Тетяна Андріанова, генеральний директор компанії Nota Group, голова комітету корпоративної безпеки групи компаній «Октава», член правління Асоціації професіоналів корпоративної безпеки
«Безпека – це процес, а не продукт», – пише у своїй книзі американський криптограф і фахівець із комп’ютерної безпеки Брюс Шнайєр. Це золоте правило повинні знати всі фахівці, що працюють у сфері безпеки. Адже світ не стоїть на місці. Технології розвиваються, а з ними з’являються все нові й нові загрози. Бізнес стикається з проблемами, про які ще не замислювався вчора. І тоді починається судорожне «гасіння пожежі». А найчастіше слідом за цим ідуть колосальні збитки та витік цінної інформації.
Великі світові компанії давно усвідомили важливість вибудовування функції корпоративної безпеки на підприємстві. У це вкладаються сили та ресурси. Великі гравці розуміють, що в даному питанні важливо працювати на випередження. Побудова функції корпоративної безпеки – це перегони між фахівцями на підприємствах і шахраями, які винаходять усе нові схеми злому захисту. І в цій гонці бізнес просто зобов’язаний завжди приходити першим!
Цього тижня в Роттердамі приходить найбільша міжнародна конференція з безпеки ASIS Europe 2018. На ній була представлена й українська делегація, до складу якої я входила. Даний захід – абсолютно унікальний майданчик для обміну досвідом між професіоналами у сфері безпеки всього світу. Туди злітаються представники з Америки та Європи. Лекції читають провідні фахівці цієї сфери з таких гігантів бізнесу, як Microsoft, Amazon, Philips Lighting тощо. Вони розповідають про погрози, з якими зіткнулися, і шляхах відбиття атак. Це абсолютно безцінні знання, отримані на власному досвіді.
Але знаєте, що ключове? Перебуваючи на конференції та спілкуючись із фахівцями з різних країн, я не могла перестати думати про те, як привернути увагу українського бізнесу до важливості даного напрямку на підприємствах. Яким чином донести інформацію, що вибудовування комплексу превентивних заходів – набагато ефективніше, ніж спроби врятуватися під час кризи. Я часто використовую відому цитату Уїнстона Черчилля: «За безпеку треба платити, а за її відсутність – розплачуватися». Так просто для розуміння, але так складно для втілення в життя в українських реаліях. Знали б ви, як часто в своїй професійній кар’єрі я чула фрази від керівників бізнесу: «Зараз на це немає коштів», «У мене є співробітник, який відповідає за це», «Раніше проблем не було» і моє улюблене: «Та ну, пронесе!..»
З цих діалогів я можу зробити висновок, що більшість керівників підприємств не розуміють, як саме повинна виглядати служба безпеки, хто повинен в неї входити та які функції вона повинна виконувати. І тим більше скільки вона повинна коштувати.
Щоб донести до українських підприємців важливість побудови функції корпоративної безпеки, ми запустили в Асоціації професіоналів корпоративної безпеки, членом правління якої я також є, курс «Керівник корпоративної безпеки». І перші два модуля вже позаду. Ми обговорюємо. Вчимо й вчимося самі. Ділимося досвідом, наводимо практичні кейси.
Так, під час даного курсу я читала лекцію «Побудова функції корпоративної безпеки у великих холдингових структурах». І одним з найгостріших моментів стало обговорення того, хто саме здійснює дану роботу на підприємстві. Чи це має бути служба безпеки або ці функції можна покласти на юридичний департамент? Хто входить до даного відділу? І окремий важливий момент: як не перетворити цю структуру в каральний орган.
Під час роботи в «Октаві Капітал» я пройшла весь довгий шлях побудови корпоративної безпеки на підприємстві. Ми починали з того, що дана функція була покладена на акціонера, а закінчили цілим комітетом, який включає також і форензік (розслідування корпоративного шахрайства).
Ми не раз оступилися, перш ніж прийшли до ідеї створення комітету. І ми на власному досвіді знаємо, що класична модель побудови служби безпеки – неефективна. По суті, ви самі ж, своїми руками, запускаєте в своєму ж бізнесі структуру, яка стає каральним органом; оберігаючи себе, не інформує акціонера вчасно про всі загрози, зловживає повноваженнями, ще й не в змозі охопити весь спектр необхідних завдань. Адже, наприклад, щоб провести комплексний аналіз всіх юридичних і фінансових документів, необхідно мати спеціальні знання.
Після довгого й тернистого шляху наша компанія зупинилася саме на комітеті, куди, в нашому випадку, входять представники кожного бізнесу. У не настільки великих структурах це можуть бути представники департаментів. Головне – суть. Принцип круглого столу – рівноправність, відкритість і спільне обговорення проблем і загроз. Комітет підзвітний акціонеру, який, таким чином, обізнаний щодо всіх ризиків.
Така модель дає можливість приймати всі рішення колегіально, а не одноосібно, не допускати виникнення проблем, дотримуватися принципів корпоративної етики.
Сама структура ділиться на три підкомітети: інформаційну безпеку, юридичну та фізичну. Кожен напрямок відповідає за свій обсяг робіт. Наприклад, перші – за збереження комерційних таємниць, антивірусний захист тощо. Юридичний підкомітет відповідає за всі правові аспекти ведення бізнесу, за дотримання всіх норм, захист активів та інше. Ну а на підкомітет фізичної безпеки лягають функції забезпечення збереження матеріальних цінностей.
Це величезна й складна структура не вибудовується за один день. І власник бізнесу знову ж повинен розуміти, що, отримавши завтра інформацію про атаки, що готуються, він навряд чи встигне вчасно зреагувати.
Я б назвала це своєрідною культурою побудови бізнесу. Цей напрям має бути так само обов’язковим на підприємствах, як, наприклад, відділ бухгалтерії. І дана функція вибудовується не в момент, коли пожежа вже бушує, а в момент побудови самого бізнесу. Це одна зі стін, прибравши яку, ми обвалимо весь будинок.
В Україні є висококваліфіковані фахівці з побудови даної функції на підприємствах. В Україні є де вчитися і є кого наймати. У нас є кадри. Але процес не почне рухатися швидше, поки самі власники та керівники проектів не усвідомлять важливість даного питання. І я хочу, щоб через рік, через два наша делегація на ASIS Europe 2018 була вдвічі більшою. Щоб відвідування подібних подій стало обов’язковим для фахівців сфери безпеки. А ще мрію ніколи не чути слова «пронесе» від керівників бізнесу. Але це, напевно, вже з області фантастики.
Comments are closed