Фирмена сигурност

В голяма част от българските фирми, решили да вземат мерки за сигурността си, „фирмената сигурност” приключва с електронните системи за сигурност и живата охрана или договорът с фирма за охрана с технически средства. Организирайки тези две мероприятия много от мениджърите не си дават сметка, че  това са само елементи на фирмената сигурност и обикновено са последната линия на защита, предназначена да сработи, когато са се провалили другите. Обикновено фирмите решават проблемите със сигурността „на парче”, както по отношение на отделните елементи, така и по отношение на отделни обекти и видове дейности. Масово се подценяват другите видове заплахи за фирмата и бизнеса. От тук идват и повечето проблеми свързани със сигурността.

Фирмената сигурност е комплекс от взаимно свързани мероприятия и дейности. Всичко трябва да е предварително обмислено и разработено като единна система – наречена „Концепция за сигурност на фирмата”. Фирмената сигурност може да се определи като съвкупност от специфични действия /усилия/ и структура за физическа и информационна защита на хора, финансови средства, материална и интелектуална собственост, с цел осигуряване на устойчиво функциониране и създаване условия за продължителна и успешна работа.

За да се разработи система за фирмена сигурност, трябва да се отговори на въпросите за нейната необходимост и достатъчност. Естествено такава система зависи от много фактори. На първо място е вида дейност, която развива фирмата, но пряко влияние оказват и мащаба, наличието на различни по вид производства и дейности, наличие на офиси и производствени помещения в различни райони, градове и държави. Фактори от този род влияят и върху възможните заплахи и тяхната относимост.

Заплахите за дейността и бизнеса на една фирма могат да се разделят на външни и вътрешни.

Към външните се причисляват заплахи от дейността на контрагенти, конкуренти, обкръжение, криминален контингент, държавни политики, държавни органи, бюрокрация, корупция, трети лица, форсмажорни обстоятелства и много други.

Например, контрагентите могат да бъдат разделени на, такива способни на нанесат значителни вреди – 41%, добронамерени – 30%, способни да нанесат сериозни вреди – 22% и мошеници -7%. Процентите са приблизителни, но като цяло съотношението е вярно.

Към вътрешните заплахи причисляваме действия от страна на съдружници, служители, недостатъци в управлението, недостатъци на бизнес технологията и др. Разделянето на персонала по отношение на сигурността може да се представи по следния начин: способни да нанесат незначителни вреди – 50%; лоялни сътрудници – 33%; способни да нанесат сериозни вреди – 12%; мошеници – 5%. Разбира се при фирма състояща се от двама или трима души нещата не стоят така.В този случай един човек от персонала е в състояние да нанесе 100% вреда на фирмата.

Заплаха за сигурността на дадено предприятие представляват и промяната на политическата обстановка, промяната на демографските или социалните фактори. Дори и да не разглеждаме световната икономическа криза, промяната на международните отношения, наличието на войни и конфликти в дадени райони влияят в по-голяма или по-малка степен на бизнеса, в зависимост от вида и неговата насоченост.

Социалните заплахи са свързани главно със стачки и епидемии. Политическите и международните заплахи са свързани с инфлация, промяна на приоритети, забрана на вид дейност, въвеждане на лицензионни режими, промяна на политическия строй, национализация и др.

Когато заплахите започнат да се реализират, в резултат на целенасочени действия срещу фирмата, те се проявяват чрез различни видове атаки. Целта на атаките и последствията от тях в повечето случаи са:

•       Финансови – кражби, присвояване на средства, разхищения.

•      Информационни – разпространение на фирмена тайна, компрометираща или зловредна информация, кражба на информация, унищожаване и повреждане на информация, документи и база данни.

•      Материални – саботаж, повреди, унищожаване на имущество, кражби.

•      Вреда на дейността – нарушение на нормалната дейност на компанията, забавяне или проваляне на процеси, преговори, изпълнение на договори и др.

•      Заплахи за здравето и живота на ръководители и персонал.

Видовете атаки са изключително разнообразни. Например кражбата на информация от информационните системи най-често се свързва с хакерски атаки отвън, а се пренебрегват вътрешните фактори, като неправилно изградена система за информационна сигурност, умишлени или неволни действия на служители. Анализът показва, че хакерските атаки като причина за кражба и унищожаване на информация са под 20%. На много мениджъри им се струва фантастична идеята за подслушване на компютрите, но този начин на кражба на информация е причина за над 10% от случаите. Подценява се социалното инженерство. Тотално се пренебрегва опасността от незаконно подслушване, което се прилага често, както от професионалисти, така и от аматьори, авантюристи и безделници, поради широкото разпространение и ниска себестойност  на средствата за подслушване.

Във всяка атака участват хора. Външни и вътрешни. Няма голяма успешна атака, която да не е използвала информация или съучастие на вътрешен човек. Помощта от вътрешния човек бива доброволна или принудителна, умишлена или неумишлена, но във всички случаи демонстрира едно от най-важните и най уязвими звена на системата за сигурност – хората. Хората трябва да бъдат обект на особено внимание, както като потенциална заплаха, така и като най-уязвимо звено.

Всяка заплаха има предистория и причина. Обикновено всяка атака се реализира на няколко етапа: формиране на намерение, събиране на информация, анализ на информацията, изготвяне на план, осигуряване на необходимите ресурси, предприемане на действия. По някога това става интуитивно и за секунди, а понякога е в резултат на добре обмислен план и отнема месеци или години, но и двата случая има характерни признаци за всеки от етапите, които могат да бъдат доловени и анализирани с цел прилагане на превантивни или защитни мерки. Такива предистории, причини и признаци, обаче могат да бъдат доловени от професионалисти и при наличие на добре изградена система за фирмена сигурност.

Цел на фирмената сигурност е разкриване на заплахи, изследване защитеността на обекти, създаване на система за защита на активите, предотвратяване и пресичане на инциденти и престъпления, разкриване на посегателства, охрана.

Системата за фирмена сигурност трябва да е изградена така, че да осигурява превенция. Това става чрез осигуряване на изпреварваща информация за външната среда, тоест чрез разузнавателна дейност; осигуряване на своевременна вътрешна информация – контра разузнавателна дейност, анализиране на получената информация и въз основа на това – определяне на нивата и основните направления на заплаха – анализ на риска.

Благодарение на тези дейности системата за фирмена сигурност може да позволява управление на риска. Управлението на риска е основен вид дейност на системата за фирмена сигурност. То позволява осъществяване на превенцията, така се действа „с ум, а не с мускули”. Така се върви преди събитията, а не след тях. Предотвратяването на престъпление или произшествие е много по-полезно и най-вече доходоносно за бизнеса, отколкото разкриването. Превантивната дейност създава стойност, а не изразходва средства за непланирани, малко ефективни и закъснели дейности.

За да бъдат постигнати целите й, системата за фирмена сигурност трябва да има възможност да противодейства на целия спектър от заплахи.

Изграждането само на алармена система и поставянето на охранител няма да реши въпроса с издаването на фирмена тайна, отклоняването на средства от мениджъри или съдружници , вредата от дейностите на корумпирани държавни чиновници или заплахата от поглъщане от други организации. От друга страна, добре изградената алармена система и добрата охрана могат да предотвратят атака от страна на криминален контингент или да откажат от враждебни действия нелоялни членове на персонала.

Елементите на системата за фирмена сигурност са над петнадесет. Всеки елемент трябва да е дозиран, приложен на място, взаимно свързан с останалите и отговарящ адекватно на заплахите. Превишаване на вида и степента на прилаганите мерки за сигурност не повишава многократно нивото на сигурност, но със сигурност затруднява ежедневната дейност и изразходва финансови средства и човешки ресурс. Зле организираната система за сигурност, основана на непрофесионални действия и подценяване нивото на застрашеност е изключително опасна. Такава система дава фалшиво чувство за сигурност и успокоение.

Пример е кражбата на цветни метали, злато и сребро от митнически склад на аерогара София. Всъщност там не става дума за ловкост на крадците, а за вътрешна информация и уникална некомпетентност на охраната и мерки за сигурност, не отговарящи на нивото на заплаха. Подобно положение са били констатирани и в някой държавни и частни финансови институции. За голямо съжаление философията „На мен това не може да се случи…” е доста разпространена, но… неефективна!

Два са основните проблеми на фирмената сигурност във България. Първият е липсата на достатъчно професионалисти в областта. Това че един човек е бил служител в полицията, службите, или армията не го прави специалист. Логистика на най-секретната служба , най-елитния ни разузнавач, охранителен полицай, или командир на мото стрелкова бригада, едва ли имат представа и за половината от елементите на фирмената сигурност. От друга страна са академичните среди в страната. Има няколко книги по темата от български автори, някой добре преписани, други добре написани. Това са хора, които имат страхотна теоретическа подготовка и често почти нулева практическа или поне не и в последните 10-15 години. Част от тези теоретици нямат и ясна представа за съвременните бизнес процеси. Истината винаги е по средата. Науката е водеща, но практическия опит е в основата на ежедневната дейност и успешните реализации. За да се избегне обучението на принципа „проба – грешка” е необходимо да има стабилна теоретична основа, която да осигури прилагането на съвременните практически методи. Затова са необходими професионалисти и непрекъснато обучение. Бизнеса е динамично развиваща се среда. Казусите са чести и разнообразни и изискват адекватно реагиране за осигуряването им.

Вторият проблем е отношението на мениджърите. Те виждат как харчат пари за сигурност, а не виждат пряка възвращаемост. Не познават обстановката, заплахите и нивото на застрашеност, подценяват проблема. Ограничават по различни съображения сферата на дейност на звеното за сигурност, често превръщайки го в звено тип „момче за всичко” и пазач на мястото за паркиране. И тук следва да има обучение. Мениджърите са интелигентни хора, свикнали да вземат решения, и при добра основа и адекватно информационно осигуряване бързо ще се ориентират в проблемите на сигурността. Тяхната основна задача, обаче е да ръководят и да „правят” бизнеса, затова е необходимо да могат да разчитат на специалист професионалист.

Според А. Онасис „Тайната на бизнеса е да знаеш онова, което другите не знаят”, а добре изградената система за фирмена сигурност дава възможност на мениджъра да научи много за себе си и околните.

Николай Цапрев

Новини

picture

Тринадесети брой на специализираното списание за сигурност Professional

Виж още »

Проекти

picture

Система за откриване на подслушвателни устройства, използващи WiFi и Bluetooth свързаност

Виж още »

Библиотека

picture

Защита от подслушване през мобилен телефон

Виж още »