Журнал "Директор по безопасности" Июль 2020 | Page 10

Элементы СМБ
Для того, чтобы СМБ была эффективной,
она должна иметь следующие обязательные
элементы:
Приверженность руководства целям
безопасности.
Полномочия, роль и ответственность
функции безопасности.
Управление угрозами и постоянная
оценка рисков.
Достаточные ресурсы на безопасность.
Процедуры мониторинга эффективности,
оценка и отчетность.
Управление инцидентами.
Учет изменений в бизнес-процессах.
Постоянное улучшение.
Образование и повышение осведомленности
персонала.
Каналы коммуникации.
Давайте остановимся на некоторых
элементах более подробно.
Полномочия, роль и ответственность
Службы безопасности
Важной составляющей в формировании
здоровой культуры безопасности является
открытость и четко прописанные и,
главное, общедоступность положений о
полномочиях, роли и ответственности
Службы безопасности и ее руководителя.
Руководство компании должно обеспечить
чтобы функция безопасности
выполнялась сотрудниками соответствующей
квалификации, обладающими
профессиональными навыками и имеющими
безупречную репутацию. Служба
безопасности должна подчиняться
напрямую руководителю компании или
одному из членов высшего руководства.
Крайне негативно на деятельности СБ
сказывается подчинение какой-то отдельной
функции.
Управление рисками
Для того, чтобы выстроить эффективную
СМБ, в организации любого типа или
размера должна присутствовать система
выявления угроз и оценки рисков. Она
должна быть основана на постоянном
мониторинге изменений во внешней среде
и внутренних процессах компании.
Оценка рисков – постоянный, итеративным
процесс, который предусматривает
равнозначное участие всех ключевых
функций компании, а не только возлагается
на Директора по безопасности.
Наилучшей практикой в этом плане
является создание коллегиального органа
– Комитета по управлению рисками,
который проводит периодические заседания
и принимает решения по каждой текущей
и новой угрозе и стратегии снижения
рисков. Риски, которые могут играть
важное значение для Директора по операциям
или Руководителя отдела кадров,
могут быть неочевидны для Службы безопасности
по объективным причинам. Поэтому,
размещение их в «одной корзине»
и тщательная оценка в ходе совместного
обсуждения, делает картину угроз более
широкой и позволяет найти и использовать
наиболее эффективные меры снижения
рисков. Безусловно, руководитель
СБ играет в этом процессе ключевую роль
по координации, ведению реестра рисков
и организации заседаний Комитета. Но
важно отметить, окончательные решения
должны быть согласованы на основе консенсуса
и учета мнений всех участников
процесса. Таким образом в сознание руководителей
подразделений и функций
внедряется реальная и осознанная ответственность
за безопасность процессов,
владельцами которых они являются. Если
этого удалось добиться, вы, как руководитель
СБ, решили задачу развития культуры
безопасности на первом, но очень
важном уровне – уровне руководства.
Повышение уровня
осведомленности и образования
сотрудников
Так уж повелось в профессиональной
среде безопасности, что в процессе создания
СМБ первостепенное внимание
уделяется процессам и технологиям, а
не сотрудникам, которые стоят за ними.
Всем известен принцип, что как бы не
был хорош процесс или технология, все
основные риски связаны с пресловутым
«человеческим» фактором. Почему так
происходит? Предположу, что это от недостатка
внимания и должных ресурсов
на развитие корпоративной культуры
безопасности. Что с этим делать, особенно
в условиях ограничений и перехода
сотрудников в режим онлайн?
Решение здесь достаточно традиционное
и простое – повышать уровень
осведомленности сотрудников о рисках
безопасности, учить их отличать нормальное
поведение от необычного и подозрительного,
в каких случаях и кому
нужно сообщать о нарушениях, несоответствиях
и инцидентах. Все это укладывается
в емкое, но трудно переводимое
на русский язык понятие – Security
Awareness (осведомленность о рисках
безопасности). Попробуем расшифровать
это ключевое понятие.
Осведомленность о рисках
безопасности
Security Awareness означает осознание
персоналом компании факта существования
программы безопасности, ее актуальности
и влияния поведения каждого
сотрудника на снижение рисков.
Осведомленность о рисках безопасности
– это состояние, направленность,
нацеленность на определенный вид поведения,
которое может побудить людей
предпринимать конкретные действия
в поддержку программы безопасности
предприятия. В то время как образование
в сфере безопасности дает общие
знания, а тренинги развивают определенные
навыки, усилия по повышению
Security Awareness требуют осознанного
внимания со стороны СБ и являются
важнейшей составляющей формирования
устойчивой культуры безопасности
компании. Сотрудники, которые
были должным образом осведомлены
о рисках безопасности и усилиях предпринимаемых
СБ по снижению рисков,
могут выступать в качестве своего рода
«усилителей» сигнала, послов доброй
воли и проводников укрепления культуры
безопасности в организации. Осведомленность
о рисках безопасности
жизненно важна, потому что безопасность
компании полностью зависит от
качества тех практик, которые используют
сотрудники.
Большинство современных управленческих
подходов к мотивации сотрудников
предполагают, что работник изначально
(по умолчанию) мотивирован
и заинтересован в том, что информированность,
вовлеченность и обучение необходимы.
К большому разочарованию
HR менеджеров и руководителей отделов
кадров это не так. На многих предприятиях
единственной возможностью, где
сотрудник соприкасается с программой
безопасности, может быть краткая инструкция
по безопасности, полученная в
отделе кадров, в первый день работы. Такой
незначительный акцент на осведомленности
о рисках безопасности следует
расценивать, что предприятие не считает
безопасность важной составляющей
бизнес-процессов. Однако, если руководители
и менеджеры заинтересованы
и поддерживают программу безопасности,
сотрудники могут получить благоприятное
представление о программе и
поддержать ее, соблюдая все правила.
Напротив, если руководители и менеджеры
не одобряют программу безопасности
или не проявляют к ней интереса,
у сотрудников может возникнуть отрицательная
мотивация, нежелание следовать
инструкциям, и даже сформировать
предпосылки для нанесения ущерба компании,
хищений или саботажа. Уверен,
в наших текущих российских реалиях,
мало кто из руководителей может позволить
себе такое положение вещей.
Программа тренингов
по безопасности
В любой уважающей себя компании существует
программа обучения и развития
сотрудников. Она базируется на
осознании того, какие ключевые компетенции
необходимы сотрудникам
для наиболее эффективного выполнения
их обязанностей. Казалось бы, при
чем тут безопасность? Тем не менее,
в должностных обязанностях каждого
сотрудника крайне важно определить
часть ответственности за обеспечение
безопасности и представить это как разумные
и необходимые меры. Программа
регулярных тренингов по безопасности
для сотрудников должна быть внедрена
и всячески культивироваться руководством
предприятия. Тренинги могут
проводиться в самых различных форматах,
включая онлайн опросы, групповые
упражнения, погружения в различные
кризисные ситуации. Нынешние интерактивные
технологии предоставляют
самые широкие возможности для творчества.
Наибольший эффект от таких
мероприятий производит приглашение
внешних экспертов по разным аспектам
безопасности. Как правило, сотрудники
очень высоко ценят, когда представители
СБ находятся с ними в одном ряду в качестве
обучаемых. Ни что так не способствует
повышению культуры безопасности
как участие в совместном обучении.
Система обратной связи
и уведомлений об инцидентах
Помимо этого, очень важно, чтобы сотрудники
имели доступ к эффективной
системе обратной связи со Службой
безопасности и уведомлений об инцидентах.
Опыт многих компаний свидетельствует
о том, что наличие системы
обратной связи и уведомлений об инцидентах
само по себе повышает осведомленность
и культуру безопасности
сотрудников, что приводит к большей
вовлеченности персонала в программу
безопасности.
Особую роль здесь играет формат и
интерфейс системы уведомления об инцидентах.
Общая цель состоит в том,
чтобы мотивировать персонал делиться
фактами несоответствия и нарушений,
которые становятся им известны в силу
их деятельности, и использовать эту информацию
для принятия мер и повышения
уровня безопасности компании, а
не возлагать вину и не создавать дополнительную
нагрузку на сотрудника, сообщившего
об инциденте.
Процедура уведомлений должна
быть простой и необременительной.
Лучше, если это будет электронная система
с максимально удобным интерфейсом,
упрощающим ввод данных.
Она должна быть доступная для всего
персонала компании с краткими видео-инструкциями
по использованию и
практическими примерами того, как своевременная
информация помогла предотвратить
нарушение, сохранить активы
или повысить репутацию компании.
Заключение
Повторюсь, сейчас время фундаментальных
перемен во всех областях и сферах
жизни нашего общества. Особенно сферы
безопасности, охраны здоровья и
соблюдения норм претерпят самые значительные
изменения. Пришла пора поменять
подходы не только к бизнес-процессам,
но и к тому на каких принципах
строится безопасность бизнеса. Независимо
от того, будет ли безопасность
отдана на аутсорс или компания сохранит
собственную СБ, особенности российского
менталитета и стиля управления,
пренебрегающего безопасностью
и развитием культуры корпоративной
безопасности, должны уйти в прошлое.
Настало время присмотреться к наилучшим
мировым практикам и стандартам.
Культура безопасности должна стать
ключевой ценностью компании. Ее уровень
должен постоянно повышаться и
многократно возвращать вложенные
инвестиции в виде высокой репутации
компании, своевременном выявлении
угроз, минимизации рисков, потерь и
снижении числа инцидентов. И конечно
же, культура безопасности должна
способствовать повышению привлекательности
компании как ответственного
работодателя, предоставляющего безопасную
и комфортную среду для сотрудников,
пусть даже какая-то часть из них
работает удаленно.
В должностных обязанностях
каждого сотрудника
крайне важно определить
часть ответственности
за обеспечение безопасности
и представить это
как разумные и необходимые
меры