиента, оптимизация налогов;
— организационно-кадровая – проверка поступающего на работу персонала, контроль уже существующих сотрудников;
— информационный – защита от вторжений, защита файлов и документов, оптимизация и защита 1С, единая аутентификация, защит от утечек информации и так далее;
— юридическая – экспертиза совершенных сделок, проверка проектов документов, абонентское обслуживание и так далее.

Информационная безопасность бизнеса

Выбор защит IT менеджеров

По статистики больше половины всех проблем бизнеса возникают по причине «пробелов» в информационной безопасности. Утечка информации к конкурентам, потеря данных, передача в чужие руки секретной информации компании – все это несет большой риск для бизнеса. В такой ситуации IT-менедежеры компании идут на ряд эффективных мер, обеспечивающих комплексную защиту компании.
На первом месте находится защита финансовых данных, на втором – защита от утечек, а на третьем – защита от DdoS-атак. И если первые два пункта уже давно в тройке лидеров, то проблема с атаками появилась лишь недавно. Причина такого интереса – возросшее число DdoS-атак на компании малого и среднего сегмента.

Применяемые методы защиты

Среди основных мер, которые компании России принимали в сфере безопасности можно выделить – защиту от вредоносного ПО, управление обновлениями, контроль приложений, сетевую структуру, решения для защиты финансовых переводов, контроль применения внешних устройств, защита мобильных телефонов и так далее.

Основные методы информационной защиты бизнеса следующие:

1. Защита от вторжений – установка программ или оборудования, необходимого для контроля трафика в сети. При появлении первой же опасности (вторжения) система реагирует и блокирует доступ. Одновременно с этим происходит оповещение ответственного сотрудника.

Система защиты реализуется одним из двух способов:

— система IPS. Ее задача – блокировка любой сетевой активности, вызывающей подозрения, эффективное отсеивание «лишнего» трафика. Плюс системы – способность не только обнаруживать, но и предотвращать вторжение. Минус – высокий процент ложных срабатываний, что приводит к постоянному отвлечению сотрудников от дела и простаиванию компьютерной сети на время проверки;

— система IDS – осуществляет отслеживание текущей аномальной активности, при появлении которой дается сигнал администратору. Положительные черты — эффективная борьба с вторжением, передача права принятия решения администратору. Минус в том, что ответственный работник может не успеть принять меры и системе будет нанесен непоправимый вред.

Идеальная система защиты от вторжения выглядит следующим образом:

система защиты от вторжения

2. Защита от утечек – набор мер, позволяющих предотвратить попадание конфиденциальной информации в посторонние руки. Утечка может произойти двумя способами:

— путем злонамеренной кражи (шпионаж, рейдеры, инсайдеры);
— по причине оплошности персонала (потеря носителя, отсылка пароля по почте, переход на страничку с вирусом, отсутствие ответственных людей за передачу прав на доступ к данным и так далее).

При злонамеренной краже методы защиты следующие – ограничение режима допуска на предприятие, установка камер наблюдения, монтаж средств уничтожения данных на серверах, шифрование информации, хранение данных на зарубежных серверах.

Для защиты от ошибок персонала эффективными можно назвать следующие методы – минимизация прав доступа к конфиденциальной информации, индивидуальная ответственность сотрудников, использование защищенных каналов, создание регламента работы сотрудников с важными документами, введение ответственности за переданные работникам носители данных.

Кроме этого, для защиты от случайных ошибок важно организовать – запись телефонных разговоров, мониторинг трафика и работы сотрудника за ПК, шифрование USB карт, применение RMS, внедрение DLP систем и так далее.

защита от утечек

3. Защита файлов подразумевает сохранность всей наиболее важной информации, которая хранится на компьютерах и серверах внутри компании. Она реализуется следующим образом:

— шифрованием файловых систем (данных) – применение систем EFS, Qnap, CryptoPro и так далее;

— шифрованием ноутбуков (нетбуков), носителей информации, мобильных аппаратов – программные решения (Kasperskiy, SecretDisk, Endpoint Encryption) или модули шифрования от Sony, Asus и прочих компаний;

— защита информации от системного администратора, к примеру, с помощью TrueCrypt;

— регистрация мобильного на трекерах мониторинговых систем (с помощью Касперского или Prey);

— запрет (ограничение) доступа к различным электронным файлам (один из лучших вариантов — Active Directory Rights Management Services).

— единая аутентификация. Можно использовать две схемы – на доменной авторизации (оборудование привязывается к доменной структуре), с помощью электронного ключа E-token или с помощью оповещения СМС.

Технология единой аутентификации реализуется следующим образом:

технология единой аутентификации

В случае применения USB-ключа (токена) схема взаимодействия смотрится по-другому:

схема с применением USB-ключа (токена)

Взаимодействие пользователей в случае применения смс-оповещений:

Взаимодействие пользователей в случае применения смс-оповещений

4.Оптимизация и защита 1С требует внедрения следующих мер:

— при работе с базой 1С – шифрование дисков, ограничение прав доступа, установка системы защиты процессов обмена данными и фалов;

— при работе с СУБД базы 1С – ограничение прав администратора у пользователей, использование систем шифрования, выполнение мер по ограничению удаленного или физического доступа к серверам и так далее;

— защита конфиденциальных данных.

Кроме перечисленных выше мер, к способам обеспечения информационной безопасности относится:

— защита корпоративных коммуникаций;
— быстрое удаление информации с сервера;
— контроль работы сотрудников;
— обеспечение отказоустойчивости и стабильности всех бизнес процессов.

Экономическая безопасность бизнеса

Для обеспечения экономической безопасности необходимо выполнение следующих мер:

1. Проверка компании-контрагента. В законе РФ нет пункта, который бы обязывал проводить проверку будущего партнера. С другой стороны организация должна проявлять осмотрительность в этом вопросе и не совершать сделок с подозрительными структурами. В противном случае можно получить целый ряд проблем:

— невыполнение контрагентом своих обязательств;
— потерю доверия со стороны инвестора;
— падение деловой активности;
— опасность финансовых потерь;
— проблемы с правоохранительными органами.

Перед началом сотрудничества важно проверить:

— идентификационный номер налогоплательщика;
— выписку из ЕГРЮЛ;
— точное название компании;
— генерального директора;
— устойчивость компании;
— наличие реальной регистрации по указанному адресу;
— наличие бухгалтерского баланса.

Проверка компании-контрагента

2. Оптимизация налогов позволяет снизить затраты предприятия и возможные проблемы с органами налоговой инспекции. Лучшим решением может стать аутсорсинг. С его помощью:

— внедряются более совершенные методы планирования налогов;
— экономятся средства компании за счет привлечения квалифицированных специалистов извне;
— «выплывают» все ошибки в функционировании фирмы;
— повышается надежность, качество и главное – эффективность выполняемых работ;
— появляется шанс забыть о налоговых проблемах и заняться делами бизнеса.

Процесс оптимизации проводится в три этапа – анализ деятельности компании, разработка рабочего проекта и внедрение новой схемы.

3. Защита компьютера с установленной системой «клиент-банка». Недостаточное внимание к этой составляющей бизнеса в последние годы привело к большому количеству преступлений. Мошенники с легкостью получают доступ к компьютеру, через который ведется управление потоками, и проводят необходимые им операции. Банк Сбербанк России уверяет, что в 2014 году лишь за несколько месяцев было пресечено сотни попыток краж дистанционным путем на сумму более миллиарда рублей.

Защитить компьютер с установленной на нем системой «клиент-банка» можно несколькими способами:

— ПК должен применяться исключительно для проведения операций с «клиент-банком»;
— права пользователей должны быть максимально ограничены, что снижает вероятность доступа к системе посторонних лиц;
— операционная система и антивирус должны обновляться своевременно;
— обязательна установка сетевого экрана. При этом любой трафик (кроме сделок с банком) должен быть заблокирован;
— высокий уровень безопасности должен поддерживаться в постоянном режиме, а не время от времени;
— в компьютере или возле него не должно оставаться носителей информации с ключами или правами доступа к системе;
— рабочее место с «клиент-банком» должно быть расположено в отдельном помещении. При этом организация СКУД и видеонаблюдения обязательна.

Организация физической безопасности бизнеса

Одна из наиболее важных задач для любой компании – защита от проникновения посторонних лиц на территорию объекта, контроль всех основных помещений предприятия, защита и обеспечение спокойствия работников организации, обеспечение защиты от пожара. Для этого может применяться следующий комплекс мер:

1. Установка систем видеонаблюдения по периметру здания и внутри него. При этом служба безопасности и руководитель предприятия должны видеть, что происходит внутри офиса и за его пределами. Для визуального контроля могут устанавливаться дополнительные опции – система распознавания, автоматический анализ изображения, распознаватель номеров и так далее.

2. Система контроля управления доступом позволяет надежно защитить компанию от проникновения внутрь охраняемого объекта посторонних лиц.

3. Система оповещения об опасности активирует сирену внутри защищаемого здания. В случае необходимости может быть задействовано речевое оповещение, но чаще всего хватает и звукового сигнала.

4. Установка домофона – надежный способ контролировать доступ в помещение. Такие системы позволяют проверить посетителя без контакта с ним. Но в крупных структурах такая система работать не будет – слишком большой поток людей.

5. Монтаж пожарной сигнализации, способной своевременно локализовать возгорание и предупредить персонал об опасности.

технические средства физической безопасности бизнеса

Правовая безопасность бизнеса

Обеспечение правовой безопасности – это один из способов защиты компании (фирмы, предприятия) от грубых юридических ошибок, которые могут повлечь за собой серьезные репутационные и финансовые потери. Правовая безопасность бизнеса подразумевает комплексную поддержку в юридических вопросах, своевременное консультирование и экстренную правовую помощь. Обеспечением правовой безопасности могут заниматься как сотрудники организации, так и представители сторонних компаний.

К основным методам обеспечения юридической безопасности можно отнести:

— экспертизу всех документов, а также проверку правильности их составления;
— представление интересов компании в судовых инстанциях;
— обслуживание по всем видам правовых вопросов на всех этапах сделки;
— экспертиза всех будущих сделок, коммерческих и инвестиционных проектов компании;
— своевременное взаимодействие и решение спорных моментов с государственными структурами;
— подготовка к проверкам контролирующих структур;
— обеспечение защиты в случае незаконных попыток изъятия правоохранительными органами документов компании;
— оформление исков, жалоб на действия (бездействие) контролирующих (правоохранительных) структур.

Организационно-кадровая безопасность бизнеса

Обеспечение организационно-кадровой безопасности – это задача любого руководителя. Суть таких мероприятий – защита деятельности от вероятных угроз, вызванных человеческим фактором. Основные задачи – выявление и предупреждение мошеннических действий работников.

Организационно-кадровая безопасность бизнеса

К основным мерам организационно-кадровой безопасности можно отнести:

— сбор всех необходимых данных о работниках компании, их анализ, а также принятие решения на их основе о допуске человека к секретной информации;

— своевременное выявление потенциальных угроз, которые могут исходить от сотрудника по причине его прошлой деятельности и личностных качеств – криминальной деятельности, отрицательных морально-нравственных качеств, работе с конкурентами и так далее;

— подробный сбор информации о кандидате в сотрудники компании для последующего анализа потенциального работника и принятии решения о его приеме на работу;

— обеспечение социально-психологического контроля за сотрудниками компании, изучение внутренней обстановки внутри коллектива и выявление проблем на ранней стадии;

— проведение обучение и качественная подготовка персонала в вопросах, касающихся правил обращения с секретными данными, а также касательно необходимых к выполнению мер безопасности;

— расследование всех фактов подозрительного поведения работников, которые привели к ущербу (финансовому, репутационному) компании;

— организация трудовых споров, касающихся выпонения обязательств по договору и вероятных нарушений мер безопасности сотрудниками;

— проведение анализа и подробная оценка всех организационных моментов, которые могут стать угрозой для безопасности бизнеса.

Источник: utmagazine.ru

Основной инстинкт бизнеса: грани корпоративной безопасности

Вы когда-то пробовали внедрить в компании новые регламенты и инструкции? Если да, то наверняка знаете, какая буря возмущения обрушивается со стороны коллектива. Как минимум, вас начинают тихо ненавидеть, как максимум — появляются сплетни, какие-то немотивированные заявления об уходе и общая паника. Стоит ли откатывать процесс? Нет.

Если появилось возмущение и сопротивление такому «ограничению свободы», скорее всего вы задели чьи-то интересы. И вроде вы не перегибаете, а вводите минимальные меры по защите, но по мнению части сотрудников, закручиваете гайки, насаждаете режим, давите авторитетом и перекрываете воздух свободы. Успокойтесь — вы на правильном пути.

И перекрыв тот самый «воздух свободы», вы позволяете своей компании не про*****, а сохранить «полимеры». Потому что работаете с корпоративной безопасностью, которая в последние несколько лет изменила лицо. Так что давайте познакомимся с ней снова.

Нам очень нравится советский плакатный жанр. Там было много про технику безопасности. Бизнес вполне может переосмыслить промышленные советы. Не наступайте на грабли, загибайте гвозди — короче, работайте на опережение.

А что, нам кто-то или что-то угрожает?

Этой статьи не должно было быть — в планах стояли совсем другие, мирные темы. Но обсуждение предыдущего поста в комментариях и не только натолкнуло нас на мысль, что с безопасностью в российском бизнесе дела обстоят примерно так же, как и с CRM-системами: крупные и опытные и так всё знают, а остальным не надо — «эксельки» (MS Excel) хватит.

Тем удивительнее было видеть некоторые высказывания именно на Хабре. Нет, ребята. Проблема безопасности стоит абсолютно перед любой компанией вне зависимости от её размера, отраслевой принадлежности и оборота. Просто потому что ваша компания работает во внешней среде, в ней есть сотрудники, компьютеры, сети, программное обеспечение, клиенты и сам продукт или услуга.

И если никто не пытается вас хакнуть или DDoS-ить, это не значит, что компания в полной безопасности. Слишком много аспектов стоит брать во внимание.

Давайте начнём с обзорной схемы корпоративной безопасности компании.

Как видите, в списке угроз субъектам деятельности бизнеса нет ничего неординарного — с подобными аспектами работы сталкивается каждый бизнес, и все они таят угрозы. Рвануть может там, где вы и не ждёте.

Теперь у нас вырисовываются компоненты корпоративной безопасности, о половине которых компании не помнят, а то и вовсе не знают.

Информационная безопасность — на сегодня это тот тип безопасности, обеспечением которого нужно заняться всем. Риск есть на всех уровнях: начиная от нечаянного запуска вредоноса из почтового сообщения, заканчивая рисками, связанными с облачными технологиями, сторонними сервисами и злонамеренными действиями сотрудников.

Экономическая (финансовая) безопасность должна противостоять всем источникам «ухода» либо неполучения денег. Она также актуальна для любой компании и напрямую сопряжена с работой с документами, уплатой налогов, бухгалтерским учётом, вложениями в рекламу и маркетинг и т.д. Кстати, этот тип безопасности наиболее уязвим перед человеческим фактором.

Правовая безопасность — защита от неправомерных действий и правонарушений, идущих вразрез с нормами законодательства: подделка документов, использование мошеннических схем в работе, откаты и проч. Отличается от экономической тем, что нарушения этого типа безопасности чаще всего направлены не на чью-то финансовую выгоду, а на защиту интересов от уже свершившихся фактов (провёз лишний груз — купил маршрутный лист, перерасходовал деньги — подделал акт, потерял пару серверов — сфабриковал акт списания и т.д.).

Физическая и личная безопасность сотрудников — защита сотрудников от проникновения недоброжелателей на территорию компании и от покушения на их жизнь и здоровье. Формулировка звучит утрированно и её полнота восприятия зависит от статуса компании. Но обычно минимальные требования к физической безопасности соблюдаются (охрана, пропускная система, камеры, иные типы аутентификации).

Физическая безопасность инфраструктуры — защита оборудования, сетей и программ от доступа посторонних и лиц, в служебную деятельность которых не входит контакт с этими элементами инфраструктуры. Обязательно должен быть внешний и внутренний контур безопасности. Нарушения безопасности в этой сфере со стороны сотрудников не всегда злонамеренны — иногда это может быть пролитый на дорогостоящее оборудование чай или тонер, рассыпанный вблизи чувствительных приборов.

Безопасность управления рисками — один из самых неочевидных типов, который любит шутить шутки с теми, кто им пренебрегает. Риски нарушения этого вида безопасности связаны с тем, что топ-менеджмент не оценивает проекты, инвестиции и иные перспективы, в которые вкладывает какие-либо ресурсы. Сюда можно отнести рисковые венчурные инвестиции, закупку б/у оборудования, работу с ненадёжными поставщиками за скидку и т.д.

Кадровая (HR) безопасность — защищает компанию от «утечки мозгов». Хорошие специалисты нужны всем, поэтому если ваша компания хотя бы немного засветилась на рынке, ваши сотрудники уже стали желанными кандидатами у конкурентов (идеально — если с вашими наработками или клиентской базой, об этом мы писали). Кроме того, отвечает за систему мер, связанных с обучением сотрудников безопасному диалогу с конкурентами и иными внешними агентами — например, во время интервью, конференций, митапов, семинаров и т.д.

Репутационная безопасность — защита деловой репутации и имиджа компании на рынке. В современных условиях высокоскоростного распространения информации потерять несколько уровней своей репутации — дело одного твита/статьи/выступления/жалобы… Неудачная реклама, неграмотная контентная политика, взломы и утечки данных, попытки влиться в интересы не своей аудитории — всё это может ударить по компании и неминуемо привести к финансовым потерям.

Новая парадигма ответственности и палки в колёсах

Служба безопасности не справится

А теперь давайте посмотрим, в чём же произошла главная трансформация. Кто отвечает за безопасность управления рисками? Топ-менеджмент. Кто отвечает за кадры? HR-служба, менеджер по внутреннему PR, если вы разработчик, то ещё и DevRel. Кто отвечает за репутацию? Пиарщик, маркетолог, менеджер по рекламе.

За всем служба безопасности больше не способна уследить (особенно, если её в компании нет). Каждый своими действиями отвечает за безопасность на своём месте, часто не подозревая об этом. И это неправильно. Итак, встаёт задача минимум:

  • обучить обнаружению — сотрудники должны уметь разработать набор маркеров наступления угрозы для своей зоны ответственности, выбрать инструменты обнаружения (например, система мониторинга для админа, оповещения для вебмастера и алерты для PR и т.д.) и главное — научиться отличать угрозу от иных форм отклонений в стандартном поведении системы;
  • научить анализировать угрозы — уметь быстро либо находить, либо гипотетически предполагать источник угрозы, оценивать возможный масштаб, понимать, где находятся потенциальные бреши в безопасности;
  • обучить противостоянию — выработать адекватные и оперативные меры по упреждению, реагированию и профилактике возможных проблем;
  • ввести определённые регламенты и инструкции — как бы негативно ни относились к ним сотрудники, это необходимый и важный элемент безопасности хотя бы потому что в критической ситуации обратиться к документу быстрее, чем собраться и начать придумывать способы реагирования;
  • не перегнуть палку и не превратить компанию в спецслужбу. Сотрудники должны осознавать меру ответственности за свои действия и бездействие, делать всё для обеспечения безопасности на своём рабочем месте. Но при этом работа не должна формализоваться до того, что становится невозможно общаться с коллегами и с клиентами, обращаться к руководству, обсуждать и предлагать решения. Внутренняя атмосфера вне инцидентов должна оставаться максимально комфортной и доверительной.

Универсальный, в общем-то, совет. Но трудно исполнимый

Что больше всего мешает выстраивать систему безопасности?

Бизнес в отношении безопасности часто надеется «на авось». В предыдущем посте мы провели опрос и получили такие результаты: 64% из ответивших имеют проблемы с безопасностью, при этом самыми популярными методами обеспечения информационной безопасности являются сложные политики для паролей, отказ от облачных систем, запрет публичных дисков и хранилищ и выделение пула IP-адресов. Чуть больше трети не делают ничего. Конечно, выборка не ахти, но определённые сигналы можно уловить. Причины невнимания к безопасности у каждой компании свои, но есть пять базовых факторов, которые встречаются в компаниях любых размеров и любой отраслевой принадлежности.

  • Отсутствие у бизнеса инстинкта самосохранения. Компании всегда надеются, что неприятности происходят с Google, Salesforce, кем угодно — только не с ними. На самом деле, угрозы безопасности рано или поздно обязательно возникнут: даже если на вас не покусятся конкуренты, найдутся недобросоветсные сотрудники или иные контрагенты, которые воспользуются брешью в защите.
  • Низкий уровень компетенции в сфере безопасности. Компании не имеют видения, какой должна быть система безопасности, как управлять её компонентами и работать на упреждение инцидентов. К сожалению, программы подготовки специалистов тоже оставляют желать лучшего, как и учебники и так называемые лучшие практики. Поэтому каждый вынужден учиться на своих ошибках.
  • Дефицит профессиональных кадров. Найти безопасника широкого профиля с высоким уровнем компетенций очень сложно и дорого. Такие обычно уже заняты в высоко критичных отраслях и вряд ли представителям малого и среднего бизнеса удастся переманить профессионала. Компетенции большинства безопасников на рынке сводятся либо к узкоотраслевому опыту (телеком, банки), либо к опыту работы в органах внутренних дел, которые страшно далеки от бизнеса и процессов внутри него.
  • Экономия на издержках. Оставим этот пункт без комментариев, так как экономить на безопасности — это огромными шагами идти к ситуации «жадность фраера сгубила».
  • Страх потерять сотрудников. Очень интересная и многогранная причина. Нередко сотрудники сопротивляются любым нововведениям, направленным на ограничения. Это связано прежде всего с обычным психологическим сопротивлением, но бывает, что свидетельствует о том, что сотрудникам дополнительная безопасность может помешать. Работодатель из страха потерять персонал отступает и не вводит меры безопасности, а старается договариваться и уговаривать. В итоге такая слабина может только усугубить ситуацию и привести к увольнениям и правонарушениям.

Какие задачи стоят перед системой безопасности компании?

Думать, что безопасность это только тотальный контроль и строгая отчётность, может лишь человек не в теме. Перед комплексом корпоративной безопасности стоят серьёзные задачи, напрямую связанные с успехом компании.

  • Защита информации в компании. В принципе, информация составляет большую часть деятельности любого субъекта бизнеса: данные о продукте, клиентах, поставщиках, партнёрах, реклама, стратегия, маркетинг и т.д. И именно информация — самый желанный и, увы, по-прежнему самый легкодоступный актив компании. Можно снять трафик через брешь в защите Wi-Fi, можно заслать вредонос, можно подобрать пароли, можно купить сотрудника, который сольёт всё, что нужно. И от всех этих действий неминуемо наступает вред бизнесу. Поэтому информационная защита — самый горячий фронт корпоративной безопасности, который стоит финансировать, автоматизировать и страховать от человеческого фактора. Набор средств в данной ситуации у всех компаний разный, но лучше использовать максимальное количество инструментов.
  • Предотвращение угроз со стороны конкурентов. Найти компанию, у которой нет хотя бы одного конкурента, крайне сложно. А значит, в какой-то момент ваш соперник на рынке захочет получить ваши технологии, информацию, кадры, код и т.д. Потому что, если ваш бизнес ещё в тренде, значит в чём-то вы лучше и чем-то привлекаете свой сегмент потребителей. Задача корпоративной безопасности — выстроить мощный контур защиты от внешней среды и тщательно контролировать все попытки внедрения. Это почти шпионская война, а иногда и реальный промышленный и коммерческий шпионаж.

Вообще, очень сложно разобраться, что является сотрудничеством, а что — конкурентной разведкой. К тому же, иногда такие действия бьют по самому конкуренту. История из 2010-х. Два оператора связи, их в регионе продают одни и те же дилеры. Перед выводом нового тарифа эксклюзивные дилеры получают информацию за неделю, чтобы обучить сотрудников, ввести данные в CRM и прайсы, подготовить раскладку. И вот дилер передаёт информацию второму оператору за особый бонус (конечно, официально оформленный). Второй оператор не спит три ночи и выкатывает тариф на точно таких же условиях у себя на сайте, делая СМС-рассылку, а потом уже готовит промо. Обидно, вроде. Но нет — важная часть описания тарифа попадёт к дилерам только в день старта продаж при отгрузке листовок со звёздочками и мелким шрифтом. А второй оператор по сути бахнул непродуманный и убыточный для себя тариф. Так что, прежде чем сунуться к конкурентам, стоит научиться распоряжаться информацией.

  • Обеспечение устойчивой операционной деятельности компании и стабильности бизнес-процессов. Очень важная функция. Корпоративная безопасность должна быть нацелена на то, чтобы инциденты не влияли на скорость работы и на выполнение обязанностей сотрудниками. Каждый этап бизнес-процесса сопряжён с уязвимостями и рисками, поэтому стоит охватывать и учитывать их уже на этапе построения процесса как «узкие места». Тогда каждый сотрудник, ответственный за тот или иной этап, будет знать, на что обратить особое внимание.
  • Сохранение и развитие кадрового состава. Кадровая служба (HR) должна не просто предпринимать разовые меры, но развивать систему кадровой безопасности на всём жизненном цикле сотрудника: поиск — подбор — найм — адаптация — обучение — работа — увольнение (а в некоторых компаниях встречается часть цикла «бывший сотрудник», и это как раз не инструмент лояльности, а мера безопасности). Изначально необходимо проверять кадры на благонадёжность и историю трудовой деятельности, адаптировать и обучать силами внутренних наставников, развивать и поддерживать лояльность. Увольнение также должно проходить исключительно в рамках требований Трудового кодекса РФ, с соблюдением всех правил и нормативов.
  • Защита от неправомерных действий клиентов и партнёров. Бизнес не может существовать в вакууме, поэтому важно вести тщательную работу во внешней среде: документально фиксировать все значимые отношения, контролировать внешний доступ к корпоративным системам (например, доступ к личному кабинету в CRM), следить за тем, в какой мере контрагенты получают доступ к информации. Особое внимание стоит уделить бизнес-тренерам и консультантам — они запросто получают доступ к системе продаж, обучения и клиентской базе, а значит потенциально могут делиться информацией с конкурентами, использовать базу клиентов в коммерческих целях и т.д. Некоторые тренеры и коучи имеют дурную привычку выкладывать фотографии из компаний в социальных сетях и описывать особенности бизнеса, с которым им привелось поработать. Оно вам надо?
  • Сохранение финансов компании. Система безопасности обычно требует вложений и не приносит очевидной прибыли. Её главная задача — сохранить деньги компании и создать все условия для того, чтобы бизнес мог продолжить зарабатывать.

Принципы обеспечения безопасности в компании

Подотчётность данных. Вся информация в компании должна быть обязательно классифицирована и ранжирована, чтобы сотрудники имели чёткое понимание, какие доступы у них есть и насколько информация может транслироваться за пределы его компетенций. Например, информация о компании может иметь полностью конфиденциальный характер, иметь хождение внутри фирмы, быть общей для всех филиалов и партнёров и свободно распространяемой.

Установленные политики. Политики безопасности в первую очередь должны касаться сетевой инфраструктуры и рабочих станций сотрудников, чтобы предотвращать вторжение со стороны либо утечку информации. Дополнительно должны существовать регламентирующие политики для распространения коммерческой и иной значимой информации (например, пиарщик в пресс-релизе может сообщить, что оборот компании за два года вырос на 27%, а вот какой он в денежном отношении — нет, если только ваша компания не является публичной, а информация о финансовых показателях открытой).

Постреакция на инциденты, выводы из ситуации. Каждый случай нарушения безопасности должен быть проанализирован и обработан — по итогам стоит сформировать комплекс упреждающих мер и внести правки в базу знаний об управлении безопасностью. Если из инцидента не извлечены уроки — скорее всего, он к вам вернётся.

Управление безопасностью не должно быть лоскутным — хорошая стратегия обеспечения безопасности даёт общую картину текущей ситуации и позволяет управлять безопасностью в комплексе. Целостный подход помогает отслеживать взаимосвязи между бизнес-процессами и охватывать все стороны деятельности компании, не позволяя отбрасывать не важные на первый взгляд факторы. Кстати, современные CRM-системы — хорошее подспорье для максимального обзора бизнес-процессов, ведь они давно не сосредоточены на одних лишь продажах, а автоматизируют максимум аспектов деятельности компаний (особенно универсальные — такие как RegionSoft CRM).

Хотите реальную историю про комплексность безопасности? Один мужчина создал бизнес, связанный с довольно нужной В2В-услугой. Нанял сотрудников, даже безопасника, потихоньку раскачался. Ему не хватало маркетолога. Он взял маркетолога, но чем-то они не сошлись — новый сотрудник хотел гор до небес, желательно золотых.

Маркетолог решил хлопнуть дверью, бухгалтер сплошала и вовремя не перечислила расчёт. Злой бывший сотрудник решил, что мир несправедлив и написал в пожарную инспекцию, что нет огнетушителя, в трудовую, что сразу не сделали запись в книжку, в налоговую с сообщением «о возможных нарушениях», в соцсети о том, как его обидели (наврал).

На бедного молодого бизнесмена обрушились все органы, какие только могли. Компания закрылась. А всего-то: вовремя сделать свою работу кадровику и бухгалтеру, купить огнетушитель безопаснику, проконтролировать сеть админу, т.к. этот маркетолог ничего на работе не делал и это можно было «вылить» хотя бы на его посты в соц. сетях, не говоря уже о более серьёзных мерах. Вот вам и комплексность для малого бизнеса.

Непрерывность безопасности. Работать над снижением рисков в компании необходимо постоянно, а не от случая к случаю, и тем более от инцидента к инциденту. Каждый сотрудник, выполняя свои обязанности, должен помнить о том, что он отвечает за свои бизнес-процессы, за их безопасное функционирование и за безопасность всех интересов компании в целом.

Безопасность должна быть экономной. Можно нанять компанию на аутсорсе, создать службу безопасности, вложиться в дорогостоящие системы мониторинга, понатыкать камеры, но это выйдет в три раза дороже чем стоят все активы вашей компании, включая клиентскую базу. Выстраивая систему безопасности, исходите из соображений целесообразности, то есть не должен теряться экономический смысл мер. Нелишне также помнить, что дешевле всего обходятся своевременная профилактика и упреждение, а дороже всего — реагирование и ликвидация последствий инцидента.

Безопасность должна быть скоординированной. На этапах упреждения, обнаружения, реагирования и анализа все подразделения должны работать слаженно, быстро и профессионально. На этапе обнаружения и реагирования не стоит устраивать разборки на тему «Кто виноват?», на это у вас будет время сразу после окончания действий по обеспечению безопасности. Для того, чтобы координация была оптимальной, нужно тщательно прописать должностные инструкции и регламенты действий в критической ситуации.

Безопасность должна быть понятной, прозрачной, но открытой для ограниченного круга лиц. Все сотрудники должны понимать, какие действия могут привести к нарушениям безопасности, что нужно делать в случае наступления проблем и какие последствия несёт то или иное событие. Все постулаты, изложенные в инструкциях и донесённые до сотрудников, должны трактоваться однозначно. Но полное видение ситуации, равно как и арсенал средств по защите и минимизации ущерба должен быть в руках нескольких ответственных лиц. Чем больше сотрудников владеют информацией о системе противодействия различным нарушениям, тем выше вероятность инцидентов.

И помните — о безопасности бизнеса прежде всего должны заботиться его владельцы и сотрудники. Не стоит обижаться на хостеров, провайдеров, вендоров, поставщиков услуг, если у вас есть очевидные проблемы, начиная от физической безопасности и заканчивая информационной. В открытую дверь обязательно кто-то войдёт.

Пока мы писали статью и просматривали практики управления безопасностью, чтобы ничего не упустить, нас занесло в начало лихих 90-х на один сайт, где в развёрнутой статье про безопасность компании есть вот такой вот абзац про — внимание! — «негосударственные организации». Тоже своеобразный опыт. Надеемся, что не в ИТ-сфере 🙂

Шпаргалка распознавания угроз

Один из главных факторов успеха в борьбе с проблемами в безопасности — увидеть вовремя маркеры, которые свидетельствуют о том, что где-то что-то пошло не так. Вот базовая схема действий при управлении корпоративной безопасностью:

Картинка кликабельна

Итак, общие рекомендации по работе с угрозами корпоративной безопасности.

  • Подходить к угрозам со всех сторон — оценивать задетые бизнес-процессы, возможный ущерб, повторяемость, уровень опасности, способы ликвидации.
  • Разработать минимальный комплекс документации. Кроме должностных инструкций и общего регламента безопасности, в него должны войти: положение о коммерческой тайне компании, соглашение об NDA, положение о режиме в компании (пропуск, доступы, рабочее время, исключения), положение и регламент проведения служебного расследования. Наличие подписанных каждым сотрудников документов уже отсечёт часть внутренних угроз.
  • Иметь набор средств для обнаружения, ликвидации и профилактики угроз корпоративной безопасности.
  • Тщательно относиться к подбору персонала, этапу обучения и адаптации новичков.
  • Провести с сотрудниками беседу (описать на портале, в базе знаний и т.д.) на тему разглашения информации, в том числе в публичных местах, родственникам, друзьям.
  • Накапливать опыт ликвидации инцидентов и хранить его как информацию для служебного пользования.
  • Использовать специализированное программное обеспечение (CRM-систему для клиентской базы, систему мониторинга для управления ИТ-инфраструктурой, антивирусное ПО, защищённые сервисы, в том числе телефонию и почтовые клиенты).
  • Тщательно следить за источниками, по которым внутренняя информация может транслироваться вовне.
  • Развивать лояльность сотрудников, контролировать HR-ресурсы.
  • Транслировать своё понимание безопасности контрагентам, партнёрам, удалённым филиалам и сотрудникам.
  • Делать бэкапы (любимое же!).
  • Не душить 🙂

Наш Телеграм-канал BizBreeze. Всякое про CRM и бизнес, по уму, без копипаста и на 90% без рекламы. Вступайте в нестройные ряды.

  • корпоративная безопасность
  • информационная безопасность
  • безопасность компании

Источник: habr.com

Рейтинг
( Пока оценок нет )
Загрузка ...
Бизнес для женщин