В одной из предыдущих статей мы рассмотрели методологию расследования инцидентов экономической безопасности через выявление и митигацию системных рисков, то есть путем воздействия на бизнес-процессы.
При этом, мы понимаем, что любой из них состоит из операций, имеет владельца, исполнителя и контролера, роли, полномочия и зоны ответственности которых определены внутренними нормативными актами Компании.
Кроме того, выяснили, что в рамках субъективной стороны расследования, изучаются действия проверяемого лица на предмет соответствия Должностной инструкции, Регламенту процесса, Положению или Политике, описывающим бизнес-процесс в целом. Объективная сторона ориентирована на определение актуальности, действенности и эффективности этих локальных нормативных актов и выявления уязвимостей в них.
Если причина инцидента в исполнителе – системного риска, скорее всего, нет, если в процессе – однозначно есть.
Сложность заключается в том, что сотрудники подразделений безопасности зачастую ограничиваются установлением и наказанием виновных, а деятельность Компании в контексте бизнес-процессов не рассматривают по причине непонимания их сущности и важности.
В этой связи, может быть полезно изучить оперативную среду и с этой стороны тоже.
Если на предприятии разработана структура бизнес-процессов, а сами они регламентированы – Вам крупно повезло! Как правило, бывает иначе.
Тем не менее, мы можем самостоятельно сформировать укрупненную схему бизнес-процессов, например, в рамках производственного цикла. Скорее всего она окажется не полной, но для определения зон ответственности и выявления точек потенциальных потерь, этого будет достаточно.
Как вариант:
Сокращения:
B2B (business-to-business) — это бизнес-модель, при которой одна компания продаёт продукцию другим компаниям.
B2C (business-to-consumer) — это модель бизнеса, в которой компания продаёт товар конечному потребителю, или частному лицу.
РЦ – распределительный центр.
ПРИМЕЧАНИЕ: Приведенная выше схема, как и последующие вариант организационно-штатной структуры и схемы бизнес-процессов, следует рассматривать, как иллюстрации описываемого подхода, отражающие специфику предприятия, где он был внедрен.
Для того, чтобы сделать процесс обеспечения безопасности предприятия системным, организация деятельности подразделения безопасности также должна представлять собой бизнес-процесс!
В зависимости от организационной структуры в состав Дирекции безопасности могут входить: подразделение экономической (ЭБ), физической (ФБ) и информационной безопасности (ИБ).
Иногда дополнительно выделяются структуры по обеспечению кадровой безопасности и контролю закупочной деятельности, а информационная безопасность передается в ведение Дирекции по информационным технологиям, но по мнению автора, целесообразно использовать вышеописанную «трехголовую» схему, разделив угрозы по направленности:
· на финансовое благополучие Компании (ЭБ);
· на материальные (физические) активны (ФБ);
· на информационные ресурсы (ИБ).
Более подробно вопрос формования организационной структуры подразделения безопасности рассмотрен в другой статье.
Соответственно, бизнес-процесс осуществляемый Дирекцией безопасности, включает подпроцессы:
· обеспечение экономической безопасности;
· обеспечение физической безопасности;
· обеспечение информационной безопасности;
· управление Дирекцией безопасности.
Укрупненно он может иметь такой вид:
Сокращения:
KPI (Key Performance Indicators) — это ключевые показатели эффективности или деятельности
ТСБ—технические средства безопасности.
ПБ — пожарная безопасность.
SOC (Security Operations Center) — структурное подразделение организации, отвечающее за оперативный мониторинг IT-среды и предотвращение киберинцидентов.
Детализируя подпроцессы, получаем:
· управление функцией (Дирекцией) безопасности.
Сокращения:
ВНД — внутренние нормативные документы.
ДИ —должностные инструкции.
ОШС — организационно-штатная структура.
· Обеспечение экономической безопасности:
· Обеспечение физической безопасности:
· Обеспечение информационной безопасности
Сокращения:
ИОД — информация ограниченного доступа.
КТ —коммерческая тайна.
Расписав собственные бизнес-процессы, Директору по безопасности остается назначить их локальных владельцев, организовать разработку и внедрение внутренних нормативных актов, а затем контролировать их исполнение и принимать меры по актуализации. Возможно, не с первой попытки, но работа подразделения станет ритмичной, а результат исчисляемым.
Когда мы понимаем, какие бизнес-процессы, протекают в Компании, кто их владельцы, где зоны кросс-функциональной ответственности, включая наши собственные, процесс обеспечения безопасности становится системным, логичным и, что самое главное, интегрированным в деятельность предприятия.
Подразделение безопасности перестаёт быть «вещью в себе», ее предназначение, роль и ценность становятся понятностями для бизнес-заказчика.
… конечно, за исключением случаев, когда бизнес ведется по понятиям, но это уже другая история.
В настоящей статье содержится лишь один из элементов авторского подхода, который подробно изложен в книге «Как обеспечить безопасность предприятия, если Вам лень этим заниматься».
Автор: Алексей Швецкий, Член ICSA (Международная Ассоциация Корпоративной Безопасности)
* Данный материал опубликован в журнале “Директор по безопасности” №11-2024