Автор: Панчак Віктор, CPP®

 

Віце-президент компанії SK Security

Голова Правління представництва ASIS International в Україні

Член Правління Асоціації Професіоналів Корпоративної Безпеки України

 

В умовах динамічних соціально-економічних змін та невизначеності для бізнесу, викликаних пандемією коронавірусу, в експертному середовищі професіоналів  з корпоративної безпеки все більш нагальним стає питання щодо оптимізації моделі управління ризиками безпеки бізнесу. Це обумовлює актуальність тематики і викликає додатковий інтерес для дослідження теоретичних, методологічних та практичних засад формування якісної системи корпоративного управління ризиками безпеки бізнесу.

У цій статті ми сфокусуємося на тому, чому в процесі  організації системи безпеки бізнесу надзвичайно важливо використовувати так званий ризик-орієнтований підхід. Також розглянемо окремі аспекти системи корпоративного управління ризиками безпеки та стратегії впровадження і підтримки згаданого вище ризик-орієнтованого підходу у структурі безпеки організації.

Наприкінці 2019 року ASIS International, найбільша в світі асоціація професіоналів в галузі управління безпекою, опублікувала  глобальну директиву (керівництво) з корпоративного управління ризиками безпеки, в якій були вперше надані  системні пояснення того, як саме працює такий стратегічний підхід і у який спосіб його можливо реалізувати в сфері управління ризиками бізнесу. У нашому аналізі ми використовуватимемо окремі посилання з цієї директиви як кращої світової практики.

Тож корпоративне управління ризиками безпеки (англ. «Enterprise Security Risk Management», або ESRM) – це стратегічний підхід до комплексного управління безпекою підприємства, що пов’язує існуючу практику безпеки підприємства  з його  загальною стратегією розвитку, а також використовує загальноприйняті принципи управління ризиками безпеки бізнесу відповідно до глобальних стандартів безпеки.

Суть ESRM і ключ до отримання переваг для бізнесу від ризик-орієнтованого підходу до безпеки полягає в тому, що професіонали з безпеки і власники активів підприємства повинні у зрозумілий всім спосіб поділяти обов’язки щодо забезпечення безпеки. Незважаючи на те, що всі остаточні рішення щодо стратегічного забезпечення безпеки – зона відповідальності власника бізнесу, інші ключові учасники процесу, або так звані власники ризиків, чиї активи захищаються, зазвичай володіють як бюджетом, так і належним інструментарієм для захисту таких активів. Враховуючи цей ключовий фактор, ми опишемо основу філософії ESRM, аби сформулювати розуміння її комплексних переваг для бізнесу.

Отже, метою ESRM є виявлення, оцінка та пом’якшення ймовірності або впливу ризиків безпеки на організацію з пріоритетною увагою до заходів захисту і протидії, що допомагатимуть просувати стратегічну місію бізнесу. ESRM позиціонує професіонала з безпеки як надійного консультанта, який компетентно допомагає власникам активів чітко взаємодіяти в процесі прийняття рішень з управління ризиками безпеки.

Практика ESRM створює функціональні передумови для якісного партнерства між підрозділом безпеки компанії та тими стейкхолдерами, які володіють ризиковими активами компанії. Вона також дозволяє аналізувати  ризики та надає можливість власникам активів приймати обґрунтовані рішення у тісній співпраці з фахівцями з безпеки, використовуючи так званий життєвий цикл управління ризиками, на якому ми зупинимося нижче.

Для досягнення стратегічної мети слід вести мову про наступні базові принципи ESRM:

  • ESRM враховує повний спектр сукупних ризиків у всій організації та включає у себе всі домени (види) корпоративної безпеки;
  • ESRM спирається на партнерство між професіоналами в галузі безпеки та власниками активів;
  • ESRM може адаптуватися будь-якими типами організацій та підприємств: державними, приватними, некомерційними тощо.

Відповідаючи на запитання, що ж рухає ESRM як цілісним процесом у системі оцінки ризиків безпеки бізнесу, слід виділити два базові аспекти ESRM: партнерство та інклюзивність.

У контексті партнерства ESRM визнає, що відповідальність за безпеку бізнесу поділяють як професіонали  з безпеки бізнесу, так і керівники бізнесу. При цьому критично важливим є партнерство в питанні управління вразливостями безпеки корпоративних активів, у першу чергу в частині прийняття рішень.

З огляду на інклюзивність ESRM, варто зазначити, що її зріла програма охоплює всі комплексні аспекти практики зниження ризиків безпеки для запобігання впливу негативних факторів та вразливостей.

Цінність підходу з використанням стратегії ESRM полягає в тому, що у такий спосіб бізнес володіє єдиним зведеним підходом до оцінки та аналізу всіх ризиків безпеки одночасно, а управління процесом прийняття рішень, серед іншого, включає:

  • надання можливих стратегій захисту активів;
  • безпосередню реалізацію рішень керівництва;
  • інформування ділових партнерів про відповідні ризики;
  • навчання та розвиток.

Ризик-орієнтований підхід до управління програмами безпеки заснований на ідеї, що бізнес не може захистити абсолютно все, а особливо те, чого він не розуміє в частині безпеки. Розуміння організації, її місії, потреб і пріоритетів – це, власне, і є суть життєвого циклу ESRM. Варто звернути увагу на ключові питання, які слід у першу чергу поставити бізнесу перед тим, як розпочати впровадження стратегії ESRM:

  • Що потрібно захищати?
  • Від чого/кого потрібно захищати?
  • Для чого потрібен такий захист?
  • Як відбувається базовий захист на даний момент?
  • Чи готовий бізнес до самоокупних інвестицій у новий і більш ефективний захист у форматі ESRM?

Відповіді на ці запитання дозволять пов’язати в єдиний ланцюжок цінностей для бізнесу все, що буде відображатися і впроваджуватиметься у програмах з безпеки. Будь-яка діяльність у сфері безпеки повинна реалізовуватися у відповідь на виявлений та оцінений ризик, а всі ризики мають бути безпосередньо пов’язані з критичними активами організації. Тому і цінність комплексної програми ESRM полягає саме в тому, щоб організація не зазнавала шкоди або втрати тих активів, що зумовлюють неприйнятні складнощі для бізнесу.

Відповісти на ці запитання допоможуть базові алгоритми життєвого циклу ESRM:

Розглянемо елементи життєвого циклу ESRM детальніше.

  1. Ідентифікація та пріоритезація активів, або процес виявлення, оцінки та градації активів підприємства.

Під поняттям «актив» мається на увазі все, що має матеріальну або нематеріальну цінність для організації. Стандарти з безпеки говорять, що матеріальні активи повинні щонайменше включати людську, фізичну та екологічну частини, у той час як нематеріальні активи включають інформацію, інтелектуальну власність, бренд і репутацію. У підході ESRM йдеться про те, що організація повинна покладатися на повноцінну і реалістичну кількість активів, що беруть участь у  робочому циклі організації, при цьому кожен актив повинен бути безпосередньо пов’язаний із так званим «власником активу», або стейкхолдером (зацікавленою стороною).

Власник активу – особа, яка в кінцевому рахунку несе відповідальність за існування активу. Власник не несе відповідальності за виробництво самого активу, але відповідає за його експлуатацію, супроводження чи  технічне обслуговування. Актив має вирішальне значення для  господарської діяльності його власника, тому саме власник активу повинен мати всю інформацію про будь-які ризики безпеки для такого активу.

Активи повинні бути оцінені і категоровані за пріоритетами відповідно до місії, візії, стратегії та цілей підприємства. Зрілість та ефективність процесу оцінки і визначення пріоритетів залежать від наявності та можливостей внутрішніх ресурсів підприємства. Вартість активу може бути встановлена на основі одного або декількох факторів, включаючи, але не обмежуючись:

  • вартістю придбання або заміни активу;
  • операційним впливом недоступності активу (зазвичай встановлюється за допомогою аналізу впливу на бізнес);
  • наслідками заподіяння шкоди активу;
  • тривалістю часу, необхідного для заміни активу;
  • впливом на репутацію у зв’язку з можливою недоступністю активу.

 

  1. Ідентифікація та пріоритезація ризиків, або процес виявлення, оцінки та градації ризиків безпеки для підприємства та їхнього зв’язку з вартістю активів.

Ідентифікація ризиків вимагає глибокого осмислення, оскільки ризики можуть виникати як всередині організації, так і поза її межами. Тому при виявленні та пріоритезації ризиків фахівці з безпеки повинні виконувати наступні дії:

  • Оцінка ризиків: ідентифікація та аналіз.
    • Роль фахівця з безпеки тут полягає не у тому, щоб володіти ризиками безпеки, а у тому, щоб належним чином направляти власника активу в процесі прийняття рішень з управління ризиками безпеки.
  • Прив’язка активів до ризиків безпеки.
    • Фахівці з безпеки повинні визначити найбільш дієву методологію оцінки та віднесення ризиків безпеки, яка б узгоджувалася з іншими системами та інструментами організації в частині сукупних ризиків.
  • Пріоритезація ризиків.
    • У ESRM роль фахівця з безпеки полягає не в тому, щоб визначити, які ризики слід враховувати, а в тому, щоб чітко представити ризики відповідним власникам активів, надати об’єктивну картину оцінки такого ризику і допомогти в процесі прийняття управлінських рішень з виявлених ризиків.
  • Толерантність до ризику, або його припустимість.
    • Відповідальність фахівця з безпеки полягає тут у тому, щоб інформувати вище керівництво про встановлені норми і галузеві стандарти, а також визначати, наскільки позиція організації в оцінці ризиків відповідає цим нормам або ж відрізняється від них.

 

  1. Пом’якшення пріоритетних ризиків, або процес прийняття необхідних, адекватних і реалістичних заходів для захисту від найбільш серйозних загроз і ризиків безпеки.

Після того як фахівці з безпеки, власники активів та стейкхолдери визначили пріоритети активів та ризиків, вони повинні розробити та впровадити заходи щодо їх пом’якшення. Ці заходи необхідно буде належним чином відобразити в політиці з безпеки, процедурах, інструкціях тощо. При цьому комплексний підхід до зниження ризиків у рамках стратегії ESRM включає в себе створення умов для максимальної взаємодії між людьми, процесами і технологіями.

Слід зазначити, що існує кілька способів пом’якшення ризиків: вони можуть бути прийняті, передані, розподілені, попереджені або полегшені. Прийняття ризику може бути доцільним, виходячи з толерантності організації до ризику. Передача ризику може бути здійснена за допомогою таких інструментів, як страхування або ж договірні зобов’язання. Розподіл ризиків передбачає введення помірної надлишковості в структуру активів організації. Попередити ризик можна шляхом внесення у його контекст технологічної зміни або у спосіб обмеження певних операцій. Полегшення ж ризику – це спроба зменшити ймовірність або вплив небажаної події: вона може приймати різні форми, такі як вжиття контрзаходів або впровадження заходів контролю тощо.

Приклади заходів щодо пом’якшення ризиків можуть включати, але не обмежуватися такими діями, як: антикризове планування; контроль фізичного доступу; відеоспостереження; охорона периметра; реагування на інциденти; план заходів щодо запобігання насильства на робочому місці; розслідування; виявлення інсайдерських загроз; навчання персоналу обізнаності про безпеку; перевірка співробітників перед прийомом на роботу та в процесі; контроль доступу до комп’ютерної мережі; політика захисту інформації; запобігання втрати даних та інші  стандартні операційні процедури.

Після затвердження стратегії пом’якшення ризиків та їхніх потенційних наслідків професіонали з безпеки повинні координувати та контролювати хід її виконання. Для цього впроваджується та розгортається система ефективного планування, проєктування, комунікації та нагляду, а також вносяться корективу у разі виявлення обставин чи передумов, що можуть впливати на реалізацію комплексної програми на підприємстві.

 

  1. Постійне вдосконалення, або парадигма управління ризиками безпеки бізнесу як циклічний підхід, спрямований на поліпшення і підвищення рівня безпеки підприємства.

Постійне вдосконалення вимагає від професіоналів  із безпеки функціональних компетенцій у створенні механізмів контролю, заснованих на ризиках, а також  постійного моніторингу ризиків для забезпечення сталої ефективності стратегії з пом’якшення наслідків, що використовується організацією для захисту своїх активів.

Слід виділити три базові інструменти, що найбільш ефективно сприяють постійному вдосконаленню:

  • реагування на інциденти;
  • розслідування та аналіз;
  • обмін інформацією.

Плани реагування на інциденти будуються на основі грунтовного розуміння активів і ризиків організації, визначених у життєвому циклі ESRM. Процес розслідування та аналізу сприяє постійному вдосконаленню програми безпеки шляхом виявлення можливих напрямків підвищення ефективності управління конкретними ризиками; шляхом підвищення ефективності заходів реагування та методів пом’якшення наслідків; шляхом колективної допомоги у виявленні першопричин; та шляхом забезпечення пріоритезації у питаннях збору критичної інформації. Також важливим завданням професіонала  з безпеки є обмін відповідною інформацією про безпеку бізнесу з власниками активів та іншими стейкхолдерами. Коли професіонали  з безпеки відкриють та максимально актуалізують такі «лінії двостороннього зв’язку», вони можуть не тільки передавати інформацію, але й отримувати критичні відомості, які їм вкрай потрібні у цілях планування та ефективного контролю безпеки бізнесу.

 

Фундамент життєвого циклу ESRM заснований на чотирьох основних принципах:

  • цілісного управління ризиками;
  • партнерства зі стейкхолдерами та зацікавленими сторонами;
  • прозорості і транспарентності;
  • корпоративного управління.

Ці елементи мають вирішальне значення для ефективності успішного впровадження ESRM.

Цілісність управління ризиками. ESRM розглядає всі ризики безпеки незалежно від області їх застосування: фізичні, кадрові, інформаційні, кібернетичні тощо. З поширенням технологій, межі між цими історично окремими областями ризиків безпеки стираються і підпадають під категорію «безпекової конвергенції». ESRM використовує такі «розмиті лінії» для оцінки та аналізу всіх сукупних ризиків, таким чином фіксуючи комплексний ризик безпеки, що стоїть перед активом або організацією.

Партнерство зі стейкхолдерами і зацікавленими сторонами. Фахівці з безпеки повинні щоразу включати стейкхолдерів та всіх зацікавлених сторін у процес управління ризиками безпеки з його найбільш ранніх стадій. Це призведе до більш високого рівня залученості, повнішого розуміння ризиків безпеки та належної організаційної підтримки комплексної програми безпеки підприємства в цілому.

Прозорість. ESRM залежить від співпраці з власниками активів та зацікавленими сторонами, тому фахівці з безпеки повинні бути максимально прозорими щодо ризиків та існуючих процесів у системі безпеки організації. Прозорість підвищує культуру безпеки організації, зміцнює довіру зацікавлених сторін до ESRM, а також відповідає стандартам комплайєнс і кращим світовим практикам.

Корпоративне управління. Воно існує на організаційному рівні і складається з політики безпеки, процесів та практик, що використовуються для забезпечення того, щоб організація діяла справедливо по відношенню до своїх стейкхолдерів. Структура управління  організацією повинна бути орієнтована на об’єктивність, підзвітність і відповідальність.

Підсумок: у цій статті ми спробували показати, як система ESRM може покращити комплексну програму безпеки підприємства, поєднуючи наявні ресурси безпеки з організаційною стратегією управління ризиками підприємства. Використовуючи ESRM, фахівці з безпеки зможуть ефективно працювати з власниками активів для визначення та пріоритезації таких активів, щоб пом’якшити ризики та створити цілісну програму безпеки, яка б дотримувалася і відповідала візії та місії організації.

admin
Share
This