Текст книги "Управление безопасностью бизнеса"

1.5. Ваши первые шаги по обеспечению безопасности

Вряд ли стоит лишний раз говорить о том, что для того чтобы свободно ориентироваться в ситуации надо обладать полной информацией о том что, где, когда и почему происходит или может произойти. Вы и сами знаете это, легко ориентируясь в том бизнесе, которым занимаетесь или хотите заняться.

В вопросах безопасности работает тот же самый принцип, и Вашим первым шагом по обеспечению безопасности своего бизнеса, будет установление четкого понимания того что, где и когда может Вам угрожать.

И только тогда, когда вы будете хорошо представлять, в чем состоит потенциальная опасность для вашего бизнеса, вы сможете определить возможные и доступные средства защиты и методы обеспечения безопасности.

Для этого необходимо ответить на следующие вопросы:

– что необходимо охранять (имущество, информацию, ценные бумаги, непосредственно персонал фирмы)?

– кто может представлять угрозу (преступные группы, персонал самого предприятия, спецслужбы)?

– как может быть осуществлена угроза (проникновение в помещение с улицы, использование персонала в корыстных целях и т. д.)?

– сопоставимы ли стоимость охраняемых объектов и стоимость охраны?

Остановимся на данных моментах подробнее:

Прежде всего, попробуйте определить, что надо защищать и надо ли вообще что-то защищать. Определите объекты защиты. Например, Ваше предприятие занимается исключительно торговой деятельностью.

Что может подлежать защите в этом случае?

Конечно же, товар. Причем защита требуется всегда – в торговом зале, на складе, в дороге (при перевозке) т. д.

Но, кроме того, возможно, Вы используете и свои собственные, разработанные лично Вами формы и методы продажи. Либо за время работы, Ваша торговая марка стала широко известной, и сама привлекает покупателей, т. к. является гарантий высокого качества продаваемого товара.

Тогда они также должны являться объектом Вашего внимания и защиты – ведь это Ваше преимущество перед конкурентами.

Не стоит забывать и о работающих у Вас сотрудниках.

Затем, ответьте на вопрос: зачем? То есть, другими словами Вы определите цель построения системы безопасности предприятия и задачи, которые при этом должны решаться.

В рассматриваемом нами примере торгового предприятия ответ будет выглядеть так:

Товар – требуется обеспечение сохранности, необходимо принять меры для предотвращения кражи, порчи товара, в том числе и умышленной.

Методы продажи (и другие секреты фирмы в области работы с клиентом) – требуется защита от навязчивого интереса конкурентов. Ведь именно ваша эксклюзивность обеспечивает предприятию дополнительный доход, способствует привлечению новых клиентов.

Персонал – часто возникает необходимость обеспечения физической или психологической защиты.

Следующий вопрос, на который требуется ответить – от кого? Ответив на этот вопрос, Вы определите источники опасности.

В рассматриваемом нами случае:

Товар требуется защищать: от покупателей-воришек (в торговом зале), от небрежности персонала (продавцов, грузчиков) – неумышленная или умышленная порча товара, от грабителей – в дороге. Кроме того, необходима защита и от природных катаклизмов – если склад, например в результате сильного ливня, будет затоплен, то Вы понесете весьма ощутимые убытки.

Секреты фирмы защищаются в основном от конкурентов, но иногда требуется защита и от не в меру любопытных собственных сотрудников.

Персонал – в основном от разного рода преступных посягательств, таких как, например: вооруженное ограбление, угроза похищения или убийства, психологический террор, шантаж, вымогательство.

И, наконец, последний вопрос – как? Ответив на него, вы определите, методы и средства защиты. Правда иногда, для того чтобы получить ответ на этот вопрос, требуется обратиться к специалистам.

Затем, используя результаты проведенного Вами анализа, Вы можете приступить к планированию работ по обеспечению безопасности Вашего предприятия, определить необходимые организационные и технические меры, рассчитать стоимость затрат и оценить эффективность проводимых мероприятий. При этом важно понимать, какие работы Вы в состоянии выполнить собственными силами, а в каких случаях требуется прибегнуть к помощи профессионалов

Лекция 2
Как анализировать потребности в обеспечении безопасности

Выработка всестороннего плана обеспечения безопасности требует методичного и продуманного анализа. Начав с общего понимания организации и дойдя до множества частных задач, вам придется применить структурный подход, чтобы собрать воедино и проанализировать этот план. Получаемые в результате рекомендации должны дополнять и поддерживать одна другую.

Задача эта не так проста, поскольку сложились уже определенные промышленные образцы таких планов. Лишь некоторые из них являются продуктом всестороннего анализа, остальные же разработаны для конкретных ситуаций применения в порядке реакции на произошедший объекте инцидент. Фактически, многие из действий охраны предназначены для производства расследования по факту события, а не для предотвращения этого события.

Объектом анализа при составлении плана безопасности являются все возможные уязвимости, которые необходимо выявлять методично и всесторонне, чтобы программа безопасности имела в основе обширный анализ, а не опыт действий по устранению последствий последнего из произошедших на объекте инцидентов. Аналитический подход позволяет гарантировать, что средства, затрачиваемые на обеспечение безопасности, расходуются в соответствии с конкретными нуждами, защищая более важные объекты и подвергая большему риску менее критичные.

Цель, однако же, состоит не в том, чтобы разработать план безопасности с высокой степенью "защиты от дурака". Сто́ит помнить о том, что полностью защитить объект возможно, лишь затратив несоразмерные деньги и прекратив его функционирование в целях осуществления бизнеса. Взамен этого цель ставится такая: сделать нарушение режима безопасности максимально затруднительным (но не невозможным!) для злоумышленника. Степень трудности зависит от того, насколько ценен данный объект и насколько организация-заказчик готова к рискам.

Процесс анализа делится на пять фаз – подразделение на объекты, оценка угроз, анализ уязвимости, выбор мер противодействия и их внедрение. Процесс этот рассчитан на тщательный анализ, и приступать к каждой следующей фазе следует, лишь полностью завершив предыдущую.

Подразделение на объекты

Начинается определение объектов с понимания деятельности организации в широком смысле слова, ее задач и функций, а также среды, в которой эта деятельность осуществляется. В начальной стадии анализа следует провести интервью с руководящим составом и специалистами организации, чтобы определить необходимые для осуществления ее деятельности ресурсы. В их число входит производственное оборудование, операционные системы, сырье и материалы, готовая продукция, системы учета и управления, а также инфраструктурные сети – электрические, водяные, природного газа и связи. Зачастую наиболее значимыми являются нематериальные активы, получить представление о которых можно лишь основательно вникнув в деятельность организации. В результате этого шага определяются объекты возможного нападения.

Каждый производственный объект можно разбить на более мелкие составные части. Анализ может показать, что такая детализация объекта необходима вследствие его критической важности. Примером подобного объекта может выступить информационная технология, которая делится на обширный список системных компонентов – аппаратной части, операционных систем, прикладного программного обеспечения, систем управления базами данных, каналов связи и системной документации.

И материальные, и нематериальные активы должны быть категоризированы как жизненно важные (потеря равносильна катастрофе), важные (потеря приведет к серьезным сбоям, но в принципе восполнима) и второстепенные (утрата относительно незначительна.

Оценка угроз

Всесторонний план безопасности требует определения обширного списка угроз – чтобы принять во внимание целый спектр разрушительных воздействий. Путем анализа список угроз редуцируется, чтобы сосредоточить внимание лишь на наиболее вероятных из них.

Оценка начинается со сбора данных о произошедших в прошлом инцидентах, связанных с нарушением режима безопасности, включая происшествия на охраняемом объекте, на всех объектах, принадлежащих компании, а также статистика по всей отрасли. Определите, существуют ли устойчивые образцы криминального поведения, и установите их природу. Изучите информацию о понесенных убытках, нарушениях безопасности и судебные дела, в которых фигурировала организация. Проконсультируйтесь с корпоративными юристами и изучите судебные определения, содержащие факты, имеющие отношение к безопасности.

Проинтервьюируйте руководящий состав компании, страховых поручителей и руководство местных экстренных служб на предмет определения существующих угроз. Проанализируйте статистику преступности и сравните показатели с общенациональными, региональными, районными и муниципальными.

Определите виды угроз, являющихся уникальными для данного региона и данной организации, места сосредоточенного хранения опасных веществ и материалов, а также пути транспортировки, обычно используемые для доставки грузов. Прикиньте угрозы, которые ни разу не были осуществлены, но характер бизнеса и социально-политическая обстановка не исключают попыток их реализации.

Оценка угроз является процедурой качественного анализа, хотя в ней могут применяться и некоторые процедуры количественной оценки. Важно понимать, что такая оценка является валидной лишь на определенный момент времени. Изменение внешней обстановки сказывается и на спектре угроз. Следовательно, оценка должна периодически обновляться, чтобы убедиться в соответствии программы безопасности вызовам момента.

Каждую из угроз следует категоризировать как вероятную (ожидается ее событийное воплощение), возможную (обстоятельства могут привести к событию) и маловероятную (событийное воплощение не ожидается). Степень тяжести последствий вызванных реализацией угрозы событий может также подразделяться на катастрофическую (разрушительное событие), умеренную (последствия принципиально устранимы) и легкую (последствия относительно несущественны).

Анализ уязвимости

Меры противодействия, по сути, являются помехами на пути к осуществлению угрозы. Соответственно, задача этих мер – сделать событие менее вероятным, не давая возможности злоумышленнику осуществить угрозу. Однако прежде чем ставить барьеры на пути осуществления события, необходимо представить себе весь ход его развития. Анализ уязвимости представляет собой механизм создания детальных пошаговых сценариев тревожных событий.

К конструированию сценариев должны привлекаться представители организации, обладающие обширными знаниями о внутренней механике ее рабочих процессов. Рабочей группе следует смоделировать ролевое поведение преступника, осуществляющего нападение на организацию – и это позволит определить ключевые зоны ее уязвимости. Планы безопасности, способные остановить действия хорошо информированного сотрудника организации, смогут помешать пришедшему извне преступнику в равной степени – а точнее, даже в большей. Это упражнение позволит выделить зоны уязвимости и обеспечить исходные данные для следующей фазы работы над планом – выбора мер противодействия. Анализ уязвимости создает пакеты мер защиты – то есть, основываясь на четко сфокусированной проблеме, дает пути ее разрешения путем применения контрмер безопасности. Пакеты эти лучше всего описываются путем составления электронной таблицы, в которой сопоставляются объекты и угрозы и обозначается, каким специфическим угрозам подвержен тот или иной объект.

Каждый сценарий должен сопровождаться таблицей его характеристик – правдоподобности (не слишком ли далеко простирается действие?), последствий события и степенью приемлемого для организации риска.

Выбор мер противодействия

Точно так же, как это происходит в здравоохранении, когда самочувствию пациента может быть нанесен ущерб неправильным лечением, уровень безопасности организации может быть ослаблен либо поставлен под вопрос неверным применением мер противодействия. Выработка таких мер – скорее искусство, чем сухая наука, и потому требует объединения усилий персонала управления и службы охраны; только в этом случае способна появиться на свет программа, соответствующая нуждам организации.

В качестве мер противодействия могут выступать электронные системы безопасности, физические барьеры, охранники, политики и процедуры.

Электронные системы безопасности объединяют системы контроля доступа, обнаружения, наблюдения и сбора свидетельских показаний. В число подсистем могут входить обнаружение вторжения, тревожные кнопки, охранное телевидение, проводные и радиопереговорные устройства, громкоговорящие системы, средства индивидуальной защиты и телефонные системы.

Физические и психологические барьеры применяются для затруднения доступа к объекту. В число физических барьеров входят хранилища, сейфы, шлагбаумы, ограждения и ворота, изделия из пуленепробиваемых материалов, колючая проволока, капканы, ловушки для транспортных средств, бронезащита автомобилей, механические замки, "лежачие полицейские" и бордюры, бомбоубежища, средства освещения, щиты, панели из прочных материалов и специальные элементы ландшафта.

Персонал службы безопасности исполняет различные охранные функции, включая оперирование электронными системами, несение вахты на постах и осуществление патрулирования. Большинство действий охраны предусматривают наблюдение за событиями и – в случае инцидента – постановка в известность правоохранительных органов. В некоторых случаях охранники могут быть вооружены и иметь специальную подготовку и право вмешиваться в ход событий.

Политики устанавливают позицию управляющего звена и общий подход к практике разрешения бизнес-проблем. Процедуры определяют средства осуществления политики. Это наиболее критичная часть программы безопасности. Здесь определяются программы и процессы, необходимые для того, чтоб механизмы обеспечения безопасности работали эффективно.

Внедрение

В этой фазе рекомендации преобразуются в спецификации и инструкции, направленные на действия людей и систем, а также формирование политик. Задача внедрения – перевести план безопасности в запросы и приобретение документов, процедур, организационных программ и процессов.

В СЛУЧАЕ ОПАСНОСТИ

По каждому из элементов реагирования необходимо создать детальное описание предпринимаемых действий на всех четырех фазах происшествия:

ФАЗА ПРЕДУПРЕЖДЕНИЯ: Определите процедуры эвакуации и завершения работы системы, а также расположение укрытий и убежищ.

ФАЗА СОБЫТИЯ: Определите технологии укрепления и обеспечения выживания, а также методы локализации зоны инцидента – такие, как выставление нее кордонов для предотвращения возможности расширения круга участвующих в ситуации лиц.

ПО ГОРЯЧИМ СЛЕДАМ: Определите процедуры оказания первой помощи, уведомления властей и экстренных служб, ограничения доступа к месту преступления, управления движением, эвакуации пострадавших и стратегию сдерживания распространения ситуации.

ПОСЛЕ СОБЫТИЯ: Определите процессы постановки в известность родственников, очистки и ремонта, деятельности на запасной территории и проведения разъяснительной работы.

Лекция 3
Меры по обеспечению безопасности бизнеса

Американский бизнес за границей более не имеет защиты благодаря превосходству США в мировых делах. Во времена так называемого американского века, который продолжался более 60 лет, США были законодателями большинства норм и правил в международной торговле. США редко прибегали к наказанию или свержению правительства какой-нибудь распоясавшейся банановой республики, требующей провести национализацию интересов США, или же к угрозе интервенции в какую-нибудь страну для освобождения американского бизнесмена, взятого в заложники. Фактически был только один случай, когда государственный секретарь Джон Хей позвонил и потребовал: «Пердикарис должен быть жив, или Раисули мертв». Это дает представление о том, насколько далеко зашла администрация США в своем стремлении спасти жизнь американского бизнесмена и вызволить его из рук террористов. В настоящее время США более не играют роль мирового лидера. Америке бросили экономический вызов многие страны обновленной Европы, а также Япония. США также столкнулись с необходимостью ввязаться в соревнование в военной области с Советским Союзом. Более того, многие страны третьего мира используют террористов и другие силы с целью осуществления противоправных действий против США и американских граждан. Уменьшение американской военной мощи и влияния, которое произошло за последние два десятилетия, означает, что американский бизнес в настоящее время обладает огромными активами в других странах, в то время как американское могущество переживает упадок. Столкнувшись с ростом насилия против самой страны и ее граждан, администрация США в последние годы проявляла в большинстве случаев непостоянство, а порой испытывала даже робость. Вам не следует более надеяться на защиту американской администрации, находясь за границей, несмотря на явную угрозу, исходящую от правительства другой страны или террористической организации. Многонациональные корпорации не имеют другого выбора кроме как становиться перед необходимостью приспосабливаться к этим изменениям. К этому можно прибавить неспособность федерального правительства и правительств штатов противостоять эффективно росту преступности и насилию внутри страны.

В результате, в последние десятилетия расходы компаний на обеспечение безопасности значительно увеличились. По состоянию на 1990 год 1 % валового продукта страны был израсходован на обеспечение внутренней и корпоративной безопасности. Это является предметом беспокойства для многих руководителей компаний, которые относят расходы на обеспечение безопасности к непроизводственным. Это также означает, что каждый доллар, потраченный на эти цели, должен тратиться как можно бережнее и осторожнее. Конечно, обеспечение безопасности имеет смысл. Однако, программы по обеспечению корпоративной безопасности зачастую плохо разрабатываются и претворяются в жизнь, характеризуются наличием ненужных мероприятий и тратой времени и денежных средств и не отвечают стратегии компании. В настоящее время нет такого руководителя компании, который бы не был обеспокоен принятием мер по обеспечению безопасности и который бы не требовал отчетов по расходованию финансовых средств компании на эти цели. Безопасность – это такой аспект деятельности, который нельзя перекладывать на другие плечи.

Получение корпоративной информации

От наличия информации зависит успех или неудача любого мероприятия и дела в целом. Мы живем в эпоху информатики, и любая компания, которая игнорирует этот факт, подвергает себя большому риску. Согласно данным одного исследования, проведенного недавно, 80 % из 500 компаний, входящих в корпорацию «Фортчун», за последние 3 года увеличили свои расходы на сбор разведывательной информации, «Контрразведывательные операции». Не думайте, что вы живете в мире дураков, где все как в раю. Представьте себе, что ваша компания является предметом разведки ваших конкурентов, а возможно и средств массовой информации. Если ваша компания специализируется на высокотехнологических исследованиях или оборонном производстве, вы можете также стать объектом иностранной разведки. Обеспечьте свою защиту и защиту активов вашей корпорации, не только используя эффективные меры безопасности, но и создайте надежную контрразведывательную службу внутри корпорации. Не ждите, когда ваша деятельность привлечет внимание агентов промышленной разведки. Упредите их.

"Определение степени риска". Многонациональные компании требуют от международной системы если не стабильности, то, по крайней мере, предсказуемости. В бизнесе, который связан с другими странами, нельзя обойтись без риска. Поэтому ваша цель – справиться с этим риском. Как сказал генерал Паттон:

"Риск должен быть продуманным. Здесь спешить некуда". Если ваша компания имеет интересы за границей, необходимо создать группу уменьшения риска, целью которой являлась бы оценка и прогноз политических и экономических изменений в стране, уровня стабильности и насилия и других аспектов. Это даст вам возможность оценить политический риск в вашей международной деятельности и учесть этот фактор в своих стратегических планах. Если нет возможности найти специалистов для этого в вашей компании, привлеките экспертов со стороны. Такие компании как Ackerman & Palumbo, расположенная в Майами, Control Risks Ltd., в Лондоне и Risks International в Вашингтоне, округ Колумбия, предпринимают попытки вести учет террористических актов, а также оценивают и прогнозируют экономические, социальные и политические условия во всех странах мира.

"Оценка риска пребывания и деятельности компании в конкретной стране". Важным элементом прогнозирования являются ответы на следующие вопросы:

Как стабильна политическая система страны?

Как долго правительство этой страны будет оставаться у власти?

Существует ли активное политическое насилие в стране? От кого оно исходит? Какие группировки вовлечены? Получают ли они внешнюю помощь? Какие цели они обычно выбирали и какие операции уже были проведены?

Как близки отношения США с этой страной?

Какие последствия на развитие бизнеса будет иметь насильственная смена правительства?