Как обеспечить безопасность предприятия, если Вам лень этим заниматься

Организационная структура службы безопасности

В разных компаниях руководители подразделений безопасности формируют структуру исходя из собственного опыта и понимания угроз, поэтому на рынке представлено огромное множество вариантов. Некоторые из них далеко опередили свое время, другие безнадежно застряли в прошлом.

В данной статье также представлен авторский взгляд, совершенно не претендующий на истину в последней инстанции, но основанный на бизнес-ориентированном подходе и попытке сделать процесс обеспечения безопасности технологичным.

В основе описываемой концепции лежат несколько тезисов:

Задача службы безопасности — в пределах своих полномочий сокращать потери компании от противоправных действий сотрудников и третьих лиц, посредством возмещения и предотвращения ущерба, а также неэффективных расходов (под ними понимаются любые затраты, которые можно сократить или избежать без негативного влияния на бизнес).

Результаты работы службы безопасности имеют денежное выражение и влияют на эффективность бизнеса.

Подразделение экономической безопасности является единственной структурой в компании, осуществляющей корпоративные расследования.

Структура

Как правило, обеспечение безопасности включает три направления: информационное, физическое и экономическое.

Информационная безопасность (ИБ) решает задачи защиты информационного периметра и накопленных внутри него данных.

Помимо контроля и реагирования на угрозы, подразделение ИБ может администрировать договорные отношения по закупке, сервисной и информационной поддержке специализированного программного обеспечения и аппаратных комплексов, которые использует в работе.

В качестве основных рисков ИБ можно выделить:

несанкционированное подключение к корпоративным ресурсам внешних пользователей с последующей компрометацией чувствительных данных, либо нарушением работы информационных систем;

несанкционированное копирование или пересылка недобросовестными сотрудниками сведений, составляющих служебную или коммерческую тайну на посторонние ресурсы или носители;

нарушения сотрудниками компании установленного порядка обращения с информацией, повлекшую ее модификацию, компрометацию или уничтожение.

Физическая безопасность (ФБ) — контролирует территориальный периметр: производственные площадки, офисы, подсобные помещения, обеспечивает соблюдение установленного порядка допуска сотрудников и посетителей на объекты работодателя, а также ввоз, вывоз и перемещение материальных средств. Для решения функциональных задач применяются посты охраны, контрольно-пропускные пункты и технические средства, такие как автоматизированные системы контроля и управления доступом, видеонаблюдение, объектовые или периметровые комплексы сигнализации.

ФБ, по аналогии с ИБ, может заключать и сопровождать договоры на поставку, монтаж и обслуживание технических средств охраны и пожарной безопасности, включая услуги физической охраны, если она организована силами подрядчиков.

Основные риски:

несанкционированный вынос (вывоз) сотрудниками или контрагентами компании материальных средств или имущества предприятия за пределы контролируемой зоны;

проникновение посторонних лиц на объекты предприятия в целях хищения имущества или его повреждения (вандализм);

нарушение правил пожарной безопасности (если этот функционал возложен на СБ).

Экономическая безопасность (ЭБ) — обеспечивает минимизацию убытков компании от неправомерных действий, материальных и репутационных потерь, возникающих вследствие несовершенства бизнес-процессов. Основные риски вытекают из вышеперечисленных задач.

Подразделение реализует свои активности посредством:

проведения корпоративных расследований;

участия в качестве экспертов в кросс-функциональных рабочих группах и комитетах;

проверки благонадежности потенциальных контрагентов и кандидатов на работу;

постоянного анализа выявленных рисков и выработки мер по их митигации.

При таком распределении зон ответственности, ИБ и ФБ обеспечивают контроль периметров, соответственно информационного и физического, а в случае выявления нарушений купируют угрозу (разово и точечно). В дальнейшем информация об инциденте передается в подразделение ЭБ для проведения расследования, в результате которого будут установлены системные причины происшествия (при их наличии), виновные лица, приняты меры реагирования и предложены митигирующие мероприятия.

Исходя из изложенного, организационная структура службы безопасности компании холдингового (мульти-филиального) типа может выглядеть следующим образом:

В предложенном варианте региональные подразделения безопасности подчинены руководителю направления ЭБ, так как основное содержание их работы — проведение расследований, а за этот процесс отвечает именно он.

Состав подразделений информационной и физической безопасности с приведенной схеме не раскрывается, так как во многом зависит от территориальной и производственной специфики предприятия. Единственно возможный комментарий — если ИБ и ФБ осуществляют администрирование договорных отношений, целесообразно выделить под этот функционал специальных сотрудников, в противном случае качество приемки работ будет низким, а претензионная работа эпизодической.

На уровне макрорегиона (объекта) структура такова:

На схеме рассматривается вариант, когда предприятие имеет как административные офисы и/или производственные площадки, так и собственную розничную сеть.

Учитывая, что инциденты в ритейле многочисленны, но при этом достаточно просты и однотипны, целесообразно специалистов по безопасности розницы выделить в отдельную категорию с пониженными требованиями к квалификации и, соответственно, более низким уровнем оплаты труда.

Функциональное предназначение субподразделений ЭБ

Экспертная группа по управлению рисками бизнес-процессов — специалисты высокой квалификации, на постоянной основе взаимодействуют с руководителями бизнес-направлений, участвуют в рабочих группах и комитетах по подготовке ключевых решений о развитии компании, обеспечивают реализацию рекомендаций по устранению уязвимостей бизнес-процессах и совершенствованию локальных нормативных актов.

Отдел по корпоративным расследованиям состоит из двух групп: менеджеры по корпоративным расследованиям — специалисты СБ, проводящие мероприятия в структурных подразделениях Головного офиса; менеджеры по экономической безопасности — специалисты высокой квалификации, осуществляющие методическую помощь, оценку материалов завершаемых расследований, обобщение накопленного опыта и распространение лучших практик.

Отдел оценки рисков взаимодействия — группа технических специалистов, осуществляющих проверки потенциальных контрагентов, кандидатов на работу, а также на регулярной основе проводящих мониторинг аффилированности сотрудников компании с партнерскими организациями в целях выявления возможного конфликта интересов.

Группа автоматизации и отчетности — технические специалисты, обеспечивающие поддержку и развитие баз данных СБ, иных информационных ресурсов, а также автоматическое формирование отчетности на основе, содержащихся на них данных.

В небольших организациях набор направлений деятельности будет аналогичным, но с учетом меньшего масштаба, один исполнитель будет объединять в своем функционале несколько ролей.