Автор: Панчак Віктор, СРР®

Віце-президент SK Security

Голова Правління ASIS Ukraine

Член Правління АПКБУ

  

В умовах поширення все більш загрозливих форм глобальної пандемії бізнес змушений максимально швидко змінювати і адаптувати свої форми та методи роботи, створюючи таким чином цілком нові взаємозв’язки, які, серед іншого, надають можливість співробітникам працювати віддалено з дому. Сам по собі COVID-19 не поклав початок тенденції адаптивної роботи з дому, але суттєво прискорив її, змусивши бізнес-лідерів ламати голову над тим, як ефективно забезпечити безпеку і продуктивність своїх співробітників поза межами офісу. На жаль, розширення віддаленого доступу означає, що кожен працівник фактично отримав своєрідний «ключ від замка» і, водночас, менший рівень підтримки та контролю, аніж це було раніше. І незалежно від того, наскільки добре обізнана, досвідчена або віддана справі ваша команда з підрозділу безпеки, або наскільки надійні ваші інструменти кібербезпеки, все, що може бути потрібно – так це один єдиний акт недбалості з боку працівника, щоб поставити всю організацію «на коліна».

Не зважаючи на те, скільки коштів ви витрачаєте на інфраструктуру безпеки свого бізнесу, такі капіталовкладення не принесуть очікуваної користі, якщо люди, яких ви наймаєте, не використовуватимуть її елементи правильно та відповідно до глобальних безпекових стандартів. Наприклад, ви можете встановити найкращий у світі антивірус, але якщо ваш недолугий співробітник попадеться на шахрайстві з фішингом і ненавмисно передасть свій пароль хакеру, все це буде марно. Саме тому зараз як ніколи важливо мати чітко вибудовану культуру корпоративної безпеки всередині компанії.

 

Що таке «культура корпоративної безпеки компанії»?

Повернімось до витоків і нагадаємо, що саме слід розуміти під поняттям «корпоративної безпеки», культуру якої ми хочемо вибудувати у компанії? То ж корпоративна безпека – це структурована сукупність заходів і дій, яка об’єднує в собі основні методи та принципи, а також необхідні для компанії напрямки безпеки, що впроваджені у бізнес-процеси з урахуванням кращих практик корпоративного управління. Така структурована сукупність заходів спрямована на безперебійну, безконфліктну та стійку роботу компанії і забезпечує отримання нею прибутку та визначає стратегію розвитку організації на осяжне майбутнє.

У цьому зв’язку «культура корпоративної безпеки» – це те середовище, в якому співробітники не тільки розуміють важливість сукупності заходів безпеки, але й активно беруть участь у захисті організації від зовнішніх та внутрішніх загроз й безпосередньо сприяють пом’якшенню ризиків.

Як і будь-які інші цінності, які може відстоювати компанія, безпека повинна бути тісно «вплетена» в кожен бізнес-процес і врахована у кожному управлінському рішенні. Коли безпековий чинник стає невід’ємною частиною корпоративної культури організації, кожен учасник автоматично бере на себе особисту відповідальність за власні дії і визнає, що він буде покараний, якщо вирішить піти всупереч правилам, визначеним такою культурою.

Ось кілька типових прикладів стандартної культури корпоративної безпеки організації:

  • Співробітники усвідомлюють, що ризики безпеки неодмінно є надважливою складовою комплексних ризиків організації, відображених належним чином у карті та матриці ризиків.
  • Співробітники інструктовані про роль, місце та зміст політики з безпеки організації, а також безпекових стандартів, настанов і робочих інструкцій.
  • Співробітники знають про порядок та форму повідомлення про будь-які варті уваги інциденти, загрози і ризики.
  • Стейкхолдери та керівники всіх структурних підрозділів організації систематично співпрацюють зі службою безпеки відповідно до повноважень, прописаних внутрішніми інструкціями.
  • Співробітники навчені базовим принципам так званої «конвергенції» безпеки, де ризики інформаційної та кібезбезпеки тісно переплітаються з ризиками фізичної безпеки, проте чітко виокремлюються тези про те, що:
    • Співробітники знають, як виявляти потенційні загрози, такі як фішингові електронні листи і негайно повідомляють про це до служби безпеки.
    • Співробітники розуміють різницю між надійним та слабким паролем і регулярно змінюють свої паролі.
    • Співробітники ніколи не підписуються на послуги, що не пов’язані з бізнесом, на своїх корпоративних пристроях та не використовують корпоративні облікові дані для входу в особисті реєстрові записи.
    • Співробітники не діляться паролями, кодами доступу, магнітними картками або іншими ресурсами, тому що розуміють, як легко вони можуть потрапити в чужі руки.
  • Ніхто із співробітників (включно з топ-керівниками та стейкхолдерами) не вважає, що він знаходиться вище правил культури корпоративної безпеки, незалежно від обов’язків, стажу роботи, чи ролі всередині організації.

 

Шлях створення культури корпоративної безпеки в організації

Щоб зробити безпеку основою корпоративної культури компанії, необхідно її максимально демократизувати. Іншими словами, якщо ви хочете досягти стратегічного успіху в захисті своєї організації, то ви не повинні допустити, що лише функція безпеки є тим єдиним підрозділом, який дотримується принципів культури корпоративної безпеки. Замість традиційної, низхідної та зазвичай авторитарної, культура корпоративної безпеки повинна стати спільною і всеохоплюючою часткою у стратегічній моделі функціонування бізнесу загалом.

Зрештою, без комплексного уявлення про культуру безпеки вашого бізнесу, або без знань про те, які кроки робить ваша служба безпеки для зниження ризиків, співробітники ніколи не будуть розуміти, чи все в організації є насправді в порядку. А надаючи їм уявлення про ваші процеси, а також знання та навички, необхідні  для прийняття власних рішень, вони відчуватимуть себе здатними брати участь у формуванні та підтриманні культури корпоративної безпеки організації.

То ж як саме ви можете «демократизувати» безпеку? Ми можемо рекомендувати вам СІМ кроків, кожен з яких відображатиме одну із семи букв слова «БЕЗПЕКА».

  • 1 – «Б»: вивчіть вашу поточну ситуацію зі станом культури безпеки.

Почніть з оцінки того, де ви, як цілісна організація, знаходитесь сьогодні. Чи активно співробітники беруть участь в процесі забезпечення безпеки? Як ви забезпечуєте, щоб всі працівники були в курсі останніх передових практик? Чи попереджаєте ви організацію про загрози, ризики або спроби порушення? Якщо так, то як? Коли востаннє ваш керівник служби безпеки проходив навчання з підвищення кваліфікації? Чи набув він членства у таких ключових безпекових спільнотах як представництво ASIS International в Україні [1], чи Асоціація професіоналів корпоративної безпеки України (АПКБУ) [2] ?

  • 2 – «Е»: навчіть всіх співробітників їх правам та обов’язкам з безпеки.

Як тільки ви визначили, на якому рівні безпекової культури знаходиться ваша організація, прийшов саме час заповнити прогалини. Витратьте час на те, щоб навчити співробітників процесам, пов’язаним з політиками і процедурами з безпеки, а також їх особистої ролі в забезпеченні безпеки всієї організації. Це буде вдалий момент, щоб розповісти їм про найкращі кейси і практики, де халатність у дотриманні вимог з безпеки призводила до значних втрат. Фахові зовнішні сервісні провайдери з корпоративної безпеки були б найкращим варіантом для залучення у такий навчальний процес.

  • 3 – «З»: доручіть керівникам підрозділів посилити роль і значення безпеки.

Команда сильна настільки, наскільки міцний її лідер. Культура безпеки не буде процвітати, якщо кожен керівник функціонального підрозділу не стане особистим  прикладом у дотриманні стандартів безпеки. Адже саме керівники в кінцевому рахунку несуть відповідальність за те, наскільки добре працює їх команда і наскільки ефективно відповідає вона зрілості моделі корпоративної культури загалом.

  • 4 – «П»: забезпечте посилення ролі аналізу інформації про ризики та загрози.

Ми єдина держава Європи, де наразі наявний відкритий військовий конфлікт і де рівень безпекових ризиків постійно балансує між «жовтим» та «червоним». Один з кращих способів підвищити ефективність безпеки та посилити її корпоративну культуру – використовувати технологію аналізу інформації та потенційних загроз. Застосування інструментів зовнішньої та внутрішньої аналітики з безпеки допоможе визначити, чи була ваша організація скомпрометована, попередити компанію і передбачити, де може виникнути проблема.

  • 5 – «Е»: пам’ятайте про безпеку не тільки у її антикризовому контексті.

Замість того, щоб очікувати на «витискання» з функції безпеки всіх наявних у неї резервів під час реагування у кризовій ситуації, завчасно проведіть зовнішній аудит стану захищеності організації за критеріями безпекових стандартів, що складають кращі ринкові практики. Це дасть вам можливість отримати незалежну та неупереджену фахову експертизу чинних загроз і ризиків, а також допоможе переглянути ваші процедури реагування на можливі інциденти.

  • 6 – «К»: перегляньте оцінку людського фактору через аналіз норм.

Системний захист бізнесу та побудова культури корпоративної безпеки не можливі без формування принципу благонадійних працівників. Адже якщо співробітник має схильність до деструктивної поведінки, то спроби прибрати ризики, або поставити бар’єри на його шляху будуть очевидно малоефективними і перейдуть у площину перманентного суперництва з невизначеним результатом. Саме тому з точки зору формування якісної безпекової культури організації вкрай важливим є питання своєчасної оцінки людського фактору через аналіз моральних та етичних норм, які можуть сформувати портрет потенційного «опозиціонера» всередині бізнесу. Така своєчасна оцінка дозволить вам як максимально ефективно залучати до співпраці благонадійних співробітників, так і формувати умови відповідальності для тих, кому характерні ознаки деструктиву.

  • 7 – «А»: заохочуйте та визнавайте ключові перемоги.

Обов’язково винагороджуйте команди та окремих осіб, які підтримують та просувають культуру корпоративної безпеки всередині організації. Запровадьте формальні заохочення у вигляді символічних подарунків, мотиваційного чи фінансового стимулювання тощо. Це надихатиме на подальшу прихильність з боку працівників і підвищуватиме продуктивності їхньої праці.

 

Майбутнє культури корпоративної безпеки

Брюс Шнайер з Гарвардської школи Кеннеді ще у квітні 2000 року зазначав, що «безпека – це процес, а не результат» [3]. Безпека в умовах сучасності – це занадто складно для однієї окремо взятої людини, чи однієї команди, або ж якогось одного підрозділу, щоб якісно керувати нею поодинці. Послідовна боротьба із безпековими загрозами вимагає глибокого розуміння і непохитної прихильності з боку кожного співробітника компанії. Однак культура корпоративної безпеки – це не те річ, яку  можна створити за одну ніч. Вона вимагає комплексної стратегії, послідовності, підтримки з боку вищого керівництва і, що найбільш важливо, прозорості всередині самої організації. Вживаючи відповідні кроки для зміцнення культури корпоративної безпеки вашої організації, ви створюєте умови для того, щоб бути добре підготовленими до підвищення рівня власної захищеності та формуєте належні умови для переваги своєї конкурентності у майбутньому.

То ж просувайте та розвивайте культуру корпоративної безпеки у вашій організації!

 

Про автора:

Віктор  Панчак є відомим експертом-консультантом з питань корпоративної безпеки. Має понад 20-річний досвід роботи у галузі державної та приватної безпеки, а також у сфері управління бізнесом та комерційного адміністрування. Випускник Джорджтаунського університету у Вашингтоні, США, а також перший український професіонал, який здобув найвищу глобальну сертифікацію з безпеки за стандартом CPP® (Certified Protection Professional), затверджену всесвітньою організацією ASIS International.

[1] ASIS Ukraine – українське представництво ASIS International – найбільшої у світі безпекової асоціації, що об’єднує понад 34 тисячі членів у 162 країнах та сприяє глобальному просуванню корпоративної безпеки, а також забезпеченню досконалості і лідерства в галузі управління приватним безпековим сектором. Режим доступу: https://asisukraine.org/.

[2] АПКБУ – Асоціація професіоналів корпоративної безпеки України. Режим доступу: http://corporatesecurity.org.ua/.

[3] Bruce Schneier: “Schneier on Security” – The Process of Security, April 2020. – Режим доступу:

https://www.schneier.com/essays/archives/2000/04/the_process_of_secur.html

admin
Share
This