Как построить комплексную защиту бизнеса

Как построить комплексную защиту бизнеса

Чем стремительнее развиваются технологии, тем больше новых и нестандартных угроз нависает над бизнесом, при этом риски для компаний разных индустрий могут быть совершенно непохожи. Это говорит о том, что при построении функции корпоративной безопасности необходимо учитывать индивидуальные особенности и потребности бизнеса. О том, как построить эффективную комплексную защиту бизнеса, журналистам DELO.UA рассказала на примере большой и успешной бизнес-структуры Татьяна Андрианова, СЕО «Октава Капитал», глава комитета корпоративной безопасности группы компаний «Октава».

В.: Вы принимали непосредственное участие в построении системы корпоративной безопасности в группе компаний, принадлежащей бизнесмену Александру Кардакову. Расскажите, как вы пришли к нужному решению в вопросе обеспечения безопасности в такой сложной структуре?

— Мы прошли непростой путь в построении корпоративной безопасности в компании. Перепробовав методом проб и ошибок разные ее форматы, мы пришли к комитетной модели, которая до сих пор показывает свою высокую эффективность.

Чтобы понять, как сложно было найти оптимальное решение, нужно знать структуру холдинга «Октава Капитал». Эта компания управляет активами Александра Кардакова, и ее основная задача — максимизировать стоимость этих активов. Активы же представлены бизнесами из совершенно разных индустрий — от компаний по разработке средств криптозащиты до питомника декоративных растений.

В.: На что необходимо обращать внимание компаниям, планирующим внедрить у себя эффективную систему безопасности?

— Для того, чтобы выбрать оптимальную модель корпоративной безопасности, бизнесу необходимо ответить на ряд вопросов.

  • Какая связь между функцией корпоративной безопасности со стратегией и долгосрочными целями компании?
  • Какие слабые стороны и вероятные угрозы есть в компании?
  • Кто является заинтересованными лицами и стейкхолдерами в построении этой функции? Кто несет ответственность за состояние защищенности бизнеса?
  • Каким образом акционер и топ-менеджеры получают информацию об угрозах, то есть как обеспечить эффективное реагирование на угрозы со стороны акционера и топ-менеджмента?
  • Идентификация ключевых активов: что представляют собой активы, которые нужно защищать?
  • Как достичь максимальной эффективности в работе функции корпоративной безопасности?
  • Как перенести уже полученный успешный опыт построе­ния системы безопасности на новые бизнесы компании?
  • Надо ли строить функцию безопасности внутри компании или эффективнее передать ее на аутсорсинг?

При составлении этого списка вопросов у нас не было возможности изучить профильную литературу, ее просто не было. Определяя, что такое корпоративная безопасность, мы исходили исключительно из собственного опыта. Для нас это в первую очередь превентивная мера, которая состоит из прогнозирования, идентификации и анализа угроз и реализации комплекса мероприятий по их недопущению.

В.: С какими угрозами и рисками приходится сталкиваться бизнесу чаще всего?

— Как известно, угрозы бывают внешние и внутренние. Из внешних, как ни печально, самым большим злом для бизнеса являются коррумпированные элементы в лице правоохранителей, фискалов и других контролирующих органов, которые используют данные им законом права в своих личных целях и изобретают бесконечные способы, чтобы «кошмарить» бизнес. Также проблемы бизнесу могут создавать криминальные структуры, конкуренты, а также специализирующиеся на промышленном шпионаже и мошенничестве лица. Внешней угрозой могут быть и бывшие недовольные сотрудники.

Внутренние угрозы — это умышленные или неумышленные действия сотрудников, влекущие за собой негативные последствия для компании. Самые популярные из них — хищение активов, разглашение конфиденциальной информации и коммерческой тайны, ошибки в принятии управленческих решений руководителями компании, а также любые действия, которые могут в какой-то мере подорвать деловую репутацию компании.

В.: В чем заключается эффективность выбранной вами модели безопасности?

— Как вы понимаете, нельзя сравнивать питомники растений и IT-компании, поэтому мы создали комитеты безопасности для каждого бизнеса, которые подотчетны акционеру. При этом комитеты являются не распорядительным, а консультационно-действенным органом. Комитеты устанавливают единые стандарты, методики и практики в сфере корпоративной безопасности, которые обязательны к соблюдению всеми сотрудниками всех бизнесов, а также контролируют их соблюдение.

В.: Что такое корпоративная безопасность в вашей компании?

— Для нас это состояние защищенности бизнеса, а реализуем мы его через работу комитетов. В свою очередь комитет корпоративной безопасности включает четыре подкомитета: информационной, юридической, административной и кадровой безопасности. В каждом из них сформированы рабочие группы из экспертов узкого профиля. Они собирают информацию, а затем формируют, внедряют и контролируют соблюдение соответствующих стандартов и политик.

Эти политики утверждаются акционером и вводятся в действие приказом директора. После этого каждый сотрудник подписывает документ, обязывающий их соблюдать.

В.: Какие нарушения правил встречались в вашей компании?

— Если говорить о нарушениях сотрудниками правил информационной безопасности (а у нас действует свыше десятка политик в этом направлении), достаточно часто встречаются нарушения использования корпоративной почты. Многие коллеги не понимают, что корпоративная почта должна использоваться исключительно в служебных целях, и если сисадмин заметит личную переписку (а это вполне возможно и не выходит за рамки дозволенного), мы можем применить санкции к такому сотруднику.

Самые неприятные нарушения сотрудниками с точки зрения последствий для компании происходят в сфере защиты конфиденциальной информации и коммерческой тайны. Не хочу углубляться, но в нашей практике был серьезный прецедент разглашения конфиденциальной информации сотрудником, который повлек за собой неприятные последствия.

Также у нас активно реализуется политика «чистого стола» — запрет на хранение на рабочем столе документов компании, содержащих конфиденциальную информацию. Мы регулярно проводим дистанционные аудиты и аудиты офисных помещений, чтобы установить, соблюдает ли сотрудник данные правила.

В.: Какая существует ответственность за нарушения корпоративной безопасности сотрудниками?

— В каждом обязательстве, которое подписывает сотрудник, предусмотрена целая градация ответственности — от предупреждения и штрафных санкций до увольнения, а в некоторых случаях привлечения к уголовной ответственности. Радует, что в основном приходится применять санкции только на первом уровне, то есть преимущественно после официального предупреждения повторное нарушение правил не происходит.

Полную версию материала читайте на страницах www.delo.ua.