06
/04
Корпоративная безопасность бизнеса, для чего она нужна или нужна ли она вообще бизнесу?
Корпоративная безопасность – в последнее время мы все чаще об этом слышим на самых разных уровнях: безнес-форумах, конференциях, в социальных сетях, СМИ и т.д. Почему так происходит? Ответ очевиден – сегодня очень быстро меняется среда ведения бизнеса как внутренняя, так и внешняя, и регулярными стали кибер-атаки не только на частные компании, а и на целые государственные институции. Весь мир становится более глобальным, и конкуренция идет буквально по всем фронтам: персонал, информация, идеи, технологии, рынки сбыта, ресурсы, финансы и т.д. Чего только стоит международный скандал о возможном вмешательстве РФ в президентские выборы в США. Еще один резонансный пример уже ближе к украинским реалиям: это июньская кибер-атака вирусом Petyа, в результате которой, по оценкам экспертов, только украинскому государству и бизнесу были нанесены убытки на несколько миллиардов гривен. К сожалению, многие украинские предприниматели пока далеки от понимания того, что грамотное выстраивание корпоративной безопасности должно происходить одновременно с запуском самого бизнеса. Какие могут быть негативные последствия для бизнеса, если не построить эффективную корпоративную безопасность, рассмотрим на примере нескольких кейсов из жизни. Например, в компании Y работает нелояльный сотрудник (или его завербовали конкуренты, правоохранительные органы, спецслужбы иностранных государств и т.д.) и этот сотрудник ворует у компании PST-файл с электронной почтой. После чего он путем не самых сложных технически фальсификаций и манипуляций вносит множество изменений в метаданные украденного PST-файла и переписку сотрудников компании. Все наверняка помнят знаменитую фразу с запятой «Казнить нельзя, помиловать» или «Казнить, помиловать нельзя», разница в смысле колоссальная, а это всего лишь одна запятая. Ведь на самом деле в электронной почте может содержатся и коммерческая информация, и конфиденциальная, и информация личного характера, и даже компрометирующая, а если это все «приукрасить» парой сотен липовых, компрометирующих компанию и ее сотрудников писем, можно спокойно начинать шантажировать ее или просто сразу нанести компании существенный ущерб, отправив такой сфальсифицированный файл нужному адресату (конкуренту, соответствующим органам, СМИ, прочее). Ущерб может быть самым разным, но в конечном итоге он обычно приводит к весьма серьезным финансовым потерям для бизнеса. Или еще один случай из практики. С ключевым сотрудником (руководителем направления) компании не подписывается соглашение, в котором он берет на себя обязательства после увольнения на протяжении какого-то времени (минимум 12 месяцев) не конкурировать со своей компанией, не нанимать к себе на работу ее сотрудников, не работать с ее клиентами и т.д., а в случае нарушения этих обязательств, он будет нести существенную материальную ответственность перед компанией. Какими могут быть последствия, если не подписать такое соглашение о неконкурировании? Сотрудник уходит, а через несколько месяцев оказывается, что у него уже была зарегистрирована своя компания, на которую он переводил контракты с клиентами, которых он сопровождал, работая в компании, но ведь это были клиенты компании, в которой он работал (ее актив), а еще через месяц переманивает к себе нужных ему сотрудников компании, в которой он работал (также ее актив) и в такой способ может увести с собой целое направление бизнеса, которое еще сегодня приносило собственникам прибыль. Еще один пример, как легко навредить порядочному бизнесмену, если нет корпоративной безопасности. Под порядочного и законопослушного бизнесмена, которого хотят «РАЗВЕСТИ» на деньги или вообще отобрать бизнес выставляется контрагент, по общим признакам нормальная компания, а по факту - это компания, работающая или имеющая деловые связи с компаниями с ДНР или ЛНР. И вот так, надлежаще не проверив своего контрагента, нормальный предприниматель, его топ-менеджмент могут стать пособниками терроризма со всеми вытекающими для бизнеса последствиями. И это если очень кратко. Примеров, когда в больших и системных компаниях не была правильно выстроена система корпоративной безопасности и такие бизнеса несли разной тяжести убытки, можно привести еще немало, и это не только среди отечественных компаний, но и среди самых больших и известных компаний мира. Сейчас разгорается скандал о незаконной передаче третьим лицам компанией Facebook личных данных 50 миллионов своих пользователей. По оценкам финансистов, это уже привело к потере в стоимости акций Facebook и снижением ее стоимости на десятки миллиардов долларов. Какими же будут финальные последствия этого скандала для Facebook, мы можем лишь предполагать. Конечно, мы с вами понимаем, что в таких компаниях, как Facebook, система корпоративной безопасности, наверняка, построена на наивысшем уровне, но в то же время в СМИ есть информация, что их Директор по корпоративной безопасности не был уволен, а сам подал в отставку по причине игнорирования Компанией его рекомендаций и инструкций, которое привело к таким последствиям. Поэтому не менее важно не только построить систему корпоративной безопасности, но и следовать ей. Кто-то, возможно, скажет, что корпоративная безопасность — это дорого, а ваши финансовые возможности ограничены. На что я отвечу цитатой известного индийского мыслителя и создателя учения Интегральная йога Шри Ауробиндо: «Если пред тобою великая цель, а возможности твои ограничены, - все равно действуй; ибо только через действие могут возрасти твои возможности». Если я убедил вас задуматься о необходимости построить у себя в компании грамотную систему корпоративной безопасности, давайте разберемся с чего начать. Для начала нужно определить объект обеспечения безопасности. Объектами могут быть: финансовые средства; персонал; репутация собственников, топ-менеджмента и самой компании; активы; технологии и бизнес процессы. Также при построении корпоративной безопасности не менее важно понимать, какие есть типы угроз. Условно их можно разделить на четыре основных типа: Постоянные. Временные. Внешние. Внутренние. И так, если мы определились, что нам важно защитить и от каких угроз, следующим шагом нужно определиться, кто будет строить в нашей компании систему корпоративной безопасности. Первый вариант – обеспечением безопасности занимается руководство компании или созданный в компании комитет или совет по безопасности. Второй вариант – обеспечением безопасности занимается внешняя организация (аутсорсинг безопасности). Третий вариант – смешанный вариант из двух вышеперечисленных вариантов. Каждый предприниматель должен сам решить, какой вариант обеспечения безопасности ему наиболее правильный и такой, что даст необходимый результат, исходя из целого ряда факторов, таких как: объекты обеспечения безопасности, его внутренний кадровый потенциал, финансовые возможности, масштабность корпоративной безопасности прочее. На мой взгляд, достаточно разумным для бизнеса является смешанный вариант, когда часть вопросов по безопасности замыкается внутри компании, а часть отдается на аутсорсинг. Логичным выглядит отдать на аутсорсинг такие задачи: создание систем кибер-безопасности и ИТ безопасности; проведение аудита корпоративной безопасности или отдельных направлений; независимое консультирование по вопросам корпоративной безопасности; правовую защиту бизнеса (привлечение адвокатов и юридических организаций); создание нормативно-правовой базы компании, регламентирующей безопасность компании; согласованное с руководителем комитета по безопасности взаимодействия с государственными и правоохранительными органами по вопросам, затрагивающим безопасность компании; На внутренний комитет безопасности рекомендуется возложить: согласованное с аутсорсинговой компанией взаимодействие с государственными и правоохранительными органами по вопросам, затрагивающим безопасность компании организацию работ по созданию корпоративной безопасности; осуществление контроля за выполнением нормативно-правовой базы компании, регламентирующей безопасность компании; координацию действий сотрудников и подразделений компании по вопросам обеспечения безопасности; взаимодействие с аутсорсинговыми организациями, представляющими услуги по корпоративной безопасности; организацию защиты конфиденциальной информации; текущее обслуживание технических средств безопасности и охраны; информационно-аналитическую работу по обеспечению безопасности компании; анализ финансовой деятельности компании с целью предотвращения и вычисления противоправных действий, наносящих ущерб интересам компании (воровство, откаты, мошенничество, коммерческий подкуп и т.д.); проведение мероприятий, направленных на обеспечение кадровой безопасности компании; проведение внутренних проверок по фактам совершения противоправных действий со стороны персонала компании; консультирование и предоставление рекомендаций руководству и персоналу компании по вопросам обеспечения безопасности. И если вы все еще задаетесь вопросом: «А стоит ли тратить ресурсы на корпоративную безопасность», мой ответ однозначен: «КОНЕЧНО СТОИТ». И, как сказал более стал лет назад американский дипломат и публицист Джеймс Рассел Лоуэлл, «Неудача - не преступление; преступно - ставить перед собой цели ниже своих возможностей».