Правила и принципы безопасности в бизнесе
Компанию всегда окружают угрозы, например конкуренты, недобросовестные партнеры, неквалифицированные работники или руководители. Необходимо организовать безопасность по всем направлениям: информационную, финансовую, материальную, правовую.
Что такое безопасность бизнеса
Безопасность в контексте предпринимательской деятельности – это защита от всех угроз, которые могут причинить вред предприятию. Угрозой считается не только риск потерять деньги, но и потерять репутацию. Чтобы не допустить этого, разрабатываются меры по безопасности жизни и здоровья сотрудников, по конфиденциальности данных. Работа над безопасностью бизнеса подразумевает своевременное обнаружение угроз, подготовку персонала к решению нестандартных ситуаций.
Важно задуматься о безопасности бизнеса сразу после его запуска, не дожидаясь первого урона. Ведь лучше предупредить и предотвратить угрозу, нежели бороться с ее последствиями.
Затем система безопасности дорабатывается. В нее вносятся изменения каждый раз, когда корректируются бизнес-процессы внутри компании. Дорабатывать систему безопасности важно, даже если изменения в бизнес-процессах напрямую не связаны с сохранностью имущества или данных. Например, в производственном отделе руководитель решил изменить график работы и увеличил длительность рабочего дня на один час. У сотрудников постепенно нарастало недовольство, так как за переработки дополнительные деньги они не получали. Однажды недовольный работник саботировал производство, допустив поломку оборудования. Рабочий процесс встал, а компания понесла убытки.
Корпоративная система безопасности и ее компоненты
Стереотипное представление о безопасности – это охранники, стоящие на входе в офис. Однако на самом деле хорошая защита бизнеса представляет собой комплекс из десятков мер. Вот несколько компонентов этого комплекса:
- информационная безопасность. Меры по информационной безопасности защищают от вирусов на компьютерах или в электронной почте, от воровства данных с облачных хранилищ;
- правовая безопасность. Благодаря мерам правовой безопасности в компании соблюдаются законодательные требования. Например, отсутствует воровство, подделка документов. Однако важно не путать правовую безопасность с экономической. Экономические нарушения совершаются ради наживы, а правовые – чтобы скрыть мелкие неправомерные шаги;
- экономическая безопасность. Меры по экономической безопасности предотвращают убытки. Например, важно правильно вести бухгалтерскую отчетность, фиксировать все доходы и расходы. Экономическая безопасность больше всех остальных компонентов зависит от сотрудников, их добросовестности;
- личная и физическая безопасность работников. Во-первых, необходимо защищать работников от травм на рабочем месте, ведь если сотрудник уйдет на больничный, то работодателю придется выплатить компенсацию и искать замену выбывшему. Во-вторых, важно защищать территорию от проникновения посторонних, которые могут причинить вред сотрудникам или имуществу;
- безопасность управления бизнес-процессами. Это управление рисками – прогнозирование возможных сложностей и убытков, чтобы либо избежать их, либо минимизировать негативные последствия. Понимая возможные риски, руководство компании может принимать более взвешенные и продуманные решения;
- защита оборудования. Это техническая безопасность, в рамках которой руководство компании обучает персонал пользоваться оборудованием и ограничивает круг пользователей только теми сотрудниками, которым оборудование нужно для выполнения обязанностей;
- защита от увольнения и утечки сотрудников. Важно не допускать переманивания работников конкурентами и их добровольного ухода;
- защита репутации бизнеса. Это отработка негативных отзывов или неудачных публикаций в СМИ, контроль за собственными публикациями в соцсетях, выход на неправильный сегмент потребителей. Всё это портит имидж компании, из-за чего снижаются продажи и компания недополучает прибыль.
Зачем контролировать безопасность бизнеса
Казалось бы, очевидно, что система безопасности бизнеса защищает от убытков. Однако формирование системы помогает руководству предприятия достичь и других целей:
- повысить дисциплину среди сотрудников. Если работники будут знать, что их действия на рабочем месте известны руководителю, они будут ответственнее относиться к рабочему распорядку, оборудованию;
- защитить интересы и права компании;
- создать и поддерживать в компании условия для производства качественных товаров и услуг;
- выполнять планы по производству и продаже;
- отбирать только лучших партнеров, вовремя распознавая недобросовестных.
Выстраивая схему защиты бизнеса, желательно начать с изучения информационных процессов. Можно собрать команду экспертов, которые определят, какие именно данные требуют защиты в первую очередь. Составляется перечень мест, где аккумулируются самые важные данные или активы, и список лиц, имеющих к ним доступ. Затем определяются негативные последствия, которые возникнут из-за утечки данных. Обычно нарушителями являются работники компании. Нарушения с их стороны происходят случайно или намеренно, но вероятность возникновения утечки информации можно просчитать.
Чтобы понять, какие именно данные защищать, необходимо оценить имущество по двум критериям: вероятность, что с ним возникнут проблемы (например, информацию «сольют», а оборудование сломается), и размер предполагаемого ущерба. Чем выше риск для компании, тем важнее защищать активы.
После экспертизы подготавливается политика безопасности бизнеса. Это документ, утверждаемый руководством. В него входят следующие разделы:
- описание текущего уровня безопасности. Например, можно описать количество запасных деталей, которые «спасут» производственный процесс, если оборудование сломается. Еще можно прописать активность конкурентов, особенно если были замечены попытки шпионажа с их стороны;
- цели, которые нужно достичь с помощью системы безопасности. На основе целей будет выбрана стратегия и способы обеспечения сохранности финансов, имущества и имиджа;
- детали СБ. Необходимо обозначить основные функции СБ, определить желаемую степень защиты данных, составить список подрядчиков или сотрудников, которые будут заниматься защитой;
- методы оценки системы безопасности. Важно выбрать критерии, на основе которых будет определяться уровень безопасности, выбрать методики оценки;
- ресурсы. Необходимо определить, сколько охранных и материально-технических ресурсов требуется. Чтобы активы были защищены от ошибок и намеренного саботажа со стороны работников, необходимо с помощью мотивации повышать дисциплину персонала. Поэтому важно просчитать размер и способы мотивации;
- план мероприятий. Например, можно указать, кто и когда установит камеры наблюдения, проведет обучение по безопасности для работников.
Все принципы и правила СБ должны быть прописаны с учетом технических и правовых норм. Но также необходимо проверить, что все ограничения рациональные. Например, можно запретить сотрудникам иметь сотовые телефоны на рабочем месте. Но тогда важно обеспечить хранение личных вещей. К тому же необходимо организовать систему контроля за выполнением правила. Если сотрудники будут игнорировать его, испортится имидж фирмы.
Как правильно сформировать систему безопасности
Есть несколько правил, которым должна соответствовать система безопасности. Главное, действовать по закону, чтобы стратегии управления безопасностью не нарушали трудовое законодательство. Остальные правила звучат так:
- использовать ресурсы комплексно. Например, нельзя требовать соблюдения правил только от части сотрудников, пока остальные работают хаотично;
- взаимодействие между подразделениями должно быть полным. При необходимости стоит привлечь сторонних подрядчиков, например воспользоваться услугами охранных компаний или передать информационную безопасность на аутсорс;
- потенциальные угрозы нужно не только отрабатывать, когда они уже приносят проблемы фирме, но и предсказывать их. Важно анализировать работу компании и выполнять профилактические мероприятия;
- не всю информацию нужно охранять. Секретность должна касаться только некоторых, критически важных, данных. Но также необходимо какой-то информацией делиться с клиентами, партнерами, СМИ, чтобы формировать свой имидж;
- привлекать для защиты активов квалифицированных специалистов;
- расходы на СБ не должны быть выше, чем убытки, которые компания может понести в случае проблем. Кроме того, расходы не должны стать значительной долей всех доходов предприятия;
- планирование работы по обеспечению безопасности должно затрагивать все отделы и сотрудников. Вместе с планированием должна внедряться система контроля за выполнением планов.
Особенности обеспечения информационной безопасности
Успех и конкурентоспособность бизнеса зависят от того, какие методики производства он использует, кто состоит в его клиентской базе, у каких поставщиков и какое сырье он закупает. Важно обеспечить сохранность этой конфиденциальной информации. Но в деловой среде постоянно появляются новости о том, что чьи-то корпоративные данные были украдены.
Третьи лица получают доступ к внутренней информации по нескольким причинам:
- кто-то из работников случайно завладевает важной информацией. Например, работник отдела продаж сделал скриншот или фото CRM-системы, чтобы иметь под рукой нужную информацию. А позже он уволился из компании, но фото осталось у него в телефоне. Если работодатель расстался с сотрудником на хорошей ноте, у последнего нет желания мстить, распространяя данные. Такая утечка информации неопасна. Но всё же нужно исключить возможности случайного «слива» данных;
- кто-то из сотрудников целенаправленно слил информацию. Например, работники, которые при увольнении затаили обиду. Они намеренно выкладывают в открытый доступ данные о компании, чтобы испортить ее репутацию, или продают конфиденциальные данные конкурентам. Диверсанты могут добывать нужную информацию, еще находясь в штате компании, пользуясь своим положением в фирме;
- сторонние люди получают данные фирмы. Например, хакеры, взламывающие базы данных.
Причиной утечки данных могут стать недостаточно защищенные программные базы, слабые коды, неактуальные защитные обновления. Хакеры или желающие получить данные легко взламывают систему защиты. Но иногда к важным данным есть доступ у слишком многих сотрудников. Чем больше инсайдеров допущено к данным, тем выше риск утечки. Желательно открывать данные только для тех лиц, которым информация нужна для выполнения обязанностей.
Второй источник опасности – вирусы в программах. Вредоносные программы оказываются внедренными в корпоративную инфраструктуру. Вирусы внедряют злоумышленники, причем не всегда ради воровства данных какой-то конкретной фирмы. Некоторые хакеры случайным образом ищут прорехи в системе безопасности нескольких инфраструктур.
Но иногда СБ предприятия взламывается целенаправленно. Например, по заказу недобросовестных конкурентов или мошенников, которые хотят шантажировать компанию. Тогда для получения информации используются хитрые многоходовые приемы. Например, отправляют фейковые письма будто бы от лица сотрудника, фальсифицируют данные с использованием дипфейков. Или применяют фишинг и спуфинг, то есть отправляют письма от лица человека, которому сотрудники доверяют. Например, работнику приходит письмо будто бы от начальника отдела. А в письме находится вредоносное ПО, ссылка-ловушка.
Чтобы данные компании были в сохранности, необходима помощь IT-специалистов. Они возьмут на себя управление приложениями и обновлениями, контроль вирусного программного обеспечения, отслеживание использования внешних сервисов. Чтобы защитить компанию от вторжений, используются IPS- и IDS-системы, блокирующие подозрительные активности. Для защиты отдельных файлов используется шифрование данных и используемых работниками гаджетов, регистрация мобильных телефонов.
Обеспечение экономической безопасности
Экономическая безопасность – это предотвращение потери денег. Например, компания может нести убытки из-за нечестного контрагента. Чтобы этого не случилось, необходимо еще до заключения договора с поставщиком или клиентом проверять их деятельность. Если контрагент – это юрлицо, то нужно проверить ИНН контрагента, информацию о нём в ЕГРЮЛ, данные о гендиректоре, местоположение офиса, а также бухгалтерскую отчетность и устойчивость контрагента на рынке.
Еще одна опасность для компании – потери в результате неоптимизированных налоговых выплат. Важно максимально сократить затраты на налоги, но так, чтобы не нарушать требования налоговых органов. Есть несколько путей сокращения налоговых расходов:
- внедрить планирование налогов и выбирать те варианты планирования, которые максимально соответствуют бизнесу;
- нанимать опытных сотрудников, которые найдут способы сэкономить деньги;
- проанализировать отчетность за прошлые периоды, чтобы найти просчеты в ней.
Обеспечение прочих видов безопасности
Для компании важны физическая, правовая и кадровая безопасность, ведь они обеспечивают стабильную работу всех отделов. Но работать над ними нужно только после того, как будет обеспечена информационная и экономическая безопасность.
Например, физическая безопасность предполагает охрану территории от посторонних. Чтобы гарантировать сотрудникам безопасность, а имуществу – неприкосновенность, можно сделать следующее:
- установить камеры наблюдения внутри компании и по ее периметру;
- внедрить систему пропусков для прохода на территорию;
- установить сирену, которая бы оповещала сотрудников об опасности;
- установить на входе домофон, чтобы контролировать вход на территорию, не контактируя с посетителями напрямую.
Правовая безопасность – работа с документацией, чтобы в ней не было юридических нарушений. Благодаря правовой безопасности сохраняется позитивный имидж компании на рынке. Чтобы поддержать безопасность, необходимо грамотно составлять всю документацию. Каждую предстоящую сделку или проекты (в том числе инвестиционные) необходимо подвергать экспертной оценке. В таких случаях составляются индивидуальные договора, и квалифицированный юрист убедится, что в соглашении нет никаких двойственных формулировок и правовых угроз.
В идеале необходимо сопровождать каждую сделку, ведь на любом этапе могут возникнуть правовые вопросы. Если всё же возникают недопонимания по договору и компания вынуждена судиться с контрагентами, то в суде ее должен представлять юрист.
Правовые вопросы решаются не только с клиентами и контрагентами, но и с государством или аудиторами. К аудиторским проверкам важно готовиться, чтобы защитить себя от обнаружения аудитором ошибок. Во время проверок также необходим юрист. Правоохранительные органы иногда пытаются забрать документацию, хотя формально не имеют на это оснований.
Кадровая безопасность – это работа с сотрудниками таким образом, чтобы они не предпринимали попыток навредить компании. В рамках обеспечения кадровой безопасности компания делает следующее:
- сбор и изучение информации о кандидате, прежде чем пригласить его работать в компанию. Особенно важно проверять тех, кто будет работать с финансовой отчетностью, с клиентскими базами или с инновационными разработками. Важно изучить его прошлую деятельность. Угрозу для компании представляют кандидаты, пришедшие после работы на конкурентов или из компаний с плохой репутацией. На некоторых должностях важны личностные качества работников, значит, и их нужно изучать с точки зрения возможных угроз. Например, если морально-нравственные качества кандидата не устраивают работодателя, не стоит изначально брать его в штат;
- когда сотрудники уже приняты, необходимо продолжать за ними наблюдать. Обращать внимание стоит на атмосферу в коллективе. Если кому-то из работников некомфортно среди коллег, повышается вероятность диверсии с его стороны;
- если уже произошел случай нанесения ущерба компании со стороны работника, необходимо расследовать происшествие. Если правила безопасности не соблюдаются или работник не следует обязательствам, прописанным в договоре с ним, нужно открывать трудовой спор.
Как создать службу безопасности
Служба безопасности необходима всем компаниям, даже маленьким. Ведь именно малый и средний бизнес чаще всего становятся целью хакерских атак. Чтобы создать в компании отдел безопасности, нужно следовать пошаговому алгоритму.
Поставить цель
Казалось бы, очевидно, что отдел нужен для обеспечения безопасности. Но всё же важно уточнить, против каких угроз будут работать его сотрудники. Например, если компания является инноватором в своей отрасли, для нее представляют опасность происки конкурентов, которые могут украсть уникальные разработки. Но, если компания не посягает на лидерство в отрасли, для нее гораздо опаснее проверки налоговых и правоохранительных структур. В розничной и оптовой торговле главной опасностью являются работники: важно не допустить хищений.
Определить задачи
Определив возможные риски, можно поставить перед отделом задачи. Главная задача для сотрудников этого подразделения – нивелировать риски. Но, исходя из целей, можно понять, какие сопутствующие задачи есть у отдела. Например, в розничном магазине самую большую опасность составляют возможные хищения. Значит, задача отдела безопасности – обеспечить видеонаблюдение, проверку сотрудников перед уходом с работы, проведение регулярных инвентаризаций.
Если компания работает в сфере IT, опасность представляет хищение данных. Иначе говоря, задача отдела – обеспечить защиту интеллектуальной собственности. Работники отдела должны проводить мероприятия по информационной безопасности и дополнительно следить за действиями конкурентов.
Включить отдел безопасности в корпоративную оргструктуру
Место отдела в оргструктуре зависит от величины компании. На крупных предприятиях подразделение занимается всеми направлениями безопасности – и информационной, и правовой, и экономической. Но малому бизнесу сложно содержать в одном отделе много разноплановых специалистов. Однако если сформировать небольшой отдел из двух-трех человек, то с полным объемом задач он не справится. Поэтому для мелких компаний оптимальным вариантом остается небольшой отдел, который займется только явными угрозами. Например, в службе безопасности может быть руководитель с опытом оперативной работы, его заместитель с нужным образованием и опытом, а также один рядовой сотрудник. Специализация заместителя и сотрудника определяется исходя из целей и задач. Например, если основная опасность – хищения товаров, то заместитель и работник должны иметь опыт работы в полиции. А если компания защищается от финансовых или информационных потерь, то от сотрудников требуется опыт в IT-отрасли или аналитике.
Подобрать сотрудников
У сотрудников службы безопасности должна быть безукоризненная репутация. Особое внимание следует обращать на послужной список претендента на должность руководителя или начальника охраны. В идеале этот человек должен иметь опыт работы МВД или ФСО.
Выделить бюджет
Компания не будет получать от отдела безопасности дохода, однако экономить на нём не стоит. Например, работники отдела должны получать конкурентоспособную зарплату, уровень которой не может быть ниже других сотрудников фирмы. Достойная зарплата поддержит мотивацию работников СБ.
Нельзя экономить на обучении и переподготовке персонала. Например, работников отдела необходимо регулярно отправлять на обучение, чтобы они были в курсе новых видов угроз и методов борьбы с ними.
Заключение
Чтобы компания могла развиваться, она должна обезопасить себя от внутренних и внешних угроз. На финансовое состояние фирмы, на ее репутацию могут повлиять хищения товаров, порча имущества, недочеты, найденные при проверке. От всего этого защищает отдел безопасности.
Система безопасности в бизнесе должна охватывать несколько направлений. В первую очередь важно защитить фирму от утечки данных о контрагентах, о движении денег, о планируемых проектах и уникальных инновациях. Во вторую очередь обеспечивается безопасность экономическая. Только после этого следует задуматься о физической безопасности имущества и сотрудников.
Система безопасности и отдел безопасности – это то, на чём не стоит экономить, хоть этот отдел и не будет приносить прибыли. Правильно организованная служба с квалифицированными сотрудниками сбережет прибыль компании и ее имидж.