В рубрику "Директор по безопасности" | К списку рубрик | К списку авторов | К списку публикаций
Ольга Федосеева
Исполнительный директор конференций компании "Гротек"
Директоры служб и департаментов безопасности современных предприятий сходятся в необходимости интеграции всех подсистем безопасности в бизнес-процессы
Первая ежегодная конференция "Security Director 2.0" состоялась 10 апреля 2008 г. в Москве, в гостинице "Рэдиссон САС Славянская". Организатором конференции выступил издательский дом Тротек". Спонсором тематики "Защита информации" стала компания InfoWatch (www.infowatch.ru).
На встрече профессиональных управляющих безопасностью собрались руководители и ведущие специалисты служб безопасности 40 предприятий, относящихся к наиболее быстрорастущим сегментам: торговля, банки, финансы и страхование, строительно-инвестиционные организации и промышленность. Интересы этих компаний были представлены департаментами технической, экономической, информационной безопасности, а также ИТ-департаментами; финансовый потенциал по закупкам ТСБ компаний-участниц составил около 200 млн долларов.(данные компании "Гротек" основаны на результатах исследования российского рынка безопасности по заказу SIA, 2007 г.).
Организатор исключил из программы мероприятия торговые презентации поставщиков оборудования и услуг, чтобы предоставить возможность участникам полностью сосредоточить внимание на интересующей их тематике. Отраслевым компаниям - производителям, дистрибьюторам и интеграторам - было предложено установить и продолжить содержательные контакты с ключевыми потребителями на рынке, ознакомиться с вопросами, наиболее остро стоящими перед ними, и продемонстрировать свою компетенцию в решении их текущих задач, которые далеко не сводятся к осуществлению закупок. Понимание важности участия в "чистых", свободных от рекламных мероприятий встречах крупнейших потребителей показали компании InfoWatch, "Аблой Оу", "АБРОН Холдинг", "БайтЭрг", ОСГ "Рекордз", ОКБ "САПР", "Сервис Плюс", "СМТРЭЙД", Securiton RUS.
"Нам крайне импонирует строгая ориентированность конференции на интересы руководителей по безопасности, - говорит Рустэм Хай-ретдинов, заместитель генерального директора компании InfoWatch. - Наша принципиальная позиция заключается в том, чтобы быть в курсе последних тенденций в сфере информационной безопасности и актуальных потребностей рынка. Только такой подход позволяет максимально эффективно удовлетворять желания потребителей".
Матрица безопасности современного предприятия
Несмотря на стремление организаторов сузить спектр затрагиваемых тем, наполнение мероприятия получилось более чем насыщенным И это неудивительно, стоит лишь изучить список выступавших - каждый из них имеет устоявшуюся, индивидуальную точку зрения на построение системы защиты бизнеса. В программе Security Director 2.0 выступили директоры служб безопасности, советник генерального директора по вопросам безопасности и член Торгово-промышленной палаты, ИТ-директоры, региональный менеджер СБ, ведущий специалист департамента мониторинга корпоративных рисков, менеджер отдела по управлению эффективностью бизнеса, координатор борьбы с незаконным оборотом продукции, начальники управлений и служб информационной безопасности.
В выступлениях были представлены методики и принципы обеспечения безопасности людей, объектов, инфраструктуры и информации; модели взаимодействия СБ с акционерами, персоналом, сотрудниками компании, профильными службами, правоохранительными органами; критерии эффективности системы безопасности; требования к структуре службы безопасности; практические ситуации; схемы коммуникации; ролевые и функциональные модели; руководящие документы.
Темы, которые были подняты выступающими и поддержаны дискуссией, сложили матрицу безопасности современного предприятия (см. таблицу). Общий объем материалов конференции составил 204 страницы.
От разрозненных действий к "системной администрации"
На конференции "Security Director 2.0" впервые на российском рынке Security были представлены варианты организационных структур, оптимальные для различных видов бизнеса в зависимости от его масштаба, территориальной распределенности, характера деятельности.
Модель успешного подхода к построению системы безопасности на фоне территориальной экспансии предприятия описал директор службы безопасности аптечной сети "36,6" Сергей Кашурников. В данном случае успех создания и внедрения работающей концепции безопасности компании определяется участием руководителя СБ в процессах развития компании и ее бренда, а также в прямом взаимодействии с акционерами. По словам Сергея Кашурникова, существует один подход к построению оптимальной системы безопасности (будь то сформировавшийся или только набирающий рост бизнес) -попросить собственника выдать временной карт-бланш на проведение аудита существующей системы безопасности. На основе его результатов следует создавать политику и далее концепцию безопасности предприятия, опираясь на интересы собственников. И это не случайно. Практикой международных торговых сетей доказано, что проведение любых, даже очень успешных отдельных мероприятий по обеспечению безопасности, не включенных в рамки концепции безопасности, оказывается в конечном счете пустой тратой времени. Решение задач обеспечения безопасности путем разрозненных действий, зачастую с включением личных связей в силовых органах, было свойственно СБ в 1990-х гг. В настоящее время, когда главной целью служб компании является обеспечение непрерывности бизнеса, такой подход не гарантирует стабильной системы безопасности. Поэтому современный начальник СБ - это прежде всего методист и "системный администратор" безопасности. Именно в его силах обеспечить необходимое финансирование службы путем предоставления собственнику результатов первичного и регулярного аудита СБ. Как вовлечь в обеспечение безопасности каждого участника бизнес-процессов компании и обосновать этот подход топ-менеджменту, в своем выступлении рассказал Сергей Кашурников. Структуру концепции безопасности, классификацию угроз по персоналу, материальным ресурсам, финансам и информации, а также средства и методы обеспечения безопасности и основные направления минимизации издержек и затрат на безопасность спикер представил в презентации.
Интеллектуальная дуэль VS.
торговые презентации
Новый дискуссионный формат "Интеллектуальная дуэль между поставщиком и потребителем оборудования и услуг" позволил компаниям рынка СБ, пожалуй, впервые выступить на стороне потребителя. Однако дуэль приняла неожиданный поворот. Вместо того чтобы пикироваться между собой, дуэлянты в лице регионального менеджера СБ по Москве и Московской области компании "METRO Cash&Carry" Николая Верховского и директора департамента систем безопасности компании "СМ ТРЭЙД" Сергея Крыля отражали атаки зала. В заключение дуэлянты дали свои рекомендации участникам конференции по работе с поставщиками. Николай Верховский посоветовал при выборе поставщика отвлечься от цен и прежде всего определиться с расходами, которые необходимо заложить в бюджет на перспективу, и затем выбирать поставщика, основываясь на перечне предлагаемых услуг, условиях сервисного обслуживания, репутации и готовности к компромиссам. Сергей Крыль подчеркнул важность информационной прозрачности при принятии решения о выборе поставщика и порекомендовал ритейлерам запрашивать подробный профайл о деятельности и текущем состоянии компании-интегратора, а также проводить открытые встречи с поставщиками, в ходе которых каждый из них должен защитить свое коммерческое предложение.
Выступавший в роли секунданта ИТ-директор торговой сети "Азбука вкуса" Денис Сологуб отметил: "Несмотря на то, что дискуссия проходила по незапланированному сценарию и основная борьба разгорелась между дуэлянтами и залом, дуэль состоялась. На фоне мероприятий "на правах рекламы" предложенный организаторами формат наиболее интересен для всех участников. "Неудобные" вопросы и критические замечания привели к конструктивным выводам, и дискуссия оказалась полезной для обеих сторон".
Сколько стоит безопасность?
Схему оптимального бюджетирования службы безопасности предложил Валерий Прасолов, за плечами которого опыт многолетнего руководства службой безопасности ТК "Охотный ряд" и АКБ "Пробизнесбанк". "Безопасность зависит от двух величин, - говорит Валерий Прасолов, -уровня допустимого риска, который определяется совместно с высшим менеджментом, и тех стоимостных решений, которые последний принимает на себя, чтобы обеспечить функционирование своей компании". В мире компании тратят на безопасность от 1 5 до 25% от стоимости тех средств, которые защищает служба. По мнению Валерия Прасолова, повысить эффективность деятельности службы безопасности можно, предпринимая следующие шаги: сокращение общекорпоративных издержек на 10-40%, создание нормативной базы для формирования саморазвивающейся бизнес-среды, внедрение механизма финансовой диагностики и оперативного мониторинга рентабельности продуктов, подразделений и клиентов, формирование эффективной системы мотивации труда, налаживание регулярного механизма разработки новых и совершенствования существующих продуктов, создание основы для реализации творческого потенциала персонала, привлечение к сотрудничеству специалистов других организаций со своими бизнесами и клиентскими базами.
Авторскую концепцию обоснования затрат на систему безопасности владельцу компании с помощью методики, работающей на объектах нефтяной промышленности, управляемых компанией "Базовый элемент", представил ведущий специалист департамента мониторинга корпоративных рисков Объединенной нефтяной группы Сергей Кондратьев. На примере редукционной декомпозиции угроз хищения Сергей Кондратьев показал модель разработки рекомендаций, направленных на снижение влияния человеческого фактора, уменьшение показателей рисков, предупреждение процессов возникновения и развития угроз на ранней стадии их проявления. Методика редукционной декомпозиции угроз основана на логико-графическом методе, позволяющем отразить причинно-следственные связи, образующиеся при возникновении и реализации угрозы, с целью установления признаков возникновения и развития угроз, выявление которых можно осуществить с помощью простейших (типовых, распространенных и т.д.) приборов, технических устройств или простейших алгоритмов обработки информации. В области промышленной безопасности в данной методике целесообразно использовать известные методы "Дерево событий", "Дерево отказов", однако отличительной чертой методики является дальнейшая редукция исходных событий до стадии, на которой можно выявлять их с помощью простейших приборов или алгоритмов обработки информации, а также включать в "деревья" субъекты поведения - персонал и соответствующее отображение результатов его действий.
ИТ в бизнесе розничной торговли:
вторичные выгоды
Вадим Исаев, менеджер отдела по управлению эффективностью бизнеса PricewaterhouseCoopers, представил данные последнего отчета своей компании, согласно которому на долю 5 крупнейших российских компаний в области ри-тейла приходится лишь 5% от общей доли рынка. Однако отмечается рост во всех сегментах ритейла - от сегмента торговли по сниженным ценам до сегмента торговли предметами роскоши. По мнению руководителя практики по предоставлению услуг компаниям сектора розничной торговли и производства потребительских товаров PricewaterhouseCoopers Криса Скирроу, сегодня в России существует возможность для занятия ниши современных форматов розничной торговли и брендов, а также огромный потенциал роста, но компании сталкиваются с целым рядом проблем. Розничный сектор развивается очень динамично, и компаниям необходима эффективная стратегия для развития собственной торговой марки, повышения операционной эффективности и снижения затрат.
Учитывая тот факт, что в Европе 4 крупнейшие ритейл-компании контролируют 80-85% рынка, можно сделать вывод о том, что в ближайшие 3-5 лет сектор розничной торговли в России ждет рост числа сделок по слиянию и поглощению. Продолжится и тенденция, связанная с ростом количества первичного размещения акций (IPO). Все это напрямую определит подходы к обеспечению безопасности предприятий в целом и их информационной инфраструктуры в частности. Вадим Исаев отметил важность планирования стратегии информационной безопасности исходя из бизнес-задач и целей компании, только в таком случае можно ожидать от этого процесса весомых вторичных выгод.
Обычно доля расходов на ИТ в торговых компаниях не превышает 1,5% от оборота. Более половины торговых компаний, которые принимали участие в опросе, заявили о своих планах по модернизации системы ИТ в 2008-2009 гг. Эти данные свидетельствуют о том, что, хотя многие торговые компании считают, что их информационные системы соответствуют их размеру и уровню развития на текущий момент, они предполагают, что эти системы не смогут оказывать поддержку ожидаемым темпам роста в будущем.
Способность систем ИТ соответствовать ожиданиям роста и давать интегрированный ответ на требования к управленческой информации является ключевым фактором успеха для большинства компаний розничной торговли.
Бизнес 2.0 и культура безопасности
Александр Дмитров, начальник службы безопасности 000 "Столичная торговая компания", оператора сети гастрономов Premium-класса "Глобус Гурмэ", подробно описал этические подходы к созданию службы охраны своего торгового предприятия и ее функционирования. Уникальность службы безопасности сети "Глобус Гурмэ" заключается в повышенном уровне компетенции охранников торгового зала в области управления гостеприимством Александр Дмитров поделился с участниками конференции личным опытом, как в условиях высокой бизнес-культуры компании воспитывать в персонале службы вежливость, преду-предительсть и внимание к гостям, не теряя бдительности в деле защиты предприятия, покупателей и сотрудников. Служебный этикет, персональная поддержка в работе и отработка схем поведения в различных ситуациях ставятся в "Глобус Гурмэ" не ниже уровня технической оснащенности.
Корпоративная культура компании определяет и взаимоотношения с правоохранительными органами, смысл которых не противодействие, а выстраивание бизнес-, организационной и административной системы, позволяющей минимизировать вероятность возникновения ситуаций, связанных с неправомерным действием госслужб.
Интригующую тему "Директор по безопасности -правая рука владельца бизнеса" раскрыл директор департамента по защите информации и режима корпорации Mirax Group, председатель Координационного совета корпорации по безопасности Игорь Грачев. В своем выступлении Игорь Грачев продолжил тему связи культуры бизнеса со стратегией обеспечения безопасности предприятия и позиционированием в ее рамках управляющего безопасностью. Спикер отметил важность и неизбежность погружения директора по безопасности в работу каждого департамента и во взаимодействие компании с внешними структурами. "Связывая эти логические цепочки, директор по безопасности выстраивает свою небольшую империю, - комментирует Игорь Грачев. - К определенному моменту он овладевает знаниями о компании и бизнесе в том объеме, в котором ими владеет первое лицо. В таких условиях у высшего менеджмента не возникает вопросов, к кому обратиться в критической ситуации любого характера". Дискуссионным остается вопрос лояльности к компании такого директора по безопасности, который один концентрирует на себе значительные ресурсы и знания.
Культурная составляющая бизнеса сегодня приобретает все больший вес в развитии компаний потребительского сектора. Она тесным образом связана с проблематикой интеллектуальной собственности, включающей в себя правовые вопросы и собственно вопросы безопасности. Незаконное использование средств индивидуализации, то есть производственных товаров, розничными сетями может повлечь серьезный урон бизнесу, вплоть до ликвидации такого юридического лица.
Поскольку главная задача современного руководителя департамента безопасности компании заключается в минимизации угрозы непрерывности бизнеса, ему необходимо не упускать из внимания процесс формирования заказа и поступления товара "Поставщик - Магазин".
Подробно данную проблематику осветил Леонид Смирнов, координатор борьбы с незаконным оборотом табачной продукции в субрегионе Восточная Европа группы компаний "БАТ Россия".
Инсайд, или Чужой среди своих
Тон обсуждения темы информационной безопасности конференции задал Рустэм Хайретди-нов, заместитель генерального директора компании InfoWatch, которая выступила спонсором тематики "Защита информации". Г-н Хайретдинов отметил, что инсайд в настоящее время не следует трактовать узко, как факты хищения информации; в большинстве случаев сегодня это использование сотрудниками ресурсов компании в личных целях. В такой ситуации никакой программный продукт не позволяет механически оградить организацию от таких нарушений "При разработке проектов ИБ прежде всего требуется глубокое погружение в бизнес предприятия, - говорит Рустэм Хайретдинов. - Требуется менять систему хранения данных, систему корпоративных и деловых отношений и даже систему обучения сотрудников".
По мнению г-на Хайретдинова, сегодня на первый план среди рисков на предприятиях выходит соответствие системы информационной безопасности государственным законам, подзаконным актам и другим требованиям регуляторов. Есть два подхода: в зависимости от бизнеса информационная безопасность рассматривается как инфраструктура (то есть речь идет о части затрат) или как неотъемлемая часть продвижения компании на рынке (когда компания владеет интеллектуальной собственностью, представляющей собой коммерческую тайну).
"Практически все наши коллеги сегодня обсуждают проблему отсутствия или обучения кадров, - продолжает Рустэм Хайретдинов. - Мы предпочитаем набирать в команду молодых амбициозных людей и сами обучать их".
"Специалисты по вопросам экономической безопасности считают, что сохранность конфиденциальной информации на 80% зависит от правильного подбора, расстановки и воспитания персонала", - в подтверждение слов г-на Хайретдинова заявляет Юрий Лысенко, начальник управления информационной безопасности АКБ "РосЕвроБанк". Юрий Лысенко подробно описал угрозу устойчивости бизнес-процессов в результате использования сотрудниками компании социальных сетей и Интернет-блогов.
Руки, глаза и уши предпринимателя
О подходах к анализу рисков информационных ресурсов торгово-производственной компании и построении на его базе матрицы мероприятий по безопасности рассказала Ирина Фролова, ИТ-директор компании "Камея". Руководители служб безопасности, ИТ и персонала фиксируют все возможные угрозы информационной безопасности компании, а также совместно прописывают мероприятия по минимизации каждого из рисков. Таким образом удается выявить и исключить дублирование полномочий, а также определить, каких действий в настоящий момент недостаточно. Матрица, показанная в презентации, регулярно обновляется и является доступной первым лицам предприятия Это обеспечивает как прозрачность структуры ответственности должностных лиц, так и совместное решение вопросов защиты ИБ всеми службами компании.
Служба информационной безопасности компании "Камея" входит в структуру ИТ-департамента; ИТ-директор находится в прямом подчинении генеральному директору. Конечно, многое в вопросе организации корпоративной структуры зависит от традиций ведения бизнеса каждой организации. Однако если ИТ-направление является приоритетным для компании или информационные технологии обеспечивают функционирование, скажем, основного технологического процесса, то ИТ-директор должен иметь больше свободы в принятии решений и возможность напрямую информировать генерального директора, что дает прямое подчинение последнему.
ИТ-директор торговой сети "Алые Паруса" Владимир Шаталов и начальник отдела информационной безопасности аптечной сети "36,6" Игорь Маноенко высказали полностью солидарное мнение по поводу необходимости интеграции системы информационной безопасности в комплексную систему безопасности предприятия. Одним из ключевых критериев успешного функционирования службы ИБ компании оба спикера отметили достаточную заинтересованность в этом вопросе руководителей среднего звена.
Михаил Левашов, руководитель службы информационной безопасности банка "Союзный", со своих позиций аргументировал необходимость присутствия директора по информационной безопасности предприятия в высшем эшелоне руководства предприятия и участия в процессе построения бизнес-моделей и производств. Это обуславливается прежде всего тем, что информационная безопасность начинается там, где возникает информационное взаимодействие между объектами и субъектами бизнеса, то есть уже на уровне проведения первичных переговоров.
Начало дискуссии управляющих безопасностью
На конференции "Security Director 2.0" удалось разносторонне представить и начать открыто обсуждать целый ряд вопросов, волнующих руководителей, отвечающих за безопасность предприятий наиболее активно растущих секторов экономики. "Первую конференцию "Security Director 2.0" можно считать серьезным шагом на пути понимания руководителями различных служб безопасности друг друга и общих задач в своих компаниях", - говорит генеральный директор компании "Гротек" Андрей Ми-рошкин, который во вступительном докладе поставил основные вопросы разговора. Кто противник, а кто союзник служб безопасности? В чем уязвимость современных организаций? Где баланс приложения сил и финансовых затрат? Проводится ли оценка рисков? Допускается ли вероятность потерь?
В ходе дискуссий открылись расхождения и даже противоречия по поставленным в начале и по ряду других вопросов между методологиями департаментов классической и информационной безопасности предприятий. "От формулировки задач и роли службы безопасности (сокращение потер, повышение доходов, обеспечение устойчивости роста бизнеса, дублирование управления или закупка ТСБ), а также от степени ее вовлеченности в мероприятия по планированию бизнес-процессов, - продолжает Андрей Мирошкин, - зависит эффективность деятельности департаментов СБ и компании в целом".
Очевидной стала необходимость выработки типовых требований к поставщику оборудования и услуг со стороны заказчиков, поскольку формальный покупатель, ориентирующийся на требования ГОСТов и регуляторов, в 1,5 раза переплачивает за продукт. Участники также демонстрировали понимание важности уменьшать силовую компоненту обеспечения безопасности в пользу разумного перестраивания бизнес-процессов и вовлечения высшего звена управления в обеспечение безопасности. Этические принципы деятельности сотрудников служб безопасности и карьерные отношения руководителей этих департаментов с первыми лицами имеют не меньшее значение в успешном функционировании служб, по сравнению с их технической оснащенностью.
Компания "Гротек" благодарит всех уважаемых спикеров, участников дискуссий и гостей конференции "Security Director 2.0" за интересную совместную работу.
Опубликовано: Журнал "Системы безопасности" #3, 2008
Посещений: 17477
Автор
| |||
В рубрику "Директор по безопасности" | К списку рубрик | К списку авторов | К списку публикаций
