Александр Кришталюк - Управление безопасностью бизнеса Страница 4
Александр Кришталюк - Управление безопасностью бизнеса читать онлайн бесплатно
В рассматриваемом нами примере торгового предприятия ответ будет выглядеть так:
Товар – требуется обеспечение сохранности, необходимо принять меры для предотвращения кражи, порчи товара, в том числе и умышленной.
Методы продажи (и другие секреты фирмы в области работы с клиентом) – требуется защита от навязчивого интереса конкурентов. Ведь именно ваша эксклюзивность обеспечивает предприятию дополнительный доход, способствует привлечению новых клиентов.
Персонал – часто возникает необходимость обеспечения физической или психологической защиты.
Следующий вопрос, на который требуется ответить – от кого? Ответив на этот вопрос, Вы определите источники опасности.
В рассматриваемом нами случае:
Товар требуется защищать: от покупателей-воришек (в торговом зале), от небрежности персонала (продавцов, грузчиков) – неумышленная или умышленная порча товара, от грабителей – в дороге. Кроме того, необходима защита и от природных катаклизмов – если склад, например в результате сильного ливня, будет затоплен, то Вы понесете весьма ощутимые убытки.
Секреты фирмы защищаются в основном от конкурентов, но иногда требуется защита и от не в меру любопытных собственных сотрудников.
Персонал – в основном от разного рода преступных посягательств, таких как, например: вооруженное ограбление, угроза похищения или убийства, психологический террор, шантаж, вымогательство.
И, наконец, последний вопрос – как? Ответив на него, вы определите, методы и средства защиты. Правда иногда, для того чтобы получить ответ на этот вопрос, требуется обратиться к специалистам.
Затем, используя результаты проведенного Вами анализа, Вы можете приступить к планированию работ по обеспечению безопасности Вашего предприятия, определить необходимые организационные и технические меры, рассчитать стоимость затрат и оценить эффективность проводимых мероприятий. При этом важно понимать, какие работы Вы в состоянии выполнить собственными силами, а в каких случаях требуется прибегнуть к помощи профессионалов
Лекция 2
Как анализировать потребности в обеспечении безопасности
Выработка всестороннего плана обеспечения безопасности требует методичного и продуманного анализа. Начав с общего понимания организации и дойдя до множества частных задач, вам придется применить структурный подход, чтобы собрать воедино и проанализировать этот план. Получаемые в результате рекомендации должны дополнять и поддерживать одна другую.
Задача эта не так проста, поскольку сложились уже определенные промышленные образцы таких планов. Лишь некоторые из них являются продуктом всестороннего анализа, остальные же разработаны для конкретных ситуаций применения в порядке реакции на произошедший объекте инцидент. Фактически, многие из действий охраны предназначены для производства расследования по факту события, а не для предотвращения этого события.
Объектом анализа при составлении плана безопасности являются все возможные уязвимости, которые необходимо выявлять методично и всесторонне, чтобы программа безопасности имела в основе обширный анализ, а не опыт действий по устранению последствий последнего из произошедших на объекте инцидентов. Аналитический подход позволяет гарантировать, что средства, затрачиваемые на обеспечение безопасности, расходуются в соответствии с конкретными нуждами, защищая более важные объекты и подвергая большему риску менее критичные.
Цель, однако же, состоит не в том, чтобы разработать план безопасности с высокой степенью "защиты от дурака". Сто́ит помнить о том, что полностью защитить объект возможно, лишь затратив несоразмерные деньги и прекратив его функционирование в целях осуществления бизнеса. Взамен этого цель ставится такая: сделать нарушение режима безопасности максимально затруднительным (но не невозможным!) для злоумышленника. Степень трудности зависит от того, насколько ценен данный объект и насколько организация-заказчик готова к рискам.
Процесс анализа делится на пять фаз – подразделение на объекты, оценка угроз, анализ уязвимости, выбор мер противодействия и их внедрение. Процесс этот рассчитан на тщательный анализ, и приступать к каждой следующей фазе следует, лишь полностью завершив предыдущую.
Подразделение на объектыНачинается определение объектов с понимания деятельности организации в широком смысле слова, ее задач и функций, а также среды, в которой эта деятельность осуществляется. В начальной стадии анализа следует провести интервью с руководящим составом и специалистами организации, чтобы определить необходимые для осуществления ее деятельности ресурсы. В их число входит производственное оборудование, операционные системы, сырье и материалы, готовая продукция, системы учета и управления, а также инфраструктурные сети – электрические, водяные, природного газа и связи. Зачастую наиболее значимыми являются нематериальные активы, получить представление о которых можно лишь основательно вникнув в деятельность организации. В результате этого шага определяются объекты возможного нападения.
Каждый производственный объект можно разбить на более мелкие составные части. Анализ может показать, что такая детализация объекта необходима вследствие его критической важности. Примером подобного объекта может выступить информационная технология, которая делится на обширный список системных компонентов – аппаратной части, операционных систем, прикладного программного обеспечения, систем управления базами данных, каналов связи и системной документации.
И материальные, и нематериальные активы должны быть категоризированы как жизненно важные (потеря равносильна катастрофе), важные (потеря приведет к серьезным сбоям, но в принципе восполнима) и второстепенные (утрата относительно незначительна.
Оценка угрозВсесторонний план безопасности требует определения обширного списка угроз – чтобы принять во внимание целый спектр разрушительных воздействий. Путем анализа список угроз редуцируется, чтобы сосредоточить внимание лишь на наиболее вероятных из них.
Оценка начинается со сбора данных о произошедших в прошлом инцидентах, связанных с нарушением режима безопасности, включая происшествия на охраняемом объекте, на всех объектах, принадлежащих компании, а также статистика по всей отрасли. Определите, существуют ли устойчивые образцы криминального поведения, и установите их природу. Изучите информацию о понесенных убытках, нарушениях безопасности и судебные дела, в которых фигурировала организация. Проконсультируйтесь с корпоративными юристами и изучите судебные определения, содержащие факты, имеющие отношение к безопасности.
Проинтервьюируйте руководящий состав компании, страховых поручителей и руководство местных экстренных служб на предмет определения существующих угроз. Проанализируйте статистику преступности и сравните показатели с общенациональными, региональными, районными и муниципальными.
Определите виды угроз, являющихся уникальными для данного региона и данной организации, места сосредоточенного хранения опасных веществ и материалов, а также пути транспортировки, обычно используемые для доставки грузов. Прикиньте угрозы, которые ни разу не были осуществлены, но характер бизнеса и социально-политическая обстановка не исключают попыток их реализации.
Оценка угроз является процедурой качественного анализа, хотя в ней могут применяться и некоторые процедуры количественной оценки. Важно понимать, что такая оценка является валидной лишь на определенный момент времени. Изменение внешней обстановки сказывается и на спектре угроз. Следовательно, оценка должна периодически обновляться, чтобы убедиться в соответствии программы безопасности вызовам момента.
Каждую из угроз следует категоризировать как вероятную (ожидается ее событийное воплощение), возможную (обстоятельства могут привести к событию) и маловероятную (событийное воплощение не ожидается). Степень тяжести последствий вызванных реализацией угрозы событий может также подразделяться на катастрофическую (разрушительное событие), умеренную (последствия принципиально устранимы) и легкую (последствия относительно несущественны).
Анализ уязвимостиМеры противодействия, по сути, являются помехами на пути к осуществлению угрозы. Соответственно, задача этих мер – сделать событие менее вероятным, не давая возможности злоумышленнику осуществить угрозу. Однако прежде чем ставить барьеры на пути осуществления события, необходимо представить себе весь ход его развития. Анализ уязвимости представляет собой механизм создания детальных пошаговых сценариев тревожных событий.
К конструированию сценариев должны привлекаться представители организации, обладающие обширными знаниями о внутренней механике ее рабочих процессов. Рабочей группе следует смоделировать ролевое поведение преступника, осуществляющего нападение на организацию – и это позволит определить ключевые зоны ее уязвимости. Планы безопасности, способные остановить действия хорошо информированного сотрудника организации, смогут помешать пришедшему извне преступнику в равной степени – а точнее, даже в большей. Это упражнение позволит выделить зоны уязвимости и обеспечить исходные данные для следующей фазы работы над планом – выбора мер противодействия. Анализ уязвимости создает пакеты мер защиты – то есть, основываясь на четко сфокусированной проблеме, дает пути ее разрешения путем применения контрмер безопасности. Пакеты эти лучше всего описываются путем составления электронной таблицы, в которой сопоставляются объекты и угрозы и обозначается, каким специфическим угрозам подвержен тот или иной объект.
Жалоба
Напишите нам, и мы в срочном порядке примем меры.