Як провести аудит безпеки бізнесу?!
Захист персоналу, майна та інформації є пріоритетом для будь-якого бізнесу. Проте переважна частина компаній не знає своїх вразливих місць, через що вони можуть стати беззахисними для широкого кола потенційних загроз.
Оцінка поточних сильних і слабких аспектів у системі безпеки вашої організації є першим кроком до запобігання потенційним загрозам і ризикам. Звісно, аудит безпеки не закінчується після виявлення проблем. Надзвичайно важливим етапом роботи є вироблення рекомендацій і плану дій для безпосереднього вирішення цих завдань.
Коли у вас буде план щодо регулярної оцінки і гарантування безпеки бізнесу, то у подальші роки зможете простіше і швидше проводити моніторинг системи захисту бізнесу. Адже регулярні аудити безпеки ‒ краща практика, яку має провадити кожен бізнес.
Основними напрямами, за якими потрібно насамперед провести аудит безпеки у вашій організації, є такі підсистеми, як фізична, інформаційна (кібербезпека) і фінансово-економічна безпека. Надалі важливо зважати на те, що аудиту підлягають такі підсистеми корпоративної безпеки, як правова безпека, антикорупційний комплаєнс, бізнес-розвідка, кадрова безпека, фізична безпека власників бізнесу і перших осіб компанії тощо.
Ось низка запитань, на які варто зважати під час проведення аудиту безпеки бізнесу.
Контрольний чек-лист із фізичної безпеки має містити питання, пов’язані з оцінкою усіх приміщень організації. Важливо пам’ятати, що оцінюється не лише фізична безпека ваших будівель і контрольних точок доступу, а й технічні засоби і програмне забезпечення їх моніторингу, діючі політики і регламенти.
Нормативна база
- Розроблено карту ризиків об’єкта?
- Розроблено і упроваджено регламент режиму об’єкта?
- Розроблено і затверджено карту постів охорони?
- Документацію переглядають і оновлюють щонайменше раз на рік?
Координація безпеки
- Чи призначено фахівця з безпеки (начальника охорони)?
- Чи проводить охорона планові обходи території офісу після його закриття?
- Чи міняють охоронці схеми патрулювання, щоб зменшити ймовірне використання їх режиму?
- Використовують пультову охорону («тривожна кнопка» ‒ виїзд ГШР)?
- Як і кого повідомляють ваші співробітники служби охорони про порушення безпеки і несанкціонований доступ?
Система ідентифікації
- Входи до будівлі офісу забезпечені СКУД?
- Чи усі люди, що входять і виходять із будівлі, проходять через контрольно-перепускний пункт?
- Вхід до кабінетів (приміщень) офісу використовує СКД (ID-карта)?
- Чи є письмові процедури щодо контролю доступу на об’єкт співробітників у неробочий час?
Приміщення і територія
- Периметр території офісу у вільному доступі?
- Чи достатньо високі огорожі, щоб запобігти несанкціонованому доступу до власності?
- Охорона регулярно перевіряє огородження на наявність дір, ушкоджень або точок доступу?
- Прилегла територія офісу добре освітлена в темний час доби?
- Периметр території офісу контролює система відеоспостереження?
Система відеоспостереження
- Чи достатньо охоплені камерами периметр будівлі і периметр власності?
- Чи розташовані камери так, щоб записувати реєстраційні номери машин, які заїжджають (виїжджають) на об’єкт?
- Чи показують камери обличчя водія, що в’їжджає?
- Чи захищені камери відеоспостереження від фізичної дії / вандалізму?
- Чи можуть камери автоматично перемикатися з денного на нічне / при слабкому освітленні?
- Чи контролюють камери входи і виходи з будівлі?
- Чи контролюють камери сходові клітини та інші точки доступу?
Освітлення
- Чи достатній рівень освітлення, щоб співробітники безпеки могли виявити інциденти безпосередньо або через камери спостереження?
- Чи вмикається освітлення одразу, коли настає темрява?
- Чи вмикається освітлення на всю ніч?
Архівація
- Чи всі камери спостереження записують інформацію?
- Кімната з відеореєстратором перебуває у безпечній зоні?
- Чи підтримуються архіви упродовж 30 днів?
Інспекції підлягають: служба охорони, периметр, двері, вікна, ворота, паркування, комунікації, критичні і чутливі зони, аварійні і вентиляційні виходи. Важливо зважати на те, якщо у вашої компанії є виробництво, розподільний центр, склад, то чек-лист зобов’язаний охоплювати ризики, пов’язані з безпосередньою діяльністю на зазначених об’єктах.
Якщо компанія залучає для охорони зовнішнього вендора охоронних послуг, то, відповідно, цю компанію заздалегідь аналізують на професіоналізм і хорошу репутацію.
Безпека бізнесу — це процес, а не кінцевий результат. Тому завдяки регулярному проведенню аудиту безпеки ви зможете виявити та усунути уразливості до того, як зловмисники виявлять їх першими. Звичайно, щоб перебувати в безпеці, потрібно вкладати бюджет і час у регулярні перевірки й побудову комплексної системи корпоративної безпеки.
У подальших статтях я викладу порядок проведення і низку контрольних запитань з інших означених підсистем безпеки.
Безпечного вам бізнесу!
Опублікована у Журналі "Фінансовий директор компанії" №10 (жовтень 2021)