Система аудита безопасности предприятия (в том числе организаций с филиальной сетью)
Безопасность предприятия — сложная многоуровневая система, включающая физическую, информационную и экономическую защиту. Действенная система безопасности в условиях современного российского рынка должна комплексно учитывать все возможные риски и гарантировать противодействие возможным угрозам бизнесу. Выявить слабые места системы защиты предприятия позволяет аудит безопасности — независимая объективная оценка эффективности системы безопасности предприятия, ее соответствия реалиям ведения бизнеса.
Актуальность проведения независимой оценки системы безопасности и выявления рисков обусловлена высокими темпами роста количества преступлений в сфере безопасности предприятий и сумм ущерба, которые они наносят компаниям. Данные статистики свидетельствуют о том, что количество преступлений в области безопасности бизнеса в мире ежегодно удваивается. Особенное значение в последние два года приобрела кадровая безопасность.
Статистика мошенничества и хищений, совершаемых работниками компаний, неутешительна. Только за период 2002-2005 г.г. число выявленных преступлений мошеннического характера удвоилось. За тот же период в 2,5 раза увеличилось количество осужденных за этот вид преступлений. А за 2007-2009 гг. количество должностных преступлений выросло на 22 процента, причем 9 из 10 преступлений совершается впервые — сотрудниками, которые ранее не попадали в группу риска.
Необходимость аудита безопасности и комплексной оценки рисков бизнеса в современных условиях очевидна, поэтому компании заинтересованные в дальнейшем эффективном развитии должны проводить данный аудит. Это позволит получить объективную оценку состояния компании, а также предложить различные пути совершенствования системы безопасности в целом, на основе компетентного мнения группы специалистов.
Как правило, в таких услугах заинтересованы крупные компании, такие как: сетевые банки, промышленные, фармацевтические, страховые и ритейл компании, сети аптек, гостиниц и торгово-развлекательных центров. И это понятно, поскольку именно крупный бизнес чаще всего становится объектом атак, а просчеты и сбои в системе безопасности таких объектов защиты приводят к огромным убыткам.
Аудит безопасности неразрывно связан с управлением рисками. Ведь для того, чтобы предвидеть и противодействовать негативному влиянию различных угроз, необходимо оценить систему безопасности объекта. Выявление и устранение существующих проблем в системе защиты позволяет создать действенную систему безопасности предприятия, которая обеспечит профилактику потенциальных опасностей и адекватное противодействие возникающим угрозам.
Качественный аудит безопасности на основе комплексного подхода способна провести только крупная охранная компания , в структуре которой имеются специализированные подразделения по физической охране, ТСБ, правовой и юридической поддержке, консультациям в области безопасности. Огромное значение имеют собственные наработки и практический опыт специалистов в области независимой оценки эффективности системы безопасности.
Проведение аудита безопасности, как правило, предшествует оказанию других охранных услуг. По результатам аудита безопасности консолидируется пул ценной информации на основании которой разрабатывается паспорт безопасности (ПБ). В нем отражаются выявленные недостатки и слабые места существующей системы защиты объекта и даются рекомендации по их устранению.
Основной задачей аудита безопасности является оценка эффективности существующей системы защиты и разработка мер по ее повышению. Обычно потребители данной услуги настаивают на проведении комплексной оценки внутренней и внешней безопасности всех объектов защиты, входящих в структуру компании или филиальной сети и это оправданно тем, что оценка одной из сторон системы защиты не позволит дать объективной оценки. А значит, не позволит в дальнейшем обеспечить защиту в полной мере и это не стоит забывать!
В процессе аудита безопасности особое внимание уделяется объективной оценке соответствия имеющейся системы защиты основным принципам, целям, политике и стратегии безопасности, которыми руководствуется в своей деятельности компания. Для этого используются критерии и показатели, позволяющие дать качественную и количественную оценку эффективности безопасности объекта. Как правило, аудит безопасности включает в себя несколько этапов:
- разработка технического задания на проведение аудита безопасности;
- формирование рабочей группы, в которую включается ряд экспертов различных направлений;
- сбор, систематизация, комплексное изучение и анализ информации всеми специалистами группы;
- подготовка аудиторского заключения и разработка паспорта безопасности.
Кроме того, аудит безопасности должен проводиться по различным направлениям, таким как: — физическая охрана;
- технические системы безопасности (система видеонаблюдения, СКУД, сигнализация);
- анализ на предмет прослушивания телефонных и иных разговоров;
- защита информационной среды (базы данных, сервер, технологии, «НОУ-ХАУ»);
- защита от промышленного шпионажа;
- вопросы конкурентной разведки;
- прочее.
Сейчас все большую актуальность принимают вопросы, касающееся именно информационной защиты. Для обеспечения комплексной безопасности необходимо выстраивать кортеж защиты информации, что подразумевает последовательность действий для достижения определенных целей, которые ставит перед собой компания.
Ни для кого не секрет, что вопросы сохранности конфиденциальности документов для многих компаний выходят на первый план и это один из главных вопросов. Ярким примером может послужить недавний скандал в июле 2011 г., посвященный утечкам данных с российских сайтов, а также правительственных учреждений: Минэкономразвития, Федеральной антимонопольной службы, Счетной палаты, а также портала госзакупок и местных органов власти. При вводе определенного запроса на страницах поисковика стали появляться ссылки на закрытые документы в форматах DOC и PDF свободны для скачивания и просмотра. Хотя и управление "К" МВД России, занимающееся киберпреступностью, заявило, что у них нет данных по результатам утечки информации с сайтов госорганов, все же этот пример является не единственный за последнее время.
Поэтому аудит безопасности желательно проводить с определенной периодичность, характерной для каждой компании и его результаты будут являются основой для принятия эффективных управленческих решений, связанных с укреплением безопасности бизнеса. В зависимости от задач, поставленных перед аудиторами, он позволяет оценить внешние риски и угрозы, внутренние слабые места системы безопасности. Аудит безопасности дает возможность установить реальную степень защиты компании в целом, отдельных зданий и помещений, оборудования и программного обеспечения.
В ходе аудита можно получить бесценную информацию о безопасности отдельных направлений деятельности предприятия и структурных подразделений, соблюдении требований действующего законодательства, норм и стандартов безопасности, оценить возможные потери. Паспорт безопасности, разработанный по результатам всестороннего аудита это современный документ, который является руководством к действию при заключении договора на оказание охранных услуг.
Аудит безопасности позволяет существенно сократить расходы на создание гибкой и эффективной системы безопасности, поскольку предлагает комплексные решения и исключает ненужные, а порой двойные затраты. Ведь основной принцип, на котором строится работа при оказании охранных услуг, — это оптимизация и прозрачность расходов клиента при гарантии максимальной безопасности его бизнеса.
Аудит безопасности позволяет принять необходимые меры, направленные на создание эффективной современной системы защиты бизнеса. Сейчас становится все больше компаний, которые готовы провести качественный аудит безопасности и всестороннюю комплексную оценку рисков, что свидетельствует о росте и развитии отрасли по данному направлению, способности эффективно решать любые проблемы клиентов в области безопасности.
Материал подготовлен сотрудниками ОГ «Дубровник»