Автор: Панчак Виктор, СРР®

Вице-президент SK Security

Председатель Правления ASIS Ukraine

Член Правления АПКБУ

  

В условиях распространения все более угрожающих форм глобальной пандемии бизнес вынужден максимально быстро менять и адаптировать свои формы и методы работы, создавая таким образом совершенно новые взаимосвязи, которые, среди прочего, предоставляют возможность сотрудникам работать удаленно из дома. Сам по себе COVID-19 не положил начало тенденции адаптивной работы из дома, но существенно ускорил ее, заставив бизнес-лидеров ломать голову над тем, как эффективно обеспечить безопасность и производительность своих сотрудников вне офиса. К сожалению, расширение удаленного доступа означает, что каждый работник фактически получил своеобразный «ключ от замка» и, в то же время, меньший уровень поддержки и контроля, чем это было раньше. И независимо от того, насколько хорошо осведомлена, опытна или предана делу ваша команда из подразделения безопасности, или насколько надежны ваши инструменты кибербезопасности, все, что может быть нужно – так это один единственный акт халатности со стороны работника, чтобы поставить всю организацию «на колени».

Несмотря на то, сколько средств вы тратите на инфраструктуру безопасности своего бизнеса, такие вложения не принесут ожидаемой пользы, если люди, которых вы нанимаете, не будут использовать ее элементы правильно и в соответствии с глобальными стандартами безопасности. Например, вы можете установить лучший в мире антивирус, но, если ваш непутевый сотрудник попадется на мошенничестве с фишингом и нечаянно передаст свой пароль хакеру, все это будет бесполезно. Именно поэтому сейчас как никогда важно иметь четко выстроенную культуру корпоративной безопасности внутри компании.

Что такое «культура корпоративной безопасности компании»?

Вернемся к истокам и напомним, что именно следует понимать под понятием «корпоративной безопасности», культуру которой мы хотим выстроить в компании? Итак, корпоративная безопасность — это структурированная совокупность мероприятий и действий, которая объединяет в себе основные методы и принципы, а также необходимые для компании направления безопасности, внедренные в бизнес-процессы с учетом лучших практик корпоративного управления. Такая структурированная совокупность мероприятий направлена на бесперебойную, бесконфликтную и устойчивую работу компании и обеспечивает получение ею прибыли и определяет стратегию развития организации на обозримое будущее.

В этой связи «культура корпоративной безопасности» — это та среда, в которой сотрудники не только понимают важность совокупности мер безопасности, но и активно участвуют в защите организации от внешних и внутренних угроз и непосредственно способствуют смягчению рисков.

Как и любые другие ценности, которые может отстаивать компания, безопасность должна быть тесно «вплетена» в каждый бизнес-процесс и учтена в каждом управленческом решении. Когда фактор безопасности становится неотъемлемой частью корпоративной культуры организации, каждый участник автоматически берет на себя личную ответственность за собственные действия и признает, что он будет наказан, если решит пойти вопреки правилам, определенным такой культурой.

Вот несколько типичных примеров стандартной культуры корпоративной безопасности организации:

  • Сотрудники осознают, что риски безопасности непременно являются сверхважной составляющей комплексных рисков организации, отраженных должным образом в карте и матрице рисков.
  • Сотрудники инструктированы о роли, месте и содержании политики по безопасности организации, а также стандартов безопасности, руководств и рабочих инструкций.
  • Сотрудники знают о порядке и форме уведомления о любых заслуживающих внимания инцидентах, угрозах и рисках.
  • Стейкхолдеры и руководители всех структурных подразделений организации систематически сотрудничают со службой безопасности в соответствии с полномочиями, прописанными внутренними инструкциями.
  • Сотрудники обучены базовым принципам так называемой “конвергенции” безопасности, где риски информационной и кибербезопасности тесно переплетаются с рисками физической безопасности, однако четко выделяются тезисы о том, что:
  • Сотрудники знают, как выявлять потенциальные угрозы, такие как фишинговые электронные письма и немедленно сообщают об этом в Службу безопасности.
  • Сотрудники понимают разницу между надежным и слабым паролем и регулярно меняют свои пароли.
  • Сотрудники никогда не подписываются на услуги, не связанные с бизнесом, на своих корпоративных устройствах и не используют учетные данные для входа в личные реестровые записи.
  • Сотрудники не делятся паролями, кодами доступа, магнитными картами или иными ресурсами, потому что понимают, как легко они могут попасть в чужие руки.
  • Никто из сотрудников (включая топ-руководителей и стейкхолдеров) не считает, что он находится выше правил культуры корпоративной безопасности, независимо от обязанностей, стажа работы, роли внутри организации.

Путь создания культуры корпоративной безопасности в организации.

Чтобы сделать безопасность основой корпоративной культуры компании, необходимо ее максимально демократизировать. Другими словами, если вы хотите добиться стратегического успеха в защите своей организации, то вы не должны допустить, что лишь функция безопасности является тем единственным подразделением, которое придерживается принципов культуры корпоративной безопасности. Вместо традиционной, нисходящей и обычно авторитарной, культура корпоративной безопасности должна стать общей и всеобъемлющей долей в стратегической модели функционирования бизнеса в целом.

В конце концов, без комплексного представления о культуре безопасности вашего бизнеса, или без знаний о том, какие шаги предпринимает ваша служба безопасности для снижения рисков, сотрудники никогда не будут понимать, всё ли в организации на самом деле находится в порядке. А давая им представление о ваших процессах, а также знания и навыки, необходимые для принятия собственных решений, они будут чувствовать себя способными участвовать в формировании и поддержании культуры корпоративной безопасности организации.

Так как все-таки вы можете «демократизировать» безопасность? Мы можем рекомендовать вам СЕМЬ шагов, каждый из которых будет отображать одну из семи букв слова «БЕЗПЕКА“» (укр.).

  • 1 – «Б»: изучите вашу текущую ситуацию с состоянием культуры безопасности.

Начните с оценки того, где вы, как целостная организация, находитесь сегодня. Активно ли сотрудники участвуют в процессе обеспечения безопасности? Как вы обеспечиваете, чтобы все работники были в курсе последних передовых практик? Предупреждаете ли вы организацию об угрозах, рисках или попытках нарушения? Если да, то как? Когда в последний раз ваш руководитель Службы безопасности проходил обучение по повышению квалификации? Получил ли он членство в таких ключевых сообществах безопасности как представительство ASIS International в Украине[1], или Ассоциация профессионалов корпоративной безопасности Украины (АПКБУ)[2] ?

  • 2 – «Е»: обучите всех сотрудников их правам и обязанностям по безопасности.

Как только вы определили, на каком уровне культуры безопасности находится ваша организация, пришло, собственно, время заполнить пробелы. Потратьте время на то, чтобы обучить сотрудников процессам, связанным с политиками и процедурами по безопасности, а также их личной роли в обеспечении безопасности всей организации. Это будет удачным моментом, чтобы рассказать им о лучших кейсах и практиках, где халатность в соблюдении требований по безопасности приводила к значительным потерям. Профессиональные внешние сервисные провайдеры по корпоративной безопасности были бы лучшим вариантом для вовлечения в такой учебный процесс.

  • 3 – «З»: поручите руководителям подразделений усилить роль и значение безопасности.

Команда сильна настолько, насколько крепок ее лидер. Культура безопасности не будет процветать, если каждый руководитель функционального подразделения не станет личным примером в соблюдении стандартов безопасности. Ведь именно руководители в конечном счете несут ответственность за то, насколько хорошо работает их команда и насколько эффективно отвечает она зрелости модели корпоративной культуры в целом.

  • 4 – «П»: обеспечьте усиление роли анализа информации о рисках и угрозах.

Мы единственное государство Европы, где сейчас имеет место открытый военный конфликт и где уровень рисков безопасности постоянно балансирует между «желтым» и «красным». Один из лучших способов повысить эффективность безопасности и усилить ее корпоративную культуру — использовать технологию анализа информации и потенциальных угроз. Применение инструментов внешней и внутренней аналитики по безопасности поможет определить, была ли ваша организация скомпрометирована, предупредить компанию и предсказать, где может возникнуть проблема.

  • 5 – «Е»: помните о безопасности не только в ее антикризисном контексте.

Вместо того, чтобы ожидать на «выдавливание» из функции безопасности всех имеющихся у нее резервов во время реагирования в кризисной ситуации, заблаговременно проведите внешний аудит состояния защищенности организации по критериям безопасности стандартов, которые составляют лучшие рыночные практики. Это даст вам возможность получить независимую и беспристрастную профессиональную экспертизу текущих угроз и рисков, а также поможет пересмотреть ваши процедуры реагирования на возможные инциденты.

  • 6 – «К»: пересмотрите оценку человеческого фактора через анализ норм.

Системная защита бизнеса и построение культуры корпоративной безопасности невозможны без формирования принципа благонадежных работников. Ведь если сотрудник имеет склонность к деструктивному поведению, то попытки убрать риски, или поставить барьеры на его пути будут очевидно малоэффективными и перейдут в плоскость перманентного соперничества с неопределенным результатом. Именно поэтому с точки зрения формирования качественной политики и культуры организации крайне важным является вопрос своевременной оценки человеческого фактора через анализ нравственных и этических норм, которые могут сформировать портрет потенциального «оппозиционера» внутри бизнеса. Такая своевременная оценка позволит вам как максимально эффективно привлекать к сотрудничеству благонадежных сотрудников, так и формировать условия ответственности для тех, кому характерны признаки деструктивизма.

  • 7 – «А»: поощряйте и признавайте ключевые победы.

Обязательно вознаграждайте команды и отдельных лиц, которые поддерживают и продвигают культуру корпоративной безопасности внутри организации. Введите формальные поощрения в виде символических подарков, мотивационного или финансового стимулирования и тому подобное. Это будет вдохновлять на дальнейшую приверженность со стороны работников и повышать производительности их труда.

Будущее культуры корпоративной безопасности

Брюс Шнайер из Гарвардской школы Кеннеди еще в апреле 2000 года отмечал, что «безопасность — это процесс, а не результат»[3]. Безопасность в условиях современности — это слишком сложно для одного отдельно взятого человека, или одной команды, или же какого-то одного подразделения, чтобы качественно управлять ею в одиночку. Последовательная борьба с угрозами безопасности требует глубокого понимания и непоколебимой приверженности со стороны каждого сотрудника компании. Однако культура корпоративной безопасности — это не то, что можно создать за одну ночь. Она требует комплексной стратегии, последовательности, поддержки со стороны высшего руководства и, что наиболее важно, прозрачности внутри самой организации. Предпринимая соответствующие шаги для укрепления культуры корпоративной безопасности вашей организации, вы создаете условия для того, чтобы быть хорошо подготовленными к повышению уровня собственной защищенности и формируете надлежащие условия для преимущества своей конкурентности в будущем.

Таким образом, продвигайте и развивайте культуру корпоративной безопасности в вашей организации!

 

Об авторе:

Виктор Панчак является известным экспертом-консультантом по вопросам корпоративной безопасности. Имеет более чем 20-летний опыт работы в области государственной и частной безопасности, а также в сфере управления бизнесом и коммерческого администрирования. Выпускник Джорджтаунского университета в Вашингтоне, США, а также первый украинский профессионал, который получил самую высокую глобальную сертификацию безопасности по стандарту CPP® (Certified Protection Professional), утвержденную всемирной организацией ASIS International.

[1] ASIS Ukraine – украинское представительство ASIS International – крупнейшей в мире ассоциации по безопасности, объединяющей более 34 тысяч членов в 162 странах и способствующей глобальному продвижению корпоративной безопасности, а также обеспечению совершенства и лидерства в области управления частным сектором безопасности. Режим доступа: https://asisukraine.org/.

[2] АПКБУ – Ассоциация профессионалов корпоративной безопасности Украины. Режим доступа: http://corporatesecurity.org.ua/.

[3] Bruce Schneier: “Schneier on Security” – The Process of Security, April 2020. – Режим доступа:

https://www.schneier.com/essays/archives/2000/04/the_process_of_secur.html

admin
Share
This