bannerbannerbanner
Управление безопасностью бизнеса

Александр Кришталюк
Управление безопасностью бизнеса

Полная версия

1.5. Ваши первые шаги по обеспечению безопасности

Вряд ли стоит лишний раз говорить о том, что для того чтобы свободно ориентироваться в ситуации надо обладать полной информацией о том что, где, когда и почему происходит или может произойти. Вы и сами знаете это, легко ориентируясь в том бизнесе, которым занимаетесь или хотите заняться.

В вопросах безопасности работает тот же самый принцип, и Вашим первым шагом по обеспечению безопасности своего бизнеса, будет установление четкого понимания того что, где и когда может Вам угрожать.

И только тогда, когда вы будете хорошо представлять, в чем состоит потенциальная опасность для вашего бизнеса, вы сможете определить возможные и доступные средства защиты и методы обеспечения безопасности.

Для этого необходимо ответить на следующие вопросы:

– что необходимо охранять (имущество, информацию, ценные бумаги, непосредственно персонал фирмы)?

– кто может представлять угрозу (преступные группы, персонал самого предприятия, спецслужбы)?

– как может быть осуществлена угроза (проникновение в помещение с улицы, использование персонала в корыстных целях и т. д.)?

– сопоставимы ли стоимость охраняемых объектов и стоимость охраны?

Остановимся на данных моментах подробнее:

Прежде всего, попробуйте определить, что надо защищать и надо ли вообще что-то защищать. Определите объекты защиты. Например, Ваше предприятие занимается исключительно торговой деятельностью.

Что может подлежать защите в этом случае?

Конечно же, товар. Причем защита требуется всегда – в торговом зале, на складе, в дороге (при перевозке) т. д.

Но, кроме того, возможно, Вы используете и свои собственные, разработанные лично Вами формы и методы продажи. Либо за время работы, Ваша торговая марка стала широко известной, и сама привлекает покупателей, т. к. является гарантий высокого качества продаваемого товара.

Тогда они также должны являться объектом Вашего внимания и защиты – ведь это Ваше преимущество перед конкурентами.

Не стоит забывать и о работающих у Вас сотрудниках.

Затем, ответьте на вопрос: зачем? То есть, другими словами Вы определите цель построения системы безопасности предприятия и задачи, которые при этом должны решаться.

В рассматриваемом нами примере торгового предприятия ответ будет выглядеть так:

Товар – требуется обеспечение сохранности, необходимо принять меры для предотвращения кражи, порчи товара, в том числе и умышленной.

Методы продажи (и другие секреты фирмы в области работы с клиентом) – требуется защита от навязчивого интереса конкурентов. Ведь именно ваша эксклюзивность обеспечивает предприятию дополнительный доход, способствует привлечению новых клиентов.

Персонал – часто возникает необходимость обеспечения физической или психологической защиты.

Следующий вопрос, на который требуется ответить – от кого? Ответив на этот вопрос, Вы определите источники опасности.

В рассматриваемом нами случае:

Товар требуется защищать: от покупателей-воришек (в торговом зале), от небрежности персонала (продавцов, грузчиков) – неумышленная или умышленная порча товара, от грабителей – в дороге. Кроме того, необходима защита и от природных катаклизмов – если склад, например в результате сильного ливня, будет затоплен, то Вы понесете весьма ощутимые убытки.

Секреты фирмы защищаются в основном от конкурентов, но иногда требуется защита и от не в меру любопытных собственных сотрудников.

Персонал – в основном от разного рода преступных посягательств, таких как, например: вооруженное ограбление, угроза похищения или убийства, психологический террор, шантаж, вымогательство.

И, наконец, последний вопрос – как? Ответив на него, вы определите, методы и средства защиты. Правда иногда, для того чтобы получить ответ на этот вопрос, требуется обратиться к специалистам.

Затем, используя результаты проведенного Вами анализа, Вы можете приступить к планированию работ по обеспечению безопасности Вашего предприятия, определить необходимые организационные и технические меры, рассчитать стоимость затрат и оценить эффективность проводимых мероприятий. При этом важно понимать, какие работы Вы в состоянии выполнить собственными силами, а в каких случаях требуется прибегнуть к помощи профессионалов

Лекция 2
Как анализировать потребности в обеспечении безопасности

Выработка всестороннего плана обеспечения безопасности требует методичного и продуманного анализа. Начав с общего понимания организации и дойдя до множества частных задач, вам придется применить структурный подход, чтобы собрать воедино и проанализировать этот план. Получаемые в результате рекомендации должны дополнять и поддерживать одна другую.

Задача эта не так проста, поскольку сложились уже определенные промышленные образцы таких планов. Лишь некоторые из них являются продуктом всестороннего анализа, остальные же разработаны для конкретных ситуаций применения в порядке реакции на произошедший объекте инцидент. Фактически, многие из действий охраны предназначены для производства расследования по факту события, а не для предотвращения этого события.

Объектом анализа при составлении плана безопасности являются все возможные уязвимости, которые необходимо выявлять методично и всесторонне, чтобы программа безопасности имела в основе обширный анализ, а не опыт действий по устранению последствий последнего из произошедших на объекте инцидентов. Аналитический подход позволяет гарантировать, что средства, затрачиваемые на обеспечение безопасности, расходуются в соответствии с конкретными нуждами, защищая более важные объекты и подвергая большему риску менее критичные.

Цель, однако же, состоит не в том, чтобы разработать план безопасности с высокой степенью "защиты от дурака". Сто́ит помнить о том, что полностью защитить объект возможно, лишь затратив несоразмерные деньги и прекратив его функционирование в целях осуществления бизнеса. Взамен этого цель ставится такая: сделать нарушение режима безопасности максимально затруднительным (но не невозможным!) для злоумышленника. Степень трудности зависит от того, насколько ценен данный объект и насколько организация-заказчик готова к рискам.

Процесс анализа делится на пять фаз – подразделение на объекты, оценка угроз, анализ уязвимости, выбор мер противодействия и их внедрение. Процесс этот рассчитан на тщательный анализ, и приступать к каждой следующей фазе следует, лишь полностью завершив предыдущую.

Подразделение на объекты

Начинается определение объектов с понимания деятельности организации в широком смысле слова, ее задач и функций, а также среды, в которой эта деятельность осуществляется. В начальной стадии анализа следует провести интервью с руководящим составом и специалистами организации, чтобы определить необходимые для осуществления ее деятельности ресурсы. В их число входит производственное оборудование, операционные системы, сырье и материалы, готовая продукция, системы учета и управления, а также инфраструктурные сети – электрические, водяные, природного газа и связи. Зачастую наиболее значимыми являются нематериальные активы, получить представление о которых можно лишь основательно вникнув в деятельность организации. В результате этого шага определяются объекты возможного нападения.

Каждый производственный объект можно разбить на более мелкие составные части. Анализ может показать, что такая детализация объекта необходима вследствие его критической важности. Примером подобного объекта может выступить информационная технология, которая делится на обширный список системных компонентов – аппаратной части, операционных систем, прикладного программного обеспечения, систем управления базами данных, каналов связи и системной документации.

И материальные, и нематериальные активы должны быть категоризированы как жизненно важные (потеря равносильна катастрофе), важные (потеря приведет к серьезным сбоям, но в принципе восполнима) и второстепенные (утрата относительно незначительна.

Оценка угроз

Всесторонний план безопасности требует определения обширного списка угроз – чтобы принять во внимание целый спектр разрушительных воздействий. Путем анализа список угроз редуцируется, чтобы сосредоточить внимание лишь на наиболее вероятных из них.

Оценка начинается со сбора данных о произошедших в прошлом инцидентах, связанных с нарушением режима безопасности, включая происшествия на охраняемом объекте, на всех объектах, принадлежащих компании, а также статистика по всей отрасли. Определите, существуют ли устойчивые образцы криминального поведения, и установите их природу. Изучите информацию о понесенных убытках, нарушениях безопасности и судебные дела, в которых фигурировала организация. Проконсультируйтесь с корпоративными юристами и изучите судебные определения, содержащие факты, имеющие отношение к безопасности.

Проинтервьюируйте руководящий состав компании, страховых поручителей и руководство местных экстренных служб на предмет определения существующих угроз. Проанализируйте статистику преступности и сравните показатели с общенациональными, региональными, районными и муниципальными.

Определите виды угроз, являющихся уникальными для данного региона и данной организации, места сосредоточенного хранения опасных веществ и материалов, а также пути транспортировки, обычно используемые для доставки грузов. Прикиньте угрозы, которые ни разу не были осуществлены, но характер бизнеса и социально-политическая обстановка не исключают попыток их реализации.

Оценка угроз является процедурой качественного анализа, хотя в ней могут применяться и некоторые процедуры количественной оценки. Важно понимать, что такая оценка является валидной лишь на определенный момент времени. Изменение внешней обстановки сказывается и на спектре угроз. Следовательно, оценка должна периодически обновляться, чтобы убедиться в соответствии программы безопасности вызовам момента.

 

Каждую из угроз следует категоризировать как вероятную (ожидается ее событийное воплощение), возможную (обстоятельства могут привести к событию) и маловероятную (событийное воплощение не ожидается). Степень тяжести последствий вызванных реализацией угрозы событий может также подразделяться на катастрофическую (разрушительное событие), умеренную (последствия принципиально устранимы) и легкую (последствия относительно несущественны).

Анализ уязвимости

Меры противодействия, по сути, являются помехами на пути к осуществлению угрозы. Соответственно, задача этих мер – сделать событие менее вероятным, не давая возможности злоумышленнику осуществить угрозу. Однако прежде чем ставить барьеры на пути осуществления события, необходимо представить себе весь ход его развития. Анализ уязвимости представляет собой механизм создания детальных пошаговых сценариев тревожных событий.

К конструированию сценариев должны привлекаться представители организации, обладающие обширными знаниями о внутренней механике ее рабочих процессов. Рабочей группе следует смоделировать ролевое поведение преступника, осуществляющего нападение на организацию – и это позволит определить ключевые зоны ее уязвимости. Планы безопасности, способные остановить действия хорошо информированного сотрудника организации, смогут помешать пришедшему извне преступнику в равной степени – а точнее, даже в большей. Это упражнение позволит выделить зоны уязвимости и обеспечить исходные данные для следующей фазы работы над планом – выбора мер противодействия. Анализ уязвимости создает пакеты мер защиты – то есть, основываясь на четко сфокусированной проблеме, дает пути ее разрешения путем применения контрмер безопасности. Пакеты эти лучше всего описываются путем составления электронной таблицы, в которой сопоставляются объекты и угрозы и обозначается, каким специфическим угрозам подвержен тот или иной объект.

Каждый сценарий должен сопровождаться таблицей его характеристик – правдоподобности (не слишком ли далеко простирается действие?), последствий события и степенью приемлемого для организации риска.

Выбор мер противодействия

Точно так же, как это происходит в здравоохранении, когда самочувствию пациента может быть нанесен ущерб неправильным лечением, уровень безопасности организации может быть ослаблен либо поставлен под вопрос неверным применением мер противодействия. Выработка таких мер – скорее искусство, чем сухая наука, и потому требует объединения усилий персонала управления и службы охраны; только в этом случае способна появиться на свет программа, соответствующая нуждам организации.

В качестве мер противодействия могут выступать электронные системы безопасности, физические барьеры, охранники, политики и процедуры.

Электронные системы безопасности объединяют системы контроля доступа, обнаружения, наблюдения и сбора свидетельских показаний. В число подсистем могут входить обнаружение вторжения, тревожные кнопки, охранное телевидение, проводные и радиопереговорные устройства, громкоговорящие системы, средства индивидуальной защиты и телефонные системы.

Физические и психологические барьеры применяются для затруднения доступа к объекту. В число физических барьеров входят хранилища, сейфы, шлагбаумы, ограждения и ворота, изделия из пуленепробиваемых материалов, колючая проволока, капканы, ловушки для транспортных средств, бронезащита автомобилей, механические замки, "лежачие полицейские" и бордюры, бомбоубежища, средства освещения, щиты, панели из прочных материалов и специальные элементы ландшафта.

Персонал службы безопасности исполняет различные охранные функции, включая оперирование электронными системами, несение вахты на постах и осуществление патрулирования. Большинство действий охраны предусматривают наблюдение за событиями и – в случае инцидента – постановка в известность правоохранительных органов. В некоторых случаях охранники могут быть вооружены и иметь специальную подготовку и право вмешиваться в ход событий.

Политики устанавливают позицию управляющего звена и общий подход к практике разрешения бизнес-проблем. Процедуры определяют средства осуществления политики. Это наиболее критичная часть программы безопасности. Здесь определяются программы и процессы, необходимые для того, чтоб механизмы обеспечения безопасности работали эффективно.

Внедрение

В этой фазе рекомендации преобразуются в спецификации и инструкции, направленные на действия людей и систем, а также формирование политик. Задача внедрения – перевести план безопасности в запросы и приобретение документов, процедур, организационных программ и процессов.

В СЛУЧАЕ ОПАСНОСТИ

По каждому из элементов реагирования необходимо создать детальное описание предпринимаемых действий на всех четырех фазах происшествия:

ФАЗА ПРЕДУПРЕЖДЕНИЯ: Определите процедуры эвакуации и завершения работы системы, а также расположение укрытий и убежищ.

ФАЗА СОБЫТИЯ: Определите технологии укрепления и обеспечения выживания, а также методы локализации зоны инцидента – такие, как выставление нее кордонов для предотвращения возможности расширения круга участвующих в ситуации лиц.

ПО ГОРЯЧИМ СЛЕДАМ: Определите процедуры оказания первой помощи, уведомления властей и экстренных служб, ограничения доступа к месту преступления, управления движением, эвакуации пострадавших и стратегию сдерживания распространения ситуации.

ПОСЛЕ СОБЫТИЯ: Определите процессы постановки в известность родственников, очистки и ремонта, деятельности на запасной территории и проведения разъяснительной работы.

1  2  3  4  5  6  7  8  9  10  11  12  13  14  15 
Рейтинг@Mail.ru