Технологическое расследование © — комплекс действий, направленный на расследование причин и условий отклонения показателей производственной деятельности (технологических процессов), влекущих косвенный ущерб активам, в том числе недополучение прибыли.
FCLI (fast/checking/leveling investigations) © — метод проведения корпоративного расследования, направленный на полную ликвидацию риска.
FSF (1) (fast stop fraud) © — оперативное пресечение нанесения ущерба компании, отработка факта непосредственного нарушения и доведение до логического завершения служебного расследования.
CSE (2) (checking for similar events) © — отработка аналогичных фактов нарушений бизнес-процессов, спроецированная на весь холдинг/группу компаний.
LFR (3) (leveling of future risks) © — выявление причин и условий, способствовавших возможности наступления факта нарушения (риска), и проектная деятельность по недопущению аналогичных рисков в будущем.
FPI (fraud, process, innovation) © — система учета экономического эффекта от деятельности подразделений безопасности.
Fraud (1) (в разрезе системы FPI) © — выявление подразделениями безопасности корпоративного фрода — хищений, мошенничеств, коррупционных проявлений, откатных схем, присвоений и прочих фактов прямого нанесения ущерба компании.
Process (2) (в разрезе системы FPI) © — корректировка отклонений бизнес-процессов, претензионная работа, возмещение ущерба по неисполнению договорных обязательств, возврат просроченной дебиторской задолженности, работа с НДС.
Innovation (3) (в разрезе системы FPI) © — непрерывный поиск новых решений в сфере защиты активов, обеспечения безопасности для бизнеса. Увеличение доходности и снижение рисков получения ущерба.
Маргинализация бизнеса © — неконтролируемый нарастающий процесс увеличения количества хищений и мошенничеств, совершаемых как клиентами, так и сотрудниками компании, происходящий вследствие отсутствия применения мер корпоративной безопасности, который может привести к переходу рисков в критический и кризисный уровни. Маргинализации свойственно два вида ущерба: постепенно-накопительный и экстренный.
Цифровизация — это оснащение уже автоматизированных процессов новыми функциями, полноценный симбиоз между видами автоматизации, введение общих программных комплексов, совмещающий аналитику, управление и контроль, и в дальнейшем интеграция c искусственным интеллектом и нейросетями.
Инцидент © — это факт автоматической фиксации нарушения алгоритма в производственных цепях, системах управления технологическими процессами, последовательностях операций в иной деятельности предприятия, вызванный нарушением одной из подфункций безопасности.
Объектовая безопасность © — подфункция корпоративной безопасности, обеспечивающая физическую защиту сотрудников и товарно-материальных ценностей в периметре объекта и контролирующая обеспечение объектов техническими средствами охраны, а также своевременное реагирование на инциденты безопасности в своей зоне ответственности.
Экономическая безопасность[48] (by GM) © — подфункция корпоративной безопасности, обеспечивающая устойчивое состояние экономического потенциала компании, своевременное нивелирование финансовых и коммерческих рисков, безопасное взаимодействие с контрагентами, проведение корпоративных расследований, а также своевременное реагирование на инциденты безопасности в своей зоне ответственности.
Информационная безопасность © — подфункция корпоративной безопасности, обеспечивающая защиту IT-инфраструктуры компании, криптографическую защиту данных, отражение кибератак, а также своевременное реагирование на инциденты безопасности в своей зоне ответственности.
Оперативно-технологическая безопасность © — подфункция корпоративной безопасности, обеспечивающая анализ производственных процессов и проведение технологических расследований с целью выявления системных нарушений производственных цепей, а также своевременное реагирование на инциденты безопасности в своей зоне ответственности.
KPI (key performance indicators) — на русский язык можно перевести как КПД. В корпоративном понимании — система премирования персонала. Сколько выполнил задач, целей, каких достиг успехов — такую премию и получишь.
NDA (non-disclosure agreement) — соглашение о неразглашении информации. Заключается между организациями.
OSINT (open source intelligence) — разведка по открытым источникам. Сбор сведений (не запрещенных законом) о лице либо об организации. Глубокий мониторинг всех доступных в интернете систем.
RACI — матрица распределения ответственности за определенную задачу. R — responsible (исполнитель), A — accountable (ответственный), C — consult (эксперт, консультант), I — informed (информируемый по результату).
SLA (service level[49] agreement) — соглашение об уровне сервиса. Договор, устанавливающий параметры качества оказываемых IT-услуг.
Коммерческая тайна — режим отдельной информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Конфиденциальная информация © — информация, имеющая условную ценность для организации, но прямо не защищенная законом и не относящаяся к коммерческой тайне. Не имеет регулирования на законодательном уровне.
Комплаенс — буквально соответствие фактического процесса реальности. В разрезе деятельности аудита, СБ и управления рисками — выявление системных отклонений в процессах, которые чреваты последствиями (убытками) для организации.
Нивелирование — полная ликвидация риска или его своевременное предотвращение.
Митигирование — смягчение (устранение) последствий уже наступившего риска.
DLP (data loss/leak prevention) — система, которая обеспечивает безопасность корпоративной IT-архитектуры и позволяет собирать данные с корпоративных устройств.
СОП (стандартные операционные процедуры) — набор пошаговых инструкций для выполнения бизнес-процесса. Например, порядок проведения проверки контрагента, зафиксированный в любом документе — инструкции, регламенте.
Серая зона — часть бизнес-процесса, которая наименее регламентирована и слабо охвачена вниманием, несет значимые риски по утрате активов.
RCR (roadmap to counter risks) © — дорожная карта противодействия угрозам. Концепция построения структуры подразделений безопасности от рисков.
Жизненный цикл безопасности в сравнении с жизненным циклом организации:
Современный сотрудник корпоративной безопасности — специалист, понимающий и знающий производственные процессы, риски и законные способы противодействия им, интеллектуально развитый человек, не упоминающий через слово свои связи и прошлые места работы.
Дорожная карта противодействия угрозам (RCR)
В первой книге мы классифицировали риски. Там было 5 видов рисков: финансовые, кадровые, технико-технологические (производственные), объектовые (периметральные) и правовые — и 5 уровней состояния риска: абсолютный, стабильный, нестабильный, критический, кризисный.
Виды и уровни рисков — это фундаментальная теория, на которой и основывается защита активов. Но все риски, как и уровни, динамичны, и их границы несколько размыты. Например, пока не ясно, куда отнести риски угрозы для IT-архитектуры компании — в группу технико-технологических, в отдельную группу (создать +1 вид риска: IT) либо рассматривать угрозы в сфере IT только как инструмент покушения на безопасность компании, а не как отдельный сегмент. Ведь фактически похищение данных, заражение вредоносным ПО, DDos-атака преследуют конкретную цель и являются всего лишь средством для мошенничества (финансовый риск), похищения личных данных сотрудников (кадровый риск), остановки деятельности предприятия (технологический риск), удаления данных или их подмены (правовой риск), помощи в незаконном доступе на объект (периметральный риск).
Кроме того, в одной из глав книги «Безопасность бизнеса» мы приводили типовую рекомендуемую структуру безопасности крупного холдинга. Из-за быстроменяющихся потребностей бизнеса в наступившую цифровую эру, в корпоративную безопасность интегрируется и IT-безопасность, которая реагирует на информационные угрозы.
На последних страницах книги «Корпоративная безопасность» мы решили описать способы противодействия угрозам, отталкиваясь от подразделений безопасности, найти некий симбиоз между структурой безопасности и рисками. Эта схема, с одной стороны, улучшенная типовая структура службы корпоративной безопасности, а с другой — практический кейс для противодействия рискам. Угрозы постоянно меняются, и безопасность должна меняться вместе с ними, находить новые, гибкие способы противодействия (о чем мы писали во введении, вспомните гидру).
Ведь чем качественнее построена система безопасности в корпорации, тем и сам бизнес более привлекателен для инвестиций и приносит больше прибыли.
Объектовая безопасность