Skip to content Skip to footer

Як побудувати функцію корпоративної безпеки?

[cmsmasters_row][cmsmasters_column data_width=”1/1″][cmsmasters_text]

Великий стратег Вінстон Черчилль сказав: “За безпеку треба платити, а за її відсутності – розплачуватися”. Цей вираз, який уже став крилатим, максимально підходить до реалій ділової сфери. Багато бізнесменів вважають, що побудова функції корпоративної безпеки – справа не обов’язкова, не термінова й зазвичай ситуативна. Такий підхід часто призводить до виникнення кризових ситуацій, вирішення яких потребує колосальних сил і грошових затрат.

У нашому сучасному світі, де про корпоративне шпигунство знімають фільми, а балом править конкуренція, бізнесу зі слабким захистом просто не вижити. У цій статті ми розкажемо, як професійно й усебічно налагодити функцію корпоративної безпеки та яку роль у цьому процесі має юридичний департамент.

Що таке корпоративна безпека?

Це основне запитання, з якого потрібно починати. Необхідно зрозуміти, що корпоративна безпека – це не охоронець на вході чи система відеоспостереження. Такі інструменти – привіт з далекого минулого, вони вже давно не можуть забезпечити ваш спокійний сон і впевненість у майбутньому. Сьогодні побудова корпоративної безпеки на підприємстві – складний і тривалий комплексний процес. Передусім – це прогнозування та ідентифікація загроз. Складність полягає в тому, щоб заздалегідь відчувати, що насувається буря, точно знати, куди може вдарити блискавка, і не допустити виникнення кризової ситуації.

Звідки ж чекати проблем? Варіантів безліч. Усі ризики можна поділити на зовнішні й внутрішні. Як би сумно це не звучало, але найбільша загроза для бізнесу в Україні – це держава, тобто корумповані елементи з числа правоохоронців і контролерів. Більшість бізнесменів знають про це не з чуток: ведення бізнесу дуже ускладнюється, коли кожен день доводиться відбиватися від чиновників-корупціонерів.

Ще одна не менш серйозна зовнішня загроза – кримінальні структури, конкуренти й промислові шпигуни. Якщо ви вважаєте, що “братки” з 90-х давно зникли, ви помиляєтеся – вони просто змінили яскраві піджаки на дорогі костюми. Нещодавній кейс: на одне підприємство прийшла група осіб із вимогою переоформити одну з бізнес-структур на їхню афілійовану компанію. Такі ситуації бувають не тільки у фільмах, це й досі наша з вами реальність.

Приклад ще однієї зовнішньої загрози – звільнені співробітники. Треба завжди пам’ятати, що працівник покидає підприємство з певним обсягом інформації. А якщо до цього додати гнів і жагу помсти – ситуація стає серйозним джерелом проблем. Може відбутися, наприклад, витік конфіденційної інформації до конкурентів. Заподіяний збиток від таких дій залежить від ступеня доступу колишнього співробітника – у разі найгіршого сценарію ситуація може закінчитися навіть зруйнованим бізнесом.

Ризики будуть завжди, якщо є відкриті зобов’язання перед кредиторами або постачальниками.

Внутрішніми загрозами є все, що відбувається всередині бізнесу. Це – дії співробітників, які можуть завдати шкоди, спричинити витік конфіденційної інформації чи підірвати ділову репутацію. І не завжди співробітник усвідомлює свої дії. Йому може здаватися, що сказане чи зроблене не несе жодної загрози.

Варіанти можна перераховувати дуже довго, але головне – убезпечити себе й підприємство, побудувавши функцію корпоративної безпеки.

Як побудувати функцію корпоративної безпеки?

Щоб бути повністю впевненим у тому, що бізнес перебуває під максимальним захистом, під час упровадження функції корпоративної безпеки треба охопити три елементи: інформаційну безпеку, юридичну й фізичну. Самим же впровадженням мають займатися юристи, а також працівники служби безпеки.

При цьому надзвичайно важливо, щоб усі члени групи працювали як один організм. А зробити це можливо тільки поділивши обов’язки й компетенції, бо слабких місць у спільній роботі дуже багато. Наприклад, юридичний департамент часто не довіряє невідомим джерелам служби безпеки. Це цілком закономірно для людей, які керуються тільки фактами та документами, адже перевірка інформації потребує часу та ресурсів. Формуючи команду для побудови функції корпоративної безпеки, надзвичайно важливо поділити обов’язки й відповідальність ще на старті.

Основні правила звучать так: обидва департаменти знаходяться в прямому підпорядкуванні власника чи керуючої особи; юридична служба та служба безпеки не повинні бути підзвітними один одному; усі обов’язки, права й сфери впливу має бути зафіксовано на папері й підписано обома сторонами. Якісно прописані внутрішні регламенти дають можливість зняти більшість конфліктних ситуацій.

Ось частина питань, які краще залишити юридичному департаменту: підготовка всіх документів, представництво інтересів компанії та її керівників у правоохоронних органах, підготовка всіх запитів й обробка відповідей, аналіз ризиків і шляхів вирішення проблем тощо.

Подальшу роботу необхідно будувати в комітеті, де кожен має право голосу. Такий комітет підпорядковується власнику, інформує його про всі процеси й допомагає знайти способи розв’язання проблемних ситуацій.

Уявімо, що етап формування комітету вже позаду. Що ж далі?

Юридичний департамент бере на себе аналіз і стратегію розвитку інформаційної та юридичної безпеки, а служба безпеки зосереджує увагу на безпеці фізичній.

Інформаційна безпека – це захист конфіденційної інформації й комерційної таємниці. Перше, що треба зробити в цьому блоці, – визначити, яка саме інформація є конфіденційною для бізнесу. Юристи фіксують це в регламенті. Кожен співробітник повинен мати доступ тільки до даних, необхідних йому для виконання службових обов’язків. Не можна забувати й про режим зберігання інформації. Важливі документи не можуть лежати на столах, у тумбочці (і навіть у сейфі), адже в кризову хвилину вони можуть потрапити не в ті руки.

Наша рекомендація: документи (особливо правовстановлювальні на матеріальні активи) повинні бути на зберіганні в адвокатів. Це блокує несанкціоноване проникнення контролерів-фіскалів і захищає від зловживань співробітників. Щоб обшукати кімнату адвоката, правоохоронці мають отримати окремий дозвіл, а це досить складно.

Кожен співробітник під час прийняття на роботу повинен підписувати зобов’язання про нерозголошення конфіденційної інформації. Відповідно до закону за порушення зазначеного договору передбачено адміністративне й кримінальне покарання. Роботодавець може також визначити грошовий штраф за витік, а професійна команда юристів здатна розробити такий договір, який зможе утримати співробітника від несанкціонованого розповсюдження інформації.

Не зайвим буде прописати в регламенті й правила про робоче місце для працівників. Знаю випадок, коли до приміщення фінслужби завітали “маски-шоу”, а в усіх співробітників на моніторах були папірці з паролями й логінами.

Друге правило – правило чистого столу. Це стосується як електронних носіїв, так і паперових. Я рекомендую унеможливити використання флеш-накопичувачів рядовими співробітниками, що зменшить імовірність витоку інформації.

Також потрібно звернути увагу на порядок використання електронної корпоративної пошти. Перше правило, яке повинні знати співробітники, – корпоративна пошта є власністю компанії. Був випадок: співробітник, перебуваючи на робочому місці, негативно висловився про держслужбовця на форумі. Через місяць компанія отримала позов про захист честі, гідності й ділової репутації з компенсацією на кілька мільйонів гривень.

Юридична безпека. Крім згаданого вище режиму зберігання документів, важливо вести паспорт активів. Якщо на підприємстві їх багато, то й зміна статусів відбувається постійно. Краще, щоб цим займалася окрема людина, яка несе відповідальність за своєчасне оновлення інформації.

До юридичної безпеки входить і перевірка людей під час прийняття на роботу. Це дуже важливий чинник у побудові функції корпоративної безпеки. Особливо це стосується керівних позицій та осіб, які матимуть справу з фінансовими ресурсами й конфіденційною інформацією, адже резюме може бути неповним або й зовсім недостовірним. До речі, саме в цьому аспекті вкрай важлива спільна роботи юристів і служби безпеки.

Окрема необхідна функція юридичного департаменту – ведення реєстру судових рішень і кримінальних проваджень. Сьогодні це абсолютно відкрита інформація, яку потрібно регулярно перевіряти, щоб раптом не виявилося, що ваш бізнес уже не ваш, а давно належить іншим особам.

Сюди, звісно ж, варто віднести й роботу з дебіторською заборгованістю. Тут усе просто: важливо не допускати прострочення й перевіряти контрагентів на предмет їх платоспроможності та надійності на етапі переддоговірної роботи.

Хто впроваджує функцію корпоративної безпеки?

Захистити ваш бізнес від ризиків і загроз може як внутрішня команда, зібрана з різних фахівців, так і найнята на аутсорс. З власного досвіду можу сказати, що другий варіант є професійнішим, зрозумілішим і якіснішим, оскільки всебічний підхід до побудови функції корпоративної безпеки потребує роботи великої команди юристів, аудиторів, колишніх співробітників правоохоронних органів, аналітиків, психологів. Завдання такої команди – дізнатися все й про всіх. Чи багато ви знаєте про прибиральницю вашого офісу, яка приходить на роботу рано вранці й досить довго перебуває у вашому кабінеті наодинці? Чи впевнені ви у вашій системі захисту від вірусів, яку встановив на комп’ютери штатний IT-фахівець? Чи можете ви гарантувати, що цінна інформація не втече до конкурентів?

Найнята на аутсорс команда має за спиною чималий досвід упровадження системи й проведення розслідувань, тому вона налагодить функцію якісніше й оперативніше. Вона вже бачить, де тонкий лід, і знає, як це виправити. Є ще один важливий момент – залучення команди на аутсорс збереже здоровий клімат у колективі. Простіше звинувачувати в усьому якусь невідомому людину, а не колегу, з яким п’єш каву щоранку.

В Україні є небагато фірм, здатних упровадити функцію корпоративної безпеки на найвищому рівні, – це Sayenko Kharenko й компанія Nota Group, яка спеціалізується на повному супроводі бізнесу в різних сферах. Вони обидві є членами АПКБУ та мають багаторічний досвід. Також вони керуються принципами повної конфіденційності й максимальної якості роботи.

Є й менш помітні фірми, які займаються цим питанням. Дуже відрадно, що з кожним роком цей напрям розвивається все активніше.

Обираючи команду, головне звернути увагу на її репутацію та на відгуки щодо роботи. У діловому світі все таємне швидко стає явним. Компанія, яка має ім’я, ніколи не поставить його під загрозу, тож ви можете бути впевнені в її репутації.

Під час побудови функції корпоративної безпеки складається умовна “конституція”. Ось деякі принципи роботи Nota Group:

– ми – не пожежна служба, ми діємо на випередження, тому передусім ідентифікуємо проблему, щоб не допустити її виникнення;

– важливе колегіальне ухвалення ключових рішень;

– функція корпоративної безпеки – це комплекс дій;

– завжди треба дотримуватися корпоративної культури на всіх рівнях і під час виконання будь-яких функцій – це один із головних принципів;

– економічна доцільність іншими словами – це ціна питання: ухвалюючи рішення, ми завжди зважуємо альтернативи й віддаємо перевагу економічно доцільним варіантам;

– необхідна узгодженість дій з акціонером і CEO бізнесу, адже власники – перші, хто зацікавлений у його збереженні.

Завершц огляд цитатою американського криптографа й фахівця з комп’ютерної безпеки Брюса Шнайєра: “Безпека – це процес, а не продукт”. Пам’ятайте про це.

Джерело: Юрист і закон 

[/cmsmasters_text][/cmsmasters_column][/cmsmasters_row]