Портал по безопасности.
Проекты систем безопасности Типовые решения систем безопасности Чертежи и схемы подключений

Присоединяйтесь к нам в соц. сетях:


Главная Статьи Статьи по корпоративной безопасности
Аудит безопасности организации
Мобильная версия
Вход в личный кабинет
Регистрация, нас уже 4965
 - События которые нельзя пропустить
  • Вся информация в один клик beta

Аудит безопасности организации (3711)

Опубликовано: 21 Декабря 2013

«Безопасность стоит дорого, но она того стоит». Истинность этого высказывания вряд ли нуждается в серьезном доказательстве для тех людей, кто выбрал эту стезю в качестве профессии. Ни одно государство не способно существовать без специальных структур, которые ежедневно, ежечасно напряженно работают для обеспечения его защиты от многочисленных внутренних и внешних угроз. Любую организацию, занимающуюся частным бизнесом, хоть и с натяжкой, но можно сравнить с государством в миниатюре. В отличие даже от небольших государств, бизнес не всегда имеет соответствующие структурные подразделения, но ни у кого не вызывает сомнений тот факт, что и он требует защиты. Тем более что государство через федеральное законодательство не только предоставляет такую возможность, но и в некоторых случаях обязует это делать (например, ФЗ № 152 от 27 июля 2006 г. «О персональных данных»).
Единого взгляда на то, как эффективно защищать частный бизнес от внутренних и внешних угроз, не существует. В зависимости от своего профессионального опыта, уровня и специфики подготовки специалисты, отвечающие в организации за безопасность, применяют те или иные технологии. В одном случае применяемые технологии дают результат, в другом – оказываются абсолютно неэффективными и даже вредоносными для организации. Понятно: чтобы избежать подобного эффекта, защитные меры должны учитывать все особенности и нюансы бизнеса.
Иными словами, прежде чем начинать строить некую систему безопасности бизнеса, нам необходимо получить ответы на многочисленные вопросы, большинство из которых не лежит на поверхности. Кто даст нам на них ответы? И не просто ответы, а точные и исчерпывающие? По всей видимости, никто. Ведь ни топ-менеджеры, ни руководитель организации, ни собственник бизнеса не обладают достаточной компетенцией, профессиональными знаниями и навыками, для того чтобы собрать соответствующую информацию.
Как минимум эта работа ляжет на плечи человека, отвечающего за безопасность организации. Как максимум – будут привлечены сторонние специалисты. В любом случае потребуется провести некие исследования, аудит, а уже на базе полученных результатов можно будет создавать систему безопасности… Стоп!
Здесь необходимо сделать небольшую паузу и забежать немного вперед. Определимся с понятиями. Терминологический словарь дает следующее определение: «Аудит – процедура независимой оценки деятельности организации, системы, процесса, проекта или продукта».
Ключевое словосочетание – независимая оценка. То есть оценка, на результаты которой не влияют какие-либо факторы ангажированности или подчиненности специалистов, проводящих эти исследования. Насколько защищенным в этом смысле может быть сотрудник организации? В особенности если руководство склонно к принятию поспешных кадровых и административных решений? Риторический вопрос.
Говорить об аудите в истинном понимании этого понятия можно только применительно к внешним специалистам или организациям, предоставляющим подобные услуги. Понятие же «внутренний аудит» весьма двусмысленное, в особенности если организация не имеет сети дочерних структур и представительств, для которых проверяющий из головной организации будет фактически являться внешним аудитором.
Выявление угроз
Теперь вернемся к созданию системы безопасности организации. Какая бы терминология ни употреблялась, по сути, нам требуется получить ответ на вопрос, что необходимо предпринять для эффективной защиты бизнеса от внутренних и внешних угроз. А для этого следует выяснить, какие угрозы уже есть в наличии, какие могут возникнуть в ближайшее время или в перспективе.
Вне зависимости от того, есть в организации служба безопасности или какое-либо иное структурное подразделение, призванное обеспечивать ее безопасность, предпринимаются какие-либо действия по защите ее интересов или нет, в первую очередь следует выяснить, какие охраняемые интересы характерны именно для этой организации.
Охраняемые интересы есть в любой организации, но не в любой организации есть четкое, ясное понимание исчерпывающего перечня своих охраняемых интересов. Одни из них касаются всех организаций, другие являются индивидуальной особенностью отдельно взятых, конкретных организаций.
Итак, охраняемыми интересами могут быть:
  • финансовые ресурсы – наличные и безналичные денежные активы, счета организации;
  • экономические интересы – с определенной долей допущения, этим термином можно обозначить основные бизнес-процессы, с помощью которых организация добивается своей основной задачи в виде получения прибыли;
  • материальные ресурсы – основные средства производства, собственная или арендованная недвижимость, автотранспорт, офисная техника и оборудование и т. п. Словом, все, что можно отнести к материальному обеспечению организации;
  • человеческие ресурсы – управленческий, производственный и хозяйственный персонал организации. Люди, занятые в основных и второстепенных бизнес-процессах;
  • информационные ресурсы и интересы – строго говоря, это не один, а два охраняемых интереса, тесно связанных друг с другом. Под информационными ресурсами понимается совокупность сведений, имеющихся в организации, в первую очередь относящихся к категориям «коммерческая тайна» и «конфиденциальная информация», а также носители информации и средства внутренней и внешней информационной коммуникации.
Под информационными интересами подразумеваются имидж и деловая репутация организации, безопасность ее информационных ресурсов (включая регулируемые федеральным законодательством).
Помимо перечисленных выше, может быть и целый ряд других охраняемых интересов. Например, экологические интересы, если деятельность организации связана с активным воздействием на экологию окружающей среды.
После определения исчерпывающего списка охраняемых интересов организации не так сложно выяснить, предпринимаются ли какие-либо меры по их защите. Гораздо сложнее получить ответ на вопрос: насколько эффективны используемые меры и достаточны ли они?
Если в вопросах информационной безопасности мы можем опираться на требования текущего законодательства по защите данных и некоторые международные стандарты (такие как ISO 27001, ISO 27002 и т. д.), то по большинству других параметров общепризнанных стандартов пока нет. Без помощи профильных специалистов обойтись будет сложно.
На этом этапе потребуется получить ответ на вопрос, какие инструменты и технологии выявления текущих и перспективных угроз используются в организации.
Принято различать три основных способа выявления угроз: прогностический, информационный и по факту реализации.
Прогностический способ – это выводы аналитиков, полученные на базе анализа текущей ситуации, бизнеспроцессов, результатов решения ситуационных задач и т. п. Основным инструментом в данном случае является ситуационное моделирование. Это относительно недорогой способ, позволяющий получить объемный взгляд на текущую и перспективную ситуацию и заблаговременно предпринять действия по недопущению возникновения серьезных угроз. Однако слабой стороной этого способа является недостаточно высокий уровень вероятности, что не позволяет поставить его на первое место среди других способов.
Информационный способ – получение информации от информационных источников среди персонала организации, систем видеонаблюдения и других технических и электронных систем мониторинга. Этот способ требует значительно больших разовых и регулярных финансовых затрат, нежели прогностический. Зато вероятностная величина также выше.
Наконец, по факту реализации – самый точный способ и в то же время наименее эффективный с точки зрения обеспечения безопасности. Ведь речь идет лишь о фиксации факта реализации угрозы, но никак не о ее предотвращении. С другой стороны, технологии инструментального контроля, применяемые в этом способе (например, камеры наружного наблюдения), могут быть успешно применены в комплексной технологии выявления угроз в организации.
Процедура проверки
В случае, если в организации существует специальное структурное подразделение – служба безопасности, отдел экономической безопасности, отдел охраны и т. п., – оно также должно быть подвергнуто всесторонней диагностике.
В первую очередь требуется проверка уровня теоретических знаний сотрудников подразделения в рамках их должностных обязанностей. Параллельно определяется соответствие самих должностных обязанностей сотрудников требованиям стратегических целей и тактических задач, стоящих как перед самим подразделением, так и перед всей системой безопасности организации в целом.
Самым простым, недорогим и достаточно объективным способом выяснения уровня теоретической подготовки сотрудников является решение ситуационных задач. Для того чтобы повысить результативность тестов, их оценивают не только с точки зрения правильности ответов, но и в соответствии со временем, которое потребовалось на решение задачи. Одно дело, когда сотрудник дает правильный ответ сразу после получения задачи, и совсем другое, когда на это уходит значительное время. Это говорит о том, что знания человека недостаточно крепки: ему приходится напрягаться и вспоминать, а значит, скорее всего, он не сможет эффективно применить их на практике.
Теория, конечно, важна, но не меньшее значение имеет и практика. Практические навыки проверяются с помощью ситуационных игр. Технология, которая дает точные, наглядные результаты, однако требует материальных затрат и временного отрыва персонала от выполнения текущих должностных обязанностей.
Ни теоретические знания, ни практические навыки не дают гарантии того, что сотрудник будет эффективно работать. Можно быть высококлассным специалистом и никудышным работником, не имеющим какого-либо желания активно и продуктивно работать из-за отсутствия должного уровня внутренней мотивации.
Точная оценка профессиональной мотивации сотрудника – дело непростое. Мотивация нематериальна. Ее нельзя увидеть, пощупать или оценить с помощью тестов. В арсенале специалистов по управлению персоналом есть технология оценки «360°». С ее помощью можно определить ряд объективных параметров, в том числе и уровень мотивации.
Не только результативность работы структурного подразделения, но и эффективность всей системы безопасности организации во многом зависит от взаимодействия между структурными подразделениями. В данном случае оцениваются структура, качество и функциональность взаимодействия.
Специфика деятельности системы безопасности такова, что у нее практически полностью отсутствует такой показатель, как прямой экономический доход. Зато может присутствовать прямой ущерб. Ущерб экономическим, материальным, репутационным или каким-либо другим охраняемым интересам организации, причиненный сотрудником или целым структурным подразделением системы безопасности от ненадлежащего или халатного отношения к выполнению своих функциональных обязанностей.
Не меньшей проблемой для организации может быть косвенный ущерб охраняемым интересам, причиняемый деятельностью системы безопасности. Некорректное поведение охранника на входе в офис или в торговом зале на первый взгляд никак не связано с возможным ущербом организации. Но это не так. Подобное поведение формирует у покупателя или заказчика негативную мотивацию, которая совсем не способствует приобретению товаров или услуг этой организации.
Эффективность защищенности организации определяется также и косвенным экономическим доходом от деятельности системы безопасности. Например, от сокращения дебиторской задолженности, предотвращения бесперспективных и невозвратных расходов.
В заключение определимся с тем, кто должен проводить аудит защищенности организации. Вариантов всего два: либо своими силами, либо силами привлеченных специалистов. Оба варианта имеют право на существование, но и у того и другого есть ряд особенностей.
Аудит собственными силами обходится значительно дешевле. Однако собственные сотрудники:
  • как правило, не имеют столь высокой квалификации как специалисты, предлагающие услуги по профильному аудиту;
  • обладают более высокой вероятностью проявления эффекта «замыливания глаза»;
  • зависимы от владельцев бизнеса и руководства; иными словами – есть риск получения предвзятого, субъективного конечного результата.
Привлечение сторонних специалистов: с одной стороны – гарантирует более высокий уровень профессиональных знаний, с другой – требует от организации значительных финансовых затрат, одновременно повышая риск утечки конфиденциальной информации.
Таким образом, выбор способа проведения аудита безопасности – исключительное право организации, но обязательность его проведения является необходимым условием повышения ее конкурентоспособности и залогом дальнейшего успешного развития бизнеса.
Автор: Антон Ларин
Источник: Директор по безопасности - 2012
Подписаться на публикацию новых статей.

Комментарии
- Комментариев нет -

Оставить свой комментарий



Дополнительно

Категории

Скачать последний проект
Система пожаротушения складов сахара на основе модульной ТРВ

Система пожаротушения строится на оборудовании НВП Болид. Входящая в систему пожарная сигнализации...
Скачать проект (5,81 Мб)
Самые читаемые новости этого месяца
Электронный аукцион. Очередная победа (107 / 107)
Компания АСКОН получила право на заключение государственного контракта. Закупочная процедура —...
«Амиком» принял участие в 9 Международном форуме All-Over-IP (105 / 105)
Компания «Амиком» приняла участие в международной выставке, посвященной IP-системам видеонаблюдения...
Новый видеодомофон SATVISION! (105 / 105)
Компания SATVISION сообщает о поступлении нового цветного видеодомофона SVM-405. Новый цветной...
Cтанция единого времени для сердца нашей Родины - Кремля (92 / 92)
Компания «Тэндо» совместно с компанией «ПИК Единое время» успешно завершили проект по созданию...
Новые разветвители питания на 4 и 8 каналов от Tantos (89 / 89)
В «Сатро-Паладин» новинка Tantos - разветвители питания на 4 и 8 каналов. Это, соответственно,...
проекты общественных зданий в Твери
  • Портал по безопасности
  • Транспортная безопасность
  • Пожарная безопасность
  • Пожарные машины
  • Пож.ру
© 2006—2016   ООО «Гермион»

При использовании материалов с сайта,
активная ссылка на портал обязательна.
Выбрать кнопку для своего сайта.

тел. (960) 510-55-00