Як провести аудит безпеки бізнесу?!

Захист персоналу, майна та інформації є пріоритетом для будь-якого бізнесу. Проте переважна частина компаній не знає своїх вразливих місць, через що вони можуть стати беззахисними для широкого кола потенційних загроз.

Оцінка поточних сильних і слабких аспектів у системі безпеки вашої організації є першим кроком до запобігання потенційним загрозам і ризикам. Звісно, аудит безпеки не закінчується після виявлення проблем. Надзвичайно важливим етапом роботи є вироблення рекомендацій і плану дій для безпосереднього вирішення цих завдань.

Коли у вас буде план щодо регулярної оцінки і гарантування безпеки бізнесу, то у подальші роки зможете простіше і швидше проводити моніторинг системи захисту бізнесу. Адже регулярні аудити безпеки ‒ краща практика, яку має провадити кожен бізнес.

Основними напрямами, за якими потрібно насамперед провести аудит безпеки у вашій організації, є такі підсистеми, як фізична, інформаційна (кібербезпека) і фінансово-економічна безпека. Надалі важливо зважати на те, що аудиту підлягають такі підсистеми корпоративної безпеки, як правова безпека, антикорупційний комплаєнс, бізнес-розвідка, кадрова безпека, фізична безпека власників бізнесу і перших осіб компанії тощо.

Ось низка запитань, на які варто зважати під час проведення аудиту безпеки бізнесу.

Контрольний чек-лист із фізичної безпеки має містити питання, пов’язані з оцінкою усіх приміщень організації. Важливо пам’ятати, що оцінюється не лише фізична безпека ваших будівель і контрольних точок доступу, а й технічні засоби і програмне забезпечення їх моніторингу, діючі політики і регламенти.

Нормативна база

- Розроблено карту ризиків об’єкта?

- Розроблено і упроваджено регламент режиму об’єкта?

- Розроблено і затверджено карту постів охорони?

- Документацію переглядають і оновлюють щонайменше раз на рік?

Координація безпеки

- Чи призначено фахівця з безпеки (начальника охорони)?

- Чи проводить охорона планові обходи території офісу після його закриття?

- Чи міняють охоронці схеми патрулювання, щоб зменшити ймовірне використання їх режиму?

- Використовують пультову охорону («тривожна кнопка» ‒ виїзд ГШР)?

- Як і кого повідомляють ваші співробітники служби охорони про порушення безпеки і несанкціонований доступ?

Система ідентифікації

- Входи до будівлі офісу забезпечені СКУД?

- Чи усі люди, що входять і виходять із будівлі, проходять через контрольно-перепускний пункт?

- Вхід до кабінетів (приміщень) офісу використовує СКД (ID-карта)?

- Чи є письмові процедури щодо контролю доступу на об’єкт співробітників у неробочий час?

Приміщення і територія

- Периметр території офісу у вільному доступі?

- Чи достатньо високі огорожі, щоб запобігти несанкціонованому доступу до власності?

- Охорона регулярно перевіряє огородження на наявність дір, ушкоджень або точок доступу?

- Прилегла територія офісу добре освітлена в темний час доби?

- Периметр території офісу контролює система відеоспостереження?

Система відеоспостереження

- Чи достатньо охоплені камерами периметр будівлі і периметр власності?

- Чи розташовані камери так, щоб записувати реєстраційні номери машин, які заїжджають (виїжджають) на об’єкт?

- Чи показують камери обличчя водія, що в’їжджає?

- Чи захищені камери відеоспостереження від фізичної дії / вандалізму?

- Чи можуть камери автоматично перемикатися з денного на нічне / при слабкому освітленні?

- Чи контролюють камери входи і виходи з будівлі?

- Чи контролюють камери сходові клітини та інші точки доступу?

Освітлення

- Чи достатній рівень освітлення, щоб співробітники безпеки могли виявити інциденти безпосередньо або через камери спостереження?

- Чи вмикається освітлення одразу, коли настає темрява?

- Чи вмикається освітлення на всю ніч?

Архівація

- Чи всі камери спостереження записують інформацію?

- Кімната з відеореєстратором перебуває у безпечній зоні?

- Чи підтримуються архіви упродовж 30 днів?

Інспекції підлягають: служба охорони, периметр, двері, вікна, ворота, паркування, комунікації, критичні і чутливі зони, аварійні і вентиляційні виходи. Важливо зважати на те, якщо у вашої компанії є виробництво, розподільний центр, склад, то чек-лист зобов’язаний охоплювати ризики, пов’язані з безпосередньою діяльністю на зазначених об’єктах.

Якщо компанія залучає для охорони зовнішнього вендора охоронних послуг, то, відповідно, цю компанію заздалегідь аналізують на професіоналізм і хорошу репутацію.

Безпека бізнесу — це процес, а не кінцевий результат. Тому завдяки регулярному проведенню аудиту безпеки ви зможете виявити та усунути уразливості до того, як зловмисники виявлять їх першими. Звичайно, щоб перебувати в безпеці, потрібно вкладати бюджет і час у регулярні перевірки й побудову комплексної системи корпоративної безпеки. 

У подальших статтях я викладу порядок проведення і низку контрольних запитань з інших означених підсистем безпеки.

Безпечного вам бізнесу!

Опублікована у Журналі "Фінансовий директор компанії" №10 (жовтень 2021)