usi-ua@usi-ua.com 
Зовнішній захист компанії залежить не тільки від охорони, юристів або репутаційних
консультантів. Дуже часто він починається з внутрішніх політик. Саме вони визначають,
кого компанія допускає до себе, як обирає партнерів, як реагує на загрози, як працює з
інформацією і як поводиться у складних ситуаціях.
Головною політикою, звичайно є – Політика безпеки. Вона формує «конституцію»
компанії щодо захисту будь- яких її інтересів, формує базові підходи до побудови міцної
парасольки у вигляді Системи безпеки.
Наступною важливою політикою будь- якої юридичної особи є політика перевірки
контрагентів. Компанія має розуміти, з ким підписує договори, кому платить гроші, хто
отримує доступ до інформації, логістики, клієнтів або внутрішніх процесів. Перевірка
реєстрації, власників, судових спорів, санкцій, репутації, політичних, кримінальних чи
загрозливо – ворожих зв’язків і реальної ділової історії – зменшує ризик шахрайства,
втрат і репутаційних ударів у рази. Наприклад, наша компанія пропонує 6 рівнів глибини
перевірки українських і міжнародних контрагентів.
Не менш важливою є Політика інформаційної безпеки. Вона визначає, хто має доступ
до даних, як зберігаються документи, як передаються файли, як працюють паролі,
месенджери, пошта, хмарні сервіси, особисті пристрої. ISO/IEC 27001 описує
інформаційну безпеку як систему управління, що включає оцінку і обробку ризиків, а не
лише технічні налаштування.
Не буде зайвою Політика комунікацій. Зазвичай, вона потрібна, коли компанія
стикається з кризою, публічним конфліктом, атакою в медіа, звинуваченням, витоком
або неправдивою інформацією. Якщо немає правил, хто говорить від імені компанії, як
швидко готується позиція, хто перевіряє факти і хто погоджує повідомлення, зовнішня
загроза швидко перетворюється на хаос.
Політика щодо запобігання конфліктам інтересів. Вона заслуговує окремої статті, але в
цілому впливає на закупівлі, найм персоналу, партнерства, благодійні проекти,
підрядників, ради директорів і керівні посади. Зовнішній захист слабшає, коли всередині
компанії є приховані домовленості, родинні зв’язки, особисті інтереси, «відкати» або
неформальний вплив.
Наступна політика – вкрай важлива у наші буремні часи. Це – Політика щодо кризового
реагування і безперервності діяльності. ISO 22301 дає рамку для підготовки організації
до деструктивних інцидентів, зменшення їх імовірності та відновлення роботи після них.
Для компанії це означає прості речі: хто ухвалює рішення, як зберігається зв’язок, як
евакуюються люди, як працює бізнес під час обстрілів, кібератак, блокування рахунків
або фізичної загрози.
Треба сказати, що є ще велика кількість політик щодо формування правил з безпеки та
захисту, але то залишиться на окреме спілкування.
Політики не повинні бути мертвими документами. Вони не повинні створюватись
посадовими особами, які не є практикуючими у сфері безпеки фахівцями. Сила політик
з’являється тоді, коли керівники самі їх виконують, співробітники розуміють сенс, а
сектор безпеки компанії/організації має право застосовувати правила однаково до всіх.
Зовнішній захист починає працювати тоді, коли внутрішній порядок не залишає
ворогам, шахраям і випадковим людям багато простору для маневру.
А у вас у компанії є політики щодо процесів безпеки та захисту? А чи не скопійовані
вони з Інтернету, куди їх розмістили «автори», які ніколи не займались безпекою?
