Татьяна Андрианова, СЕО "Октава Капитал": как построить комплексную защиту бизнеса

Чем стремительнее развиваются технологии, тем больше новых и нестандартных угроз нависает над бизнесом, при этом риски для компаний разных индустрий могут быть совершенно непохожи
Мы продолжаем сражаться с оккупантом на информационном фронте, предоставляя исключительно проверенную информацию и аналитику.
Война лишила нас возможности зарабатывать, просим Вашей поддержки.
Поддержать delo.ua

Это говорит о том, что при построении функции корпоративной безопасности необходимо учитывать индивидуальные особенности и потребности бизнеса.

О том, как построить эффективную комплексную защиту бизнеса, рассказала на примере большой и успешной бизнес-структуры Татьяна Андрианова, СЕО "Октава Капитал", глава комитета корпоративной безопасности группы компаний "Октава".

Вы принимали непосредственное участие в построении системы корпоративной безопасности в группе компаний, принадлежащей бизнесмену Александру Кардакову. Расскажите, как вы пришли к нужному решению в вопросе обеспечения безопасности в такой сложной структуре?

Мы прошли непростой путь в построении корпоративной безопасности в компании. Перепробовав методом проб и ошибок разные ее форматы, мы пришли к комитетной модели, которая до сих пор показывает свою высокую эффективность.

Чтобы понять, как сложно было найти оптимальное решение, нужно знать структуру холдинга "Октава Капитал". Эта компания управляет активами Александра Кардакова, и ее основная задача — максимизировать стоимость этих активов. Активы же представлены бизнесами из совершенно разных индустрий — от компаний по разработке средств криптозащиты до питомника декоративных растений.

На что необходимо обращать внимание компаниям, планирующим внедрить у себя эффективную систему безопасности?

Для того, чтобы выбрать оптимальную модель корпоративной безопасности, бизнесу необходимо ответить на ряд вопросов.

  1. Какая связь между функцией корпоративной безопасности со стратегией и долгосрочными целями компании?
  2. Какие слабые стороны и вероятные угрозы есть в компании?
  3. Кто является заинтересованными лицами и стейкхолдерами в построении этой функции? Кто несет ответственность за состояние защищенности бизнеса?
  4. Каким образом акционер и топ-менеджеры получают информацию об угрозах, то есть как обеспечить эффективное реагирование на угрозы со стороны акционера и топ-менеджмента?
  5. Идентификация ключевых активов: что представляют собой активы, которые нужно защищать?
  6. Как достичь максимальной эффективности в работе функции корпоративной безопасности?
  7. Как перенести уже полученный успешный опыт построе­ния системы безопасности на новые бизнесы компании?
  8. Надо ли строить функцию безопасности внутри компании или эффективнее передать ее на аутсорсинг?

При составлении этого списка вопросов у нас не было возможности изучить профильную литературу, ее просто не было. Определяя, что такое корпоративная безопасность, мы исходили исключительно из собственного опыта. Для нас это в первую очередь превентивная мера, которая состоит из прогнозирования, идентификации и анализа угроз и реализации комплекса мероприятий по их недопущению.

С какими угрозами и рисками приходится сталкиваться бизнесу чаще всего?

Как известно, угрозы бывают внешние и внутренние. Из внешних, как ни печально, самым большим злом для бизнеса являются коррумпированные элементы в лице правоохранителей, фискалов и других контролирующих органов, которые используют данные им законом права в своих личных целях и изобретают бесконечные способы, чтобы "кошмарить" бизнес. Также проблемы бизнесу могут создавать криминальные структуры, конкуренты, а также специализирующиеся на промышленном шпионаже и мошенничестве лица. Внешней угрозой могут быть и бывшие недовольные сотрудники.

Внутренние угрозы — это умышленные или неумышленные действия сотрудников, влекущие за собой негативные последствия для компании. Самые популярные из них — хищение активов, разглашение конфиденциальной информации и коммерческой тайны, ошибки в принятии управленческих решений руководителями компании, а также любые действия, которые могут в какой-то мере подорвать деловую репутацию компании.

В чем заключается эффективность выбранной вами модели безопасности?

Как вы понимаете, нельзя сравнивать питомники растений и IT-компании, поэтому мы создали комитеты безопасности для каждого бизнеса, которые подотчетны акционеру. При этом комитеты являются не распорядительным, а консультационно-действенным органом. Комитеты устанавливают единые стандарты, методики и практики в сфере корпоративной безопасности, которые обязательны к соблюдению всеми сотрудниками всех бизнесов, а также контролируют их соблюдение.

Что такое корпоративная безопасность в вашей компании?

Для нас это состояние защищенности бизнеса, а реализуем мы его через работу комитетов. В свою очередь комитет корпоративной безопасности включает четыре подкомитета: информационной, юридической, административной и кадровой безопасности. В каждом из них сформированы рабочие группы из экспертов узкого профиля. Они собирают информацию, а затем формируют, внедряют и контролируют соблюдение соответствующих стандартов и политик.

Эти политики утверждаются акционером и вводятся в действие приказом директора. После этого каждый сотрудник подписывает документ, обязывающий их соблюдать.

Какие нарушения правил встречались в вашей компании?

Если говорить о нарушениях сотрудниками правил информационной безопасности (а у нас действует свыше десятка политик в этом направлении), достаточно часто встречаются нарушения использования корпоративной почты. Многие коллеги не понимают, что корпоративная почта должна использоваться исключительно в служебных целях, и если сисадмин заметит личную переписку (а это вполне возможно и не выходит за рамки дозволенного), мы можем применить санкции к такому сотруднику.

Самые неприятные нарушения сотрудниками с точки зрения последствий для компании происходят в сфере защиты конфиденциальной информации и коммерческой тайны. Не хочу углубляться, но в нашей практике был серьезный прецедент разглашения конфиденциальной информации сотрудником, который повлек за собой неприятные последствия.

Также у нас активно реализуется политика "чистого стола" — запрет на хранение на рабочем столе документов компании, содержащих конфиденциальную информацию. Мы регулярно проводим дистанционные аудиты и аудиты офисных помещений, чтобы установить, соблюдает ли сотрудник данные правила.

Какая существует ответственность за нарушения корпоративной безопасности сотрудниками?

В каждом обязательстве, которое подписывает сотрудник, предусмотрена целая градация ответственности — от предупреждения и штрафных санкций до увольнения, а в некоторых случаях привлечения к уголовной ответственности. Радует, что в основном приходится применять санкции только на первом уровне, то есть преимущественно  после официального предупреждения повторное нарушение правил не происходит.