Институт проблем безопасности Управление системами безопасности бизнеса А.Д. Рудченко А.В. Юрченко Дисциплина по выбору 4-й курс бакалавриата Факультет менеджмента Security Management for Business Раздел № 6 Комплексная безопасность предприятия Тема 14 Понятие и сущность комплексной безопасности Комплексная безопасность предприятия. Внутриструктурные подразделения и аутсорсинг в сфере безопасности. Управление сложными системами безопасности. Соотношение стандартов и искусства управления 1. 2. 3. Основные функции систем безопасности. Связанные функции и пограничные области деятельности. Относимость к любому бизнес-процессу и любой сопутствующей деятельности. Принципы построения систем безопасности предприятия: объективность, реалистичность, комплексность, своевременность, непрерывность, законность, плановость, экономичность, компетентность, внутреннее и внешнее взаимодействие, сочетание гласности и конфиденциальности. 4. Сочетание собственных сил и средств службы безопасности предприятия, вовлечение персонала других подразделений предприятия в выполнение части функций безопасности, аутсорсинг услуг безопасности. 5. Стандарты и отраслевые особенности обеспечения безопасности. 6. Содержание комплексного подхода в обеспечении безопасности бизнеса. 7. Соотношение стандартов и искусства управления безопасностью бизнеса. 8. Роль подразделения безопасности в структуре предприятия и холдинговой группы. 9. Соотношение собственных возможностей и аутсорсинг услуг безопасности на рынке. 10. Основные требования к менеджерам и персоналу безопасности. Особенности мотивации персонала подразделений безопасности. 11. Безопасность как отрасль экономики, тенденции ее развития. 12. Аудит и контроль функции безопасности в бизнесе. ОСНОВНЫЕ ФУНКЦИИ СИСТЕМ БЕЗОПАСНОСТИ Комплексная безопасность фирмы 1 Экономическая безопасность 2 Финансовая безопасность 3 Информационная безопасность 4 Инженерно-техническая безопасность 5 Физическая безопасность 6 Кадровая безопасность Основная функция безопасности – защита бизнеса от угроз ОТНОСИМОСТЬ БЕЗОПАСНОСТИ КО ВСЕМ БИЗНЕСПРОЦЕССАМ Экономическая безопасность Первичное изучение и мониторинг контрагентов, деловая (конкурентная разведка), противодействие мошенничеству, коллекторская деятельность на всех направлениях производственной деятельности Финансовая безопасность Финансовый мониторинг собственной организации, внешний и внутренний аудит, ревизия финансово-хозяйственной деятельности, валютно-экспортный контроль, противодействие отмыванию денежных средств Информационная безопасность Противодействие промышленному шпионажу, организационно-правовые режимы защиты информации, компьютерная и сетевая безопасность, безопасность информационных систем, защита от киберпреступлений Инженерно-техническая безопасность Комплексная инженерно-техническая защита периметра, наиболее важных помещений, контроль и управление доступом, выявление средств технической разведки, удаленный контроль объектов, пожарная безопасность Физическая безопасность Физическая защита объектов недвижимости, процессов и физических лиц, противодействия преступлениям против личности и корыстным преступлениям, инкассация денежных средств и иных ценностей Кадровая безопасность Защита персонала от проникновения нежелательных лиц, мониторинг персонала, предупреждение, выявление и пресечение противоправных действий со стороны персонала предприятия ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ Понятие комплексной безопасности предприятия С академической точки зрения: 1) Построение системы безопасности не может основываться на абстрактных умозаключениях 2) Система защиты всегда строится от реально существующих и потенциальных угроз 3) Система безопасности не должна быть избыточной 4) Система безопасности не должна быть недостаточной 5) Система безопасности не может быть созданной однажды и на все времена 6) Система безопасности должна быть оптимальной, всегда актуальной и динамичной 7) Система безопасности должна быть высоко профессиональной 8) Система безопасности должна быть нацеленной на постоянное совершенствование 9) Система безопасности должна быть понятной топ-менеджменту предприятия и менеджерам взаимодействующих подразделений 10) Система безопасности должна знать своих внутренних и внешних клиентов и работать с ними на стабильной основе 11) Система безопасности должна соответствовать внутренней корпоративной культуре Организационное построение Жизненный цикл организации Объем продаж Создание Рост Стабилизация Спад Ликвидация Время Стадии Функционирование организации Организационное построение Проектирование адаптивных организаций Вертикальная структура, департаментализация, горизонтальная координация, факторы, влияющие на организационную структуру Управление изменениями и инновациями Периоды нестабильности, новые продукты и технологии, изменения в культуре и в людях, модель плановых организационных изменений Лидерство Управление человеческими ресурсами Мотивация Стратегическая роль, воздействие внешних факторов, новые тенденции в карьере, привлечение, подготовка и сохранение эффективной рабочей силы Коммуникации Управление многообразной рабочей силой Ценность многообразия, изменения на рабочих местах, позитивные действия и новые решения, установление новых отношений, глобальное многообразие Команды Отраслевая специфика безопасности Потребительский рынок Промышленность Транспорт Связь, ИТ-услуги, радио, телевидение Топливно-энергетический комплекс Банковская и иная финансовая деятельность Страховой бизнес… Современный предприниматель должен понимать, что функция обеспечения безопасности является одной из составляющих общего управления бизнесом. Ее нельзя игнорировать в силу уже описанного джентельменского набора внутренних и внешних угроз. По этой причине построение системы безопасности конкретного предприятия (группы компаний, холдинга) должно состоять из последовательных стадий: Прежде всего, должен быть проведен анализ внешней среды предприятия, должны быть определены общие и отраслевые риски, выделены ключевые угрозы. Анализ внутренней среды бизнеса также должен вскрыть основные проблемы. Всегда полезно в подобных случаях изучить ошибки и упущения тех предпринимателей, которые в данном секторе экономики потерпели поражение и вынуждены были свернуть свою деятельность. Такая комплексная аналитическая работа должна построить систему основных угроз, на пути которых следует построить защиту. Практика уверенно свидетельствует о том, что построение систем безопасности не может основываться на абстрактных умозаключениях. Система защиты всегда строится от реальных угроз. При этом безопасность не может быть избыточной или недостаточной, созданной однажды и на все времена. Напротив, она должна быть оптимальной, всегда актуальной и динамичной. Более того, она также должна быть высоко профессиональной, понятной топ-менеджменту предприятия и менеджерам взаимодействующих подразделений, нацеленной на постоянное совершенствование. TM Модель СБ в динамичной среде Принятие решения Реализация решения Угрозы внешней среды Угрозы внутренней среды топ менеджер, коллегиальный орган ESM менеджер безопасности Оценка информации и выработка решения Первичный сбор информации Механизмы централизации Последующий мониторинг среды Механизмы либерализации Механизмы адаптации и оптимизации Как быть практикам? Как начинать с нуля? Действовать поэтапно в соответствии с рекомендованной системой. Стадии построения системы безопасности Анализ внешней среды бизнеса, определение общих и отраслевых рисков, выделение ключевых угроз Наш бизнес Анализ внутренней среды бизнеса, определение общих и отраслевых рисков, выделение ключевых угроз Его система безопасности Его система безопасности Анализ опыта успешных участников рынка (как они сумели минимизировать угрозы?) Анализ опыта покинувших рынок участников (что их погубило?) Построение системы мер Укрупненные внешние и внутренние угрозы ESM TM Реализация решения – система мер противодействия угрозам Угроза разглашения охраняемых сведений Меры обеспечения физической безопасности Угроза жизни и здоровью работников Меры обеспечения инженерно-технической безопасности Угроза захвата собственности Меры обеспечения экономической безопасности Угроза хищения материальных ценностей Меры обеспечения финансовой безопасности Угроза выбора несостоятельных контрагентов Меры обеспечения информационной безопасности Угроза внешнего и внутреннего мошенничества Меры обеспечения кадровой безопасности Угроза промышленного шпионажа Меры мониторинга внешней и внутренней среды Угроза нарушения стабильности электронных ресурсов Меры взаимодействия внутри организации Угроза проникновения в персонал нежелательных лиц Меры взаимодействия за пределами организации Нужен ли шаблон? Любой шаблон вреден! Что делать? Учиться думать… Изучать предыдущий опыт… Отслеживать новеллы… ESM Смотреть на мир открытыми глазами Творить самостоятельно… Постоянно развиваться Идти вперед Меры обеспечения инженерно-технической безопасности Реализация решения – система мер противодействия угрозам Меры обеспечения физической безопасности 13 14 15 16 Меры обеспечения экономической безопасности Меры обеспечения финансовой безопасности 9 10 11 12 Меры обеспечения информационной безопасности Меры обеспечения кадровой безопасности 5 6 7 8 Меры мониторинга внешней и внутренней среды Меры взаимодействия внутри организации 1 2 3 4 Меры взаимодействия за пределами организации ЧЕЛОВЕЧЕСКИЕ РЕСУРСЫ ДЛЯ СИСТЕМ БЕЗОПАСНОСТИ ОСНОВНЫЕ ТРЕБОВАНИЯ К МЕНЕДЖЕРАМ И ПЕРСОНАЛУ БЕЗОПАСНОСТИ Достоинство Мотивация Специализация Возможен аутсорсинг ПЕРСОНАЛ ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТИ Должен обладать: a) b) c) d) e) f) g) h) надежностью и умением противостоять соблазнам; объективным подходом к любым изучаемым вопросам; высшим профессиональным образованием; опытом профильной профессиональной деятельности; способностями к аналитической работе и усидчивостью; способностями к подготовке сложных и объемных документов; навыками быстрой работы по стандартной схеме; навыками кропотливой работы над нестандартным заданием… Элитарность Мотивация Постоянная загрузка Возможен аутсорсинг ПЕРСОНАЛ ПОДРАЗДЕЛЕНИЙ ДЕЛОВОЙ РАЗВЕДКИ Должен обладать: a) b) c) d) e) f) g) h) надежностью и умением хранить доверяемые сведения; объективным подходом к любым изучаемым вопросам; как минимум, одним высшим профессиональным образованием; опытом профильной профессиональной деятельности и эрудицией; способностями к аналитической работе и усидчивостью; способностями к подготовке сложных и объемных документов; навыками простого и четкого изложения любой информации; способностями получать информацию из различных источников… Уважение Мотивация Повышение квалификации Контакт с полицией ПЕРСОНАЛ ПО БОРЬБЕ С МОШЕННИЧЕСТВОМ Должен обладать: a) b) c) d) e) f) g) h) надежностью и настойчивостью в достижении поставленной цели; знаниями, умениями и навыками в области уголовного права и ОРД; одним профильным высшим профессиональным образованием; опытом профильной профессиональной деятельности; энергичностью и подвижностью, коммуникабельностью; способностями к решению сложных и быстрых практических задач; навыками простого и четкого изложения правовой информации; способностями строить отношения и получать информацию… Уникальные специалисты Мотивация Возможен аутсорсинг Контакт с полицией ПЕРСОНАЛ ПО БОРЬБЕ С РЕЙДЕРСТВОМ Должен обладать: a) b) c) d) e) f) g) h) надежностью и настойчивостью в достижении поставленной цели; комплексными знаниями в области права, экономики и ОРД; высшим профессиональным образованием; опытом профильной профессиональной деятельности; работоспособностью и предельной выносливостью; способностями к решению сложных и быстрых практических задач; навыками экспресс-анализа и смелостью для принятия быстрых решений; способностями действовать в нестандартной ситуации… Квалифицированные специалисты Мотивация Аутсорсинг ПЕРСОНАЛ ВНЕШНЕГО И ВНУТРЕННЕГО АУДИТА Должен обладать: a) b) c) d) e) f) g) h) i) надежностью и честностью; ответственностью и объективностью; знаниями, умениями и навыками в проверяемой области; высшим профессиональным образованием; работоспособностью и усидчивостью; способностями к анализу; умением выделять главное; готовностью к работе в режиме командировок; наличие квалификационного аттестата для внешнего аудитора… Квалифицированные специалисты Мотивация Специальные требования ПЕРСОНАЛ СЛУЖБЫ ФИНАНСОВОЙ РАЗВЕДКИ Должен отвечать требованиям: Изложенным в Указании Банка России от 09.08.2004 г. № 1486-У «О квалификационных требованиях к специальным должностным лицам, ответственным за соблюдение правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма и программ его осуществления в кредитных организациях». Квалифицированные специалисты Мотивация Взаимодействие с государством ПЕРСОНАЛ ПОДРАЗДЕЛЕНИЯ ПДИТР Должен обладать: a) b) c) d) e) f) g) h) надежностью и честностью; ответственностью и объективностью; знаниями, умениями и навыками в области ПДИТР; высшим профессиональным образованием; работоспособностью и усидчивостью; способностями к анализу; умением выделять главное; наличие допуска к сведениям, составляющим государственную тайну… Квалифицированные специалисты Мотивация Аутсорсинг Взаимодействие с государством ПЕРСОНАЛ ПОДРАЗДЕЛЕНИЯ ИБ И ИТБ Должен обладать: a) b) c) d) e) f) g) h) надежностью и честностью; ответственностью и внимательностью; знаниями, умениями и навыками в сферах компетенции; высшим профессиональным образованием; работоспособностью и усидчивостью; способностями к выявлению новых угроз; умением выделять главное; умением четко излагать существо технической информации. Квалифицированные специалисты Мотивация Аутсорсинг (?) Взаимодействие с государством ПЕРСОНАЛ ПОДРАЗДЕЛЕНИЯ СОБСТВЕННОЙ (КАДРОВОЙ) БЕЗОПАСНОСТИ Должен обладать: a) b) c) d) e) f) g) h) надежностью и честностью; ответственностью и объективностью; знаниями, умениями и навыками в правоохранительной сфере; высшим профессиональным образованием; работоспособностью и внимательностью; Коммуникативностью и устойчивыми навыками устной речи; толерантностью; умением составлять аналитические документы. Достоинство Мотивация Авторитет вовне Навыки деятельности ESM – МЕНЕДЖЕР СЛУЖБЫ БЕЗОПАСНОСТИ Должен обладать: a) b) c) d) e) f) g) h) i) авторитетом внутри и вовне организации, качествами лидера; знаниями, умениями и навыками опытного руководителя; высшим профессиональным образованием; опытом управления сложными многофункциональными коллективами; способностями к инновационной деятельности; волевыми качествами; способностями к принятию управленческих решений в отведенное время; навыками быстрой организации работы в нестандартной ситуации; навыками построения взаимоотношений с людьми… СТАНДАРТЫ И ОТРАСЛЕВЫЕ ОСОБЕННОСТИ СООТНОШЕНИЕ СТАНДАРТОВ И ИСКУССТВО УПРАВЛЕНИЯ ФУНКЦИЕЙ БЕЗОПАСНОСТИ Стандартные унифицированные подходы составляют базисную основу • Мониторинг внешней и внутренней среды • Выделение типовых угроз • Выделение специфических угроз • Приспособление типовой системы защиты к специфическим особенностям • Последующий мониторинг среды • Внесение инноваций • Творческий подход • Сочетание стандартов и искусства управления системами безопасности Отраслевая специфика Региональная специфика Специфика объемов производства Специфика сетевой структуры Примеры специфики предприятий Значительная территория, дорогостоящие основные средства, наличие складских площадей, охраняемый периметр, пункты пропуска… Контрагенты: поставщики и потребители продукции, банковское, лизинговое и страховое обслуживание, строительные услуги… Промышленное предприятие Значительный объем инженерной и инновационной деятельности, наличие защищаемой информации, ПДИТР, конкуренция Значительная периферийная сеть, большое количество небольших объектов охраны, постоянное наличие денежных ценностей Розничный банк Контрагенты: заемщики (юридические и физические лица), поставщики работ, товаров и услуг, ПОД/ФТ, конкуренция Значительный объем коммуникационной деятельности, электронные услуги клиентам, связь с Банком России, ИБ СОДЕРЖАНИЕ КОМПЛЕКСНОГО ПОДХОДА РОЛЬ ПОДРАЗДЕЛЕНИЯ БЕЗОПАСНОСТИ В СТРУКТУРЕ ПРЕДПРИЯТИЯ И БИЗНЕСА Среда взаимодействия 1 Взаимодействие внутри организации 2 3 4 5 Риски Угрозы Система защиты Структура защиты Взаимодействие вовне организации Внешняя среда Собственники бизнеса Внутренняя среда Правоохранительные органы Линейные менеджеры Контрольные органы Менеджеры HR Внешние партнеры Служба безопасности Менеджеры IT Внешний аудит Внутренний аудит Эпизодические контакты Корпоративные юристы Топ-менеджмент предприятия СООТНОШЕНИЕ СОБСТВЕННЫХ ВОЗМОЖНОСТЕЙ И АУТСОРСИНГ УСЛУГ БЕЗОПАСНОСТИ Внутриструктурные подразделения безопасности, аутсорсинг услуг безопасности Аутсорсинг 1 2 3 Минимум собственного персонала Максимум услуг по аутсорсингу 4 6 5 Максимум собственного персонала 7 Минимум услуг по аутсорсингу 8 Нет собственного персонала Защита от государственного рэкета Нет персонала безопасности Малый бизнес – создание гильдии или взаимное согласие Договор с одним лицом/компанией предоставление интересов Взаимодействие с государственными органами Минимум собственного персонала Аутсорсинг ЧОП УВО Инкассация 2-3 человека Мониторинг договоров Кадровая безопасность Информация и консалтинг Информационная безопасность Взаимодействие с государственными органами Коллекторы Максимум собственного персонала Эксклюзивные источники информации Разовые запросы Десятки – сотни – тысячи людей Вертикальная структура Функциональная структура Центральный аппарат Периферийная сеть Взаимодействие с государством Уникальность и дополнительные партнеры УВО Эксклюзивные источники информации Инкассация Единственный партнер Разовые запросы Информация и консалтинг Коллекторы Возможность дублировать функции Рынок работ и услуг БЕЗОПАСНОСТЬ КАК ОТРАСЛЬ ЭКОНОМИКИ. СОВРЕМЕННОЕ СОСТОЯНИЕ И ТЕНДЕНЦИИ РАЗВИТИЯ Критерии самостоятельной отрасли безопасности: 1) 2) 3) 4) 5) 6) 7) 8) 9) Присутствие на рынке и подчиненность его законам Самостоятельное направление бизнеса Структурные подразделения внутри предприятия Универсальный характер предоставляемых работ, товаров и услуг Законодательное регламентирование деятельности Лицензирование отдельных направлений деятельности Занятость значительного количества работников Самостоятельные квалификационные требования к работникам Наличие самостоятельных профилей подготовки высшего профессионального образования 10) Необходимость переподготовки специалистов при их переходе в безопасность из других отраслей экономики или сфер деятельности АУДИТ И КОНТРОЛЬ ФУНКЦИИ БЕЗОПАСНОСТИ В БИЗНЕСЕ Основные тезисы о необходимости аудита безопасности: 1) 2) 3) 4) 5) 6) Не может быть сфер деятельности вне контроля Контроль может быть внутренним и внешним Контроль должен быть профессиональным и объективным Контроль должен присутствовать во всех существующих формах Контроль должен сохранять режим конфиденциальности Контроль должен сохранять доверие к службе безопасности, если нет оснований для отказа в доверии 7) Контроль должен быть конкретным Контрольные вопросы по 7-му разделу 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. Что такое комплексная безопасность предприятия? Какие существуют принципы построения системы безопасности? Как анализировать внутреннюю и внешнюю среды предприятия? Зачем нужен анализ успехов и поражений на однородных рынках? Как использовать чужой опыт? Нужно ли применять теорию организации при построении системы безопасности? Существуют ли отраслевая и региональная специфики? Как подобрать менеджера безопасности? Как управлять сложными системами безопасности? Аутсорсинг или собственные силы? Как определить достаточность финансирования безопасности? Как организовать аудит системы безопасности? Возможен ли контроль менеджера безопасности?