Корпоративна безпека: інструкція щодо впровадження у бізнес
Що для вас є корпоративною безпекою? Чи це охоронці на вході? Система відеоспостереження? Штатний юрист чи генерал-майор, який охороняє ваш спокій?
Я, як фахівець у цій сфері, можу сказати, що все це давно застарілі інструменти, які вже не можуть забезпечити ваш спокійний сон і впевненість у завтрашньому дні. Сьогодні побудова корпоративної безпеки на підприємстві – процес складний, тривалий, структурний та комплексний. І насамперед — це прогнозування та ідентифікація проблем. Важливість у тому, щоб наперед розуміти, що насувається буря, точно знати, куди може вдарити блискавка і не допустити виникнення кризи. Правильно, щоби функцію корпоративної безпеки впроваджувала група професіоналів. До неї входять і фінансисти, і юристи, і працівники служб безпеки. Процес цей починається з аудиту - фундаменту, а потім по цеглинці вибудовується не один день. Описати в цьому тексті кожен крок – неможливо, але я постараюся розповісти про найдоступніші інструменти впровадження корпоративної безпеки, які можна скористатися вже сьогодні. Це не означає, що тепер ваш бізнес у безпеці, але зайвими вони точно не будуть!
ВИДИ ЗАГРОЗ. Усі загрози можна розділити на зовнішні та внутрішні. Як би не було сумно, але часто найбільше зло ззовні для українського бізнесу – це держава в особі правоохоронців, фіскалів та контролерів. Ще одна не менш серйозна зовнішня загроза – кримінальні структури, конкуренти та «промислові шпигуни». Якщо ви вважаєте, що «братки» з 90-х канули в лету, то, на жаль, це не так. Ось вам свіжий кейс: до нас звернувся власник бізнесу, до якого прийшла група осіб із вимогою переоформити одну зі своїх структур на їхню афілійовану компанію. Ви думаєте, що такі сценки залишилися лише у фільмах, а це все ще наша з вами реальність. Єдина різниця – малинові піджаки замінили дорогими костюмами.
Приклад ще однієї зовнішньої загрози – звільнені чи незадоволені співробітники. Потрібно завжди пам'ятати, що працівник йде з певним обсягом інформації. А якщо до цього додати гнів і спрагу помсти – ситуація є серйозним джерелом загроз. Також ризики існують завжди, коли є відкриті зобов'язання перед кредиторами чи постачальниками.
Внутрішніх загроз є все, що відбувається всередині бізнесу. Це усвідомлені чи неусвідомлені дії співробітників, які можуть завдати шкоди, спричинити витік конфіденційної інформації або підірвати ділову репутацію.
При побудові функції корпоративної безпеки на підприємстві важливо охопити три напрями: інформаційна безпека, юридична та фізична. Тільки так можна повністю убезпечити себе та підприємство від можливих загроз.
ІНФОРМАЦІЙНА БЕЗПЕКА. Вона передбачає захист конфіденційної інформації та комерційної таємниці. І перше, що ми робимо у цьому блоці – визначаємо, яка саме інформація є конфіденційною для нашого бізнесу. Кожен співробітник повинен мати доступ тільки до тих даних, які необхідні для виконання службових обов'язків. Також важливим є режим їх зберігання. Як зазвичай зберігаєте інформацію на паперових носіях? На столі? У тумбочці? У сейфі? Моя рекомендація - документи, що особливо встановлюють на матеріальні активи, повинні бути на заощадженні в адвокатів. Це блокує несанкціоноване проникнення під час заходу контролерів-фіскалів та захищає від зловживань співробітників.
Також кожен співробітник під час прийому працювати повинен підписувати зобов'язання про нерозголошення конфіденційної інформації. За законом порушення такого договору покладається кримінальне покарання, плюс кожен роботодавець може визначити грошовий штраф за витік.
Не зайвим буде прописати правила робочого місця для співробітників. Так, багатьом це банальні речі. Я знаю випадок, коли при появі «маски-шоу» до приміщення фінслужби, у всіх співробітників на моніторах виявилися приклеєні листочки з паролем та логіном. Друге правило – правило чистого столу. Це стосується як електронних носіїв, так і паперових. По-хорошому, я рекомендую виключити можливість використання «флешок» рядовими співробітниками, лише за згодою керівника чи системного адміністратора.
Звернути увагу потрібно і на порядок використання корпоративної електронної пошти. Перше правило, яке повинні знати співробітники, – корпоративна пошта є власністю компанії. У нас у практиці був приклад: співробітник, перебуваючи на робочому місці, негативно висловився на форумі про одного високопоставленого чиновника. І за місяць до компанії надійшов позов про захист честі та гідності ділової репутації з компенсацією у кілька мільйонів гривень.
Нехтувати не можна і антивірусним захистом. Це стосується здебільшого сисадмінів, проте рядові співробітники теж повинні знати, як реагувати за перших ознак зараження системи.
ЮРИДИЧНА БЕЗПЕКА. Окрім вищезгаданого режиму зберігання документів, важливо вести паспорт активів. Якщо на підприємстві їх багато, то найімовірніше постійно відбуваються якісь оновлення статусів. Моя порада – актуалізацією даних має займатися окрема людина.
У юридичну безпеку входить і перевірка людей прийому працювати. А це украй важливий аспект у побудові функції корпоративної безпеки. Особливо це стосується відповідальних позицій і тих, хто матиме справу із фінансовими ресурсами. Тому що резюме може бути неповним, недостовірним і взагалі невідомо, з яким «шлейфом». І ще: не забувайте вести реєстр судових рішень та кримінальних проваджень. Сьогодні це абсолютно відкрита інформація та краще моніторити її регулярно. Щоб раптом не виявилося, що ваш бізнес зовсім уже не ваш, а належить якимось іншим особам.
У цей же напрямок я включаю, звичайно ж, роботу з дебіторською заборгованістю. Тут все просто: важливо не пропускати прострочення такої заборгованості і на етапі переддоговірної роботи перевіряти контрагентів щодо їх платоспроможності та надійності.
АДМІНІСТРАТИВНА БЕЗПЕКА. Банально, але ви повинні бути впевнені, що ваші матеріальні цінності знаходяться в цілісності та безпеці. Є офісні та є складські приміщення, режим доступу до них має бути строго визначений.
Так, комплексне використання всіх перерахованих мною заходів - недешеве задоволення. Так, воно влетить вашій компанії в копійчину. Так, на перший погляд, це може здатися необґрунтованою тратою коштів. Але скупий, як відомо, платить двічі. Повірте, як показує практика, витрати на побудову функції корпоративної безпеки окупаються за першої ж перевірки. Не ризикуйте своїм бізнесом, зверніться до спеціалістів!