Безопасность бизнеса (Н. Ростова, "Консультант", N 9, май 2005 г.)

Безопасность бизнеса

В последние годы руководство уделяет все больше внимания безопасности своих компаний и не скупится на затраты по ее обеспечению. Количество угроз для бизнеса приумножается с каждым днем. Однако появление эффективных методов борьбы с ними не заставляет себя ждать.

В апреле состоялась Всероссийская конференция "Создание системы корпоративной безопасности. Практические подходы", организованная компанией AH Conferences. Мероприятие было посвящено вопросам внутренней безопасности организаций и влиянию всевозможных угроз и рисков на их деятельность. Конференцию посетили генеральные директора, руководители служб безопасности, а также начальники подразделений по информационным технологиям ведущих организаций России.

В своих выступлениях докладчики уделили внимание в основном таким темам, как лояльность персонала, изъяны программного обеспечения и деловая разведка.

Типичные ошибки в сфере безопасности

О главных угрозах современному бизнесу, особой роли информации в системе безопасности, а также о типичных ошибках в этой области рассказал Юрий Адашкевич, заместитель генерального директора ЗАО "Специальные Информационные Системы", к.ю.н. "Структура рисков в российском бизнесе в лучшую сторону не меняется, ни количественно, ни качественно".

Диапазон угроз достаточно велик. Среди них опасности, исходящие от недобросовестных конкурентов и партнеров; угрозы со стороны госструктур, "прежде всего ангажированных теми же конкурентами"; риски, связанные с нелояльностью персонала, криминальной средой, с экономико-политическими процессами, например изменением законодательства, и т.п.

По словам г-на Адашкевича, "эффективную систему экономической безопасности невозможно выстроить без опоры на информационные возможности, ресурсы и технологии". В отсутствие же информационной поддержки предприниматель действует в условиях неопределенности. Предпринимаемые им меры скорее всего будут малоэффективными. Следовательно, предприятию необходима система надежных источников поступления сведений и инфраструктура для их обработки.

Как отметил Юрий Адашкевич, ошибка многих компаний заключается в том, что руководство недооценивает роль информационного обеспечения бизнеса. Например, не придают важности вопросу проверки потенциальных партнеров. Г-н Адашкевич привел массу примеров из практики, когда "элементарный анализ партнеров" выявлял информацию, которая кардинально меняла решение о сотрудничестве.

Также выступающий заметил, что зачастую бизнес несет потери из-за отсутствия информационного интереса к собственному персоналу. "Каждый раз нам приходится удивляться в ответ на удивление клиента, шокированного новостью о том, что проворовавшийся менеджер, оказывается, в прошлом уже не раз попадался на подобном, работая в других компаниях".

По словам г-на Адашкевича, несмотря на то что создание информационной службы на предприятии - мероприятие достаточно дорогостоящее, впоследствии затраты многократно окупаются. Естественно, речь идет не о прямой прибыли, а об уходе от значительных финансовых и материальных потерь. Кроме того, "информационно зрелая служба безопасности крупной компании может послужить основой создания системы конкурентной разведки".

Роль полиграфа

Зачастую опасность для организаций кроется в нелояльности персонала, текучести кадров, возможности краж со стороны самих сотрудников, например продавцов. О том, как эту проблему решает "Евросеть", рассказал вице-президент по безопасности компании Борис Левин.

По мнению докладчика, одна из первостепенных задач службы безопасности заключается в том, чтобы добиться такого уровня высокотехнологичности компании, при котором у сотрудников не было бы и мысли о преступлении; чтобы персонал четко сознавал то, что кража немедленно будет обнаружена.

По словам Бориса Левина, в структуре службы безопасности присутствует подразделение, контролирующее кадровый отбор. Оно активно взаимодействует с полиграфом. Раньше все сотрудники проходили проверку через полиграф, теперь с целью экономии его проходят только материально ответственные лица.

"Работа службы безопасности и ее результаты оказывают влияние на принятие управленческих решений". В первую очередь речь идет о кадровых решениях. Персонал в компании условно делится на три категории: топ-менеджеры, руководители подразделений и рядовые сотрудники. В отношении каждого соискателя применяется методика приема на работу и проверка. Для третьей категории персонала эта процедура сокращена. В нее входит проверка на наличие судимости и административных правонарушений, а также обязательная беседа с лицами службы безопасности, в ходе которой у претендента пытаются выявить негативные склонности. Последнее может значительно повлиять на окончательное решение о приеме на работу.

Огромную роль в компании играет проверка через полиграф. Есть три варианта ее результатов:

"+" - свидетельствует об успешном прохождении "испытания";

"-" - у претендента нет шансов занять должность;

"+, -" - кандидатура обсуждается, и в случае положительного решения о приеме на работу проверка через полиграф может повториться через четыре-шесть месяцев.

На вопрос из зала: "Неужели для отказа в приеме на работу достаточны лишь отрицательные результаты проверки через полиграф? Как это соотносится с Трудовым кодексом?" - г-н Левин ответил следующее: "Сотрудники или претенденты проходят такую проверку добровольно, предварительно им разъясняют ее суть, после чего проверяемые подписывают декларацию о том, что согласны на данное "испытание". Кроме того, в нашей компании при приеме на работу используется комплексный подход и учитываются не только данные полиграфа".

Человеческий фактор

О проблеме нелояльности персонала и о том, как с ней справиться, рассказал Валерий Прасолов, начальник службы безопасности "Пробизнесбанка". "Лояльность персонала - серьезная практическая проблема безопасности фирмы, с которой сталкиваются очень многие. Человек - самое слабое звено в системе защиты информации". Как известно, в нашей стране нет системы пожизненного найма. Цикл работы на предприятии какого-либо сотрудника варьируется от трех до шести лет. Если за это время социально-экономические ожидания специалиста не были оправданы, он легко уходит из компании и уносит при этом с собой знания, навыки, умения и информацию. Следовательно, лояльность персонала во многом зависит от степени удовлетворенности условиями работы, вознаграждением, перспективами и ростом, внутренним микроклиматом в коллективе.

Валерий Прасолов в своем выступлении привел интересную сравнительную характеристику этих факторов. Оказывается, наиболее значимым для сотрудников российских компаний является материальное вознаграждение, далее следуют интерес к работе, карьерные перспективы и возможности профессионального роста. Менее важными оказываются репутация компании, атмосфера в коллективе и условия работы. На последнем месте стоят такие факторы, как "корпоративная культура", "личность начальника", "поведение начальника". Тогда как, к примеру, в США для сотрудников главными являются интерес к работе, карьерные перспективы и личность начальника. Материальное удовлетворение стоит после.

Несмотря на такие данные, в России материальные стимулы в отношении персонала не используются. К такому мнению докладчик пришел, проанализировав уровень зарплат коммерческих директоров, директоров по продажам, начальников отдела продаж в Москве "как наиболее благоприятном регионе".

Следствием такой ситуации является то, что, "имея достаточно низкий уровень зарплаты, сотрудники выбирают, как правило, один из двух вариантов поведения. Первый - "вы делаете вид, что вы платите, мы делаем вид, что мы работаем". Второй - пытаются извлечь из компании дополнительную выгоду, что приводит к кражам, передаче информации конкурентам и т.п.". Чтобы предотвратить последствия второго варианта развития событий, в компании должна быть обеспечена такая система безопасности, при которой каждый сотрудник знал бы о неотвратимости наказаний в случае нарушений и преступлений, а также о публичном осуждении за проступок.

Валерий Прасолов дал некоторые рекомендации фирмам, которые стремятся повысить ответственность своего персонала. Так, например, с сотрудниками следует заключать соглашение о неразглашении сведений, ставших известными за время работы в компании. Особенно это важно в случае увольнений.

Также г-н Прасолов посоветовал использовать различные "технические средства распознания нечестности, например детекторы лжи". На его взгляд, они очень эффективны, однако их применение ограниченно, так как в каждом случае необходимо согласие сотрудника на проверку. Кроме того, секретную информацию лучше дробить на модули и доверять различным лицам. Важно отслеживать информационные потоки и взаимоотношения в коллективе.

Взаимоотношения службы с руководством

Этот вопрос непростой, и от его решения зависит эффективность самой службы и, как следствие, деятельности компании в целом. По мнению Анатолия Евдокимова, исполнительного директора Ассоциации международного сотрудничества негосударственных структур безопасности, "первая и наиболее распространенная ошибка руководителей заключается в том, что служба безопасности замыкается на второстепенное лицо фирмы". Это приводит к тому, что информация, поступающая к руководителю, искажается, так как заместитель имеет свои интересы при ее передаче. Например, он может прикрывать недостатки в своей работе. Г-н Евдокимов отметил, что ущерб от таких действий может быть колоссальным. В качестве примера выступающий привел один банк, который не просто потерял огромные суммы денег по подобным причинам, но в итоге был окончательно разорен.

Второй момент заключается в том, что зачастую "руководители отгораживаются от службы безопасности". Первое лицо компании должно заниматься вопросами защиты бизнеса и напрямую контролировать деятельность службы. "Должен быть конгломерат между руководителем фирмы и начальником службы безопасности, которые должны друг другу доверять. Однажды я прекратил работу в одной организации, так как глава компании боялся меня, работать было невозможно".

Сотрудничество этих лиц важно еще и потому, что обеспечение безопасности связано с весомыми затратами. Первое лицо, недооценивая их необходимость, может решить на чем-то сэкономить, что, конечно же, приведет к неблагоприятным результатам.

Комплексный подход

Многие докладчики так или иначе затрагивали тему уязвимости современного программного обеспечения (ПО). Конкуренты могут воспользоваться несовершенством ПО для написания вредоносных кодов или программ, с помощью которых можно похитить информацию.

По словам Андрея Дюбина, менеджера по работе с корпоративными клиентами компании Symantec, "мы достигли такого момента, когда новые угрозы распространяются быстрее, чем мы можем создать защиту от них. Для того чтобы справиться с ситуацией, нам нужна новая стратегия обеспечения безопасности". Выход - комплексный подход к решению проблем.

Зачастую в компаниях к защищенной информации сложный доступ. Настолько, что сотрудники во избежание проблем начинают хранить секретные материалы в неположенных местах - в своем компьютере, на дискетах и т.п. Что, конечно, легко может привести к утечке сведений.

С другой стороны, в компании может быть обеспечен настолько свободный доступ к информации, что каждый сотрудник может ею воспользоваться, изменить ее, продать и т.п. Соответственно необходимо стремиться к золотой середине: "Интеграция человеческих ресурсов, процессов и технологий дает возможность найти разумный баланс между защищенностью и доступностью информации".

Н. Ростова,

эксперт "Консультанта"

"Консультант", N 9, май 2005 г.