В настоящее время многие руководители предприятий и владельцы бизнесов ставят вопрос об оптимизации затрат. Не секрет, что довольно часто в первых рядах направлений, финансирование которых урезается, находится служба безопасности. Таково следствие слабого понимания роли служб безопасности в бизнесе организации или, иначе говоря, их полезности для бизнеса. Свидетельствует такая ситуация и о том, что у руководителей предприятия нет инструментов оценки эффективности этих служб.
Докторант ФГКУ «ВНИИ МВД России» Александр Казаков в своей статье определяет функции рассматриваемых подразделений как обеспечение экономической, информационной, антитеррористической и внутренней безопасности, обеспечение режима охраны на предприятии[i]. С этим нельзя не согласиться, но далее в том же источнике определяется, что основной целью служб безопасности является защита предпринимательской деятельности от внутренних и внешних посягательств, под которыми понимаются нарушение порядка режима и охраны, разглашение сведений, составляющих коммерческую тайну, совершение правонарушений с посягновением на собственность предприятия, а также деятельность, направленная на совершение хищений и парализацию работы предприятия. Таким образом автор статьи фактически ограничивает роль служб безопасности обеспечением сохранности материальных ценностей и профилактикой их хищений. Но понятие безопасности предприятия значительно шире.
КИБЕР БЕЗОПАСНОСТЬ В БИЗНЕСЕ. Интервью с основателем Group-IB, Ильей Скачковым.
Например, исходя из принципов, сформулированных в Государственной стратегии экономической безопасности РФ (Указ Президента РФ от 29.04.1996 № 608 «О государственной стратегии экономической безопасности Российской Федерации (Основных положениях)»), служба экономической безопасности должна создать необходимые условия для достижения следующих целей безопасности организации:
— защита гражданских прав работников предприятия, повышение уровня и качества межличностных взаимоотношений в организации, гарантирующих эффективное и спокойное функционирование всех процессов её деловой деятельности;
— эффективное решение внутренних экономических и социальных задач исходя из интересов бизнеса организации;
— активное влияние на внешнюю среду функционирования организации, затрагивающее её интересы.
Рассмотрим один из случаев, когда роль службы экономической безопасности недооценена. Экспертное мнение в области корпоративного управления определяет, что наиболее серьезными в плане угроз экономической безопасности компании и стабильности её бизнеса в целом являются конфликты ведущих совладельцев (паритетных совладельцев, контрольного и значимого миноритарного участника, мажоритарного участника и группы «микро-миноритарных» участников, располагающих серьезным информационным, репутационным, юридическим и/или фактическим административным ресурсом)[ii].
Но входят ли в область ответственности службы экономической безопасности вопросы предотвращения корпоративных конфликтов? Есть ли практика использования консультации специалистов экономической безопасности в качестве одного из средств, направленных на купирование (разрешение) таких конфликтов? Или о работниках экономической безопасности вспоминают только тогда, когда конфликт выходит в публичную плоскость и в него активно вовлекаются правоохранительные органы? Но и в этом случае участие службы экономической безопасности порой определяется наличием в её штате бывших работников силовых структур и их возможностью использовать старые связи с сослуживцами.
Как служба безопасности может помочь бизнесу. Нестандартные кейсы
Акцентирование роли служб экономической безопасности на одних лишь вопросах противодействия хищениям означает, что почти ненужными становятся инструменты оценки эффективности их работы. Фактически основными параметрами таковой оценки является сумма возвращенных активов и количество пресеченных, то есть своевременно выявленных правонарушений. Но оба этих показателя могут расти только в том случае, если растет число правонарушений. И возникает парадоксальная ситуация: служба, противодействующая правонарушениям, заинтересована в росте их числа.
Но если использовать полный перечень целей безопасности предприятия, то в показатели эффективности деятельности служб экономической безопасности можно включить снижение конфликтных ситуаций в коллективе, повышение индекса деловой репутации компании на рынке и даже уровень удовлетворенности других структурных подразделений деятельностью службы безопасности. Обратите внимание, что эта служба не должна выступать в роли некоего карательного органа, её не должны бояться и тем более ненавидеть. Нужно, чтобы руководители подразделений, реализующих основную бизнес-функцию организации, в службе экономической безопасности видели помощника, а результаты её деятельности активно использовались для принятия бизнес-решений не только топ-менеджментом компании, но и линейными руководителями.
Ещё меньшее понимание полезности для бизнеса вызывает у руководителей организаций служба информационной безопасности (ИБ). Ярким показателем недопонимания места и роли этой службы в структуре предприятия является то, что в разных организациях она располагается на разных местах организационно-штатной структуры: где-то подчинена директору по безопасности, где-то — директору по информационным технологиям; встречаются схемы, где вопросы ИБ курирует директор по производству или даже руководитель административно-хозяйственной службы. В крайне редких случаях руководитель службы ИБ подчиняется напрямую руководителю организации. Отсутствие общепринятого понимания того, какие вопросы для бизнеса должна решать служба ИБ, приводит к существенному занижению статуса этого подразделения в глазах топ-менеджмента.
В некоторой степени в таком положении дел виноваты сами специалисты по ИБ. Не они ли определяют в качестве зоны своей ответственности обеспечение ИБ организации и в первом же внутреннем нормативном акте гордо заявляют, что каждый работник предприятия несет персональную ответственность за сохранность сведений конфиденциального характера, к которому он получил доступ? Многие ли руководители действительно знают, в чем состоит различие между понятиями «информационная безопасность» и «защита информации»? Для подавляющего большинства неспециалистов в области защиты информации, в том числе владельцев бизнеса и руководителей предприятий, эти термины означают одно и то же. А раз так, то за что отвечают сотрудники службы ИБ, коль скоро за защиту информации, с их же слов, несут ответственность все работники предприятия?
Действительно, нужен ли выделенный менеджер по ИБ, не говоря уже о целой службе? В отличие от службы экономической безопасности, зона ответственности которой более или менее определена, пусть иногда и урезана до узкого круга задач противодействия хищениям, ответственность за реализацию мер защиты вверенной ему информации действительно несет каждый работник предприятия. В международных и национальных стандартах по управлению информационной безопасностью используется конструкция: «Во многих организациях назначается менеджер по ИБ«[iii], — то есть назначение такого менеджера не является обязательным. И там же в явном виде указано, что «общепринятой практикой является назначение владельца для каждого актива, который несет ответственность за его повседневную защиту». Положение об обязательности выполнения требований ИБ включается в должностные обязанности каждого работника, а для тех, кто допускается к сведениям конфиденциального характера, — и в трудовой договор[iv].
Чего же ожидает бизнес от специально назначаемого менеджера по ИБ? Ответ на этот вопрос заключается в именовании данной должности: менеджер, то есть управляющий. Менеджер по ИБ должен осуществлять управление информационной безопасностью предприятия. Основное назначение ИБ-службы — достижение целей, которые ставятся перед системой менеджмента ИБ.
Цели внедрения системы менеджмента ИБ можно определить, ответив на следующие вопросы:
a) менеджмент риска — как система может улучшить управление рисками в сфере ИБ?
б) результативность — как система может улучшить управление ИБ?
в) преимущества для предприятия — как система может создать конкурентные преимущества для организации?[v]
Ответы на эти вопросы определяют полезность службы ИБ для бизнеса организации. Безусловно, если владелец бизнеса не считает необходимым реализовывать процесс управления рисками, то соответствующая составляющая в совокупной ценности службы ИБ как подразделения, способного его улучшить, минимальна.
Если руководитель организации уверен, что работники предприятия безусловно реализуют все необходимые меры защиты значимой для бизнеса информации, то что тут улучшать? И если компания прочно занимает лидирующее положение на рынке и конкурентов у неё просто нет, то какие ещё конкурентные преимущества нужны? При таком положении дел служба ИБ не имеет задач. И менеджеру по ИБ, и владельцу бизнеса нужно понять, что не существует проблем ИБ, есть проблемы бизнеса, которые могут быть решены благодаря ИБ.
Эффективность службы ИБ должна оцениваться исходя из полученной выгоды для бизнеса от её существования, а не на основании величин вероятного ущерба при её отсутствии. Сама по себе служба ИБ не является гарантом отсутствия актуальных угроз по отношению к безопасности информации. Отсутствие службы ИБ (выделенного менеджера по ИБ) не может быть причиной неисполнения требований по защите информации. Меры защиты информации реализуются не ИБ-специалистами, а, как уже было сказано, всеми работниками организации. А служба ИБ обеспечивает координацию деятельности разных подразделений по реализации этих мер, осуществляет контроль исполнения и оценку эффективности мер, уже реализованных, обеспечивает своевременную коррекцию деятельности организации по обеспечению собственной безопасности.
Аналогичную задачу выполняют специалисты службы качества и отделов технического контроля. Ни у кого не возникает вопросов, зачем они нужны. Цена пропущенной процедуры юстировки станка — стоимость партии товара, списанной в брак. Это реальная величина, её можно высчитать, увидеть в мусорном баке и на прилавках, где вместо твоей продукции стоит продукция конкурента.
Но мир цифровых технологий давно уже вторгся в реальный мир вещей. Сбой, вызванный ошибкой оператора или умышленными действиями купленного конкурентом хакера, приведет к тем же самым последствиям в виде заполненного мусорного бака и отсутствия твоего товара на прилавках.
Автоматизированные системы управления стали неотъемлемой частью эффективного конкурентоспособного бизнеса. Управленческие решения стоимостью в миллиарды рублей зависят от того, не решила ли пресловутая «тетя Маша», что уж её-то рабочая станция никаким хакерам точно не интересна. Каждый ИБ-эксперт со стажем может рассказать пару показательных историй на этот счет. Разумеется, если позволит профессиональная этика или обязательство соблюсти конфиденциальность.
Вопросы ИБ затрагивают все области деловой деятельности предприятия. Уровень информатизации бизнеса, который диктуется правилами конкуренции на рынке, требует серьезного отношения не только к вопросам реализации тех или иных мер защиты информации, но и к должной организации процессов управления ИБ. Эти факты определяют особый статус ИБ-службы. Какое же место можно рекомендовать для неё в организационно-штатной структуре предприятия?
Наиболее очевидно, что службу ИБ следует включать в структуру, на которую возложены функции по обеспечению комплексной безопасности предприятия. Но, как говорилось в начале статьи, довольно часто функции этого подразделения ограничены вопросами противодействия хищениям. В перечне целей и задач службы ИБ такая функция отсутствует.
Более того, подобное ограничение функций исключает в глазах сотрудников прочих подразделений восприятие службы безопасности как отдела, отвечающего за управление какими-либо процессами. Смысл существования службы ИБ в таких условиях полностью исчезает. В результате эффективность ИБ-подразделения может измеряться отрицательными величинами.
Вместо координации подразделений предприятия в вопросах реализации мер защиты служба ИБ будет стараться разделить их и жестко зарегулировать (читай: ограничить) каналы взаимодействия, ведь так легче контролировать коммуникации. Контроль исполнения установленных правил работы с информацией будет замещаться слежкой, да и сами правила будут устанавливаться не бизнесом, а службой ИБ, причём устанавливаться исходя из соображений более полного контроля, а не потребности решить основные бизнес-задачи предприятия. Оценка эффективности мер защиты информации превратится в «охоту на ведьм». Служба безопасности будет оценивать не то, как меры защиты информации помогают сохранить бесперебойность бизнес-процессов и повысить их эффективность, а насколько точно сотрудники предприятия соблюдают установленные правила работы с информацией и насколько эффективно выявляются нарушения. Знакомая картина?
Включение службы ИБ в структуру подразделений, обеспечивающих экономическую, антитеррористическую и иные виды внутренней безопасности, в том числе режим охраны предприятия, имеет практический смысл только в том случае, если установленные руководителем цели безопасности организации созвучны тем, что представлены в Государственной стратегии экономической безопасности Российской Федерации. Иначе службу ИБ целесообразнее выделять в самостоятельное структурное подразделение с непосредственным подчинением руководителю предприятия. Эта схема наиболее эффективна, но имеет один существенный недостаток. Руководитель службы ИБ должен уметь разговаривать с топ-менеджерами компании на понятном им языке.
К сожалению, в России не создано предпосылок для подготовки управленческих кадров в области ИБ. Действующие образовательные стандарты для специалистов не включают в себя изучение таких предметных областей, как менеджмент и предпринимательская деятельность[vi]. Ситуацию усугубили требования к лицензиатам на право деятельности по защите информации.
Некоторые некоммерческие учебные организации исключили из своих портфелей учебные курсы по подготовке «менеджеров по информационной безопасности» и «менеджеров по обеспечению непрерывности бизнеса». В настоящее время проходит модернизация федеральных государственных образовательных стандартов высшего образования.
Они приводятся в соответствие с требованиями едерального закона от 02.05.2015 № «О внесении изменений в Трудовой кодекс Российской Федерации и статьи 11 и 73 федерального закона „Об образовании в Российской Федерации“». На момент написания статьи ещё не были опубликованы новые образовательные стандарты по направлению «Информационная безопасность»[vii]. Но есть надежда, что в состав объектов профессиональной деятельности выпускников, освоивших программу по этому направлению, будут включены технологии защиты информации в областях административного управления, бизнеса, предпринимательства, коммерции и менеджмента, как это было сделано в образовательном стандарте по направлению «Информационные системы и технологии«[viii]. А пока руководителям организаций придется рассчитывать только на то, что за годы практической работы ныне действующие менеджеры служб информационной безопасности научились слышать и понимать чаяния бизнеса, а также говорить со своим руководством на понятном ему языке.
Если же руководителю организации не повезло и взаимопонимания с менеджером службы ИБ не удалось достичь, то это вовсе не означает, что этого менеджера срочно необходимо заменяит. Далеко не факт, что на рынке можно найти ИБ-специалиста, понимающего специфику управления бизнесом. Этот сегмент рынка труда испытывает острый дефицит кадров.
Тем более, что отсутствие навыков коммуникации с высшим менеджментом у руководителя службы ИБ никак не коррелирует с отсутствием у него профессиональных качеств в области защиты информации и управления ИБ предприятия. Тут наиболее подходящим коммуницирующим между высшим руководством и службой ИБ звеном будет руководитель блока автоматизации бизнеса предприятия, например, директор по информационным технологиям. Особенно в тех случаях, когда уровень информатизации деятельности предприятия находится на достаточно высоком уровне зрелости. В упомянутом выше образовательном стандарте, по которому готовятся управленцы в области информационных технологий, отмечается область безопасности информационных систем, что позволяет предположить, что директор по информационным технологиям найдет общий язык со службой ИБ. Разумеется, эффект от подчинения службе ИТ не будет положительным, если квалификация руководителя этой службы не отвечает действующему профессиональному стандарту[ix].
Таким образом, если руководитель предприятия чувствует, что служба ИБ не приносит пользы бизнесу, то имеет смысл попробовать перевести её в прямое подчинение. В крайнем же случае, если руководитель испытывает сложности в общении с руководителем службы ИБ, — подчинить её директору по ИТ.
Следует ещё раз посмотреть, какие задачи поставлены перед ИТ-службой, развивает ли она систему управления ИБ или занимается «охотой на ведьм». Руководителям надо понять, что служба ИБ является эффективным инструментом управления бизнесом. Нужно просто научиться правильно ее использовать.
Вспомните, когда в последний раз руководитель вашей организации говорил менеджеру по ИБ о проблемах бизнеса. А когда в последний раз ему ставилась задача провести анализ того или иного бизнес-процесса? Спросите, консультировался ли руководитель вашего подразделения со специалистами по ИБ, когда готовил предложения по совершенствованию своего участка деловой деятельности предприятия. Начните использовать службу ИБ по назначению, и вы получите доказательства ее необходимости в виде реального увеличения маржинальности бизнеса, а не виртуального «как бы предотвращенного» ущерба от «вроде бы вероятной» атаки.
[i] Статья: Меры предупреждения экономических преступлений, осуществляемые работниками служб безопасности (Казаков А.Я.) («Безопасность бизнеса», 2014, N 2)
[ii] «Управление акционерным обществом в условиях реформы корпоративного права» (Осипенко О.В.) («Статут», 2016)
Источник: www.itweek.ru
Эксперт рассказал о роли службы экономической безопасности в бизнесе
В условиях кризисных явлений, проявляющихся в мировой экономике политической и социально-экономической нестабильности, вследствие недобросовестности конкурентов и несовершенства законодательной базы, российский бизнес вынужден самостоятельно вести поиск адекватных решений сложнейших проблем, заниматься разработкой и применением системного подхода к обеспечению своей безопасности.
Поэтому в последнее время многие предприниматели стали включать в структуру своих компаний службу экономической безопасности (СЭБ). В интервью Редакции газеты «Президент» эксперт по экономической безопасности Павел Владимирович Борисовский рассказал что это за служба, зачем она нужна бизнесу, и чем на самом деле должны заниматься сотрудники СЭБ.
«На сегодняшний день, к сожалению, в экономической сфере нашей страны существует много недобросовестных экспертов, якобы гуру бизнеса, которые учат как нужно вести свой бизнес, как зарабатывать, как проводить переговоры и многое другое. Когда я читаю или слушаю подобное, то понимаю, что зачастую эти люди даже не понимают, о чем говорят. Они не могут просто этого знать так как у них нет специального образования или настоящего опыта, который нарабатывается годами.» — предостерегает Павел Владимирович.
Однако и среди предпринимателей не всегда есть понимание истинного предназначения службы экономической безопасности и нет представления о людях, которые в ней должны работать.
«Недавно я прочитал на одном известном сайте, что компания ищет руководителя СЭБ, обязательно ранее служившего в органах ФСБ и в звании не ниже полковника. И это было обязательным условием! Вы наверно улыбнулись. Я так точно. А на самом деле подобные запросы явно говорят, о непонимании некоторых бизнесменов настоящего функционала СЭБ.» — приводит он пример.
Как считает эксперт, сегодня в большинстве случаев создания СЭБ, вся её деятельность сводится к проверке рисков при работе с контрагентами и проверке на благонадежность новых работников в организации. Данная работа, без сомнений, важна и нужна, но это всего лишь капля в море того, что действительно могут и должны делать сотрудники СЭБ. Специалист СЭБ должен обладать целым набором знаний, умений и навыков.
В первую очередь, сотруднику СЭБ необходимо иметь достаточно глубокие познания в экономике, он должен разбираться в бухгалтерии, понимать законы бизнеса и банковского дела.
Во вторых, для сотрудника СЭБ важны знания в области психологии.
Но самое главное, что все эти знания проходят через призму оперативных навыков, полученных в ходе работы в различных силовых ведомствах. Совершенно не обязательно, чтобы это было именно ФСБ или именно МВД. В итоге вы можете получить профессиональное мнение специалиста с совершенно другого ракурса. Что безусловно поможет принять правильное управленческое решение.
«Я являюсь экспертом по экономической безопасности, поскольку окончил Московский государственный юридической институт МВД РФ по специализации «уголовное право». Работал в органах внутренних дел с 1995 года. Работал в группе специального назначения при метрополитене.
С 1998 и по 2010 год работал в ОБЭП Пресненского РУВД, а позже в ОБЭП ЦАО города Москвы, где специализировался на раскрытии тяжких и особо тяжких преступлений, таких как рейдерство, мошенничество в особо крупных размерах. Был старшим оперуполномоченным по особо важным делам, начальником отделения. После службы мною были пройдены сотни часов повышения квалификации и прокачки своих знаний в разных областях бизнеса. И сейчас я продолжаю применять свой богатый опыт на практике.» — рассказывает Борисовский о своем опыте в области экономической безопасности.
По словам Борисовского, защита бизнеса — это многослойная броня. И каждое подразделение в структуре компании занимается созданием своего бронелиста. Так финансовый директор оценивает финансовые риски вашего предприятия, бухгалтерия оценивает налоговые риски, юридическая служба оценивает риски в рамках гражданского, трудового права и так далее. Каждое подразделение создает свой элемент защиты. Но эти бронелисты необходимо соединить вместе, чтобы надежно защитить бизнес со всех сторон.
«Подобная защита создается от внешних угроз бизнесу, но не стоит забывать, что существуют и внутренние угрозы. Такие как кражи имущества компании, мошенничество со стороны собственных сотрудников, продажа инсайдерской информации, раскрытие коммерческой тайны и многое другое, что может негативно сказаться на вашем бизнесе. Именно работа по предупреждению и недопущению подобных негативных моментов также входит в круг обязанностей СЭБ. Проведение внутренних расследований и аудита, создание надежных алгоритмов контроля за работой персонала — все это и многое другое и есть работа вашей службы экономической безопасности.» — разъясняет Борисовский.
Именно СЭБ проверяет эту защиту на прочность как уже единую систему — осуществляется поиск слабых мест, зазоров, лазеек. Сотрудники СЭБ понимают психологию преступников и исходя из этого могут увидеть те или иные слабые места в броне. Руководитель СЭБ должен видеть всю картину целиком. Собрать воедино выявленные риски и провести их оценку опираясь на свой оперативный опыт, после чего предложить решение выявленных проблем.
«Я считаю, что профессиональная служба экономической безопасности работает на недопущение основной части возникающих проблем, а не как некоторые недобросовестные сотрудники: ждут, когда что-то случится, а потом героически решают возникшие проблемы. Именно правильная качественная и методическая работа позволяет не случаться 90 процентам проблем, и позволяет решать их еще на этапе зарождения.» — заключил эксперт.
Интервью провел Виктор Удалов
Источник: presidentmedia.ru
О понимании истинной роли безопасности в бизнесе
Часто читая в последнее время курсы и презентации по связи безопасности и бизнеса я столкнулся с интересным парадоксом. Потребность со стороны заказчиков в такой информации есть и она огромна.
После презентаций я слышу очень много высказываний о том, что эта информация позволяет по новому взглянуть на роль ИБ в компании и что она действительно позволяет вывести ИБ на качественно новый уровень. И это не голословно… На одном из курсов представители крупнейшего отечественного оператора связи многое из того, что я рассказывал уже внедрили у себя в компании. Я и раньше считал, что безопасность у них выстроена очень грамотно, а тут лишний раз в этом убедился. Да и бизнес у них растет очень нехилыми темпами, опережая ближайших конкурентов (про инциденты с ними я не слышал в последние годы).
Но… вакуум в этой области как был, так и остается. Производители и разработчики просто не понимают эту тему ;-( Уж так случилось. Интеграторы занимаются интеграцией продуктов. Консультанты предлагают технический консалтинг по ИБ. Бизнес-консалтинг в области ИБ не предлагает практически никто.
Справедливости ради надо заметить, что и в ИТ бизнес-консалтинг пока предлагают немногие.
Учебные центры не учат этой теме, ограничиваясь темой compliance и интеграцией ИБ и ИТ в рамках COBIT и других стандартов. Пресса тоже не готова воспринимать это направление — все статьи, что заказывают сегодня, мусолят одни и те же темы — антивирусы, МСЭ, IPS, управление, стандарты… Итак по кругу.
Все игроки рынка жалуются, что заказчик не готов тратить много денег на безопасность. При этом они сами не в состоянии предложить потребителю решение его проблем. Недавно я прочитал статью, написанную сотрудником одной именитой компании, который озаглавил ее примерно так «Мы сами знаем, что нужно клиенту»… Такое «знание» обычно завершается на поставке большой партии железа и софта и подведение под имеющийся бюджет некоего обоснования ;-(
Я прекрасно понимаю, что это нормальный эволюционный процесс, но хотелось бы уж поскорее придти к правильному пониманию роли ИБ в бизнесе. Надеюсь, что грядущий 2008-ой год поспособствует этому
Источник: lukatsky.ru