Бизнесу в современных условиях прожить в идеальном состоянии, когда все спокойно, просто не возможно. Законы рыночных отношений, конкуренция, этого просто не позволят, значит нужно быть готовым к любым неожиданностям.
Мир бизнеса жесток, это в наивные 90-е нам рассказывали про справедливый закон рынка, который, дескать, все сам регулирует и определяет, да про честную конкуренцию, которая является двигателем прогресса. Теперь все это уже позади, логичнее и насущнее говорить об изнанках рыночной экономики, о том, как на предпринимательском поприще ставятся подножки друг другу (вернее, враг врагу). Один из обычных способов обойти конкурента — это выведать у него коммерческую тайну, и я хочу поговорить о том, как защититься от всяческих посягательств на нее.
Модель корпоративной безопасности любой фирмы легко изложить схематически, т. к. элементы факторов риска проявляются всегда в двух сферах, и обнаружить их можно, как правило, за пределами компании и в ней самой.
Довольно легко можно просчитать ситуацию проникновения к секретам фирмы извне, достаточно разложить все возникающие вопросы по полкам. Как правило, это могут быть конкуренты, бывшие партнеры, чиновники, правоохранительные и проверяющие органы, криминал. Концепция безопасности, подготовленная профессионально с привлечением разнопрофильных специалистов позволит установить заслон таким попыткам, т. к. действия вышеуказанных субъектов неоригинальны, давно изучены и предсказуемы.
Риск в этих ситуациях всегда управляем и предсказуем, но при этом нужно понимать главное — если вас атакуют, значит, имеют информацию об условиях вашей безопасности; делать подобные попытки без предварительной разведки глупо и не продуктивно. Отсюда следует, что в вашей фирме есть информаторы субъектов, нападающих на секреты вашей фирмы. Данные позиции могут приобретаться вашими «доброжелателями» путем привлечения к информационному сотрудничеству на возмездной основе, либо на основе личной зависимости отдельных представителей вашего персонала.
Могут также информационные позиции инициативно создаваться самими сотрудниками фирмы и продаваться как услуга. В этом случае, угроза корпоративной безопасности все-таки происходит изнутри, т. е. внутренняя угроза. Это может оказаться открытием для собственника, но таковы реалии нашего современного бизнеса.
Факты воровства, мошенничества, разглашения коммерческой тайны и другой информации, склоки, сплетни, подсиживания и другие умышленные действия персонала наносят ощутимый ущерб интересам бизнеса.
Кто же эти люди, что это за разновидность в корпоративных сообществах российской действительности? Что составляет основу и сущность производимых ими деструктивных действий? Существует ли реальный эффективный механизм противодействия подобным вещам и в чем его содержание? Стоит ли сразу бить тревогу и обращаться в правоохранительные органы или решить данную проблему как-то иначе.
Кто же является главными претендентами на непочетное звание «разглашателей» секретов фирмы?
В группу риска входят системные администраторы, инженеры по обслуживанию критически важных аппаратных и программных средств, секретари, делопроизводители, операторы и иные сотрудники, у которых может возникнуть так называемое «искушение посвященных».
При этом наиболее высокий уровень доступа к информации различного свойства обычно имеют системные администраторы. Именно на них, по мнению экспертов, необходимо обращать особое внимание, т. к. эта категория зачастую имеет неограниченные возможности доступа к внутренним и внешним ресурсам корпоративной сети. Это означает, что при желании и необходимой квалификации такие «доверенные лица» могу совершить любые действия противоречащие интересам вашей компании.
Что может ими двигать? Мотивы разнообразны: от подкупа конкурентами до желания предоставить другу или родственнику бесплатный доступ к сетевым ресурсам. Еще одним мотивом является месть, причем не стоит недооценивать масштабы вреда, который может нанести организации «раздосадованный» («обиженный») мститель, они могут быть по истине разрушительными.
Кроме банальной продажи информации конкурирующим организациям, «неуловимые мстители» прибегают к таким изощренным приемам, как закладка «логической бомбы» с такими целями, как последующее вымогательство или создание ложных доказательств виновности сотрудника или даже руководителя.
Как избежать атаки изнутри? Реальный эффективный механизм противодействия не так прост, как может показаться на первый взгляд. Он требует ежедневного контроля за обстановкой на объекте бизнеса и в его окружении.
В этом случае золотое правило корпоративной и личной безопасности для собственника формулируется следующим образом. Для анализа, диагностирования и прогнозирования любой конкретной ситуации или обстановки необходимо ее изучение, уяснение и оценка.
После этого наступает адекватное действие либо бездействие. Внутреннюю жизнь в коллективе нужно знать, чтобы на нее влиять. Информация — великая сила! Но, кроме всего, информация — это продукт, который должен быть воспроизведен по особой технологии специалистами.
Систематически проводимая работа в данном направлении, безусловно, позволит заблаговременно определить наступление опасной или экстремальной ситуации для вашей компании.
Опасная ситуация — это ситуация, при наступлении которой начинают проявляться конкретные факторы риска или угрозы корпоративной безопасности.
Экстремальная ситуация — это ситуация, в результате возникновения которой, происходит рассогласование умственных и физических способностей менеджмента компании, приводящее к забыванию ранее приобретенных приемов и навыков по ее выводу из опасной ситуации. В данном случае неспособность только персональная! Один - сможет, а другой - нет.
Отсюда вытекают принципы корпоративной безопасности любого здравого и уважающего себя собственника: «Прежде чем что-то сделать или не сделать, нужно хорошо подумать».
Не следует провоцировать партнера по ситуации на необдуманные или не предсказуемые действия. Не надо наращивать составляющую безопасности, надо делать безопасной саму деятельность персонала.
За корпоративную безопасность в фирме должен отвечать весь персонал. В противном случае возлагать ответственности за защиту собственности и информации только на специалистов службы корпоративной безопасности безответственно и бесполезно. Служба безопасности должна координировать, обучать и направлять.
Если компания располагает штатными сотрудниками корпоративной безопасности, то вопросы отслеживания обстановки на объекте бизнеса и его окружении, обучение персонала навыкам и приемам защиты от негативных проявлений и их последствий осуществляется системно. Все это находит свое отражение в реальных документах о пропускном, внутриобъектовом режиме и защите информации в компании.
Данные инструкции должны разрабатываться в соответствии с требованиями Гражданского кодекса РФ, Трудового кодекса, Федерального закона «Об информации, информации и защите информации», указа Президента РФ №188 «Об утверждении перечня сведений конфиденциального характера», постановления Правительства РСФСР от 05.12.1991г. и Устава предприятия.
Несоблюдение положений данных документов приводит к типичным видам злоупотреблений и правонарушений со стороны персонала фирмы:
• несанкционированное проникновение в режимные помещения;
• использование корпоративного имущества в личных целях;
• хищение товарно-материальных ценностей;
• сговор с поставщиками, покупателями и клиентами в вопросах ценообразования;
• предоставление выгодных условий за вознаграждение;
• искажение отчетности;
• махинации с денежными средствами;
• кражи личной собственности у сотрудников, в т. ч. и посторонними лицами.
Один из способов защиты корпоративной базы данных — издание по компании приказа о том, что эта база данных является коммерческой тайной, и ознакомить с ним (приказом) всех сотрудников под расписку.
Решение о том, как именно хранить информацию и считать ли ее коммерческой тайной, должен принимать сам владелец информации. Конечно, подобными вопросами должны заниматься специалисты,
При каких обстоятельствах действия, направленные на защиту компании, не являются противоправными?
Какие границы не рекомендуется переходить в области управления системой информационной безопасности?
На эти вопросы должны знать ответы юридические службы организации, на которую возлагается правовое обеспечение. Основной ее задачей в данном вопросе является изучение и практическое применение доступных положений, гражданского и уголовного права в информационной сфере. Такая деятельность предполагает тесное взаимодействие юристов организации со службами безопасности и кадров.
Разработка должностных инструкций, контрактов, правил и положений также входит в сферу компетенции юридического отдела компании и играет крайне важную роль. При необходимости на юристов возлагается защита интересов компании и ее сотрудников в суде или в иных правоохранительных органах.
В настоящее время нет такого руководителя, который игнорировал бы меры безопасности и не требовал бы отчетов по расходованию финансовых средств компании на эти цели.
Безопасность — это аспект деятельности, который нельзя перекладывать на случайных людей, этим должны заниматься профессионалы в области корпоративной безопасности.
Из книги М.Королева «Система экономической безопасности предприятия», 2011
(глава III «Люди и риски»)