Страна советов | Выпуск №12 | 2010
Текст | Анастасия САЛОМЕЕВА | Босс №12 2010
Тема декабрьского выпуска «Страны советов» — экономическая безопасность (ЭБ).
Наши респонденты отвечали на следующие вопросы:
- Какое место в вашей деятельности отводится ЭБ?
- Может ли российская компания работать, не занимаясь ЭБ?
- Какие элементы включает система ЭБ: анализ открытой информации о партнерах, сделках, предварительный сбор информации о партнерах и наведение справок о них, … ?
- Как у вас организационно выстроен функционал в области ЭБ?
- Какие стандарты анализа партнеров вы используете? Каковы их основные составляющие?
- Как строится у вас взаимодействие с внешними аутсорсинговыми структурами в области ЭБ?
- Какие типичные ошибки совершают компании в области обеспечения ЭБ?
Сергей АНДРОНОВ, руководитель службы ЭБ компании AGC Glass Europe, Восточная Европа:
1. Вопросам ЭБ мы уделяем постоянное и серьезное внимание. Это вызвано как меняющимися условиями хозяйственной деятельности и конъюнктурой рынка, так и изменениями в правовом поле. Очень важный момент — состояние «здоровья» правоохранительной системы страны. От этого зависит степень внимания бизнеса к собственной безопасности.
2. К сожалению, в складывающихся в нашей стране административных, юридических и экономических условиях предпринимательской деятельности компаниям, особенно крупным, не заниматься вопросами ЭБ невозможно. Очень велики финансовый, репутационный и юридический риски. Угрозы для бизнеса не ограничиваются исключительно конкурентной борьбой, они распространяются на все области функционирования бизнеса. Это, в свою очередь, зависит и от ниши, занимаемой компанией, продвигаемой стратегии, «свежести и трезвости» взгляда руководства на собственное состояние защищенности от современных угроз, мобильности сил и средств собственной безопасности. Под мобильностью следует понимать не только адекватность и быстроту реакции на негативные изменения, а в большей степени прогноз и работу на опережение, то есть интеллектуальную составляющую безопасности. Таков нынешний тренд.
3. Система хорошо работает, когда работа с контрагентами — партнерами как на «входе», так и на «выходе» производственного процесса — является всего лишь одной из составных частей работы служб ЭБ. При работе с партнерами преимущественно берутся в расчет две группы факторов: во-первых, риски коммерческого подкупа при осуществлении закупок, то есть извечная болезнь отечественного бизнеса — откаты; во-вторых, дебиторская задолженность и, как следствие, «плывущие» экономические показатели и отчетность, мнение о компании на рынке и т.д. В обоих случаях риски велики, и для защиты используются все возможности, принимается во внимание все, что происходит на рынке, мелочей здесь не бывает.
4. Деятельность любого структурного подразделения должна иметь основу — нормативную базу, которая регламентирует работу той или иной бизнес-единицы. Применительно к службам, отвечающим за корпоративную защиту, это положение о деятельности такого подразделения. Документ, конечно, скучный, но, как устав вооруженных сил, основополагающий.
5. Здесь было бы правильно говорить об общих принципах работы службы ЭБ. Во многом мы опираемся на собственный опыт, соотносимый с потребностями нашей компании, на анализ открытых данных, используем хорошо известные на рынке информационные возможности, но есть и индивидуальные нестандартные решения. Все зависит от конкретных задач. Вместе с тем, интуицию, здравый смысл и крылатую фразу Вальтера Шеленберга: «Ищите, кому это выгодно» — никто не отменял. В этом служба ЭБ и призвана оказывать помощь руководству компании при принятии управленческих решений.
6. Взаимоотношения с этими организациями строятся в полном соответствии с законодательством России и внутрикорпоративной политикой, где детально обозначено поле для маневра.
7. Несмотря на общие для всех организационные принципы, построение работы служб ЭБ является сугубо индивидуальным для конкретного бизнеса, поэтому и ошибки будут индивидуальными. Исходя из собственного опыта работы и опыта коллег, думаю, что типичных ошибок не так много. Это переоценка собственных сил и недооценка потенциала противостоящей стороны, то есть неадекватность оценки ситуации. К распространенным ошибкам следует отнести разрыв единого информационного поля, в котором должны постоянно находиться управление бизнесом и служба ЭБ. Для крупных структур безопасности с определенного этапа их эволюции становится характерна некоторая «закостенелость» и, как следствие, отсутствие мотивации, а это влечет за собой стагнацию в деятельности службы в целом и потерю потенциала, вне зависимости от вливаемых в это направление инвестиций. Но, наверное, самая дорогая ошибка — это остановка в развитии, отсутствие обучения и обмена опытом, невосприимчивость к новому.
Андрей ЧЕРНЫШОВ, исполнительный директор российского представительства клуба Quintessentially:
1. В нашем бизнесе ЭБ имеет первостепенное значение. Цена ошибки у нас очень велика. Один негативный случай может испортить отношения, которые мы выстраиваем с клиентом годами, поэтому надежность партнеров и прочие элементы ЭБ крайне важны.
2. Вряд ли… Это возможно, только если компания имеет дело с ограниченным кругом лиц, известных собственникам или сотрудникам. У нас в целом высок уровень преступности, а уровень экономической преступности просто зашкаливает. И конкуренты не дремлют.
3. Все, которые перечислены в вопросе.
4. Мы пользуемся услугами компании, которая профессионально занимается вопросами безопасности, в том числе экономической.
5. Время работы на рынке, репутация (отзывы), репутация владельцев и руководителей, результаты пробных заказов.
6. Мы работаем в тесном взаимодействии с одной из таких структур.
7. Не занимаются ею.
Павел ФЕДОТОВ, генеральный директор компании «Это Легко»:
1. Мы о ней помним, но отдельно ЭБ в нашем интерактивном агентстве никто не занимается.
2. До определенного момента, конечно, может, но всегда надо помнить, в какой стране мы живем. Безусловно, чем раньше озадачиться этим вопросом и нанять либо внешнюю организацию, либо специального сотрудника в штат, тем лучше, но позволить себе это могут уже достаточно зрелые компании.
3. Помимо перечисленных элементов, важную роль играют внутренние факторы: проблемные сотрудники и все моменты, которые могут заинтересовать правоохранительные органы. Как известно, если они захотят что-то найти, они найдут, поэтому необходимо минимизировать число таких «находок».
4. —
5. Большинство интерактивных агентств работают по предоплате, и мы не исключение, поэтому основной стандарт анализа партнера состоит в его платежеспособности. Иначе работа просто не производится.
6. К услугам внешних аутсорсинговых структур в области ЭБ мы еще не прибегали. Наше сотрудничество пока заключается в предоставлении услуг — мы их продвигаем в поисковых системах и проводим рекламу в социальных медиа.
7. На мой взгляд, главное — это позитивное и мирное решение конфликтных вопросов и серьезное предварительное обдумывание всех шагов. Тогда проблемы с партнерами и со своими сотрудниками сводятся к минимуму.
Владимир НЕКРАСОВ, генеральный директор компании Contour Components:
1. Для нашей компании информационная безопасность не является приоритетом. Разумеется, мы принимаем необходимые меры для защиты коммерческой тайны, наших технологий, лицензий, блокирования спама, но не тратим больших усилий на это направление, поскольку не считаем, что уровень угроз для нашей компании слишком высок.
Действительно важным для нас является сохранение коммерческой тайны и конфиденциальных данных наших клиентов, которые иногда становятся доступными нам при выполнении проектов для них. Эту информацию мы стараемся защищать максимально надежно.
Второе направление — создание защищенных информационных систем для клиентов. Сейчас мы совместно с партнерами, специалистами в области информационной безопасности, работаем над созданием сертифицированных защищенных хранилищ данных, системы обмена и удаленного ввода данных. Эти системы будут применяться в организациях, где защита информации критична.
2. Необходимый и достаточный уровень ЭБ нужно поддерживать даже частным лицам. Но степени важности ЭБ для компаний разных видов деятельности различаются радикально. Скажем, для банков это вопрос жизни и смерти, в то время как для завода — локального монополиста это может и не иметь большого значения. Кстати, вспомнил примечательную фразу одного банкира: «Чем криминальней банк, тем сильнее служба безопасности» — но это шутка. В действительности необходимый уровень безопасности определяется потенциальными угрозами, которые зависят от характера деятельности, уровня конкуренции, криминальности отрасли, региона, окружения и т.д.
3. ЭБ состоит из многих компонент: защита информации, проверка партнеров, проверка контрактов, контроль за деятельностью персонала (предупреждение коррупции, работы на конкурентов и т.п.), предупреждение инцидентов с регуляторами и фискальными органами.
4. В нашей компании нет службы безопасности, функции распределены между подразделениями так, что каждое подразделение отвечает за свой участок: клиентский сервис — за защиту данных клиентов, административный отдел — за коммерческую тайну и т.д.
5. Как правило, это анализ открытой информации, публикаций в различных источниках, а также рекомендации, личные встречи. В отдельных случаях просим представить учредительные документы.
6. —
7. Скажу только об одном аспекте — необходимой достаточности. Мне кажется, что во многих компаниях слишком сильно заботятся о внешних угрозах, недооценивая внутренние. Например, вы не можете зайти в офис ни одной российской компании без того, чтобы у вас не записали паспортные данные. Часто запрещают посетителям вход с ноутбуками, иногда отнимают мобильные телефоны. В большинстве западных компаний вход свободный, или с приглашающим лицом, но без проверки документов. Потому что в реальности угрозы от посетителей существенно меньше, чем от персонала. Посетителю в тысячи раз трудней украсть документ, чем сотруднику. И излишняя жесткость контроля за посетителями просто мешает работать и отнимает время и деньги, не принося никакой пользы.
Некоторые компании, особенно нефтегазовые, могут полгода проверять вас по разным базам данных, прежде чем подпишут с вами контракт на 150 тыс. руб. на поставку коробочного программного обеспечения (ПО). В чем тут смысл? Никакого смысла нет, кроме вреда своему бизнесу. Люди ждут программу, она им нужна, а расходы на проверку поставщика превышают стоимость программы.
Максим ГОРИН, руководитель департамента информационных технологий компании «1С:Бухучет и Торговля» (БИТ):
1. Обеспечение внутренней и внешней ЭБ, безусловно, является одной из основ успешной работы компании на рынке. Так как понятие ЭБ включает в себя массу факторов — от физической защиты офисов компании до защиты конфиденциальной корпоративной информации, от мониторинга активности конкурентов до прогнозирования дальнейшего развития фирмы с учетом изменений внешней среды — многие отделы компании фактически работают на обеспечение безопасности компании.
2. Конечно, представить работу коммерческого предприятия в современных рыночных условиях без системы ЭБ невозможно. Некоторые организации просто не связывают принимаемые меры по обеспечению безопасности в единый комплекс, однако все так или иначе работают над тем, чтобы положение компании оставалось стабильным. Например, все организации озабочены защитой от несанкционированного доступа и кражи данных и т.д.
Важность системы ЭБ можно продемонстрировать на примере одного из элементов данной системы — обеспечения информационной безопасности. Например, для многих организаций наибольший ущерб может быть понесен в результате простоя информационной системы или необратимой потери данных, поэтому компании предпринимают действия по обеспечению безотказной работы информационной системы, предотвращению сбоев и сохранности данных при любых возможных сбоях.
3. Нельзя забывать о защите собственной информационной системы, которая является основой любого бизнеса. Утечка, на первый взгляд, даже не очень важной информации к конкуренту может в дальнейшем сильно замедлить развитие, а иногда и полностью парализовать работу компании. Наша компания, основываясь на многолетнем опыте, используя собственные разработки и самые современные технологии и решения в сфере информационной безопасности и контроля доступа, с успехом обеспечивает надежную защиту и бесперебойность собственной информационной системы, а также разрабатывает и внедряет их нашим клиентам.
4. Конечно, система ЭБ состоит не только из организационных мер, но и технологических средств. В частности, такие средства используются для обеспечения информационной безопасности. Например, система информационной безопасности предполагает обеспечение таких видов защиты, как защита от несанкционированного копирования данных, от несанкционированного доступа к информации, защита локальных сетей от сетевых атак, от перехвата почтовой пересылки, антивирусная защита, организация систем резервного копирования данных.
Система контроля доступа на базе разработанного собственного продукта «БИТ:Системы контроля и управления доступом 8» на платформе «1С», совмещенная с системами турникетов и видеонаблюдения, обеспечивает не только автоматический мониторинг, контроль и распределенный доступ сотрудников и гостей в офисы компании, но и обеспечивает автоматический учет рабочего времени персонала компании. Конечно, обеспечение таких видов защиты производится при помощи необходимых современных технических средств и профессиональной службы безопасности компании.
5. Система ЭБ в нашей компании состоит из целого ряда мер, направленных на своевременное выявление возможных угроз (например, в форме активных действий конкурентов, которые могут переманивать клиентов и т.д.) и их своевременное предотвращение. В комплекс этих мер входит, в частности, и маркетинговый мониторинг (отслеживание активности конкурентов при помощи Интернета), и рекламный мониторинг (отслеживание рекламы конкурентов в печатных СМИ, на радио, ТВ и наружных носителях), и внешний PR-мониторинг (отслеживание участия конкурентов в подготовке авторских материалов, размещении собственных статей и комментариев экспертов в печатных СМИ).
Кроме уже указанных элементов системы анализа деятельности конкурентов и различных видов мониторинга, важен также бенчмаркинг, то есть сравнение наших продуктов и услуг с продукцией конкурентов. Бенчмаркинг также предполагает оценку не только потребностей наших клиентов, но и продукции конкурентов, что важно при разработке собственных программных решений. Конечно, основой для формирования спектра функциональных возможностей программы становятся потребности предприятий конкретной отрасли, но для успешного продвижения на рынке важно также, чтобы наш продукт выгодно отличался от продуктов конкурентов как по цене, так и по качеству и предлагаемому функционалу.
6. Наша компания не использует аутсорсинг. Она сама оказывает широкий спектр услуг, среди которых и предоставление продуктов для обеспечения безопасности.
7. Если говорить об обеспечении информационной безопасности как одном из важнейших факторов, гарантирующих ЭБ предприятия, то эксперты выделяют три основных состояния информационной системы, которые обеспечивают безотказность и безопасность. Это конфиденциальность (доступ к системе должен иметь только тот, кто имеет на это право), доступность (доступ к системе должен обеспечиваться всегда, когда это необходимо) и целостность (данные системы могут быть изменены только тем, кто имеет соответствующие полномочия). Схожие характеристики можно выделить для различных элементов безопасности.
Елена ЮДИНА, руководитель отдела маркетинга сети обувных каскетов ЭКОНИКА:
1. Наша компания уделяет пристальное внимание ЭБ, поскольку это напрямую влияет на качество ведения бизнеса, имидж компании и ее финансовый результат.
2. На мой взгляд, если речь идет о серьезной компании, то игнорировать реализацию системы ЭБ не дальновидно. Другой вопрос, в какой степени необходимо ее реализовывать. Во многом это зависит от понимания руководителем компании и сотрудниками важности обеспечения ЭБ, от законодательной базы государства, а также от знаний и практического опыта начальника службы безопасности, непосредственно занимающегося построением и поддержанием данной системы.
3. Спектр задач, которые решаются в рамках обеспечения безопасности в нашей компании, очень широк. Они касаются как защиты коммерческой информации, так и обеспечения физической, технической и внутренней безопасности. В отношении наших контрагентов и партнеров мы работаем с открытыми источниками информации, касающимися их профессиональной деятельности.
4. Реализация программы по обеспечению ЭБ функционально закреплена за службой безопасности нашей корпорации (сеть обувных каскетов ЭКОНИКА входит в состав корпорации «Эконика»). При этом мы прекрасно понимаем, что если каждый сотрудник компании не будет разделять требования ЭБ, то все усилия компании напрасны. Поэтому необходимо формировать у персонала ответственное отношение к теме безопасности, она должна стать частью корпоративной культуры. Ведь в конечном итоге благополучие предприятия напрямую влияет на доход и перспективы сотрудников.
5. Как я уже говорила, мы используем только открытые источники информации, проверяя ключевые данные, такие как наличие регистрации предприятия (соответственно, запрашиваем регистрационные документы), его юридический адрес, все контакты. Кроме того, важна репутация компании на рынке, отсутствие негативной информации о ней и ее руководстве.
6. —
7. Самое главное — не переусердствовать в своем стремлении защитить компанию от внешних и внутренних угроз и не доводить ситуацию с контролем безопасности до абсурда.
Вера ГАРМАШ, управляющий директор ООО «ДубльГИС»:
1. В нашей компании под ЭБ понимается прежде всего информационная безопасность. Здесь мы рассматриваем целый комплекс вопросов: это сохранение конфиденциальности коммерческой информации сотрудниками, предотвращение внешних атак на наши корпоративные компьютерные сети, предотвращение спам-атак на другие организации от имени нашей компании, а также защита нашей интеллектуальной собственности от копирования и использования с целью коммерческой выгоды.
2. На мой взгляд, каждая компания, имеющая вес на рынке, должна поднимать такой вопрос. Ведь от этого зависит целый ряд составляющих успешного ведения бизнеса: доход компании, ее рост и развитие, репутация и многое другое.
3. —
4—5. В нашей компании разработана система взаимодействия между департаментами ЭБ, юристами и профильными департаментами. Она касается проверки кадровой благонадежности кандидатов, партнеров, подрядчиков, а также франчайза. Основные составляющие анализа — это опыт работы компании-партнера, рекомендации его клиентов, общая благонадежность партнеров.
6. —
7. —
Борис АЛЬ-ДИДЖАИЛИ, генеральный директор издательской группы «ЕЖЕ»:
1. Если говорить о внешней ЭБ, то этому мы придаем не самое важное значение. Внутри компании есть инструменты ЭБ, они работают, но я как руководитель компании не всегда ими доволен.
2. Все зависит от конкурентной среды. Если среда низкоконкурентна, то возможность внешних угроз маловероятна. Небольшой офис легко просматривается, здесь сложно нанести ущерб. Крупные компании с определенной долей рынка обязаны использовать все инструменты ЭБ: это связано в большей степени с защитой коммерческой и маркетинговой информации. Уязвимость в этих направлениях может стоить доли и прибыльности бизнеса.
3. Один из самых эффективных инструментов — рекомендации. Безусловно, можно запросить или самостоятельно провести информационный аудит потенциального партнера, но это становится ненужным, когда компания, с которой ты планируешь взаимодействовать, имеет серьезную репутацию и имя.
4. В нашей издательской группе внедрены системы наблюдения, доступа, на территории складских и производственных помещений работает ЧОП, документы, которые мы подписываем, проходят через юридическую компанию.
5. Повторюсь: репутация, имя и рекомендации. И опыт совместной работы, разумеется.
6. Прежде всего мы изучаем опыт взаимодействия. Если нам комфортно вместе работать, то мы продолжаем сотрудничество. Если же есть трудности, то никакая репутация аутсорсеру не поможет. На это уходит какое-то время, но думаю, что это работающий критерий.
7. У каждой компании свой путь, свои ошибки. Одна из главных ошибок — недооценка реальных рисков или же гиперболизация несущественных. Нужно стремиться к объективной оценке ситуации, тогда будут понятны необходимые инструменты ЭБ.
Александр КЛИНЦОВ, генеральный директор компании «СтарБлайзер»:
1. В той или иной форме, но вопросам ЭБ приходится уделять внимание постоянно. Это связано и с общими для всех российских компаний причинами (см. ниже), и с особенностями работы нашего предприятия. «СтарБлайзер» — это и интернет-провайдер, и поставщик медийных сервисов, позволяющих жителям большей части нашей страны использовать Интернет как средство доступа к огромной библиотеке легального видеоконтента. Весь этот видеоконтент получен непосредственно от правообладателей, и в расчетах с ними мы должны отчислять средства за каждую лицензию на просмотр, приобретенную нашим пользователем. Кроме того, отчисления получают и наши партнеры — провайдеры «домовых» и «районных» сетей, предоставляющие своим абонентам доступ к локальной копии видеотеки. Просмотры стоят совсем недорого, но возникает поток «микроплатежей» со сложными правилами обработки, который должен двигаться без сбоев и задержек. С этой точки зрения проблемы ЭБ напрямую связаны с биллингом и информационной безопасностью.
Другая ее грань связана с механизмом пополнения лицевого счета. Необходимо, чтобы у любого абонента, где бы он ни находился, были под рукой удобные механизмы внесения средств. Эта задача решена, и абонентам доступны практически все мыслимые способы внесения платежей. Запуск этих механизмов потребовал интеграции нашей системы с несколькими процессинговыми системами, которые предъявляют целый набор своих требований. Требования могут меняться, и тогда необходима соответствующая перенастройка интеграционного модуля. Но даже если этого не происходит, мониторинг взаимодействия с внешними платежными системами — это головная боль оператора. Ведь абонент, перечисливший средства, хочет, чтобы они оказались на счету без задержек. В этой точке ЭБ смыкается с управлением лояльностью клиента и мерами контроля за репутационными рисками.
Есть и другие моменты, связанные со своевременным финансированием «длинных» проектов, например связанных с развитием технических площадок, внедрением новых технологий и пр.
2. Нет, на российском рынке любая компания должна заниматься вопросами ЭБ, если хочет нормально развиваться. Другое дело, что в одних компаниях процессы более структурированные, а в других — менее. При этом важность вопросов ЭБ увеличивается вместе с ростом предприятия, причем работа на быстро меняющихся рынках просто не дает компаниям возможности не учитывать различные риски — внешние и внутренние. Кстати, в эту категорию попадают и рынки, связанные с информационными технологиями, где зачастую основной актив компании — это интеллектуальная собственность.
Редко, когда компании, использующие информационные технологии как заказчики или исполнители, могут самостоятельно решать все задачи бизнеса. При этом зачастую компании-партнеры получают доступ к самым сокровенным тайнам предприятия, так как это просто необходимо им для выполнения своей работы. Поэтому при выборе партнера компания в любом случае проводит анализ рисков, связанных с ЭБ.
3. Как я говорил, сбор и анализ информации о партнере — это нормальная практика, интегральный элемент системы ЭБ. Мы живем в насыщенном информационном поле, поэтому о любой активной компании на рынке циркулирует достаточно информации. Сейчас, пожалуй, главная сложность не в том, чтобы получить информацию, а в том, чтобы очистить ее от дезинформации, которая может генерироваться самой компанией (это опасный симптом), а может появиться в том случае, если компания становится объектом недобросовестной конкуренции.
4. Вполне организован — на уровне, отвечающем реальным потребностям компании на данном этапе развития. Скажем, пока нам не нужны жестко формализованные стандарты и регламенты по ЭБ. Но весь функционал в этой области действует неукоснительно. В частности, мы всегда проводим оценку рисков ЭБ в начале работы с партнером и проводим мониторинг состояния ЭБ в процессе работы, для этого разработаны соответствующие критерии.
5. В анализе партнера мы выделяем следующие составляющие: получение информации о нем из открытых источников, получение открытой информации от лиц, которые работали с этой компанией, анализ этой информации. Если анализ выявляет «пробелы» или противоречия, запускается новый виток сбора данных.
6. На данный момент мы не взаимодействием с внешними структурами в области ЭБ.
7. Для рынка, связанного с информационными технологиями, на мой взгляд, к ошибкам можно отнести отсутствие должной оценки конкурентов, а также недостаточное внимание к защите своей интеллектуальной собственности. Первая ошибка может привести, например, к задержке с выводом на рынок нового продукта — рынок очень динамичен, и в некоторых нишах даже одна неделя дает приличную фору! Утечка информации на этапе разработки может привести к полной потере конкурентных преимуществ.
Алексей УШАКОВ, генеральный директор компании DATA+:
1. ЭБ — часть производственного процесса в нашей компании. Точно, что она не стоит на первом месте среди наших приоритетов, однако мы вынуждены ею заниматься, иначе можем остаться без средств к существованию.
2. Наверное, может — все зависит от вида деятельности и от условий ведения бизнеса. Правда, за свою практику я таких компаний не встречал. Все предприятия в той или иной мере озабочены ЭБ. Взаимоотношения с поставщиками и потребителями — это вопросы человеческих взаимоотношений, а человек в ряде случаев существо непредсказуемое.
3. В нашей компании в первую очередь мы просматриваем базу данных о клиентах (CRM): были ли когда-нибудь контакты с интересующей компанией, чем они закончились. В некоторых случаях дополнительно спрашиваем собственных сотрудников об их отношении к той или иной компании. Следующий шаг — поиск в Интернете всей доступной информации. В ряде случаев обзваниваем доверенных партнеров. Естественно, это касается не каждой сделки, а лишь достаточно крупных, с нашей точки зрения, сделок. Одновременно для оценки риска стараемся ранжировать потенциального покупателя — является ли он представителем мелкого, среднего или крупного бизнеса, являются ли акционерами западные компании или государство, входит ли, согласно нашей иерархии, страна регистрации компании в группу риска (а мы работаем со всеми странами СНГ). Вся эта информация позволяет принимать обоснованные решения о допустимости той или иной степени риска (или доверия) в каждом конкретном случае.
4. В нашей компании такой функционал формализован достаточно слабо. Вместе с тем, у сотрудников есть определенные полномочия, в том числе и для принятия рискованных решений — с тем, чтобы не перекладывать на плечи руководства решения обо всех, в том числе и мелких, контрактах. В целом механизм отработан, и на данный момент нас вполне устраивает.
5. Я не буду рассматривать экономический блок, здесь и так все понятно. Основное требование — строгое соблюдение контрактных обязательств. Если говорить о потенциальных долгосрочных партнерах, мы принимаем в расчет и этическую составляющую. Репутационные риски рано или поздно начинают отражаться на экономической эффективности нашей деятельности. По этой причине стараемся не иметь дела с организациями с дурной репутацией, даже если контрактные обязательства между нашими компаниями соблюдались ранее идеально.
6. Пока мы не пользовались внешними аутсорсинговыми структурами для обеспечения ЭБ, справлялись собственными силами. Возможно, мы придем к этому в обозримом будущем.
7. Первая ошибка — компании просто не занимаются ЭБ. Вторая ошибка — занимаются ею слишком усердно, вследствие чего принятие любых решений перекладывается на высшее руководство. Это две крайности, истина находится посередине. Наш опыт подсказывает, что крайне полезную роль в вопросах ЭБ играет CRM, при условии, что система грамотно сконфигурирована, а сотрудники имеют четкие обязательства по наполнению этой системы.
Юрий ЗЛОБИН, заместитель генерального директора ЗАО «Софткей» по безопасности и кадровой политике:
1. Первостепенное. Дело в том, что электронная коммерция — относительно новое явление в России. Развитие нашей компании совпало с развитием данного направления в целом. Некоторое время мы вели бизнес, фактически защищая себя сами. В системе, где отсутствовало правовое поле, приходилось создавать прецеденты. Например, в 2005 году компания Softkey стала инициатором судебного разбирательства с мошенниками, которые оплачивали покупки в нашем интернет-супермаркете чужими кредитными картами. Трое молодых ребят покупали в сети данные о кредитках, регистрируя по этим реквизитам карты для электронных платежей. Мы поставили в известность ОБЭП и создали все условия для задержания преступников, которые явились в офис за товарами. Останкинский суд признал подозреваемых виновными по части 4 ст. 159 УК — мошенничество, совершенное организованной группой (предусматривает лишение свободы на срок от пяти до десяти лет со штрафом в размере от 1 млн руб.). Это было одно из тех дел, которое привлекло внимание российской общественности к проблеме и фактически дало жизнь праву в виртуальной среде.
2. В принципе, компания может работать, не имея собственного офиса, не располагая системой логистики, не ведя никакой кадровой политики. Но как вариант серьезного ведения бизнеса подобная схема рассматриваться не должна. Потому что, наращивая обороты, такая компания неизбежно будет привлекать к себе внимание мошенников. И в итоге кормить эти криминальные структуры. К сожалению, это закон жанра: там, где есть прибыль, есть угроза. Схемы злоумышленников становятся со временем все сложнее и изощреннее, и уповать лишь на государственную защиту будет только недальновидный руководитель.
3. Грамотно организованная ЭБ предприятия предусматривает два направления работы — внешнее и внутреннее. Работа с партнерами и контрагентами чревата юридическими и экономическими рисками. Простой пример: неизвестная компания приобретает у нас ПО. Мы, доверяя нашему партнеру, не проводим предварительной проверки. А некоторое время спустя к нам обращаются представители проверяющих органов с вопросом о нашей роли в схеме организованного отмывания денег. Избежать этой ситуации можно, максимально подробно проверив потенциального клиента. В правоохранительных органах заведена база компаний, занимающихся подобного рода операциями. В случае доскональной проверки, проведенной нами, мы или откажемся от контакта, или сможем доказать, что сделали все от нас зависящее для соблюдения чистоты сделки. Внутреннее направление работы — это жесткий контроль над собственными сотрудниками. Довольно суровое утверждение, но реалистичное: работник предприятия является основной угрозой. Слив конфиденциальной информации, участие в схеме увода денег, недобросовестное исполнение своих обязанностей, которое может стать причиной претензий со стороны проверяющих органов — неполный перечень того, какие сюрпризы могут ждать беспечного работодателя.
4. В компании Softkey функционал в сфере ЭБ организован на очень высоком уровне. Я могу это утверждать, поскольку структура появилась в компании не спонтанно — мы прекрасно представляли себе возможные угрозы и учились защищаться. Имеются в виду не только внешние атаки мошенников, но и интерес недобросовестных конкурентов, распространенные и менее известные схемы отъема бизнеса и увода средств. То есть служба ЭБ формировалась вместе с компанией и в соответствии с условиями постоянно меняющегося рынка. Обеспечение безопасности — это планомерная и даже рутинная работа. Прежде всего необходимо добиться максимальной прозрачности документооборота предприятия, привести все бизнес-процессы в соответствие с требованиями проверяющих и фискальных органов. Огромное значение имеет грамотно построенная кадровая политика — поскольку лояльность сотрудников является одним из факторов защиты бизнеса от действий конкурентов, готовых перехватывать внутреннюю информацию. В целом это огромное поле работы, учитывающее массу самых различных факторов, казалось бы не связанных между собой.
5. К сожалению, не могу ответить. Данная информация является закрытой.
6. Мы не передаем на аутсорсинг решение подобных вопросов. Это самый прямой и надежный путь к потере контроля.
7. Самая очевидная ошибка — надежда на личные связи с сотрудниками правоохранительных органов. И по этому пути идет 90% российских компаний.
Владимир БАЗЫЛЕВ, руководитель проекта «Айкумена-Аналитика» компании «Айкумен — информационные бизнес-системы»:
1. Для начала давайте дадим определение термину «экономическая безопасность». ЭБ компании — это состояние защищенности от ущербов различной природы, которые можно условно разделить на несколько видов: случайные и умышленные; направленные против собственности; препятствующие осуществлению экономической деятельности; управленческие; информационные; кредитно-финансовые; технико-технологические; исходящие от персонала или направленные против персонала; репутационные и др. Как мы видим — это очень обширное понятие. Для нашей компании ЭБ — один из основных вопросов, тем более что мы сами занимаемся разработкой программных продуктов, обеспечивающих ЭБ организаций со стороны информационных и имиджевых угроз. В ответах на дальнейшие вопросы я бы хотел акцентировать внимание именно на этих аспектах ЭБ.
2. В условиях сегодняшних реалий — нет, не может. «Кто владеет информацией, тот владеет миром», — сказал Уинстон Черчилль. Это высказывание со времен великого английского политика не только не утратило актуальности, а, наоборот, в наш век информационных технологий стало еще более принципиальным. Новые технологии привели к неиссякаемому потоку информации. Каждая компания ежедневно поглощает гигантское количество информации (в том или ином виде): о своей отрасли, о своей компании, о конкурентах, о партнерах, о новых рынках и возможностях. Почему? Это очевидно: новости отрасли могут в корне изменить политику компании. Благодаря им мы получаем информацию о новых конкурентах, потенциальных партнерах, новинках. Информация о своей компании позволяет нам выявлять недостатки и преимущества, улучшать качество продукции и услуг. Негативная информация об организации может привести к колоссальным убыткам и даже уничтожить компанию. О конкурентах: мы обязательно должны быть в курсе того, что происходит у них (новшества, кадровые перестановки, проблемы, победы и пр.). О партнерах: нам важно понимать, с кем мы работаем, и как эта работа может повлиять на нашу компанию, на ее имидж. О новых рынках и возможностях: эта информация может существенно повлиять на развитие компании. Таким образом, для обеспечения своей жизнедеятельности современные компании должны учитывать все эти факторы.
3. У всех по-разному, зависит от специфики деятельности компании.
4. Для обеспечения надежной основы жизнедеятельности и развития нашей компании мы используем программные продукты собственной разработки, которые отвечают всем требованиям ЭБ с точки зрения сбора и анализа информации. Один из наших основных программных продуктов предназначен для сбора, анализа, хранения и адресной доставки всей необходимой информации конечному пользователю.
5. Если говорить о нашей компании, то стандарт достаточно простой — мы ищем следующие данные о партнерах: учредительную и официальную информацию, позитив и негатив, как давно существуют на рынке, с кем сотрудничают.
6. Наша компания в данных услугах не нуждается, так как мы используем собственные разработки.
7. Типичная ошибка большинства российских компаний — недостаточное внимание к двум аспектам ЭБ: информационному и имиджевому. Самое распространенное заблуждение руководителя: «Есть Интернет, различные поисковые системы (Yandex, Google и т.д.), где я найду все. Мои сотрудники по моей просьбе смогут найти мне информацию по любой проблеме». В ответ на это я задаю простые вопросы: «А как вы узнаете о том, что нужно дать поручение сотруднику, чтобы он что-то нашел? Откуда вам становится известно об изменениях, касающихся вас и вашей компании?» Ответов на подобные вопросы у этих руководителей нет. Они забыли об одной особенности информационных материалов: они ценны, пока актуальны.
Некоторые говорят, что актуальность информации не может повлиять на их компанию и им все равно, когда они ее получат — сегодня, завтра или через полгода. Это также является большой ошибкой.
Интернет — это сотни миллионов страниц информации ежедневно, на всех языках мира, во всех странах. Очень важно получать всю информацию, касающуюся вашей компании, своевременно выявлять отношение интернет-сообществ к вам и тому, что вы делаете, а также уметь грамотно реагировать на любой появляющийся в Интернете негатив. Все это значительно увеличит ЭБ компании. Современным компаниям необходим постоянный мониторинг внешнего окружения, иначе возникает риск не заметить угрозу бизнесу.
Константин КУЛИЧЕНКО, генеральный директор компания Dev-House:
1. Для нашей компании ЭБ — приоритетный вопрос. Во-первых, как у любой компании, у нас есть свои технологии и ноу-хау, которые нуждаются в защите. Во-вторых, мы занимаемся разработкой IТ-систем для бизнеса, к которым традиционно предъявляются высокие требования с точки зрения защиты информации. Поэтому безопасность — это часть нашего бизнеса.
2. Не может. Российская среда не позволяет организациям чувствовать уверенность в сохранности бизнеса. В нашей стране существует слишком много самых разных угроз. Это, во-первых, внешние угрозы, такие как деятельность криминальных структур, рейдерство, коррупция в органах власти, осуществляющих надзор и регулирование, недобросовестные поставщики, подрядчики или клиенты, промышленный шпионаж и другие действия конкурентов, направленные на дискредитацию компании, мошенничество и кража конфиденциальной информации, да и влияние общей экономической и политической ситуации нельзя сбрасывать со счетов. Во-вторых, существуют и внутренние угрозы безопасности, к которым относятся умышленные или неумышленные действия сотрудников, из-за которых компании наносится ущерб: например, утечка коммерческой информации, подрыв репутации компании, срыв важных сделок, потеря клиентов. Кроме того, внешние угрозы часто становятся реальностью именно из-за действий сотрудников.
3. Нашу систему ЭБ можно условно поделить на две составляющие: внешнюю и внутреннюю. Внешняя часть системы работает с такими задачами, как мониторинг деятельности конкурентов и выявление потенциальных угроз, а также проверка кандидатов, которые устраиваются на работу в компанию. Что касается анализа клиентов и партнеров, то мы работаем в основном с крупными, известными компаниями с безупречной репутацией, а также с госструктурами, поэтому проверять их смысла нет. Внутренняя часть системы направлена в первую очередь на работу с сотрудниками, потому что, к сожалению, ЭБ определяется во многом человеческим фактором. Второй важный элемент внутренней системы — это IТ-безопасность и обеспечение сохранности информации. Поскольку мы занимаемся, в числе прочего, разработкой систем электронного документооборота, то у себя мы внедрили такую систему на основе свободного ПО. Электронный документооборот как раз позволяет снизить риски, связанные с человеческим фактором, но при этом сама система, конечно, должна соответствовать высоким требованиям безопасности. И третий элемент — физическая охрана здания, недопущение проникновения посторонних в офис компании.
4. Отдельной структуры, которая бы занималась конкретно безопасностью, у нас нет. Соответствующие задачи возложены на сотрудников, отвечающих за работу с персоналом, за маркетинг, за поддержку внутренней IТ-системы, а также на юридический отдел. Общим руководством в этой сфере, постановкой задач, выявлением возможных угроз я занимаюсь сам.
5. Как я говорил, в настоящий момент мы практически не проверяем партнеров. Если же к нам обращается менее известная компания, то в первую очередь мы, конечно, запрашиваем регистрационные документы. Кроме того, мы анализируем данные из открытых источников. Если что-то вызовет наши подозрения, то мы обратимся в специализированную компанию для проверки конкретного человека или компании в целом. Но такого у нас еще не было.
6. Внешние структуры мы пока не привлекаем.
7. Думаю, основная ошибка — забывать о влиянии человеческого фактора. В России существуют и другие угрозы, но они уже стали привычными, с ними бизнес научился справляться. И тем не менее им уделяется основное внимание, а потенциальные угрозы со стороны собственных работников часто недооцениваются. А ведь именно они являются «нарушителями» безопасности. Причем произойти это может как без злого умысла (забыл уничтожить документ, закрыть окно, было лень поменять пароль, похвастался друзьям своими достижениями) или с умыслом (специально уничтожил важную информацию, распространил о компании негативную информацию в Интернете, ушел к конкуренту). Чтобы снизить такие риски, нужно очень четко организовать работу с персоналом: проверять сотрудников при приеме на работу, проводить разъяснительную работу и прописывать конкретные обязанности по соблюдению безопасности в трудовом договоре, должностной инструкции, повышать лояльность сотрудников. А против некоторых рисков (утечка, утрата информации) можно бороться техническими средствами, например, при помощи внедрения IТ-систем.
