Корпоративная безопасность: понятие, проблемы и их решение
Глобализация, конечно, имеет огромное количество преимуществ, но с развитием технологий и практически полным исчезновением границ возникла новая проблема – как защитить информацию своего предприятия. Ведь никто не отменял правило: «Кто владеет информацией, тот владеет миром». И действительно, если ты знаешь много сведений о своем конкуренте, то ты имеешь преимущества. Поэтому на сегодняшний день перед многими бизнесменами становится вопрос о том, как обеспечить корпоративную безопасность. Ведь порой приходится осуществлять свою деятельность в достаточно экстремальных условиях, борясь за каждого клиента, оберегая при этом свой ресурсный и управленческий потенциал.
Общие положения
Корпоративная безопасность – это целый комплекс мероприятий, нацеленных на обеспечение защиты экономических, технических, юридических, информационных интересов конкретного предприятия. Все эти меры внедряются с целью эффективности контроля за всеми бизнес-процессами и недопущения утечки информации, которая может отрицательно сказаться на интересах хозяйствующего субъекта.
Вопросы защиты информации стоят перед любым предприятием, независимо от формы собственности, организационно-правовой формы и вида осуществляемой деятельности, размеров предприятия.
Корпоративные и экономические интересы
Понятие «корпоративная безопасность» в последние годы несколько изменилось по сравнению с 90-ми годами. Тогда внимание акцентировалось на личной безопасности собственника бизнеса и имущества. Связано это было с огромной криминализацией в стране, в те времена можно было уберечься от преступности только с помощью физической охраны и технических средств. Тогда и появляется «институт» телохранителей, ведь необходима была защита практически каждому бизнесмену.
Со временем государство начало более и менее заниматься вопросами регулирования экономических процессов в стране, и проблемы безопасности перетекли в плоскость экономики. Тогда практически все предприятия работали с огромными нарушениями, ведь налогообложение было непомерным. В итоге появились множественные схемы, которые позволили уводить деньги в тень. А угрозу стали нести контролирующие органы. В большинстве случаев возврат средств производился силовыми методами. Тогда и появилось понятие экономической безопасности. На предприятиях создавались специальные отделы, сотрудники которых занимались уже не физической охраной, а защищали информацию экономического характера. В итоге уволившиеся сотрудники правоохранительных органов стали устраиваться в такие отделы либо организовывать свои предприятия, оказывающие услуги по экономической безопасности. Хотя фактически они напоминали структуры МВД и ФСБ, которые попросту решали вопросы своих работодателей.
Последние годы эта практика уходит в небытие. Но развитие рыночных отношений порождает новые проблемы. Теперь перед бизнесменом стоят новые задачи. Теперь свое «детище» необходимо защищать от поглощения, происков конкурентов. А это угроза не только собственнику, но и экономической стабильности всей страны (монополизация отдельных отраслей, безработица и снижение доходности бюджета).
Потенциальные угрозы
Практически любой предприниматель скажет, что безопасность бизнеса – это, прежде всего, защита от конкурентов. На самом деле конкуренция является естественным и даже в некоторой мере полезным процессом. Она дает стимул к развитию предприятия.
Виды конкуренции
На сегодняшний день выделяют три вида конкуренции:
- «Белая», то есть добросовестная, проводимая открыто и в рамках нормативных документов.
- «Серая», нацеленная на дискредитацию предприятия, с использованием методик, запрещенных действующим законодательством.
- «Черная». Это фактически противоборство, целью которого является уничтожение конкурента.
В свете этой классификации выделяют два вида угрозы: недружественное поглощение и промышленный шпионаж.
Другая угроза безопасности бизнеса – коррупция в контролирующих и проверяющих органах. Недобросовестные сотрудники таких органов вымогают взятки, даже если у предприятия нет нарушений, то есть такая практика считается нормальной. Помимо этого, взяточники могут выступать инструментом в недобросовестной конкуренции.
А криминалитет на сегодняшний день уходит на последний план, угроза от организованной преступности фактически осталась в прошлом.
Существует и так называемая целенаправленная угроза, то есть когда сотрудники предприятия совершают заведомо неправильные действия, которые несут непосредственную угрозу бизнесу. Это может быть также кража или взлом компьютерной системы, продажа секретной информации.
С чего начать?
Система корпоративной безопасности должна начинаться с определения круга угроз - как временных, так и постоянных, и в целом состоит из нескольких подсистем, а именно:
- защиты информации;
- кадровой безопасности;
- технической;
- юридической;
- экономической и других.
Начать рекомендуется с выбора лица, которое будет ответственным за систему безопасности, либо создания отдела. Помимо этого, можно привлечь специализированную компанию на условиях аутсорсинга.
Уже человек, который будет заниматься непосредственно построением системы, обязан определить степень обеспечения сохранности информации и доступ к ней. Затем определяются методы защиты информационных ресурсов, которые подразделяются на открытые и закрытые.
Работа с персоналом
Понятие экономической безопасности включает в себя не только кражи на уровне низшего состава, к примеру, кражу каких-то запасных частей или бумаги, но и халатность со стороны работников. Бывают случаи, что сотрудники совершают проступки по простому незнанию или халатности, передают конфиденциальные сведения о предприятии, где они работают, третьей стороне или конкурентам.
Поэтому очень важно, чтобы на предприятии о корпоративной безопасности знали все сотрудники, и не только знали, но и понимали степень персональной ответственности. Это касается даже открытия фишинговых писем, которые в действительности могут нести потенциальную угрозу всему предприятию. Халатность может проявляться даже в том, что работник может переслать важное письмо не по тому адресу.
Другие случаи утечки информации
Следует понимать, что корпоративная информационная безопасность должна касаться не только рядовых сотрудников. Как показывает практика, даже среди учредителей встречаются так называемые «крысы». Такие люди, как правило, имеют свободный доступ к любой информации, но другие совладельцы совершенно не застрахованы от того, что один из них ведет двойную игру и является инсайдером.
Среди инсайдеров выделяют и среднее звено руководителей, топ-менеджеров. Эти люди также способны действовать в корыстных целях, но и попросту могут халатно относиться к безопасности. Но все же чаще всего ведут двойную игру, пользуются своими привилегиями и злоупотребляют доступом к конфиденциальной информации организации наемные руководители.
И, как говорилось ранее, красть ценную информацию могут обычные, рядовые сотрудники с целью получения наживы за ее разглашение. Но это случается достаточно редко, чаще всего утечка происходит на фоне халатности и неосторожности. Хотя наверняка многие предприниматели сталкивались с ситуацией, когда ушедший сотрудник устраивается к конкурентам и переманивает всех клиентов, которых наработала компания, то есть фактически ворует базу клиентов.
Базовые методы защиты
Что может сделать отдел экономической безопасности? Прежде всего на предприятии должен быть организован контролируемый доступ на территорию. Не важно будет ли это физический контроль либо специальное программное обеспечение с выдачей карты, главное, чтобы система работала, и на территорию был ограничен доступ посторонних лиц.
Во-вторых, если на предприятии множество подразделений, то можно организовать систему с доступом в конкретные отделы с HID-картами. Проще говоря, зайти в конкретное подразделение сможет лишь тот человек, который имеет разрешение.
Защита информации
Корпоративная безопасность в части защиты информации, которая хранится на виртуальных носителях, состоит из следующих мер:
- установка программного обеспечения, которое будет контролировать передачу данных с каждого компьютера предприятия;
- блокировка BIOS, с целью предотвращения внесения любых изменений в систему;
- отключение оптических приводов;
- отказ от пиратских версий офисных программ и использование только лицензионного программного обеспечения.
На сегодняшний день существует множество программ, позволяющих отследить действия сотрудников на компьютерах. В частности, программы позволяют даже определить дату прихода и ухода сотрудника, период отсутствия на рабочем месте. И самое главное, на какие сайты осуществлялись переходы с конкретного рабочего места, какая просматривалась информация и в каких программах работал сотрудник.
Безопасность корпоративных сетей состоит также в установке антивирусных программ, систем, которые позволят отфильтровать нежелательную почту и удалить ее из корпоративного почтового ящика.
Не стоит забывать и об организации дифференциального доступа, а также системной смене паролей. Рекомендуется также организовать систему, которая позволит делать резервное копирование файлов. То есть информация не должна храниться исключительно на компьютерах, она должна дублироваться на сервере или другом внешнем носителе. Такие мероприятия позволяют защитить данные не только от кражи, но и от непредвиденных ситуаций, к примеру, в случае изъятия компьютерной техники правоохранительными органами.
Корпоративная связь в интернете должна осуществляться в зашифрованном виде, рекомендуется использовать протокол end-to-end protection. Этот формат и другие шифрования позволяют подтвердить подлинность передаваемого документа и защитить информацию, содержащуюся в нем.
Защита от недружественного поглощения
В обязанности сотрудников отдела экономической безопасности также должна входить защита от поглощения. В частности, сотрудники подразделения обязаны:
- Отслеживать приобретение акций компании. Если речь идет об ОАО, то беспокойство должна вызывать скупка большого количества акций, для ЗАО и ООО даже 1 акция имеет огромное значение.
- Мониторинг внутреннего рынка. Поглощение может быть не только из-за того, что с рынка хотят убрать определенную компанию, но и на фоне того, что у предприятия может быть привлекательная недвижимость или другое ценное имущество.
- Контролировать немотивированные запросы документов. Они могут поступать по корпоративной связи, почте, через интернет. Но важно не это – опасно, если обращается за информацией миноритарный акционер. Вызвать подозрение должен и запрос от акционера, у которого 1 или 2 акции, и он даже не принимает участие в голосовании. Отслеживать необходимо немотивированные запросы от контролирующих и правоохранительных органов, так как через таких сотрудников могут действовать недружественные компании.
- Тщательный контроль кредиторской задолженности. Нередки случаи, когда захват активов происходил именно из-за аккумулирования долгов в одних руках.
В заключение
Работа по защите информации предприятия должна проводиться на постоянной основе, и лучше это дело доверить профессионалам.