27 Jun 09:58 avatar

Философия экономической безопасности промышленного предприятия (Часть №2)

Продолжение. Начало здесь.

Мы не можем исключить Источники угрозы, так как они всегда есть и будут, мы не можем исключить Угрозы, так как их несет Источник, мы не можем изменить Фактор, так как нам это не под силу. Мы же не можем изменить жизнь к лучшему, да и это бесполезно, вспомним Адама Смита, но мы можем внести дополнительный фактор, который будет демотивировать те факторы, которые побуждают на реализацию угрозы, и тем самым снизить риск. Например, наличие информации о слабой защищенности объекта является мотивирующим фактором. Информация, о том, что объект серьезно защищен – демотивирующим.

Согласитесь, что если в чистом поле будут лежать 100 долларов, то 100 проходящих человек их обязательно подберут. Если там будет табличка с надписью «Чужое», то наверняка не все 100 их возьмут, вероятно, у кого-нибудь взыграет совесть, и его в детстве учили, что чужое брать – плохо. Если у этих долларов поставить Карацупу с Джульбарсом, то желающих резко поубавится, а уж если воздвигнуть Форт Нокс, то их и совсем не будет. На счет совсем, это я, конечно, загнул, всегда были, есть и будут желающие пощекотать себе нервы, но таких людей единицы. То есть, после Форт Нокса угрозу можно считать гипотетической, а риск сведенным к минимуму. На этом примере я попытался показать, как мероприятия (табличка, Карацупа, Форт Нокс) влияют на риск реализации угрозы, и как сама угроза из реальной превращается в гипотетическую. Разрабатывая мероприятия, необходимо всегда помнить о трех вещах: сложность, стоимость и неотвратимость наказания в случае провала реализации.

Сложность — это тот фактор, при котором реализация угрозы становится чересчур сложной и требует большого количества ненадежных связей, которые надо еще и устанавливать, а люди все разные. Например, чтобы нелегально вывезти машину готовой продукции с завода, необходимо договориться: с охранником, чтобы пропустил, с оператором видеонаблюдения, чтобы закрыл глаза, с кладовщиком, чтобы отпустил продукт, и так далее, и ведь со всеми надо делиться. И чем длиннее эта цепочка, тем меньше будет бонус в случае успешной реализации. А стоит ли оно этого? И вероятность провала реализации слишком велика.

Стоимость. Смысл этого фактора заключается в том, что стоимость реализации угрозы будет выше стоимости бонуса. Например, чтобы взломать кассу предприятия, нужно приобрести соответствующее оборудование и инструмент, отключить сигнализацию, бесшумно срезать решетки и вскрыть окно, взломать замок помещения и собственно саму кассу. На все это потребуется, допустим, 1000 долларов, а в кассе лежит всего 500.

Неотвратимость наказания должна проявляться не только в воле руководства, хотя бы в том, что оно написало заявление в милицию, но и в том, чтобы сама реализация угрозы происходила бы болезненно как для тела, так и для души. Не надо скупиться на всякие химловушки, острую колючую проволоку и кусачих собак, не надо скупиться на время, потраченное на разъяснение персоналу о том, какой нехороший этот человек «Иванов», и что с ним теперь будет, и как будет несладко ему и его семье — это профилактика.

Теперь возникает главный вопрос о достаточности мер, предпринятых для снижения рисков. Так сказать, какова должна быть высота забора и глубина рва. А вот это можно увидеть, только построив матрицу угроз и мероприятий. Причем по всем объектам защиты и всем бизнес-процессам, которые СЭБ должна защищать. Матрицу следует строить в разрезе угроз по каждому источнику со всеми необходимыми мероприятиями для защиты. Только тогда можно определить степень риска и достаточность мероприятий. Целесообразно в матрице определить и вероятность реализации угрозы, например, от реальной до гипотетической. Согласитесь, реализация угрозы «Кража материальных ценностей со склада» вполне реальна для источников «Криминал» и «Персонал», но и «Конкурент» может провернуть эту акцию, если захочет, например, затормозить запуск какого-либо агрегата, если тот может реально изменить рынок не в его пользу. В данном контексте эту угрозу можно считать гипотетической, а мероприятия могут носить чисто профилактическое направление, при этом риск (степень реализации) не возрастет. Именно все, что должно быть, а не то, что уже сделано. Кстати, очень удобно, когда проводимые и планируемые мероприятия будут различаться по цвету, сразу бросается в глаза. При составлении матрицы будут возникать случаи, когда на разные угрозы будут однотипные мероприятия, а на одну и ту же угрозу от разных источников придется планировать различные мероприятия, это нормально. Согласитесь, что угрозу «Кража» может нести и Персонал и Контрагент и Криминал, но вот ущерб будет разный, да и вероятность угрозы будет не однозначной. После анализа матрицы выстраивается модель защиты и привязка ее к действительности. Другими словами, происходит интеграция элементов защиты в существующие бизнес-процессы. Зато в этом случае можно твердо сказать, что все криминальные угрозы учтены. Здесь нельзя говорить только о главном, господь Бог, — он всегда в деталях. Необходимо отметить, что матрица является как бы эталоном сверки процесса защиты. То есть, моделируя защиту, нужно сверяться, а все ли угрозы учтены? Нет ли избыточности мероприятий? В любом случае можно всегда с уверенностью сказать: «Мы делаем это потому, что так надо!» и при этом вежливо ткнуть носом в матрицу любопытного менеджера или бестолкового подчиненного. Почему матрица строится именно по источникам угроз? Дело в том, что если есть инициатор, то часть угроз, специфичных для инициатора, перейдет непосредственно к источнику, а учитывая их по каждому источнику, мы учтем их все.

После детального анализа матрицы, можно приступать к моделированию системы защиты, логически выстраивая цепочку мероприятий в замкнутый цикл, при этом отбрасывая дублирующие мероприятия и добавляя недостающее из других матриц. Это как собрать фигуру из лего, причем так, чтобы использовались все цвета, но при этом они бы не повторялись. Например, если у нас есть несколько складов, по каждому из них мы строим матрицу, и в каждой есть мероприятие по визуальному контролю целостности замков и печатей, то есть смысл объединить эти мероприятия в одну процедуру и составить маршрут для контроля охраной сразу нескольких объектов (чаще всего все складские помещения сосредоточены в одном месте). А если еще вменить в обязанности осуществлять контроль и патрульным группам, и старшим объектов и смен, и все это грамотно распределить по времени, то получится, что каждый объект будет находиться без человеческого присутствия столь короткое время, что на реализацию взлома, проникновения и выноса материальных ценностей просто не будет времени. Согласитесь, что кража есть кража и санкция по этой статье довольно слабовата, но вот уже простое присутствие охранника в случае продолжения реализации преступления легко переквалифицирует кражу в грабеж, а то и в разбой, а там санкции совсем другие. А оно им надо?

Другой пример: во многих бизнес-процессах будут встречаться мероприятия по снижению человеческого фактора. И если с собственным персоналом более или менее понятно что делать, то с персоналом контрагентов, от которого напрямую зависит выполнение обязательств по договорам, что делать мало кто знает. Все проверяют компании контрагентов, так сказать, на благонадежность, но ведь компаниями управляют люди, и если компания была в прошлом благонадежна, то со сменой в ней какого-либо топ-менеджера очень даже просто может измениться политика по отношению к вашей компании. Если мы научились поверять и контролировать собственный персонал и создали процедуру, направление или службу, не важно, как она называется, но укладывается в термин «Кадровая безопасность», то целесообразно поручить эту работу им. При этом не забыв скоммуницировать с теми, кто ведет проверку контрагентов. Все мы знаем, как ссорятся Иван Иванович с Иваном Никифоровичем, и что из этого выходит.

При создании моделей процессов защиты целесообразно моделировать и реализации угроз, чтобы мероприятиями перекрыть все. В процессе моделирования угроз важными факторами являются временные рамки реализации и предпочтительное время. Согласитесь, что украсть (тайно похитить) что-либо со склада в рабочее время невозможно, там всегда должны быть люди. А вот во внерабочее время – всегда пожалуйста. Значит, перед тем как моделировать реализацию угрозы мы должны четко представлять, сколько людей работает на складе, где конкретно они работают, где курят, отдыхают, пьют чай, каковы пиковые нагрузки, кто косвенно может видеть подходы и складскую территорию. Другими словами, необходимо выявить те временные промежутки, когда склад остается без человеческого присмотра и эти промежутки наполнить, например, контрольными обходами охраны или теми же обходами пожарной службы. Здесь даже важно знать, к примеру, когда из лаборатории в цех ходит лаборантка для взятия проб на анализ, если ее путь пролегает мимо склада. И, побеседовав с ней, мы должны убедить ее обращать внимание на то, что происходит на территории склада. Попробуйте украсть сами, тогда поймете, что надо делать. Определите минимальное время на взлом замков, спиливание решеток, вынос имущества с территории, а так же время подхода охраны с ближайших постов в случае тревоги с учетом их коммуникаций и расположения.

И если с моделированием реализации угроз на объектах охраны все просто, то с моделированием в бизнес-процессах все гораздо сложнее. Их (бизнес-процессы) нужно элементарно понимать. Многие могут возразить, а зачем нам это. Берем под контроль «вход» и «выход», натягиваем колючую проволоку на периметр и все, куда они с подводной лодки денутся? Денутся и еще как. Просто они (злоумышленники) все свое «мошенство» вынесут за территорию предприятия, и все. Более того, они будут рьяно помогать ловить и выявлять мелких несунов и воришек. И останется охране не участвовать в глобальной системе защиты бизнеса, а шпынять народ, чтобы курил в отведенных для этого местах, а персоналу СЭБ резаться в преферанс.

Так о каких же бизнес-процессах идет речь, в которые СЭБ должна совать свой нос? Во все, у которых есть бюджет, а если нет, то «Закупки», «Ремонты», «Продажи», «Логистика», «Производство» и, естественно, «Хранение». В крупных компаниях, как правило, существует система бюджетирования, и эти бизнес-процессы имеют свой бюджет. Смоделировав логическую цепочку бизнес-процессов своего предприятия, можно увидеть все «реперные» точки. В качестве примера приведу модель абстрактного предприятия с очень сильным приближением к реальной модели. Рис.4. Стрелками указано движение материальных ценностей.



Кстати, из модели сразу видно то, о чем я говорил выше, а именно о выносе мошеннических схем за рамки предприятия, если не контролировать два важных бизнес-процесса Закупки и Продажи. Именно они напрямую влияют на главные показатели (затраты и выручку), составляющие прибыль организации, то есть то, ради чего это предприятие и создавалось.

Имея перед глазами реальную модель бизнес-процессов, можно четко определить, какие процессы мы можем защитить, а какие нет. Я думаю, что бесполезно лезть в само производство, если там есть несколько переделов. Любой технолог или производственник тебе популярно на пальцах объяснит, почему нужно на три дырки четыре шпильки, пять гаек. Нет, я конечно, понимаю, что это необходимо для выпуска неучтенной готовой продукции, но поверят ему, потому что он — технолог и эксперт в этом деле, а не тебе, безопаснику, бывшему майору МВД, да хоть КГБ, не важно. Если рассуждать логически, глядя на эту модель, то становится ясно, что реализация неучтенной продукции возможна лишь только через продажи и никак иначе. И если СЭБ будет реально защищать бизнес-процесс «Продажи», то реализация неучтенки станет невозможной, а значит, не будет того побудительного мотива ее создавать. Останется один канал – нелегальный вывоз с территории, который можно пресечь грамотной организацией работы охраны и совершенствованием периметра предприятия и режима. Вообще-то, природа неучтенки лежит на поверхности. Если ликвидное сырье, значит, будут создавать неучтенные излишки сырья, если оно неликвидно, то все равно будут создавать его излишки для того, чтобы из него сделать неучтенную готовую продукцию. Закрыв каналы реализации, мы демотивируем создание неученых излишков. Кстати, на таких производствах всегда существует производственный учет и, естественно, производственный план. И если один цех «перевыполняет», а другой нет, то откуда возьмется готовая продукция? И все таки, есть смысл мониторить и сопоставлять цеховые показатели с показателями складского учета и бухгалтерского. Если и не случиться взять за руку замыслившего дурное, то, по крайней мере, это будет неплохим сигналом того, что скоро будет попытка нелегального вывоза или маскировка под легальный. Что ж удвоим бдительность.

Рассуждая логически при моделировании абстрактных угроз, становится ясно, какие Бизнес-процессы следует в обязательном порядке брать под защиту. На Рис 5. изображена модель предприятия с метками контроля бизнес-процессов.



Продолжение статьи

0 комментариев

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.