| ||
Корпоративная безопасность бизнеса
В современной Украине, корпоративная безопасность бизнеса - не пустой звук. С каждым днем необходимость грамотной организации такой безопасности возрастает.
Мнения по поводу того, что это такое и "с чем это едят" очень различны.
Проблематика темы: что такое корпоративная безопасность бизнеса в Украине и не только? Применение в рамках организации такого рода безопасности корпоративной разведки и контр-разведки.
Высказываемся...
Nothing personal, just business
Что-то из области отдаленного будущего.
Нынче же не до жиру - быть бы живу.
Да и что такое корпоративная безопасность? Понятие зело размывчатое, как по мне.
Pax vobis!
Et cum spiritu tuo.
По поводу отдаленного будущего есть такая история...Сообщение от El Comandante
...Как то в брежневские времена Союз посетила делегация из Японии. Водили их по Москве, по военным базам, хвастались передовыми технологиями и достижениями...мол, вот...при коммунизме уже обитаем-с...
Японцы ходили молча, ничего не комментируя. И только когда уже почти уже в свой самолет обратно лететь грузились, представитель Союза, застенчиво откашлявшись, спросил "ну как Вам?". Глава делегации японцев сказал примерно следующее: "Мы считали, что Союз отстал от мирового прогресса где-то лет на 20...теперь нам кажется, что Вы отстали навсегда"...
Так вот, то что нам кажется отдаленным будущим, везде уже глубочайшее прошлое.
К.Б. - это вполне осязаемая вещь, которая на определенном этапе развития бизнеса просто необходима, чтобы обеспечить свою жизне- и конкурентоспособность.
Частично К.Б. представлена в банковской системе и в некоторых крупных холдингах. Но только частично...люди действуют на ощупь...Тем более, что отделы безопасности банков укомплектованы в основном из бывших отставников спецорганов. А последние хорошо понимают только гос.безопасность. В общем то корень то конечно один, но, так сказать, суфикс и окончание в коммерции другое.
В общем считаю, что есть о чем ПРЕДМЕТНО пообщаться
Nothing personal, just business
Корпоративная безопасность на процентов 50 состоит из безопасности информационной. Сложно найти конкурентноспособную фирму\предприятие которое обходится без компьютеров... Поэтом нужно заботиться о грамотных специалистах IT сферы. Думаю через годик- два на таких специалистов будет большой спрос...
Для безопасности физической вполне , думаю, подходят и отставники спец.органов. Тем более, что можно посмотреть на опыт организации безопасности в аналогично сфере у зарубежной компании... Ведь , всегда легче отталкиваться от уже готового результата и совершенствоваться...
Согласен. Но вот по поводу 50% на инф. безопасность - сложно точно определить процент, не зная в принципе составляющих элементов К.Б.
Ведь можно широко трактовать термин информационная безопасность - он может рассматриваться и как отдельно взятое явление и как составная часть К.Б., как нечто, связанное только с работой IT специалистов, так и результатом усилий юристов, финансистов, экономистов и IT специалистов.
По поводу физической безопасности - так сказать, generally, я вообще не сторонник включения физ. безопасности в К.Б., потому как когда уже в наглую приходят и толпой захватывают предприятие, в буквальном смысле выкидывают на улицу руководителя и управляющий персонал и провозглашают начало нового царства на предприятии, то такие сценарии уже описаны в Уголовном кодексе, там же и классифицированы, названы и т.д. и т.п. Хотя справедливости ради надо сказать, что Украина в данном случае, как впрочем и всегда, блеснула своей национальной спецификой: у нас это нормально. У нас нормально, что у частной клиники есть непробиваемая вооруженная охрана, которая не пускает на территорию такой клиники НИКОГО, а клиника скрывает преступника...и в то же время, нормально, когда в магазин мужской и женской одежды, где весь штат - три женщины, врываются, а то и вламываются, доблестные бойцы БЕРКУТа, ложит всех на пол (!) и на все вопросы отвечает просто "Приказ..."
Так что наверное, в Украине, физическая охрана объекта, к сожалению, вещь достаточно нужная.
Nothing personal, just business
ИМХО , если выделить из "информационной безопасности" только специализацию IT то её доля , думаю, процентов 50 приблизительно. Т.к. шпионаж доступен по трем направлениям: взломать компьютеры, поговорить с работником, узнать через третьих лиц (возможно спец.служб\банков). Усилия экономистов, юристов и финансистов , по моему мнению, представляют еще процентов
30. А если под физической безопасностью понимать достаточное силовую охранную систему, адекватную рассматриваемому предприятию, то на это и 20 процентов с головой хватит. Ибо сама суть охраны и методы это уже забота силовой организации , а не клиента. В любом случаи все эти составляющие тесно между собой связаны и переплетены. А полагаться на УК, тем более Украины, считаю бессмысленным.
Если по решению юридического вопроса можно обратиться в разного рода инстанции\суды, то касательно дел проходящих по УК это труднее.
В любом случаи, все начинается с железной руки правления любым предприятием. Если нет порядка и железной субординации - хлам и бардак во всем процветают. Это касается как предприятия в частности, так и правительства страны в целом.
Согласитесь, что на вами описанный шпионаж есть и контр-шпионаж.
1. Взломать компьютер - согласен ITшник поможет.
2. Поговорить с работником...как бы это смешно не звучало, но помогает грамотная организованная кадровая политика в компании - при помощи юристов, финансистов, экономистов. Если работник всесторонне заинтересован в сохранении рабочего места (не важно с помощью каких методов это достигается), "поговорить" с ним вряд ли удастся. Всесторонне - значит зарплата не в конверте, а счет в банке, реальный социальный пакет, человеческое отношение со стороны начальства и прочее.
3.Теперь "узнать через третьих лиц (возможно спец.служб\банков)"...опять же грамотный менеджмент. Представьте, что в какой-то европейский банк обращается частное лицо...да даже гос.орган...с просьбой дать определенную информацию о клиенте за вознаграждение. Получит очень определенный ответ...Поэтому вопрос стоит в правильном продуманном выборе финансового партнера Вашему бизнесу, т.е. банка. Не какой нибудь "Неситевашиденьги Банк", а BNP Parisbas, Natexis, UBS. Конечно подороже, но и понадежней...А спецслужбы...ну что они могут сказать...пройтись по государственным реестрам - это ничего не даст; поработать с агентурой...вариант, но - см. п.2. Последний вариант нужно подкрепить более системными методами контрразведки - отвлечение, провокация, камуфляж и т.д.
А полагаться на УК никогда не бессмысленно - наоборот, нужно создавать прецеденты, как бы тяжело это не было.
Почему это труднее?
По поводу менеджмента - согласен.
Nothing personal, just business
Вы описали утопию. Идеальную компанию с идеально поставленным менеджментом(ибо должен быть кто-то , кто поставит всю компанию ходить по такой струнке) . А такая идеальная компания не может существовать в не идеальном "пространстве"...С нашим менталитетом и разнообразием обстоятельств неприятных , каждый из пунктов контр.разведки может дать трещину. Тем более, других методов шпионажа применяемых в широком масштабе пока что не придумали...(ну , подслушивающие устройства и вся аппаратура такого рода должна истребляться и быть заботой силовой структуры обслуживающей предприятие)1. Взломать компьютер - согласен ITшник поможет.
2. Поговорить с работником...как бы это смешно не звучало, но помогает грамотная организованная кадровая политика в компании - при помощи юристов, финансистов, экономистов. Если работник всесторонне заинтересован в сохранении рабочего места (не важно с помощью каких методов это достигается), "поговорить" с ним вряд ли удастся. Всесторонне - значит зарплата не в конверте, а счет в банке, реальный социальный пакет, человеческое отношение со стороны начальства и прочее.
3.Теперь "узнать через третьих лиц (возможно спец.служб\банков)"...опять же грамотный менеджмент. Представьте, что в какой-то европейский банк обращается частное лицо...да даже гос.орган...с просьбой дать определенную информацию о клиенте за вознаграждение. Получит очень определенный ответ...Поэтому вопрос стоит в правильном продуманном выборе финансового партнера Вашему бизнесу, т.е. банка. Не какой нибудь "Неситевашиденьги Банк", а BNP Parisbas, Natexis, UBS. Конечно подороже, но и понадежней...А спецслужбы...ну что они могут сказать...пройтись по государственным реестрам - это ничего не даст; поработать с агентурой
Я думаю, что если вопрос хозяйственный, то при его решении можно (если можно и нужно), притянуть к этому УК, для решения. Но я в юриспруденции не очень разбираюсь.., вам как юристу виднее.Почему это труднее?
Не утопию, а скорее идеальную модель...ту к которой нужно стремиться при построении бизнеса. Ведь согласитесь, в каждой сфере общества есть определенная идеальная модель, которая служит неким ориентиром для движения вперед.
Собственно именно поэтому я и создал эту тему, чтобы максимально точно определить что такое К.Б.
Да и любой нормальный руководитель приходит к пониманию, что стремится нужно именно к идеальной модели управления, а не просто так...то тут чего подделал, то там подлатал...так долго не проживешь.
А по поводу УК...опять же повторюсь: нужно создавать прецеденты. И когда на тебя давят, хороши все средства противодействия.
Nothing personal, just business
я ж и уточнил:Не утопию, а скорее идеальную модель...ту к которой нужно стремиться при построении бизнеса. Ведь согласитесь, в каждой сфере общества есть определенная идеальная модель, которая служит неким ориентиром для движения вперед.Идеальную компанию с идеально поставленным менеджментом
Тогда давай те постепенно оговаривать аспекты...Собственно именно поэтому я и создал эту тему, чтобы максимально точно определить что такое К.Б.
Допустим в КБ можно выделить основные функции, у функций - подразделения, а у подразделений плюсы и минусы. Так и составим общую картину КБ.
Например, разделим КБ на внешнюю и внутреннюю функции. К внешней относится воздействие гос.структур, природных факторов и силовое воздействие посторонних лиц и притязания юридической направленности. К внутренней - обеспечение безопасности компьютерной (я считаю это внутренним барьером от проникновения), железо-бетонная мотивация и отбор персонала, моральная атмосфера в коллективе на 4+ минимум.
Вроде все упомянул...
Теперь уже можно раскладывать по полочкам в плане методов реализации всех пунктов...
вы хотите сказать , что крупные и процветающие фирмы не следят за своей безопасностью? не требуют мер защиты?многие крупные и процветающие фирмы в этом уже нужды не имеют( поэтому и процветают)
Если бы это было так, то процветающими они б не были...
Вы ж говорите "нужды уже не имеют" , так КБ и есть эта самая система защиты...у них уже имеется своя система защиты. поэтому и работают нормально.
любую систему можно поломать если в ней есть брешь
В подавляющем большинстве компьютерных систем, старше по уровню чем крестики-нолики, есть бреши. Любую компьютерную систему можно взломать, вопрос только во времени необходимом для взлома. И вот если это время адекватно и приемлимо поставленным задачам - наступает осуществление взлома.
тут это и обсуждаем.., вернее для этого и обсуждаем, что б определить критерии системы корпоративной безопасности. Ведь в общих чертах каждый может для себя напридумать , но в комплексе это ж действенней и всесторонне)если создавать бизнес предусматривая всевозможную агрессию, то себестоимость атаки будет намного больше и это возможно откинет желание атаковать фиму.
критерии и ищем... сферы на части, части на критерии, у критериев - свои плюсы и минусы)
Последний раз редактировалось serendipity; 17.02.2009 в 00:08.
Под корпоративной безопасностью понимается состояние субъекта коммерческой деятельности, при котором:
1. субъект способен обеспечить отсутствие внешних и внутренних рисков приводящих к возникновению конфликтов как внутри субъекта, так и в отношениях с третьими лицами;
2. субъект способен предупредить возникновение внешних и внутренних угроз основным составляющим элементам компании (руководство, персонал, коммерческая тайна, активы, клиенты).
Соответственно, предприятие - это
1. Руководство
2. Персонал
3. Коммерческая тайна
4. Активы
5. Клиенты
Далее...согласен на выделении в КБ внешней и внутренней функций:
- внешняя ф.: заключается в том, что существующая система корпоративной безопасности должна успешно противостоять текущие атаки и предупреждать потенциальные. При этом, определить характер или субъектов таких атак, на мой взгляд, достаточно сложно, поскольку чаще всего субъект - смешанный. Имеется ввиду, что если во внешней среде принято решение атаковать, то атака проводиться при помощи комплексных методов с участие заинтересованного лица, государственной структуры, вспомогательных и технических организаций. При этом, выбор адекватной к данному виду атаки государственной структуры зависит от рода деятельности компании, текущей коммерческой активности и существующих проблем: например, транспорт, внешнеэкономическая деятельность, отсутствие необходимой технической базы для полноценного предоставления транспортных услуг (аренды вместо собственности). В последнем случае атака вероятней всего последует от более крупной компании конкурента, при помощи специализированной прокуратуры, налоговой инспекции, таможни, а вспомогательными и техническими организациями могут выступить определенные профильные ассоциации, арендодатели технической базы.
- внутренняя ф.: существующая система корпоративной безопасности должна служить базой для гармоничного и эффективного взаимодействия внутренних структурных подразделений компании, при чем как на уровне собственника и топ-менеджмента, так и на уровне рядовых исполнителей.
Объектами совершенствования в существующей или планируемой КБ должны выступать именно элементы компании, перечисленные выше.
Nothing personal, just business
Почему именно субъекта коммерческой деятельности? Ведь это может быть и менеджер высшего звена, при этом являющийся только работником или наемным по контракту для выполнения спектра мероприятий по организации КБ на предприятии... По двум пунктам согласен.
Коммерческая тайна не совсем вписывается в список. Скорее можно вычеркнуть 3-й пункт, но разбить активы на материальные и нематериальные (i.e. их защита). Т.к. коммерческая тайна это тоже актив, рас присутствует в цепочке производства продукта\услуги.Соответственно, предприятие - это
1. Руководство
2. Персонал
3. Коммерческая тайна
4. Активы
5. Клиенты
Думаю рассматривать нападение субъекта не имеет смысла, если факторы безопасности учтены и настроены. Я имею ввиду- внешняя ф.: заключается в том, что существующая система корпоративной безопасности должна успешно противостоять текущие атаки и предупреждать потенциальные. При этом, определить характер или субъектов таких атак, на мой взгляд, достаточно сложно, поскольку чаще всего субъект - смешанный. Имеется ввиду, что если во внешней среде принято решение атаковать, то атака проводиться при помощи комплексных методов с участие заинтересованного лица, государственной структуры, вспомогательных и технических организаций. При этом, выбор адекватной к данному виду атаки государственной структуры зависит от рода деятельности компании, текущей коммерческой активности и существующих проблем: например, транспорт, внешнеэкономическая деятельность, отсутствие необходимой технической базы для полноценного предоставления транспортных услуг (аренды вместо собственности). В последнем случае атака вероятней всего последует от более крупной компании конкурента, при помощи специализированной прокуратуры, налоговой инспекции, таможни, а вспомогательными и техническими организациями могут выступить определенные профильные ассоциации, арендодатели технической базы.
факторы описанные тут Определить можно и нужно что за структура пытается атаковать, что бы знать куда попадет удар , но суть характера такой структуры - не имеет значение , т.к определяется назначением\специализацией\ отраслью . А по каждой отрасли можно определить основные сильные и слабые стороны субъекта.
Я вижу реальную угрозу роста информационного шантажа (ну типа когда вирус шифрует критическую информацию, блокирует работу оборудования и ПО и за разблокирования вымогают денежку). Прикиньте, сколько будет стоить простой бизнеса, скажем неделю. Вымогатель просит 1/10 суммы, органы обещают его найти, но на это уйдет время. Голодные программисты страшная сила.
Главное что бы программист\сис.админ в самой фирме не был голодным) И если он сыт, то обязательно будет делать бэкапы информации хоть каждый день если этого требует специфика работы... И к тому же если сис.админ не по блату сидит на своем месте, если что-то знает, если морально у него все в порядке и если зарплату ему платят вовремя и немалую, то этот сис.админ и сам знает что надо делать бэкапы , создает спец диски по 10-ти минутному восстановлению офис системы в экстренном порядке... И поводом для таких действий не является новость о надвигающемся "потопе"
Просто что бы это все знать надо учиться этому не только в вузе или курсах, а уже на работе и знать специфику изнутри, держа руку на пульсе. Тем более если есть мотивация, то системный администратор\программист и есть не будет и в туалет не будет ходить пока не сделает какую -то важную часть работы. Мотивация - это наше "все". И если есть достаточная мотивация , то даже метод "кнута и пряника " можно свести на минимум... Тут уже будут действовать "высокие материи" ))))
Ваши права
Тема: 
Ответить с цитированием
Социальные закладки