Безопасность бизнеса

[Sеnin Viktоr]

Безопасность бизнеса – это набор мероприятий и мер, направленных на всестороннюю защиту предпринимательской деятельности от различных видов угроз (информационных, юридических, физических, экономических и организационно-кадровых). Все решения, касающиеся всесторонней охраны бизнеса и принимаемых мер, возлагаются на службу безопасности, руководителей соответствующих отделов и директора организации.

Виды проблем в безопасности бизнеса и пути их решения

В любом виде бизнеса всегда есть место для риска. При этом хороший руководитель не будет ждать проблем – он своевременно примет меры для защиты от наиболее вероятных проблем в сфере бизнеса. К таким можно отнести:

- корпоративные неурядицы – споры и конфликтные ситуации между акционерами компании, конфликты между топ менеджерами или сложности взаимоотношений между владельцами компании и руководителями подразделений;

- внешние опасности – угрозы со стороны криминальных структур, конфликты с правоохранительными и государственными структурами, рейдерские налеты и так далее;

- финансовые потери – мошеннические действия персонала (клиентов), кража, недобросовестные посредники или поставщики, нецелесообразное применение ресурсов компании, получение взяток за определенную деятельность против интересов компании;

- информационные опасности – утечка секретной информации компании (ее сокрытие или уничтожение), получение несанкционированного доступа к конфиденциальным данным, разглашение коммерческой тайны и тому подобное;

- охранные «прорехи» - кражи материально-технических ценностей посторонними лицами, несанкционированное проникновение на территорию компании, нарушение трудовой дисциплины;

- проблемы с репутацией – наличие в структуре работников, имеющих плохую репутацию, сотрудничество с людьми (контрагентами), имеющими плохую репутацию.

Для решения всех перечисленных проблем бизнеса, требуются следующие виды защиты:

- физическая – системы безопасности, охрана, камеры наблюдения и так далее;
- экономическая – проверка контрагента, защита банка-клиента, оптимизация налогов;
- организационно-кадровая – проверка поступающего на работу персонала, контроль уже существующих сотрудников;
- информационный – защита от вторжений, защита файлов и документов, оптимизация и защита 1С, единая аутентификация, защит от утечек информации и так далее;
- юридическая – экспертиза совершенных сделок, проверка проектов документов, абонентское обслуживание и так далее.

Информационная безопасность бизнеса

По статистики больше половины всех проблем бизнеса возникают по причине «пробелов» в информационной безопасности. Утечка информации к конкурентам, потеря данных, передача в чужие руки секретной информации компании – все это несет большой риск для бизнеса. В такой ситуации IT-менедежеры компании идут на ряд эффективных мер, обеспечивающих комплексную защиту компании.

На первом месте находится защита финансовых данных, на втором – защита от утечек, а на третьем – защита от DdoS-атак. И если первые два пункта уже давно в тройке лидеров, то проблема с атаками появилась лишь недавно. Причина такого интереса – возросшее число DdoS-атак на компании малого и среднего сегмента.

Среди основных мер, которые компании России принимали в сфере безопасности можно выделить – защиту от вредоносного ПО, управление обновлениями, контроль приложений, сетевую структуру, решения для защиты финансовых переводов, контроль применения внешних устройств, защита мобильных телефонов и так далее.

Основные методы информационной защиты бизнеса следующие:

1. Защита от вторжений – установка программ или оборудования, необходимого для контроля трафика в сети. При появлении первой же опасности (вторжения) система реагирует и блокирует доступ. Одновременно с этим происходит оповещение ответственного сотрудника.

Система защиты реализуется одним из двух способов:

- система IPS. Ее задача – блокировка любой сетевой активности, вызывающей подозрения, эффективное отсеивание «лишнего» трафика. Плюс системы – способность не только обнаруживать, но и предотвращать вторжение. Минус – высокий процент ложных срабатываний, что приводит к постоянному отвлечению сотрудников от дела и простаиванию компьютерной сети на время проверки;

- система IDS – осуществляет отслеживание текущей аномальной активности, при появлении которой дается сигнал администратору. Положительные черты - эффективная борьба с вторжением, передача права принятия решения администратору. Минус в том, что ответственный работник может не успеть принять меры и системе будет нанесен непоправимый вред.
Идеальная система защиты от вторжения выглядит следующим образом:

2. Защита от утечек – набор мер, позволяющих предотвратить попадание конфиденциальной информации в посторонние руки. Утечка может произойти двумя способами:

- путем злонамеренной кражи (шпионаж, рейдеры, инсайдеры);
- по причине оплошности персонала (потеря носителя, отсылка пароля по почте, переход на страничку с вирусом, отсутствие ответственных людей за передачу прав на доступ к данным и так далее).

При злонамеренной краже методы защиты следующие – ограничение режима допуска на предприятие, установка камер наблюдения, монтаж средств уничтожения данных на серверах, шифрование информации, хранение данных на зарубежных серверах.

Для защиты от ошибок персонала эффективными можно назвать следующие методы – минимизация прав доступа к конфиденциальной информации, индивидуальная ответственность сотрудников, использование защищенных каналов, создание регламента работы сотрудников с важными документами, введение ответственности за переданные работникам носители данных.

Кроме этого, для защиты от случайных ошибок важно организовать – запись телефонных разговоров, мониторинг трафика и работы сотрудника за ПК, шифрование USB карт, применение RMS, внедрение DLP систем и так далее.

 

[Sеnin Viktоr]

3. Защита файлов подразумевает сохранность всей наиболее важной информации, которая хранится на компьютерах и серверах внутри компании. Она реализуется следующим образом:

- шифрованием файловых систем (данных) – применение систем EFS, Qnap, CryptoPro и так далее;

- шифрованием ноутбуков (нетбуков), носителей информации, мобильных аппаратов – программные решения (Kasperskiy, SecretDisk, Endpoint Encryption) или модули шифрования от Sony, Asus и прочих компаний;

- защита информации от системного администратора, к примеру, с помощью TrueCrypt;

- регистрация мобильного на трекерах мониторинговых систем (с помощью Касперского или Prey);

- запрет (ограничение) доступа к различным электронным файлам (один из лучших вариантов - Active Directory Rights Management Services).

- единая аутентификация. Можно использовать две схемы – на доменной авторизации (оборудование привязывается к доменной структуре), с помощью электронного ключа E-token или с помощью оповещения СМС.

Технология единой аутентификации реализуется следующим образом:

В случае применения USB-ключа (токена) схема взаимодействия смотрится по-другому:

Взаимодействие пользователей в случае применения смс-оповещений:

4.Оптимизация и защита 1С требует внедрения следующих мер:

- при работе с базой 1С – шифрование дисков, ограничение прав доступа, установка системы защиты процессов обмена данными и фалов;

- при работе с СУБД базы 1С – ограничение прав администратора у пользователей, использование систем шифрования, выполнение мер по ограничению удаленного или физического доступа к серверам и так далее;

- защита конфиденциальных данных.

Кроме перечисленных выше мер, к способам обеспечения информационной безопасности относится:

- защита корпоративных коммуникаций;
- быстрое удаление информации с сервера;
- контроль работы сотрудников;
- обеспечение отказоустойчивости и стабильности всех бизнес процессов.

 

[Sеnin Viktоr]

Экономическая безопасность бизнеса

Для обеспечения экономической безопасности необходимо выполнение следующих мер:

1. Проверка компании-контрагента. В законе РФ нет пункта, который бы обязывал проводить проверку будущего партнера. С другой стороны организация должна проявлять осмотрительность в этом вопросе и не совершать сделок с подозрительными структурами. В противном случае можно получить целый ряд проблем:

- невыполнение контрагентом своих обязательств;
- потерю доверия со стороны инвестора;
- падение деловой активности;
- опасность финансовых потерь;
- проблемы с правоохранительными органами.

Перед началом сотрудничества важно проверить:

- идентификационный номер налогоплательщика;
- выписку из ЕГРЮЛ;
- точное название компании;
- генерального директора;
- устойчивость компании;
- наличие реальной регистрации по указанному адресу;
- наличие бухгалтерского баланса.

2. Оптимизация налогов позволяет снизить затраты предприятия и возможные проблемы с органами налоговой инспекции. Лучшим решением может стать аутсорсинг. С его помощью:

- внедряются более совершенные методы планирования налогов;
- экономятся средства компании за счет привлечения квалифицированных специалистов извне;
- «выплывают» все ошибки в функционировании фирмы;
- повышается надежность, качество и главное – эффективность выполняемых работ;
- появляется шанс забыть о налоговых проблемах и заняться делами бизнеса.

Процесс оптимизации проводится в три этапа – анализ деятельности компании, разработка рабочего проекта и внедрение новой схемы.

3. Защита компьютера с установленной системой «клиент-банка». Недостаточное внимание к этой составляющей бизнеса в последние годы привело к большому количеству преступлений. Мошенники с легкостью получают доступ к компьютеру, через который ведется управление потоками, и проводят необходимые им операции. Банк Сбербанк России уверяет, что в 2014 году лишь за несколько месяцев было пресечено сотни попыток краж дистанционным путем на сумму более миллиарда рублей.

Защитить компьютер с установленной на нем системой "клиент-банка" можно несколькими способами:

- ПК должен применяться исключительно для проведения операций с «клиент-банком»;
- права пользователей должны быть максимально ограничены, что снижает вероятность доступа к системе посторонних лиц;
- операционная система и антивирус должны обновляться своевременно;
- обязательна установка сетевого экрана. При этом любой трафик (кроме сделок с банком) должен быть заблокирован;
- высокий уровень безопасности должен поддерживаться в постоянном режиме, а не время от времени;
- в компьютере или возле него не должно оставаться носителей информации с ключами или правами доступа к системе;
- рабочее место с «клиент-банком» должно быть расположено в отдельном помещении. При этом организация СКУД и видеонаблюдения обязательна.

 

[Sеnin Viktоr]

Организация физической безопасности бизнеса

Одна из наиболее важных задач для любой компании – защита от проникновения посторонних лиц на территорию объекта, контроль всех основных помещений предприятия, защита и обеспечение спокойствия работников организации, обеспечение защиты от пожара. Для этого может применяться следующий комплекс мер:

1. Установка систем видеонаблюдения по периметру здания и внутри него. При этом служба безопасности и руководитель предприятия должны видеть, что происходит внутри офиса и за его пределами. Для визуального контроля могут устанавливаться дополнительные опции – система распознавания, автоматический анализ изображения, распознаватель номеров и так далее.

2. Система контроля управления доступом позволяет надежно защитить компанию от проникновения внутрь охраняемого объекта посторонних лиц.

3. Система оповещения об опасности активирует сирену внутри защищаемого здания. В случае необходимости может быть задействовано речевое оповещение, но чаще всего хватает и звукового сигнала.

4. Установка домофона – надежный способ контролировать доступ в помещение. Такие системы позволяют проверить посетителя без контакта с ним. Но в крупных структурах такая система работать не будет – слишком большой поток людей.

5. Монтаж пожарной сигнализации, способной своевременно локализовать возгорание и предупредить персонал об опасности.

 

[Sеnin Viktоr]

Правовая безопасность бизнеса

Обеспечение правовой безопасности – это один из способов защиты компании (фирмы, предприятия) от грубых юридических ошибок, которые могут повлечь за собой серьезные репутационные и финансовые потери. Правовая безопасность бизнеса подразумевает комплексную поддержку в юридических вопросах, своевременное консультирование и экстренную правовую помощь. Обеспечением правовой безопасности могут заниматься как сотрудники организации, так и представители сторонних компаний.

К основным методам обеспечения юридической безопасности можно отнести:

- экспертизу всех документов, а также проверку правильности их составления;
- представление интересов компании в судовых инстанциях;
- обслуживание по всем видам правовых вопросов на всех этапах сделки;
- экспертиза всех будущих сделок, коммерческих и инвестиционных проектов компании;
- своевременное взаимодействие и решение спорных моментов с государственными структурами;
- подготовка к проверкам контролирующих структур;
- обеспечение защиты в случае незаконных попыток изъятия правоохранительными органами документов компании;
- оформление исков, жалоб на действия (бездействие) контролирующих (правоохранительных) структур.

Организационно-кадровая безопасность бизнеса

Обеспечение организационно-кадровой безопасности – это задача любого руководителя. Суть таких мероприятий – защита деятельности от вероятных угроз, вызванных человеческим фактором. Основные задачи – выявление и предупреждение мошеннических действий работников.

К основным мерам организационно-кадровой безопасности можно отнести:

- сбор всех необходимых данных о работниках компании, их анализ, а также принятие решения на их основе о допуске человека к секретной информации;

- своевременное выявление потенциальных угроз, которые могут исходить от сотрудника по причине его прошлой деятельности и личностных качеств – криминальной деятельности, отрицательных морально-нравственных качеств, работе с конкурентами и так далее;

- подробный сбор информации о кандидате в сотрудники компании для последующего анализа потенциального работника и принятии решения о его приеме на работу;

- обеспечение социально-психологического контроля за сотрудниками компании, изучение внутренней обстановки внутри коллектива и выявление проблем на ранней стадии;

- проведение обучение и качественная подготовка персонала в вопросах, касающихся правил обращения с секретными данными, а также касательно необходимых к выполнению мер безопасности;

- расследование всех фактов подозрительного поведения работников, которые привели к ущербу (финансовому, репутационному) компании;

- организация трудовых споров, касающихся выпонения обязательств по договору и вероятных нарушений мер безопасности сотрудниками;

- проведение анализа и подробная оценка всех организационных моментов, которые могут стать угрозой для безопасности бизнеса.