Чем стремительнее развиваются технологии, тем больше новых и нестандартных угроз нависает над бизнесом, при этом риски для компаний разных индустрий могут быть совершенно непохожи. Это говорит о том, что при построении функции корпоративной безопасности необходимо учитывать индивидуальные особенности и потребности бизнеса. О том, как построить эффективную комплексную защиту бизнеса, журналистам DELO.UA рассказала на примере большой и успешной бизнес-структуры Татьяна Андрианова, СЕО “Октава Капитал”, глава комитета корпоративной безопасности группы компаний “Октава”.
В.: Вы принимали непосредственное участие в построении системы корпоративной безопасности в группе компаний, принадлежащей бизнесмену Александру Кардакову. Расскажите, как вы пришли к нужному решению в вопросе обеспечения безопасности в такой сложной структуре?
Татьяна Андрианова: Мы прошли непростой путь в построении корпоративной безопасности в компании. Перепробовав методом проб и ошибок разные ее форматы, мы пришли к комитетной модели, которая до сих пор показывает свою высокую эффективность.
Чтобы понять, как сложно было найти оптимальное решение, нужно знать структуру холдинга “Октава Капитал”. Эта компания управляет активами Александра Кардакова, и ее основная задача — максимизировать стоимость этих активов. Активы же представлены бизнесами из совершенно разных индустрий — от компаний по разработке средств криптозащиты до питомника декоративных растений.
В.: На что необходимо обращать внимание компаниям, планирующим внедрить у себя эффективную систему безопасности?
Татьяна Андрианова: Для того, чтобы выбрать оптимальную модель корпоративной безопасности, бизнесу необходимо ответить на ряд вопросов.
- Какая связь между функцией корпоративной безопасности со стратегией и долгосрочными целями компании?
- Какие слабые стороны и вероятные угрозы есть в компании?
- Кто является заинтересованными лицами и стейкхолдерами в построении этой функции? Кто несет ответственность за состояние защищенности бизнеса?
- Каким образом акционер и топ-менеджеры получают информацию об угрозах, то есть как обеспечить эффективное реагирование на угрозы со стороны акционера и топ-менеджмента?
- Идентификация ключевых активов: что представляют собой активы, которые нужно защищать?
- Как достичь максимальной эффективности в работе функции корпоративной безопасности?
- Как перенести уже полученный успешный опыт построения системы безопасности на новые бизнесы компании?
- Надо ли строить функцию безопасности внутри компании или эффективнее передать ее на аутсорсинг?
При составлении этого списка вопросов у нас не было возможности изучить профильную литературу, ее просто не было. Определяя, что такое корпоративная безопасность, мы исходили исключительно из собственного опыта. Для нас это в первую очередь превентивная мера, которая состоит из прогнозирования, идентификации и анализа угроз и реализации комплекса мероприятий по их недопущению.
В.: С какими угрозами и рисками приходится сталкиваться бизнесу чаще всего?
Татьяна Андрианова: Как известно, угрозы бывают внешние и внутренние. Из внешних, как ни печально, самым большим злом для бизнеса являются коррумпированные элементы в лице правоохранителей, фискалов и других контролирующих органов, которые используют данные им законом права в своих личных целях и изобретают бесконечные способы, чтобы “кошмарить” бизнес. Также проблемы бизнесу могут создавать криминальные структуры, конкуренты, а также специализирующиеся на промышленном шпионаже и мошенничестве лица. Внешней угрозой могут быть и бывшие недовольные сотрудники.
Внутренние угрозы — это умышленные или неумышленные действия сотрудников, влекущие за собой негативные последствия для компании. Самые популярные из них — хищение активов, разглашение конфиденциальной информации и коммерческой тайны, ошибки в принятии управленческих решений руководителями компании, а также любые действия, которые могут в какой-то мере подорвать деловую репутацию компании.
В.: В чем заключается эффективность выбранной вами модели безопасности?
Татьяна Андрианова: Как вы понимаете, нельзя сравнивать питомники растений и IT-компании, поэтому мы создали комитеты безопасности для каждого бизнеса, которые подотчетны акционеру. При этом комитеты являются не распорядительным, а консультационно-действенным органом. Комитеты устанавливают единые стандарты, методики и практики в сфере корпоративной безопасности, которые обязательны к соблюдению всеми сотрудниками всех бизнесов, а также контролируют их соблюдение.
В.: Что такое корпоративная безопасность в вашей компании?
Татьяна Андрианова: Для нас это состояние защищенности бизнеса, а реализуем мы его через работу комитетов. В свою очередь комитет корпоративной безопасности включает четыре подкомитета: информационной, юридической, административной и кадровой безопасности. В каждом из них сформированы рабочие группы из экспертов узкого профиля. Они собирают информацию, а затем формируют, внедряют и контролируют соблюдение соответствующих стандартов и политик.
Эти политики утверждаются акционером и вводятся в действие приказом директора. После этого каждый сотрудник подписывает документ, обязывающий их соблюдать.
В.: Какие нарушения правил встречались в вашей компании?
Татьяна Андрианова: Если говорить о нарушениях сотрудниками правил информационной безопасности (а у нас действует свыше десятка политик в этом направлении), достаточно часто встречаются нарушения использования корпоративной почты. Многие коллеги не понимают, что корпоративная почта должна использоваться исключительно в служебных целях, и если сисадмин заметит личную переписку (а это вполне возможно и не выходит за рамки дозволенного), мы можем применить санкции к такому сотруднику.
Самые неприятные нарушения сотрудниками с точки зрения последствий для компании происходят в сфере защиты конфиденциальной информации и коммерческой тайны. Не хочу углубляться, но в нашей практике был серьезный прецедент разглашения конфиденциальной информации сотрудником, который повлек за собой неприятные последствия.
Также у нас активно реализуется политика “чистого стола” — запрет на хранение на рабочем столе документов компании, содержащих конфиденциальную информацию. Мы регулярно проводим дистанционные аудиты и аудиты офисных помещений, чтобы установить, соблюдает ли сотрудник данные правила.
В.: Какая существует ответственность за нарушения корпоративной безопасности сотрудниками?
Татьяна Андрианова: В каждом обязательстве, которое подписывает сотрудник, предусмотрена целая градация ответственности — от предупреждения и штрафных санкций до увольнения, а в некоторых случаях привлечения к уголовной ответственности. Радует, что в основном приходится применять санкции только на первом уровне, то есть преимущественно после официального предупреждения повторное нарушение правил не происходит.
Полную версию материала читайте на страницах www.delo.ua.