Nie ma możliwości zapewnienia firmie całkowitego bezpieczeństwa. Dokumenty i informacje wyciekały, wyciekają i będą wyciekały. Kradzieże czy akty sabotażu będą się zdarzać, a nieuczciwi partnerzy biznesowi niejedno przedsiębiorstwo postawią w trudnej sytuacji. Ale czy to znaczy, że tego typu sytuacji w żaden sposób nie można uniknąć? Ależ skąd! Niebezpieczeństwa nie da się całkowicie wyeliminować, ale można znacznie zmniejszyć prawdopodobieństwo jego wystąpienia.
Bezpieczna firma - Czy taka w ogóle istnieje?
Definicji jest mnóstwo, od najbardziej ogólnej, mówiącej, że to firma, która w sposób niezagrożony i przy zapewnieniu ciągłości działania realizuje wszystkie założone cele, aż po definicje skomplikowane, akcentujące najdrobniejsze szczegóły działania firmy.
Ale nie żyjemy w próżni. Każde przedsiębiorstwo w trakcie funkcjonowania narażone jest na wiele niebezpieczeństw mogących zagrozić realizacji celów, a bywa, że i samemu istnieniu firmy. - W wielu rzekach żyją ryby, choć teoretycznie jest to niemożliwe, bo żaden organizm nie zniesie takiego natężenia zanieczyszczeń. A one po prostu wykształciły w sobie umiejętność radzenia sobie w konkretnym środowisku, odpowiedniego reagowania, wyczuwania zagrożeń, unikania ich. Podobnie jest w biznesie - uważa Jarosław Szajkowski, prezes warszawskiej firmy Magen działającej na Warszawskiej Giełdzie Spożywczej, zajmującej się hurtową sprzedażą artykułów spożywczych. Porównanie może niektórych szokować, ale jego zdaniem jest adekwatne do sytuacji na polskim rynku biznesowym.
- Jeszcze długo nie będzie na nim czystych zasad gry. O sukcesie lub porażce decydują często nie umiejętności negocjacyjne, sprawność i kreatywność, ale zdolność opierania się zagrożeniom - dodaje.
- Gra rynkowa zawsze była i będzie bezpardonową walką o przetrwanie - dodaje Tadeusz Kulicki, prezes firmy Secur-Benefit. - Podstępy, dywersja, kradzieże, działania wywiadowcze, choć kojarzymy je z zupełnie inną dziedziną życia, w biznesie są na porządku dziennym. Każdy, kto zakłada firmę, powinien sobie zdawać sprawę z konieczności stawienia im czoła.
Zdaniem Jacka Giermka, wiceprezesa wchodzącego w skład firmy Konsalnet Instytutu Bezpieczeństwa Biznesu, trzeba wiedzieć, co się dzieje wokół, znać plany konkurencji i zrobić wszystko, by ona nie poznała naszych, trzeba też atakować i odpierać ataki. Często robi się to niemal bezwiednie, w końcu na tym polega rywalizacja o klienta, wzrost zysków, rynkowe istnienie.
Od stróża do high-tech
W przeszłość odchodzi powszechny jeszcze do niedawna stereotyp ochroniarza. Dziś nie ma już miejsca dla źle wyszkolonych i słabo wyposażonych, często niechlujnych i lekceważąco traktujących swoje obowiązki emerytów lub osiłków, których jedyną zaletą jest to, że niewiele kosztują, bo nigdzie indziej nie mogą znaleźć pracy.
Szeroko rozumiane security to dziś wielki przemysł, generujący rocznie miliardy euro obrótów - uważa Wiesław Bednarz, prezes zarządu Konsalnet SA. Jego zdaniem, w Polsce dynamika rozwoju tej branży jest bardzo duża, o czym świadczyć może 50-proc. (ze 100 do 150 mln zł) wzrost przychodów firmy w ubiegłym roku. Zbliżone skoki zanotowały też inne przedsiębiorstwa z tzw. wielkiej ochroniarskiej piątki (Group 4, Solid, Impel, Securitas). Jak twierdzi Tadeusz Kulicki, mniejsze firmy też mają powody do zadowolenia. - Tort jest duży. Kawałków wystarczy dla wielu - twierdzi.
Ów tort należy dziś dzielić na jakieś 4000 kawałków - tyle jest obecnie firm z licencjami na prowadzenie działalności ochroniarskiej. To, ile ugryzą, zależy z jednej strony od apetytu, z drugiej zaś - od możliwości inwestycyjnych. Szacuje się, że wartość usług ochroniarskich na rynku polskim wynosi ok. 30 mld zł rocznie.
Bank Pekao SA powierzył niedawno Konsalnetowi swoją gotówkę. Firma zajmuje się m.in. ochroną, przewożeniem, liczeniem, banderolowaniem, wychwytywaniem fałszywek, obsługą skarbców i bankomatów. Wymagało to inwestycji rzędu kilkunastu milionów złotych - pieniądze poszły m.in. na kupno 120 opancerzonych specjalistycznych samochodów i sieci skarbców w całej Polsce.
Firmy security proponują coraz więcej usług. Najwięcej do powiedzenia mają te, które kompleksowo podchodzą do bezpieczeństwa biznesu i oferują: ochronę fizyczną, techniczną, wywiadownie gospodarcze, tzw. cash processing, nadzór nad bezpieczeństwem systemów informatycznych, prowadzenie audytów bezpieczeństwa itp. Coraz częściej stosuje się wykrywacze kłamstw czy prowadzone za pomocą najnowszych urządzeń badania wykrywające podsłuch.
O perspektywach rozwoju świadczy też to, że wiele firm inwestycyjnych gotowych jest zainwestować w firmy ochroniarskie środki rzędu 10-20 mln dolarów, licząc na wysoką stopę zwrotu. Nic dziwnego - dla dużych przedsiębiorstw, często z udziałem kapitału zagranicznego, najlepszym partnerem jest duża, silna firma ochroniarska. Ceny na naszym rynku są dziś przeciętnie dziesięć razy niższe niż w Europie Zachodniej, przy porównywalnym standardzie usług - istnieją więc spore możliwości ich wzrostu i zwiększenia zysków.
Od czego zacząć?
Jak należy myśleć o zapewnieniu bezpieczeństwa firmie? Zamachy z 11 września, wstąpienie do NATO i Unii Europejskiej wyznaczyły w Polsce nowe standardy myślenia o ochronie. Teraz nie pada już pytanie: "czy?" tylko "jak?".
Do ideału jednak jeszcze nam daleko. Zdaniem Jacka Giermka, często inwestuje się w bezpieczeństwo znacznie więcej, niż trzeba, nie osiągając założonych efektów. Błędy, nieporozumienia, niewiedza, chęć zastosowania chałupniczych metod - to podstawowe grzechy. Popełniają je zarządy firm, niezależnie od wielkości. - Instaluje się drogi system podglądu z dużą liczbą kamer. Tymczasem gdy dochodzi do zdarzenia, nie można znaleźć sprawcy: urządzenia rejestrują otwarcie drzwi, potem nie pokazują nic i na ostatnim ujęciu widać plecy osoby wychodzącej po popełnieniu przestępstwa - mówi Jacek Giermek.
Bywa też tak, że od frontu tworzy się skuteczne systemy zabezpieczenia, a z tyłu niepozorna brama nie ma nawet zwykłej kłódki.
System bezpieczeństwa powinien składać się z trzech coraz węższych pierścieni. Pierwszy - zapewniający bezpieczeństwo ogólne, drugi - szeroko rozumiane bezpieczeństwo informacji, i trzeci - zabezpieczający szczególnie strategiczne sfery firmy. - Co z tego, że znakomicie zabezpieczymy system informatyczny, skoro nie zdołamy zapanować nad powielaniem danych na nośnikach papierowych i wynoszeniem ich? Co z tego, że ustawimy zapory uniemożliwiające dostęp do newralgicznych komputerów, skoro ktoś wejdzie na teren firmy i ukradnie komputer czy podłoży ogień w serwerowni? Nie mówiąc już o tym, że bardzo często sprzątaczka lub goniec okazują się sprawnymi hakerami działającymi na rzecz konkurencji - dodaje Jacek Giermek.
W Polsce funkcjonują dwie normy. Nie ma obowiązku ich stosowania, ale warto się im przyjrzeć i... zastosować je. Pierwsza to PN 17799 - związana z bezpieczeństwem wszelkich informacji, także dotyczących finansów, kadr, systemu zarządzania, obiegu dokumentów itp. - reguluje zasady dostępu do nich, opisuje zewnętrzny pierścień ochrony. Z kolei PN 77992004 to podstawa do certyfikacji w zakresie bezpieczeństwa. Bez niej nie będzie możliwe prowadzenie działalności w krajach Unii Europejskiej i NATO.
Po wejściu Polski do tych organizacji każdy podmiot gospodarczy, który chciałby wykonywać jakiekolwiek zadania dla związanych z nimi instytucji, musi mieć stosowne certyfikaty. Bez nich nawet tak prosta czynność jak przewiezienie śrubek, których gwint można wykorzystać do produkcji pistoletu maszynowego, będzie niemożliwa. I znajdą się mechanizmy kontrolne, które do tego nie dopuszczą.
6 kroków do zbudowania bezpieczeństwa firmy
1 Rozpoznanie sytuacji wewnątrz firmy, ocena ryzyka zagrożeń. Ustalenie, co jest istotne dla bezpieczeństwa wewnętrznego? Co stanowi zasoby strategiczne? Należy do nich włączyć także pozornie nieistotne informacje - sygnał o chorobie nerek prezesa zarządu może być niezwykle cenny dla konkurencji.
2 Ustalenie, jakie istnieją zagrożenia zewnętrzne, zwłaszcza ze strony konkurencji (pozyskiwanie informacji w sposób nielegalny stało się dziś niemal codziennością), jak zorganizować system ochrony, optymalizując środki finansowe oraz tak, by nie utrudniało to pracy firmy. Jak wdrożyć standardy bezpieczeństwa?
3 Stworzenie polityki bezpieczeństwa - dokumentu normatywnego oraz dokumentów wykonawczych do niego (poleceń, instrukcji).
4 Wdrożenie polityki bezpieczeństwa.
5 Zarządzanie bezpieczeństwem poprzez monitorowanie,
nadzór i kontrole.
6 Uzyskanie certyfikatu ISO w zakresie bezpieczeństwa. Kto nie spełnia jego wymogów, nie jest wiarygodnym partnerem - teoretycznie grozi mu wyciek informacji, także o kontrahencie. Jego działalność w każdej chwili może ulec dezorganizacji i spowodować fatalne konsekwencje dla tych, którzy zdecydują się na współpracę.
O czym należy pamiętać, organizując system bezpieczeństwa firmy
Bezpieczeństwo to kompleks wynikających z siebie działań
Jego zorganizowanie wymaga udziału fachowców
Samodzielne tworzenie układanki z wyrwanych elementów bezpieczeństwa kosztuje więcej i często nie daje zaplanowanego efektu
Nie wystarczy tylko zorganizować sprawnie działającego systemu, trzeba nim jeszcze skutecznie zarządzać - inaczej wcześniej czy później zawiedzie. Dlatego niezbędna jest ciągła współpraca z firmami ochroniarskimi, szkolenia pracowników itp.
Audyt bezpieczeństwa informacji dotyczy pięciu podstawowych sfer
1. Organizacja bezpieczeństwa i legalności
Podstawy ochrony i dostępu do informacji. Sfera obejmuje wszystkich pracowników, a kształtowana jest przez najwyższy szczebel zarządzania jednostką.
2. Bezpieczeństwo fizyczne, osobowe, środowiskowe
Zapewnienie bezpieczeństwa osobom i majątkowi firmy. Obszar obejmuje również zagadnienia związane z reagowaniem na incydenty czy naruszeniem bezpieczeństwa.
3. Zarządzanie systemami i sieciami informatycznymi
Ta sfera dotyczy zespołów pracowniczych zajmujących się administrowaniem systemami, sieciami, aplikacjami. Obejmuje również obszar organizacyjno-prawny.
4. Dostęp do systemów
Badanie zabezpieczenia systemów operacyjnych, sieci teleinformatycznych, aplikacji użytkowych, procesów, funkcji oraz zasad przydzielania uprawnień do korzystania z nich.
5. Rozwój i utrzymanie systemów
Obejmuje przede wszystkim system IT; sprawdza się wymagania stawiane aplikacjom, ich zabezpieczenie, w tym m.in. ochronę kryptograficzną oraz jakość ciągłego zarządzania.
Bezpieczna firma - Czy taka w ogóle istnieje?
Definicji jest mnóstwo, od najbardziej ogólnej, mówiącej, że to firma, która w sposób niezagrożony i przy zapewnieniu ciągłości działania realizuje wszystkie założone cele, aż po definicje skomplikowane, akcentujące najdrobniejsze szczegóły działania firmy.
Ale nie żyjemy w próżni. Każde przedsiębiorstwo w trakcie funkcjonowania narażone jest na wiele niebezpieczeństw mogących zagrozić realizacji celów, a bywa, że i samemu istnieniu firmy. - W wielu rzekach żyją ryby, choć teoretycznie jest to niemożliwe, bo żaden organizm nie zniesie takiego natężenia zanieczyszczeń. A one po prostu wykształciły w sobie umiejętność radzenia sobie w konkretnym środowisku, odpowiedniego reagowania, wyczuwania zagrożeń, unikania ich. Podobnie jest w biznesie - uważa Jarosław Szajkowski, prezes warszawskiej firmy Magen działającej na Warszawskiej Giełdzie Spożywczej, zajmującej się hurtową sprzedażą artykułów spożywczych. Porównanie może niektórych szokować, ale jego zdaniem jest adekwatne do sytuacji na polskim rynku biznesowym.
- Jeszcze długo nie będzie na nim czystych zasad gry. O sukcesie lub porażce decydują często nie umiejętności negocjacyjne, sprawność i kreatywność, ale zdolność opierania się zagrożeniom - dodaje.
- Gra rynkowa zawsze była i będzie bezpardonową walką o przetrwanie - dodaje Tadeusz Kulicki, prezes firmy Secur-Benefit. - Podstępy, dywersja, kradzieże, działania wywiadowcze, choć kojarzymy je z zupełnie inną dziedziną życia, w biznesie są na porządku dziennym. Każdy, kto zakłada firmę, powinien sobie zdawać sprawę z konieczności stawienia im czoła.
Zdaniem Jacka Giermka, wiceprezesa wchodzącego w skład firmy Konsalnet Instytutu Bezpieczeństwa Biznesu, trzeba wiedzieć, co się dzieje wokół, znać plany konkurencji i zrobić wszystko, by ona nie poznała naszych, trzeba też atakować i odpierać ataki. Często robi się to niemal bezwiednie, w końcu na tym polega rywalizacja o klienta, wzrost zysków, rynkowe istnienie.
Od stróża do high-tech
W przeszłość odchodzi powszechny jeszcze do niedawna stereotyp ochroniarza. Dziś nie ma już miejsca dla źle wyszkolonych i słabo wyposażonych, często niechlujnych i lekceważąco traktujących swoje obowiązki emerytów lub osiłków, których jedyną zaletą jest to, że niewiele kosztują, bo nigdzie indziej nie mogą znaleźć pracy.
Szeroko rozumiane security to dziś wielki przemysł, generujący rocznie miliardy euro obrótów - uważa Wiesław Bednarz, prezes zarządu Konsalnet SA. Jego zdaniem, w Polsce dynamika rozwoju tej branży jest bardzo duża, o czym świadczyć może 50-proc. (ze 100 do 150 mln zł) wzrost przychodów firmy w ubiegłym roku. Zbliżone skoki zanotowały też inne przedsiębiorstwa z tzw. wielkiej ochroniarskiej piątki (Group 4, Solid, Impel, Securitas). Jak twierdzi Tadeusz Kulicki, mniejsze firmy też mają powody do zadowolenia. - Tort jest duży. Kawałków wystarczy dla wielu - twierdzi.
Ów tort należy dziś dzielić na jakieś 4000 kawałków - tyle jest obecnie firm z licencjami na prowadzenie działalności ochroniarskiej. To, ile ugryzą, zależy z jednej strony od apetytu, z drugiej zaś - od możliwości inwestycyjnych. Szacuje się, że wartość usług ochroniarskich na rynku polskim wynosi ok. 30 mld zł rocznie.
Bank Pekao SA powierzył niedawno Konsalnetowi swoją gotówkę. Firma zajmuje się m.in. ochroną, przewożeniem, liczeniem, banderolowaniem, wychwytywaniem fałszywek, obsługą skarbców i bankomatów. Wymagało to inwestycji rzędu kilkunastu milionów złotych - pieniądze poszły m.in. na kupno 120 opancerzonych specjalistycznych samochodów i sieci skarbców w całej Polsce.
Firmy security proponują coraz więcej usług. Najwięcej do powiedzenia mają te, które kompleksowo podchodzą do bezpieczeństwa biznesu i oferują: ochronę fizyczną, techniczną, wywiadownie gospodarcze, tzw. cash processing, nadzór nad bezpieczeństwem systemów informatycznych, prowadzenie audytów bezpieczeństwa itp. Coraz częściej stosuje się wykrywacze kłamstw czy prowadzone za pomocą najnowszych urządzeń badania wykrywające podsłuch.
O perspektywach rozwoju świadczy też to, że wiele firm inwestycyjnych gotowych jest zainwestować w firmy ochroniarskie środki rzędu 10-20 mln dolarów, licząc na wysoką stopę zwrotu. Nic dziwnego - dla dużych przedsiębiorstw, często z udziałem kapitału zagranicznego, najlepszym partnerem jest duża, silna firma ochroniarska. Ceny na naszym rynku są dziś przeciętnie dziesięć razy niższe niż w Europie Zachodniej, przy porównywalnym standardzie usług - istnieją więc spore możliwości ich wzrostu i zwiększenia zysków.
Od czego zacząć?
Jak należy myśleć o zapewnieniu bezpieczeństwa firmie? Zamachy z 11 września, wstąpienie do NATO i Unii Europejskiej wyznaczyły w Polsce nowe standardy myślenia o ochronie. Teraz nie pada już pytanie: "czy?" tylko "jak?".
Do ideału jednak jeszcze nam daleko. Zdaniem Jacka Giermka, często inwestuje się w bezpieczeństwo znacznie więcej, niż trzeba, nie osiągając założonych efektów. Błędy, nieporozumienia, niewiedza, chęć zastosowania chałupniczych metod - to podstawowe grzechy. Popełniają je zarządy firm, niezależnie od wielkości. - Instaluje się drogi system podglądu z dużą liczbą kamer. Tymczasem gdy dochodzi do zdarzenia, nie można znaleźć sprawcy: urządzenia rejestrują otwarcie drzwi, potem nie pokazują nic i na ostatnim ujęciu widać plecy osoby wychodzącej po popełnieniu przestępstwa - mówi Jacek Giermek.
Bywa też tak, że od frontu tworzy się skuteczne systemy zabezpieczenia, a z tyłu niepozorna brama nie ma nawet zwykłej kłódki.
System bezpieczeństwa powinien składać się z trzech coraz węższych pierścieni. Pierwszy - zapewniający bezpieczeństwo ogólne, drugi - szeroko rozumiane bezpieczeństwo informacji, i trzeci - zabezpieczający szczególnie strategiczne sfery firmy. - Co z tego, że znakomicie zabezpieczymy system informatyczny, skoro nie zdołamy zapanować nad powielaniem danych na nośnikach papierowych i wynoszeniem ich? Co z tego, że ustawimy zapory uniemożliwiające dostęp do newralgicznych komputerów, skoro ktoś wejdzie na teren firmy i ukradnie komputer czy podłoży ogień w serwerowni? Nie mówiąc już o tym, że bardzo często sprzątaczka lub goniec okazują się sprawnymi hakerami działającymi na rzecz konkurencji - dodaje Jacek Giermek.
W Polsce funkcjonują dwie normy. Nie ma obowiązku ich stosowania, ale warto się im przyjrzeć i... zastosować je. Pierwsza to PN 17799 - związana z bezpieczeństwem wszelkich informacji, także dotyczących finansów, kadr, systemu zarządzania, obiegu dokumentów itp. - reguluje zasady dostępu do nich, opisuje zewnętrzny pierścień ochrony. Z kolei PN 77992004 to podstawa do certyfikacji w zakresie bezpieczeństwa. Bez niej nie będzie możliwe prowadzenie działalności w krajach Unii Europejskiej i NATO.
Po wejściu Polski do tych organizacji każdy podmiot gospodarczy, który chciałby wykonywać jakiekolwiek zadania dla związanych z nimi instytucji, musi mieć stosowne certyfikaty. Bez nich nawet tak prosta czynność jak przewiezienie śrubek, których gwint można wykorzystać do produkcji pistoletu maszynowego, będzie niemożliwa. I znajdą się mechanizmy kontrolne, które do tego nie dopuszczą.
6 kroków do zbudowania bezpieczeństwa firmy
1 Rozpoznanie sytuacji wewnątrz firmy, ocena ryzyka zagrożeń. Ustalenie, co jest istotne dla bezpieczeństwa wewnętrznego? Co stanowi zasoby strategiczne? Należy do nich włączyć także pozornie nieistotne informacje - sygnał o chorobie nerek prezesa zarządu może być niezwykle cenny dla konkurencji.
2 Ustalenie, jakie istnieją zagrożenia zewnętrzne, zwłaszcza ze strony konkurencji (pozyskiwanie informacji w sposób nielegalny stało się dziś niemal codziennością), jak zorganizować system ochrony, optymalizując środki finansowe oraz tak, by nie utrudniało to pracy firmy. Jak wdrożyć standardy bezpieczeństwa?
3 Stworzenie polityki bezpieczeństwa - dokumentu normatywnego oraz dokumentów wykonawczych do niego (poleceń, instrukcji).
4 Wdrożenie polityki bezpieczeństwa.
5 Zarządzanie bezpieczeństwem poprzez monitorowanie,
nadzór i kontrole.
6 Uzyskanie certyfikatu ISO w zakresie bezpieczeństwa. Kto nie spełnia jego wymogów, nie jest wiarygodnym partnerem - teoretycznie grozi mu wyciek informacji, także o kontrahencie. Jego działalność w każdej chwili może ulec dezorganizacji i spowodować fatalne konsekwencje dla tych, którzy zdecydują się na współpracę.
O czym należy pamiętać, organizując system bezpieczeństwa firmy
Bezpieczeństwo to kompleks wynikających z siebie działań
Jego zorganizowanie wymaga udziału fachowców
Samodzielne tworzenie układanki z wyrwanych elementów bezpieczeństwa kosztuje więcej i często nie daje zaplanowanego efektu
Nie wystarczy tylko zorganizować sprawnie działającego systemu, trzeba nim jeszcze skutecznie zarządzać - inaczej wcześniej czy później zawiedzie. Dlatego niezbędna jest ciągła współpraca z firmami ochroniarskimi, szkolenia pracowników itp.
Audyt bezpieczeństwa informacji dotyczy pięciu podstawowych sfer
1. Organizacja bezpieczeństwa i legalności
Podstawy ochrony i dostępu do informacji. Sfera obejmuje wszystkich pracowników, a kształtowana jest przez najwyższy szczebel zarządzania jednostką.
2. Bezpieczeństwo fizyczne, osobowe, środowiskowe
Zapewnienie bezpieczeństwa osobom i majątkowi firmy. Obszar obejmuje również zagadnienia związane z reagowaniem na incydenty czy naruszeniem bezpieczeństwa.
3. Zarządzanie systemami i sieciami informatycznymi
Ta sfera dotyczy zespołów pracowniczych zajmujących się administrowaniem systemami, sieciami, aplikacjami. Obejmuje również obszar organizacyjno-prawny.
4. Dostęp do systemów
Badanie zabezpieczenia systemów operacyjnych, sieci teleinformatycznych, aplikacji użytkowych, procesów, funkcji oraz zasad przydzielania uprawnień do korzystania z nich.
5. Rozwój i utrzymanie systemów
Obejmuje przede wszystkim system IT; sprawdza się wymagania stawiane aplikacjom, ich zabezpieczenie, w tym m.in. ochronę kryptograficzną oraz jakość ciągłego zarządzania.