Пренареждане: Корпоративната сигурност след COVID 19

0
950

Д-р Бойко Митев работи в сферата на сигурността повече от 19 години. Началото на кариерата му е в редовете на Българската армия, след което тясно се специализира в организацията и управлението на сигурността в частния сектор. В своята дългогодишна практика г-н Митев е изграждал и ръководил успешно структурите за сигурност на големи международни компании в сферата на телекомуникациите, банковото дело, енергетиката и информационните технологии.   От 2011 до 2019 г. г-н Митев е регионален мениджър по сигурността за Европа, Русия и Израел на един от най-известните технологични гиганти в света. През октомври 2019 създава компанията „Севар“, която предоставя консултантски услуги по управление на сигурността. Бойко Митев е учредител и първи председател на Българска асоциация „Корпоративна сигурност“. От 2015 г. е доктор по организация и управление на националната сигурност от УНИБИТ, а през 2016 специализира национална и международна сигурност в Харвард (Harvard Kennedy School). От 2013 година д-р Митев е гост лектор във Военна Академия „Г.С. Раковски“, където преподава в магистърската програма по организация и управление на корпоративната сигурност.

Провалиш ли се в подготовката –  подготвяш се за провал“ ( Бенджамин Франклин)

Ключови думи: корпоративна сигурност, устойчивост, извънредни ситуации, управление

Без съмнение ефектът от избухването на COVID пандемията върху глобалните организации и икономики ще продължи да бъде всеобхватен и значителен. Такава мащабна и непредвидена криза от здравословен характер постави на тест структурите за сигурност на бизнеса и изправи пред нови предизвикателства мениджърите по сигурността. При всички положения бизнесът трябва да направи стратегически преглед на политиките и приоритетите за сигурност. Акцентът трябва да бъде поставен върху устойчивостта на компаниите, управлението при кризисни ситуации и максимално гарантиране на непрекъсваемостта на бизнеса.

Основните направления в корпоративната сигурност, върху които трябва да бъде направен нов прочит и обновяване на стратегиите, са:

  • Управление при кризи

Всяка голяма компания задължително трябва да има утвърден и надлежно документиран процес по управление на кризи. Ако до сега това е било подценявано или е съществувало „само на книга“, настоящата ситуация доказа, че е жизнено важно ръководството на една организация да бъде максимално подготвено да посрещне всяка една кризисна ситуация, за да гарантира продължителността на бизнес операциите си. Управлението на една компания в кризисна ситуация е най-показателният критерий за компетентността и лидерските качества на нейния мениджмънт. Най-често процесът по кризисен мениджмънт е в портфолиото на отдела за корпоративна сигурност и под шапката на Chief Security Officer (Главен директор по сигурността) – топ позицията по линия на сигурността в една компания. Ситуацията с COVID-19 обаче ще наложи появата на нова висша мениджърска роля – Chief Resiliency Officer (Главен директор по устойчивостта) и все повече компании ще се ориентират към откриване на такава позиция, защото устойчивостта и гъвкавостта са основен фактор за всеки бизнес да оцелява и да се развива. Основните задачи на CRO трябва да са:

  • Правилно да идентифицира и степенува всички рискове за компанията
  • Да определи най-вероятните сценарии за криза и крупен инцидент
  • Да документира и внедри стратегиите и политиките по устойчивост на бизнеса
  • Да разработи и внедри програма за обучение за управление при кризи
  • Да съветва/направлява борда и Изпълнителния директор в кризисен период

Какъв трябва да бъде профилът на заемащия тази позиция? Поради стратегическата важност на тази позиция, ролята на CRO изисква задълбочени бизнес знания, зрялост и солиден мениджърски опит. CRO трябва да е:

  • Визионер
  • Лидер
  • Комуникатор
  • Ментор
  • Коуч

Накратко, CRO ще е позицията, която трябва да гарантира, че организацията и нейните служители са способни и подготвени да преминат през всякакви изпитания. Сигурен съм, че разрушителните турбуленции, породени от COVID 19, ще принудят утвърждаването на тази нова роля за корпоративната сигурност.

  • Киберсигурност

През последните години компаниите започнаха масово своята дигитална трансформация, а коронавирусът се оказа неочакван, но мощен ускорител  на този процес. COVID кризата принуди бизнеса (там, където е възможно) да премине спешно в режим на отдалечена работа и като изключим служителите в производството, административният персонал на компаниите изцяло мина на режим “Work from Home” (работа от вкъщи). В IT сектора това е отдавна утвърдена практика, но в други, по-консервативни и силно регулирани бизнеси като банковия сектор например, това се превърна в сериозно предизвикателство най-вече заради гарантирането на сигурността на информацията.  Очевидно е, че заради пандемията оттук нататък работата чрез отдалечен достъп до мрежата ще бъде правило, а не изключение. Ето защо компаниите се фокусират още повече върху киберсигурността и я поставят като приоритет над всички останали видове сигурност. В момента се наблюдава засилваща се тенденция Chief Security Officer на организацията да бъде с IT/cyber профил, за да се подчертае приоритетът на това направление в сигурността. Считам, че тази нова концепция може да се окаже контра продуктивна, защото информационната сигурност е само един от елементите на корпоративната сигурност, заедно с разследванията, физическата сигурност, техническата сигурност, охрана на управленски персонал, сигурност на доставките, анализ и оценка на риска, управлението при кризи. Ръководството на цялото това портфолио изисква ролята да бъде заемана от мениджър с подчертан профил и образование и опит в сигурността,  не с инженерно технологичен профил с допълнително вменени функции по сигурност. С оглед на тенденцията стичам, че ефективен и компромисен вариант е отделна структура по Киберсигурност и отделна структура по „Корпоративна сигурност“, като втората организация да има методическото ръководство по линия на разследване на кибер престъпления, защото компетенциите и опита в разследването са в тази структура.

  • Сигурност на персонала

Тенденцията за цялостно фокусиране върху киберсигурността (защитата на мрежата от външни и вътрешни атаки, криптирането на комуникационните канали и крайните устройства, идентификация и верификация за достъп до служебни приложения, защита на фирмените данни от компрометиране) не трябва по никакъв начин да е за сметка на сигурността на друг критичен актив на една организация – служителите. Напротив – считам, че новата необходимост от дистанционна работа поставя на дневен ред нови предизвикателства и рискове, свързани с лоялността и интегритета на служителите. Работата от вкъщи при всички положения намалява възможността за текущ контрол от страна на ръководителя и поставя въпроса как точно да гарантираме етично поведение на персонала и ангажираност със сигурността на компанията. Затова първата и най-важна линия на защита на компанията е процесът по подбор на служителите.  Каквито и мерки за защита на корпоративната информация да се предприемат – антивирусни програми, защитни стени, мултифакторни кодове за достъп и верификация, stealth приложения за контрол и следене на активността в мрежата – ако зад компютъра работи нелоялен и/или злонамерен служител, това е съществен пробив в сигурността на организацията. Ето защо бизнесът трябва да съсредоточи усилията в ефективното предварително проучване при подбора на персонала, за да минимизира риска от вътрешни заплахи. Печално известно е, че най-големите злоупотреби, довели до фалити на големи компании, са извършени от нелоялни служители, оставени без необходим мениджърски надзор.

  • Физическа сигурност

Съветвам бизнеса да не пренебрегва физическата сигурност и да не подценява нейната критичност. COVID кризата опразни офисите на компаниите от служители, но там остана критичната инфраструктура на всяка компания – дата центрове, мониторинг центрове, трезори, касови центрове, сървърни помещение, складове, логистични бази, архиви и т.н. Изнасянето на персонала от офисите, при всички положения повиши риска от кражби, липси, саботажи и вандализъм, а този тип заплахи се елиминират с ефективна физическа охрана. Ето защо цялостната концепция за сигурност трябва да включва нов подход към охранителната дейност, която да бъде гъвкава и високо ефективна в извънредни ситуации.

Въпреки негативния икономически и социален ефект, който COVID пандемията нанесе, тази криза предоставя перфектна възможност за всяка организация да преоцени и пренареди защитата на активите си съобразно рисковете и бизнес необходимостта. Ето защо основната енергия на бизнеса трябва да е насочена към проактивна и интензивна подготовка за управление при кризи и изграждане на устойчива организация.