Читать книгу - "Корпоративная безопасность - Ренат Мамбетов"

организации, разглашения инсайдерской информации, разглашения коммерческой тайны, а также умышленного нанесения финансового урона организации любым иным способом и попыток промышленного шпионажа.

Технологическое расследование © — комплекс действий, направленный на расследование причин и условий отклонения показателей производственной деятельности (технологических процессов), влекущих косвенный ущерб активам, в том числе недополучение прибыли.

FCLI (fast/checking/leveling investigations) © — метод проведения корпоративного расследования, направленный на полную ликвидацию риска.

FSF (1) (fast stop fraud) © — оперативное пресечение нанесения ущерба компании, отработка факта непосредственного нарушения и доведение до логического завершения служебного расследования.

CSE (2) (checking for similar events) © — отработка аналогичных фактов нарушений бизнес-процессов, спроецированная на весь холдинг/группу компаний.

LFR (3) (leveling of future risks) © — выявление причин и условий, способствовавших возможности наступления факта нарушения (риска), и проектная деятельность по недопущению аналогичных рисков в будущем.

FPI (fraud, process, innovation) © — система учета экономического эффекта от деятельности подразделений безопасности.

Fraud (1) (в разрезе системы FPI) © — выявление подразделениями безопасности корпоративного фрода — хищений, мошенничеств, коррупционных проявлений, откатных схем, присвоений и прочих фактов прямого нанесения ущерба компании.

Process (2) (в разрезе системы FPI) © — корректировка отклонений бизнес-процессов, претензионная работа, возмещение ущерба по неисполнению договорных обязательств, возврат просроченной дебиторской задолженности, работа с НДС.

Innovation (3) (в разрезе системы FPI) © — непрерывный поиск новых решений в сфере защиты активов, обеспечения безопасности для бизнеса. Увеличение доходности и снижение рисков получения ущерба.

Маргинализация бизнеса © — неконтролируемый нарастающий процесс увеличения количества хищений и мошенничеств, совершаемых как клиентами, так и сотрудниками компании, происходящий вследствие отсутствия применения мер корпоративной безопасности, который может привести к переходу рисков в критический и кризисный уровни. Маргинализации свойственно два вида ущерба: постепенно-накопительный и экстренный.

Цифровизация — это оснащение уже автоматизированных процессов новыми функциями, полноценный симбиоз между видами автоматизации, введение общих программных комплексов, совмещающий аналитику, управление и контроль, и в дальнейшем интеграция c искусственным интеллектом и нейросетями.

Инцидент © — это факт автоматической фиксации нарушения алгоритма в производственных цепях, системах управления технологическими процессами, последовательностях операций в иной деятельности предприятия, вызванный нарушением одной из подфункций безопасности.

Объектовая безопасность © — подфункция корпоративной безопасности, обеспечивающая физическую защиту сотрудников и товарно-материальных ценностей в периметре объекта и контролирующая обеспечение объектов техническими средствами охраны, а также своевременное реагирование на инциденты безопасности в своей зоне ответственности.

Экономическая безопасность[48] (by GM) © — подфункция корпоративной безопасности, обеспечивающая устойчивое состояние экономического потенциала компании, своевременное нивелирование финансовых и коммерческих рисков, безопасное взаимодействие с контрагентами, проведение корпоративных расследований, а также своевременное реагирование на инциденты безопасности в своей зоне ответственности.

Информационная безопасность © — подфункция корпоративной безопасности, обеспечивающая защиту IT-инфраструктуры компании, криптографическую защиту данных, отражение кибератак, а также своевременное реагирование на инциденты безопасности в своей зоне ответственности.

Оперативно-технологическая безопасность © — подфункция корпоративной безопасности, обеспечивающая анализ производственных процессов и проведение технологических расследований с целью выявления системных нарушений производственных цепей, а также своевременное реагирование на инциденты безопасности в своей зоне ответственности.

KPI (key performance indicators) — на русский язык можно перевести как КПД. В корпоративном понимании — система премирования персонала. Сколько выполнил задач, целей, каких достиг успехов — такую премию и получишь.

NDA (non-disclosure agreement) — соглашение о неразглашении информации. Заключается между организациями.

OSINT (open source intelligence) — разведка по открытым источникам. Сбор сведений (не запрещенных законом) о лице либо об организации. Глубокий мониторинг всех доступных в интернете систем.

RACI — матрица распределения ответственности за определенную задачу. R — responsible (исполнитель), A — accountable (ответственный), C — consult (эксперт, консультант), I — informed (информируемый по результату).

SLA (service level[49] agreement) — соглашение об уровне сервиса. Договор, устанавливающий параметры качества оказываемых IT-услуг.

Коммерческая тайна — режим отдельной информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Конфиденциальная информация © — информация, имеющая условную ценность для организации, но прямо не защищенная законом и не относящаяся к коммерческой тайне. Не имеет регулирования на законодательном уровне.

Комплаенс — буквально соответствие фактического процесса реальности. В разрезе деятельности аудита, СБ и управления рисками — выявление системных отклонений в процессах, которые чреваты последствиями (убытками) для организации.

Нивелирование — полная ликвидация риска или его своевременное предотвращение.

Митигирование — смягчение (устранение) последствий уже наступившего риска.

DLP (data loss/leak prevention) — система, которая обеспечивает безопасность корпоративной IT-архитектуры и позволяет собирать данные с корпоративных устройств.

СОП (стандартные операционные процедуры) — набор пошаговых инструкций для выполнения бизнес-процесса. Например, порядок проведения проверки контрагента, зафиксированный в любом документе — инструкции, регламенте.

Серая зона — часть бизнес-процесса, которая наименее регламентирована и слабо охвачена вниманием, несет значимые риски по утрате активов.

RCR (roadmap to counter risks) © — дорожная карта противодействия угрозам. Концепция построения структуры подразделений безопасности от рисков.

Жизненный цикл безопасности в сравнении с жизненным циклом организации:

Современный сотрудник корпоративной безопасности — специалист, понимающий и знающий производственные процессы, риски и законные способы противодействия им, интеллектуально развитый человек, не упоминающий через слово свои связи и прошлые места работы.

Дорожная карта противодействия угрозам (RCR)

В первой книге мы классифицировали риски. Там было 5 видов рисков: финансовые, кадровые, технико-технологические (производственные), объектовые (периметральные) и правовые — и 5 уровней состояния риска: абсолютный, стабильный, нестабильный, критический, кризисный.

Виды и уровни рисков — это фундаментальная теория, на которой и основывается защита активов. Но все риски, как и уровни, динамичны, и их границы несколько размыты. Например, пока не ясно, куда отнести риски угрозы для IT-архитектуры компании — в группу технико-технологических, в отдельную группу (создать +1 вид риска: IT) либо рассматривать угрозы в сфере IT только как инструмент покушения на безопасность компании, а не как отдельный сегмент. Ведь фактически похищение данных, заражение вредоносным ПО, DDos-атака преследуют конкретную цель и являются всего лишь средством для мошенничества (финансовый риск), похищения личных данных сотрудников (кадровый риск), остановки деятельности предприятия (технологический риск), удаления данных или их подмены (правовой риск), помощи в незаконном доступе на объект (периметральный риск).

Кроме того, в одной из глав книги «Безопасность бизнеса» мы приводили типовую рекомендуемую структуру безопасности крупного холдинга. Из-за быстроменяющихся потребностей бизнеса в наступившую цифровую эру, в корпоративную безопасность интегрируется и IT-безопасность, которая реагирует на информационные угрозы.

На последних страницах книги «Корпоративная безопасность» мы решили описать способы противодействия угрозам, отталкиваясь от подразделений безопасности, найти некий симбиоз между структурой безопасности и рисками. Эта схема, с одной стороны, улучшенная типовая структура службы корпоративной безопасности, а с другой — практический кейс для противодействия рискам. Угрозы постоянно меняются, и безопасность должна меняться вместе с ними, находить новые, гибкие способы противодействия (о чем мы писали во введении, вспомните гидру).

Ведь чем качественнее построена система безопасности в корпорации, тем и сам бизнес более привлекателен для инвестиций и приносит больше прибыли.

Объектовая безопасность