Безопасность бизнеса: много не бывает

В настоящее время Дальневосточный центр региональных исследований занимается подготовкой практического курса по основам бизнес-разведки, чтобы помочь всем заинтересованным структурам получить информацию о том, что представляет собой эта деятельность, ознакомиться с базовыми принципами, способами и конкретными источниками получения, обработки и анализа информации.  В рамках данного курса планируется также отдельно рассмотреть вопросы обеспечения безопасности бизнеса как одного из практических направлений работы системы бизнес-разведки.

Основы безопасности бизнеса

Зачастую представители бизнеса не уделяют должного внимания вопросам обеспечения безопасности работы своего предприятия, но даже наличие в компании соответствующего подразделения еще не гарантирует эффективность работы в этом направлении.  Нередко приходится сталкиваться с тем, что службы безопасности коммерческих фирм делают упор на защите от действия внешних факторов либо, наоборот, концентрируются, по большей части, на внутренних факторах хозяйственной деятельности.

Более правильным, однако, было бы понимание экономической безопасности предприятия как защищенности жизненно важных экономический интересов компании от всех видов угроз, как внешних, так и внутренних. Исходя из этого, основными задачами системы безопасности коммерческого предприятия должны являться:

— выявление и анализ причин и факторов возникновения угроз, с одной стороны, и степени защищенности предприятия, с другой;

— прогнозирование возможного ущерба или негативных последствий;

— мониторинг и устранение угроз компании, ее ресурсам и хозяйственной деятельности;

— формирование организационной структуры и разработка механизмов обеспечения безопасности предприятия, том числе физической защищенности объектов, защиты конфиденциальной информации и т.п.;

— определение сил и средств, необходимых для оперативного реагирования на возникающие угрозы и их нейтрализации;

— минимизация последствий ущерба, нанесенного действиями физических и юридических лиц; эффективное пресечение посягательств на деятельность, ресурсы и персонал предприятия.

Система безопасности предприятия должна работать прежде всего на профилактику, то есть создавать такие условия, при которых реализация любых угроз была бы крайне затруднительна, если не невозможна. Конечно в задачи службы безопасности входит и расследование случаев корпоративного мошенничества и воровства, но затраты (денежные, трудовые, временные) на их проведение значительно выше, чем затраты, необходимые для организации и проведения профилактических мероприятий.

Исходя из сложившейся практики, источники угроз для коммерческого предприятия можно сгруппировать по следующим основным направлениям: персонал; контрагенты; конкуренты; криминал; контролирующие органы. По оценкам экспертов, наибольшие угрозы для деятельности предприятий представляют такие явления, как коммерческая коррупция и хищения со стороны высшего менеджмента. В меньшей степени угрозу представляют: коррупция в отношениях с регуляторами; хищения со стороны служащих и менеджеров среднего звена; недостаточная информационная безопасность; отсутствие корпоративной культуры; недобросовестная конкурентная и промышленный шпионаж. Замыкает список угроза терроризма, что может быть актуально для крупных государственных предприятий, но маловероятно для большинства коммерческих организаций.

Следует отметить, что, согласно исследованиям Pricewaterhouse Coopers, уровень мошенничества в сфере закупок в России существенно превышает аналогичный показатель по всему миру.  При этом в результате исследования также выяснилось, что портрет «внутреннего мошенника» меняется — отмечается существенный рост количества экономических преступлений, совершенных представителями высшего и среднего управленческого звена. Можно предположить, что мошенник, занимающий более высокую позицию, будет более информированным и будет использовать более изощренные методы совершения мошеннических действий, которые будет труднее обнаружить. При этом ни высота занимаемой должности, ни стаж работы в компании не являются безусловными факторами, способствующими снижению вероятности совершения преступления.

Поэтому для обеспечения стабильной работы коммерческого предприятия необходимо создание комплексной системы мер, обеспечивающих безопасность его деятельность.  Общую систему мер в рамках обеспечения безопасности компания можно представить в следующем виде:

— правовое регулирование обеспечения безопасности со стороны государства;

— правовое регулирование, существующее на предприятии и направленное на предотвращение всевозможных угроз и потерь;

— организационные меры, обеспечивающие безопасность предприятия. Они предполагают регламентацию производственной деятельности на нормативно-правовой основе и включают в себя вопросы по подбору и расстановке кадров, режиму и охране предприятия, обеспечению сохранения конфиденциальной информации, применение современных психотехнологий службами безопасности при выявлении различных угроз;

— инженерно-техническая защита, применяющая различные технические средства (физические, аппаратные, программные) и математические (криптографические) методы, для обеспечения безопасности предприятия;

— специальные меры, которые включают в себя различные оперативно-технические и иные методы, направленные на предотвращении различных рисков и угроз предприятию.

Рассматривая систему общих мер обеспечения безопасности с точки зрения правового регулирования, необходимо отметить роль государства в лице государственных органов в обеспечении безопасности предпринимательской деятельности, которое включает в себя правовой, экономический и организационный аспект. Достижение указанных целей обеспечивается, прежде всего, путем закрепления в законодательстве соответствующих правовых норм. Для простоты восприятия можно разделить нормативно-правовые акты, регулирующие деятельность государственных органов, а также предпринимателей в области безопасности предпринимательской деятельности по виду регулируемых отношений в этой области.

Правовое регулирование деятельности по обеспечению безопасности на предприятии сводится к разработке и принятию соответствующих локальных нормативных актов, регулирующих отношения между работниками предприятия (фирмы) по обеспечению безопасности предприятия, в том числе и экономической. Необходимо различать семь функциональных составляющих экономической безопасности компании, под которыми понимаются существенно отличающиеся друг от друга направления экономической безопасности: финансовая составляющая; интеллектуально-психологическая и кадровая составляющая; технико-технологическая составляющая; политико-правовая составляющая; экологическая составляющая; информационная составляющая; силовая составляющая.

Наиболее уязвимой сферой в плане обеспечения безопасности является финансово-экономическая. В то же время она более защищена с точки зрения безопасности в правовом плане. Действительно, финансовые планы, деловая переписка, источники финансирования, режим использования открытых расчетов, весь внутренний финансовый оборот фирмы, не входящий в сферу налоговой инспекции, подпадает под категорию «коммерческая тайна», охраняемую законом. В то же время необходимо знать, что учредительные документы фирмы, первичная документация, договоры и документы бухгалтерской и налоговой отчетности, которые передаются в налоговую инспекцию, не подпадают под категорию «коммерческая тайна». Понимание того, какую внутрифирменную информацию необходимо защищать, очень важно в плане обеспечения безопасности предприятия, так как открытие (кража и т. д.) ее конкурентами, недобросовестными партнерами, коррумпированными чиновниками, сотрудниками контролирующих органов приводит не только к большим финансовым, моральным и другим потерям фирмы, а зачастую и к ее краху.

Получить сведения о фирме можно разными путями: через сотрудников фирмы и их родственников; через партнеров фирмы; аналитическими методами (обработка материалов СМИ, Интернета, создание и ведение специализированных баз данных и т. д.); используя результаты проверки деятельности фирмы налоговой инспекцией и правоохранительными органами, которые имеют право вести оперативно-розыскную деятельность в рамках возбужденного уголовного дела, в рамках третьего лица, в отношении вас, в отношении физического лица, работавшего раньше на вашем предприятии.

Практика показывает, что в настоящее время предпринимателям, болеющим за свое дело, необходимо уделять повышенное внимание вопросам государственного контроля (надзора) за деятельностью предпринимательских структур. В связи с этим вопросы о механизме осуществления различных проверок, о том, кто и каким образом может их осуществлять, становятся актуальными.

Очень важно понимать, что система мер по обеспечению предпринимательской деятельности носит комплексный характер. А в ее реализации видное место принадлежит правовому сопровождению всех видов проверок, так как их проведение часто носит заказной характер (инициатива конкурентов) и осуществляется с большими нарушениями. В этих условиях особое значение приобретают знания бизнесменов о механизме осуществления проверок.

Промышленный шпионаж: никто не застрахован

Можно условно выделить несколько этапов появления и продвижения на рынок специальных средств промышленного шпионажа за последние годы:

1-й этап (до 1992 г.). Появление самых простых радиопередатчиков, собранных из подручных компонентов, по схемам, взятым из учебников или из радиожурналов. Как правило, это были элементарные схемы на одном транзисторе. Технические характеристики были неудовлетворительны, но именно на данной технике начиналось становление сегодняшнего рынка.

2-й этап (1992-1994). Характерен появлением более серьезной аппаратуры. Доступными стали кварцованные изделия, изделия выполненные с применением бескорпусных компонентов, специализированные элементы питания. Появились на рынке и зарубежные образцы спец. техники. При этом надо понимать, что действительно серьезная техника, изготовленная за границей, стоит очень больших денег. Это, как правило, десятки и даже сотни тысяч долларов. Все остальное — своего рода «ширпотреб», который стоит дорого, но не оправдывает затраченных на его приобретение денег.

3-й этап (1994 и по настоящее время). Обусловлен тем, что после развала СССР, массовых сокращений и ухудшения материального благосостояния большинства населения произошел отток бывших «спецов»-профессионалов из государственных учреждений в коммерческие структуры. Многие стали использовать свои знания и умения для зарабатывания денег. Отсюда появились и развились специализированные фирмы, которые занимаются разработкой, изготовлением и применением специальных технических средств. Конечно, отток специалистов начался не в 94 году, а раньше, но результаты их работы стали сказываться именно с начала 94 года.

На 3-м этапе среди радиомикрофонов и телефонных ретрансляторов появляются системы с дистанционным включением, с узкополосной частотной модуляцией, использование других видов модуляции, скремблирование и другие способы маскировки радиоканала и т.п. Имеют место попытки создания специализированных микросхем, делается ставка на создание автоматизированных программно-аппаратных комплексов сбора, обработки, накопления и передачи полученной информации. Тому примером могут служить комплексы перехвата сообщений, передаваемых по сотовым радиотелефонам и пейджерам. Сегодня существует масса таких комплексов, многие из них выполнены на достаточно высоком уровне. Таким образом, техника съема информации развивается и совершенствуется весьма бурно.

На кого работает вся эта техника? В чьих интересах? Еще несколько лет назад в большинстве случаев ответ был бы однозначный — в основном информационной разведкой занимались криминальные структуры. Реальной конкуренции было мало: рынок огромен и не поделен, «места под солнцем» хватало всем. Но сегодня ситуация изменилась очень сильно. И прежде всего в тех секторах рынка, где уже становится «тесновато», где приходится все тщательнее приглядываться к деятельности конкурентов. Вот несколько таких секторов: бизнес торговли энергоносителями (нефть и продукты ее переработки, газ); гостиничный бизнес; туристический бизнес; шоу-бизнес; транспортные (воздушные, морские и наземные) перевозки; производство продуктов питания; бизнес в сфере недвижимости; крупная оптовая торговля и ряд других.

Внутренние силы промышленного шпионажа в стране ориентируются, в основном, на фирмы, не имеющие активных международных интересов. Здесь, как правило, действуют шпионы-одиночки, сотрудники разведывательных отделов служб безопасности фирм, отчасти просматриваются действия организованных «сборщиков информации».

В 1998 году из всех фактов, соответствующих формулировке «промышленный шпионаж», примерно 80% фактов — непрофессиональные случаи и попытки получения информации о деятельности конкурентов. В 3%-5% случаев можно предполагать след преступных группировок. Остальные — профессионально проведенные мероприятия, преследующие чисто экономические цели. Среди этих целей можно предположить с достаточной долей вероятности следующие: перехват выгодных контрактов; получение выгодного инвестирования; борьба за рынок; разведка рынка в регионе конкурентов; смена руководства фирмы; срыв контрактов; поглощение фирм.

В большинстве случаев информационная разведка проводится с использованием специальных технических средств.  Понятно, что на фоне развития используемых технических средств промышленного шпионажа развивается и техника противодействия ему. При этом уровень отечественных разработок средств и систем безопасности и защиты информации настолько высок при вполне приемлемых ценах, что они успешно конкурируют с лучшими зарубежными образцами. Есть вполне оправданная уверенность в том, что в ближайшие годы в этом направлении будут достигнуты еще более значительные успехи. Разумеется, при одном обязательном условии: необходима грамотная законодательная база и поддержка со стороны государства всем разработчикам и производителям средств и систем безопасности в стране.

Как ведется промышленный шпионаж

Приемов и методов, используемых в промышленном шпионаже, множество. Мы рассмотрим как внешнюю, так и внутреннюю угрозы; Пожалуй, наиболее серьезной является внутренняя, хотя она может быть вызвана или стимулирована внешними силами. Потенциальными шпионами за соответствующую оплату могут быть любые служащие от высокопоставленного руководителя до письмоносца или уборщицы. Служащие могут быть нелояльны по отношению к фирме, разочарованы, стремиться связать свою судьбу с другой компанией, которой они намерены передать информацию о собственности с их прежней работы, или они могут просто стремиться любой ценой получить побольше денег.

Наш нынешний образ жизни с его подвижностью работодателей и служащих и с общей нестабильностью порождает шпионаж. Главной целью агентов шпионажа служат специалисты по маркетингу и закупкам, ученые, технический персонал и представители администрации. Во многих случаях компании необходимо поделиться информацией по вопросам приобретения прав собственности с покупателем или побочной компанией, чьи требования в области обеспечения мер безопасности уступают требованиям основной компании. Это представляет агентам шпионажа отличную возможность завладеть информацией об основной компании косвенным путем. Готовыми источниками отрывочных данных, которые затем можно свести в законченную картину, служат семинары, конгрессы, торговые выставки, различные публикации и выпуски новостей. Одно словечко там, одно словечко здесь начинают складываться в стройную мозаику, хотя люди, посвященные во внутренние секреты, могут и не подозревать, что разгласили что-либо важное.  Внешнюю угрозу деятельность обычно направляют профессиональные агенты и опытные промышленные шпионы, которые могут принимать различные обличья:

— специально засланный агент, способный выступать в любом качестве, чтобы попытаться «втемную» получить необходимые данные у обладателя внутренней информации;

— нарушитель, который проникает в нужное помещение или организацию путем обмана или прямого взлома. Он может похитить документы и компьютерные данные либо при помощи фальшивых удостоверений госструктур получить доступ к нужным работникам и объектам;

— технический агент, способный под видом ремонта или обслуживания офисной техники установить аудио-видеозаписывающую аппаратуру;

— уборщик мусора. Пожалуй, наиболее опасным инструментом шпионажа служит телефон. Вторым по опасности инструментом, несомненно, служит корзина для бумаг. Многие ценные производственные секреты были раскрыты путем восстановления разорванных и выброшенных в мусорную корзину документов;

— организатор опроса общественного мнения. Список вопросов может показаться совершенно безобидным, и многие служащие разгласят больше сведений, чем следовало бы;

— псевдобизнесмен, обращающийся с заманчивыми предложениями о сотрудничестве и запрашивающий якобы необходимые для заключения сделки документы (данные о коммерческой деятельности, технические разработки, описание технологий и т.п.). Когда необходимые данные получены, сделка отменяется.

Подобных примеров можно привести много. При общении с такими лицами необходимо реально соотносить соответствие их вопросов той конкретной проблеме, с которой они обратились. А самое главное – четко соблюдать правила безопасности.

Обеспечение безопасности вашего бизнеса: главное – внутри

Большинство экономических преступлений против хозяйствующего субъекта совершается в рамках следующих статей Уголовного кодекса Российской Федерации:

— Статья 158 УК, кража. В уголовном законодательстве определяется как «тайное хищение чужого имущества».

— Статья 159 УК, мошенничество. Сущность мошенничества заключается в завладении чужим имуществом путем обмана или путем злоупотребления доверием.

— Статья 160 УК, присвоение или растрата. Данный вид хищений — это осуществляемое в форме присвоения или растраты противоправное изъятие имущества или денежных средств из ведения собственника, с целью владения и распоряжения ими как собственными. В отличии от кражи, мошенничества, разбоя и других преступных посягательств на имущество, присвоение или растрату может совершить лишь тот, в чьем ведении находятся товарно-материальные ценности.

В большинстве случаев служба безопасности предприятия имеет дело с рисками криминального характера и наибольшую угрозу представляют источники, находящиеся внутри организации. Своевременное выявление признаков, сопутствующих преступлению, способствует минимизации экономического ущерба.

Важным элементом обеспечения безопасности предприятия является оценка рисков. Ее методика основывается на выявлении и оценке так называемых «индикаторов хищений» — факторов, которые обычно не скрываются и лежат на поверхности или легко устанавливаются. Например, образ жизни сотрудника, не соответствующий его доходам, является типичным индикатором хищения, но сам по себе он, однако, не может быть доказательством, так как теоретически может существовать множество некриминальных объяснений того, откуда у данного сотрудника деньги (наследство, выигрыш в лотерее и т.д.).

Существует достаточно большое количество индикаторов, которые используются профессионалами на практике для выявления хищений. Наличие одного и более индикаторов рисков хищений является для профессионала исходной информацией для углублённого изучения процесса на предмет наличия хищений. Наличие одновременно нескольких индикаторов свидетельствует о повышенном риске. Количество и приоритет индикаторов хищения должна определять служба безопасности предприятия в зависимости от специфики организации самого бизнеса. После выявления индикаторов, следующим этапом является внутреннее расследование хищений и мошенничества

Однако наибольшую эффективность дает внедрение системы мер, направленных на предупреждение возможных угроз безопасности.  Для максимально упрощенного объяснения тех шагов, которые необходимо сделать, чтобы обеспечить определенный (минимально необходимый) уровень безопасности бизнеса, приведем краткую инструкцию.

  1. «Закрытые файлы». Не облегчайте доступ кому-либо к секретной информации. Храните папки с секретной информацией в огнестойких сейфах, снабженных кодовыми замками. Создайте систему классификации с ограниченным доступом различных категорий сотрудников, которые прошли тщательную проверку.
  2. «Политика «чистых столов». Требуйте от своих сотрудников освободить свои рабочие столы от документов в конце рабочего дня. Это означает, что все секретные и важные документы должны быть убраны и никто, включая уборщиц, не должен их видеть.
  3. «Компьютеры». Примите меры безопасности в работе с компьютерами, которые бы лишали допуска незаинтересованных сотрудников к секретным файлам без наличия определенного кода. Храните носители информации в огнеупорном сейфе и закрывайте их на ночь. Не допускайте, чтобы компьютеры, на которых хранится закрытая информация, имели доступ к интернету.
  4. «Сотрудники». Проверяйте всех сотрудников, включая руководство компании. Как свидетельствует американская практика, 50% резюме руководящих работников во многих компаниях имеют явно преувеличенную информацию. Некоторые резюме просто не соответствовали заявленному от начала до конца. Поэтому целесообразно проверять прежние места работы и должности, прошлый жизненный опыт на наличие факторов риска и квалификацию Ваших потенциальных сотрудников. Также полезно узнать о том, употребляют ли Ваши сотрудники наркотики, злоупотребляют ли алкогольными напитками и имеют ли другие вредные привычки, которые могут негативно сказаться на их производительности. А вообще, зачастую бывает очень важно знать реальную биографию человека, которого Вы нанимаете.
  5. «Детектор лжи». Использование детектора лжи является для многих организаций и компаний спорным вопросом, но кандидатам на занятие важных должностей в ходе собеседования можно просто задать вопрос: готовы ли они пройти обследование на полиграфе. Даже если у компании нет такой возможности, ответ кандидата будет говорить о многом. Как правило, категоричный отказ от прохождения обследования на полиграфе свидетельствует о страхе разоблачения возможных преступных намерений к Вашей компании. Факт использования полиграфа часто служит сдерживающим фактором для потенциальных воров, мошенников, промышленных шпионов и т.п., которые исследуют возможность проникновения в вашу компанию или организацию. Между тем, современная практика доказала, что сочетание современных психотехнологий профайлинга и проверки на полиграфе является очень эффективным способом проверки как кандидатов на работу, так и действующих сотрудников.
  6. «Временные сотрудники». Относитесь с осторожностью к временным рабочим в связи с тем, что проверить прежнюю деятельность временных рабочих порой достаточно трудно, проследите за тем, чтобы за их работой и поведением постоянно наблюдали их непосредственные начальники и начальник службы безопасности компании. У этих рабочих должны быть отличные от других сотрудников таблички с указанием их имени и должности. Такие таблички не должны давать им доступ на ключевые объекты Вашей компании. Субподрядчики и их персонал также должны иметь специальные таблички, по которым можно определить их принадлежность к той или иной компании-субподрядчику и должность. Они должны находиться под постоянным наблюдением сотрудников службы безопасности и сопровождаться ими для работы в наиболее важных местах компании. Данной категории рабочих и служащих не рекомендуется давать разрешение на свободное перемещение по территории Вашей компании.
  7. «Обучение». Обучайте ключевых и проверенных сотрудников своей компании элементам безопасности. Объясните им, что меры по обеспечению безопасности направлены на их защиту и осуществляются в целях достижения процветания компании. Подчеркните необходимость их помощи в определении странного или подозрительного поведения других сотрудников.
  8. «Кара». Увольняйте сотрудников, которые нарушают правила безопасности. Если сотрудник, нарушивший правила безопасности, увольняется, не понеся наказания, другие сотрудники могут последовать его или ее примеру.

Следует отметить, что эффективное обеспечение безопасности коммерческого предприятия предполагает, что необходимые для этого мероприятия проводятся не только службой безопасности компании, но и другими подразделениями. В типовой структуре современной российской коммерческой организации можно выделить следующие подразделения, отвечающие за эти задачи: служба безопасности (СБ); контрольно-ревизионная служба (КРС); служба внутреннего аудита (СВА); юридическая служба (ЮС); служба управления персоналом (СУП).

В качестве примера можно привести примерную схему процесса управления рисками мошенничества с указанием распределения задач:

Как мы видим, для обеспечения комплексной безопасности предприятия в большинстве случаев необходимо взаимодействие различных его подразделений, поскольку отдельно взятая служба безопасности не в состоянии перекрыть все риски на различных стадиях бизнес-процесса. Это, однако, возможно только в том случае, если первые лица предприятия понимают значимость данной работы.  Главное, что должны осознать руководители компаний, состоит в том, что от внешних и внутренних угроз не застрахован никто. Безопасность Вашего бизнеса – в Ваших руках.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*