Журнал "Директор по безопасности" Ноябрь 2021 | Page 5
ФИЛОСОФИЯ ЗАЩИТЫ
Ключевые компетенции директора по безопасности
ЕГОР ГЛУХОВ специалист по управлению персоналом
ЛЕТ 20 – 30 НАЗАД СОБСТВЕННИКИ КОМПАНИЙ , НАНИМАЯ РУКОВОДИТЕЛЕЙ СБ И ПРОСТЫХ ИСПОЛНИТЕЛЕЙ – специалистов по безопасности , ориентировались на простые критерии . От кандидата требовался опыт работы в правоохранительных структурах и , конечно , связи . Предполагалось , что такой человек организует охрану , будет проводить внутренние расследования и сможет проверить кандидатов , используя свои контакты с предыдущих мест работы ( законность такого способа обсуждать здесь не будем ). Иногда « безопасниками » и вовсе становились бывшие спортсмены , потому что наличие физической подготовки давало им преимущество в столкновениях . Плюсом были и специальные оперативные навыки , позволяющие быстро вступить в контакт , разговорить человека и получить нужную информацию . Сейчас требования изменились . В фокусе внимания персонал , информация , процессы и технологии , и директору по безопасности нужно знать и уметь больше , чем раньше .
Бизнес-процессы , рынок , риск-менеджмент Организация – сложная структура , где есть подразделения , создающие стоимость и те , которые обеспечивают беспрерывное функционирование . Внутреннюю структуру можно отобразить , например , в виде схем , где на входе есть сырье или данные , а на выходе продукция , услуги или преобразованная информация для внутренних или внешних клиентов . Частая причина ошибок , которые допускают как специалисты по безопасности , так и другие сотрудники в чьи обязанности входит контроль – менеджеры по персоналу , менеджеры по качеству и т . д . – незнание алгоритмов , цепочек , последовательности работ в тех или иных отделах . Между тем только знание бизнес-процессов позволяет обнаружить , например , признаки внутреннего фрода , который в некоторых областях составляет значительную часть всех потерь .
К сведению
По данным компании КПМГ , порядка половины потерь в отечественных торговых сетях приходится на внутреннее мошенничество . 33 % – треть потерь , приходится на воровство покупателей . Фрод в ритейле только по бонусным картам и картам лояльности затрагивает 3 – 5 % от общего объема транзакций . На недобросовестное поведение поставщиков приходится около 5 % потерь .
Типовые кейсы мошенничества на кассе , на примере манипуляций с чеком : Ввод неправильного кода вручную Отмена позиций в чеке / сторнирование Перезагрузка кассового аппарата Подмена товара в чеке Осуществление проверки цены в открытом чеке 1 .
Если специалист по безопасности не знает бизнес-процессов , не понимает показателей деятельности , он не найдет и признаков фрода .
Ориентироваться в рыночной ситуации не менее важно . Сюда относится знание компаний-конкурентов : история создания , основные товары и услуги , состав акционеров , топ-менеджмента . Кроме того , важно понимать , каковы тренды – развивается ли рынок , стагнирует , или угасает . Эти знания позволяют просчитать , какая информация может быть особенно ценной для конкурентов , и принять меры .
Управление рисками – задача отдельных подразделений в организации . Тем не менее , цель и задачи риск-менеджмента пересекаются с целями службы безопасности . Любые действия и решения в организации можно оценить с позиции возможных отрицательных финансовых последствий . По сути , риск-менеджер прогнозирует негативные результаты и их вероятность , и , исходя из этого принимает решения . Основная область риск-менеджмента – финансовая , связанная с инвестициями , акциями , ценными бумагами . Однако директор по безопасности тоже должен просчитывать последствия , составлять планы мероприятий по управлению рисками , планировать бюджет и обосновывать каждую его статью , аргументируя затраты . Если топ-менеджер не умеет мыслить категориями вероятности и значимости того или иного ри́скового события , он не сможет сопоставить расходы на обеспечение безопасности и возможные потери от того , если безопасность не будет обеспечена ( другими словами , иногда лучше ничего не предпринимать , ввиду незначительных последствий ). Полезно знать и основные принципы воздействия на риск : отказ от риска , снижение риска , удержание риска , передача риска .
Информационные технологии Политика безопасности включает в себя роли и полномочия , которые есть у сотрудников . Директор по безопасности должен хорошо знать , к каким ресурсам и у кого есть допуск .
К сведению « Аналитический центр компании InfoWatch представляет итоги глобального исследования публичных инцидентов в области безопасности корпоративной информации , связанных с деструктивными действиями увольняющегося или увольняемого сотрудника в отношении работодателя . […] Авторы исследования подчеркивают , что особую опасность при подготовке к увольнению представляют действия нелояльных сотрудников из числа привилегированных пользователей . Топ-менеджеры , руководители отделов и системные администраторы имеют доступ к широкому спектру корпоративных данных , к которым относится , например , коммерческая тайна и производственные ноу-хау , они хорошо знают бизнес-процессы предприятия и могут применить эти знания , нанося максимальный вред бывшему работодателю … В 2017 году привилегированные пользователи стали причиной 19 % нарушений , связанных с компрометацией корпоративных данных , более 80 % случаев произошли по вине рядовых сотрудников . Чаще всего при краже корпоративной информации персоналом движет мотив личной выгоды или работа на конкурентов , в то время как руководители в большинстве случаев идут на нарушения из чувства мести или руководствуются другими некорыстными мотивами » 2 .
Компетенции директора по безопасности не исчерпываются знанием политик доступа к различным информационным ресурсам . В сфере информационных технологий необходимо знание и других областей .
Хакинг . Здесь идет речь о наиболее распространенных способах и приемах злоумышленников : фишинговые рассылки , социальная инженерия , использование уязвимостей сайтов и прочее . Важно , чтобы сам специалист по безопасности владел различными методиками и мог их воспроизвести – речь , конечно , идет не о злонамеренном использовании .
Знание работы сетей . С темой хакинга связана и сетевая грамотность . К сетевым компетенциям относится знание модели OSI – физический , канальный , сетевой и т . д . уровни . Это дает понимание , каким образом происходит утечка информации . Нужно знать и как работают основные протоколы – Ethernet , TCP / IP , DNS , DHCP , 802.1 . Файерволлы , брэндмауэры тоже имеют непосредственное отношение к сетевой безопасности . Необходимо также разбираться в протоколах аутентификации и авторизации .
Зная принципы построения сетей , специалист по безопасности должен понимать : как обойти блокировку ; как подключиться к беспроводной сети ; как перехватывать трафик с помощью программ-перехватчиков ( так называемых снифферов ); как организовать атаку на оборудование с тем , чтобы оно временно вышло из строя ( DDoS – атака ); как « уронить » приложение . Вообще менеджер по безопасности должен хорошо знать софт , который используется в компании , включая бухгалтерские программы , системы CRM , Helpdesk , инструменты для проектной работы ( Jira , например ), программы управляющие организацией услуг – ITSM и т . д . Компетентный специалист также в курсе , какие сетевые ресурсы есть в компании – папки , диски , каталоги .
Персонал Любая компания это , прежде всего люди . Сама по себе вредоносная программа не представляет угрозы , но как только она окажется в руках злоумышленника , последcтвия могут быть печальными . Социальные системы сложны и трудно прогнозируемы , и , как следствие , являются самыми опасными . Какие компетенции директора СБ могут быть востребованы с этой точки зрения ?
Знание социальной психологии . Каждый человек является психологом , но это бытовое знание . Мы понимаем , что люди объединяются в группы , что одним удается влиять на других , а другим – нет , что есть предубеждения , предрассудки и т . д . Однако этого недостаточно . Чтобы понимать , как образуются и развиваются коллективы , нужно иметь и теоретическую подготовку . В этом аспекте полезно ориентироваться в следующих областях .
Психология групп . Сюда относится групповая динамика , описывающая развитие групп , стадии роста , эффекты , связанные с каждой стадией . Благодаря этому специалист СБ может моделировать риски , присущие каждому из этапов . Сюда же относятся и роли в коллективе . В нем есть лидеры , исполнители , генераторы идей , неформальные лидеры и так далее . Зная , какое место в иерархии занимает тот или иной сотрудник , какова структура группы , можно определить возможные угрозы . Например , когда происходит борьба за лидерство , или , когда один из аутсайдеров решает отомстить за плохое отношение .
К сведению
Одна из моделей , описывающая отношения между большими группами – марксистская теория , делающая акцент на борьбе между классами .
Психология групп изучает и социальнопсихологические феномены – ингрупповой фаворитизм , конформизм , хоторнский эффект и другие . Так , например , феномен сдвига к риску при принятии решений объясняет , почему в группе принимаются менее осторожные решения ( в том числе и представляющие угрозу компании ).
Психология общения . Здесь речь идет о практической стороне – умении устанавливать контакт , располагать к себе собеседника . Далеко не все , в том числе и специалисты по безопасности , применяют методики слушания . В частности , мало кто умеет использовать техники пересказа , уточняющие вопросы , резюмирование . То же самое касается установления зрительного контакта , навыков интерпретации мимики для определения эмоционального состояния собеседника . Эти компетенции не всегда приобретаются с опытом и часто требуют специальной тренировки – прохождения тренингов , семинаров . К психологии общения можно отнести и умение разрешать конфликты , снимать напряженные ситуации .
Социальная перцепция . Сюда входит большой блок знаний о том , как люди оценивают качества друг друга – готовность прийти на помощь , быть ответственными , агрессивными или сотрудничающими , каковы механизмы понимания – на основе собственного опыта , путем анализа внешнего поведения и т . д . Восприятие и оценка также имеют закономерности и эффекты – к примеру интерпретация своего поведения отличается от интерпретации других людей .
Управление персоналом . В первую очередь , для специалиста по безопасности важным моментом является мотивация персонала . Нужно знать , как обычно сотрудников поощряют в компании .
Компетенции директора по безопасности не исчерпываются знанием политик доступа к различным информационным ресурсам . В сфере информационных технологий необходимо знание и других областей