usi-ua@usi-ua.com 
Багато компаній досі сприймають безпеку як окремий підрозділ з «лячною» назвою
«служба безпеки», де є її начальник, кілька (а, деколи – й десятки) співробітників,
відділи охорони, відділ, що перевіряє персонал, відділ по «тому», відділ по «сьому» і
ще різні- різні підрозділи, які з’їдають бюджет, спалюють тони палива на авто,
займають добру частину офісу, а реально – чекають коли «щось станеться» і от тоді
вони «покажуть на що здатні». Така модель витрат ресурсу може працювати та має
право на життя в залежності від особистого розуміння власника на базовому рівні,
але сучасні ризики давно вийшли за межі однієї служби та відповідно потребують
сучасних методів, інструментів та поглядів на захист інтересів бізнесу.
Застаріла служба безпеки – це люди й функції, які реагують на наслідки інцидентів.
На відміну сучасна Система безпеки бізнесу — це правила, процеси,
відповідальність, інформаційні канали, аналітика, контрольні точки, взаємодія
підрозділів і здатність компанії діяти до, під час і після інциденту.
Різниця дуже суттєва. Служба безпеки може перевірити підрядника, може зробити
так, щоб жоден чужинець не заходив у компанію без перевірки, оцінки ризиків,
погодження договору, контролю платежів і моніторингу виконання. Але саме
вибудувана Система безпеки з’єднає IT, юридичний відділ, HR, керівництво,
комунікації й комплаєнс у єдину процедуру реагування на загрози ще на етапі, коли
вони ще тільки формуються десь далеко.
Сучасна безпека бізнесу включає фізичний захист, інформаційну безпеку, кадрову
безпеку, економічну безпеку, захист репутації, кризове управління, перевірку
контрагентів, внутрішні розслідування, захист персоналу, роботу з конфліктами
інтересів, готовність до надзвичайних подій і широченне коло вузьких фахівців, які є
зовні на цілодобовому зв’язку. І все це працює у єдиному комплексі захисту під
управлінням одної – двох осіб. У цьому ланцюжку безпека стає частиною управління
компанією та зовсім не є каральним чи суто контролюючим комплексом.
Міжнародні стандарти також підтримують системний підхід. ISO 31000 описує
управління ризиками як процес і рамку, що мають бути інтегровані в діяльність
організації. ISO/IEC 27001 вимагає побудови систем и управління інформаційною
безпекою, а NIST CSF 2.0 структурує кібер захист через функції Govern, Identify,
Protect, Detect, Respond, Recover. Це показує загальну тенденцію: захист будується
не навколо одного “героїчного” підрозділу, а навколо керованої та бюджетної
системи.
Будь- яка служба безпеки без політик, процедур, взаємодії з іншими функціями та
підтримки керівництва вона швидко перетворюється на пожежну команду, яка бігає
від проблеми до проблеми.
Сучасна система безпеки, яка керована фахівцем, працює інакше. Вона бачить
ризики заздалегідь, створює правила до інциденту, навчає людей, збирає сигнали,
документує рішення, забезпечує контроль і дає бізнесу спокійніше ухвалювати
складні рішення.
Ви до цих пір у себе в компанії/організації годуєте «пожежну команду», які
висиджують у кабінетах? Чи ви вже готові створити сучасну Систему захисту, яка без
зайвих витрат працює на результат?
