Какие проблемы чаще всего выявляет аудит объектовой безопасности? | Журнал ТЗ | Статьи, обзоры, аналитические материалы - Какие проблемы чаще всего выявляет аудит объектовой безопасности?.

Автор: Леонид МЕДВЕДЕВ, преподаватель учебного центра «Информзащита»
Какие проблемы чаще всего выявляет аудит объектовой безопасности?
Мне довольно часто приходится слышать этот вопрос. Его задают слушатели курсов, его задают при подготовке к проведению аудита, его задают при организации или реорганизации службы безопасности. Задавая этот вопрос, многие ждут, что в ответ на него я достану листок с готовым универсальным рецептом построения идеальной системы защиты.

Если честно, я бы с радостью носил с собой такой листок и раздавал бы его всем желающим. Но, к сожалению, универсальных рецептов не существует, а проблемы, выявляемые аудитом, хоть зачастую и выглядят похожими, при ближайшем рассмотрении таковыми не являются. Более того, некоторые выявленные в ходе проведения аудита уязвимости вообще оказываются привнесенными извне.
В качестве примера хочу привести волну ограблений банкоматов, которая в последнее время буквально захлестнула Россию. Способы ограбления становятся все более изощренными, и структура объектовой безопасности просто не в состоянии им противостоять. Почему я написал «структура», а не служба? Я не оговорился. Ведь выстраивая безопасность любого объекта, мы сначала разрабатываем концепцию, выстраиваем структуру – и только потом все это обрастает техническими средствами, службами и т. п.
Теперь давайте себе представим офисное здание или здание торгового центра, построенное по последнему слову техники, напичканное современными средствами безопасности и укомплектованное современной, обученной и подготовленной охраной. Здание построили, оборудовали, заселили, начали эксплуатировать – и тут сюрприз: работникам, посетителям и покупателям нужно где-то снимать деньги с банковских карт. Пусть эпоха наличных постепенно уходит, но платить картой везде пока не очень получается. В результате в здании появляется банкомат. Банкомат появился, а вот в концепции безопасности объекта этого банкомата, скорее всего, нет. А нет его потому, что концепцию безопасности здания разрабатывают безопасники, которые эксплуатируют здание. А установку банкомата, причем зачастую не только его установку, но и размещение, курирует служба безопасности банка, этот самый банкомат размещающая. И тут и там профессионалы, но у каждой из служб свои интересы и задачи. Они могут совпадать, а могут и не совпадать. В результате на стыке интересов двух служб зачастую появляется дыра в безопасности, которой и пользуются злоумышленники.

Примерно в 90% случаев в процессе аудита выявляется проблема человеческого фактора. Но, говоря «человеческий фактор», мы очерчиваем крайне широкий круг проблем, а для каждой конкретной компании, для каждого конкретного аудита они всегда разные. Единственная проблема, которую можно охарактеризовать как общую для большинства компаний, особенно в условиях кризиса, – это экономия на службе безопасности.

Что такое экономия?
Экономия – бережливое ведение хозяйства, в основе которого лежит уменьшение издержек, расходов, затрат экономических ресурсов: материалов, энергии, оборудования, труда, рабочего времени. Экономия достигается путем снижения потерь, использования ресурсосберегающих технологий, рачительным ведением хозяйства, высокой организацией труда.
Казалось бы, логично: служба безопасности потребляет ресурсы предприятия и при этом ничего не производит. Совсем удалить службу безопасности из системы боязно – вдруг хулиганы. Да и кто-то должен выполнять функцию вахтера. Как результат, финансирование СБ на предприятии начинает урезаться, персонал сокращаться, вместо профессионалов появляются необученные гастарбайтеры. Вот только начиная экономить на службе безопасности, руководители предприятия забывают о том, что у всего есть цена. А ценой экономии на безопасности может стать и весь бизнес целиком. Рейдеры не спят, а кроме службы безопасности противостоять рейдерскому захвату в бизнес-структурах, по сути, некому. Но давайте о совсем грустном не будем, а поговорим про менее глобальные проблемы, вытекающие из экономии на службе безопасности.
Хочу привести пример из жизни. Я в течение нескольких лет подряд участвовал в качестве эксперта при проведении внутренних аудитов по объектовой безопасности в одной компании.
В основе аудита, точнее, в основе рекомендаций, выдаваемых аудитором, всегда заложен механизм последующего улучшения. То есть результат очередного аудита должен (в идеале) фиксировать некое улучшение по сравнению с прошлым разом. Пусть незначительное, но улучшение. Какое-то время так и было, а потом случился кризис и начались попытки экономии на всем подряд, в том числе на СБ. Апофеозом экономии стало сокращение работавших на фирме обученных и лицензированных сотрудников охраны и наем на их место необученных и нелицензированных гастарбайтеров. Результаты подобной экономии не замедлили сказаться. Первый же аудит выявил случаи отключения целых сегментов системы охраны периметра. Срабатывает, звенит, спать мешает. Были внесены самовольные и кустарные изменения в схему контроля управления доступом с целью облегчения жизни сотрудникам. В результате в системе безопасности образовались огромные прорехи. Апофеозом стал скандал, произошедший в разгар проведения аудита, с привлечением полиции и прокуратуры, спровоцированный противоправными действиями сотрудника охраны в отношении одного из посетителей компании. Результат скандала – внеплановая проверка компании, инициированная прокуратурой.

Сейчас в этой компании опять работают обученные лицензированные охранники, а на восстановление работоспособности систем охраны руководство фирмы выложило сумму, сравнимую с той, которую планировалось сэкономить на охране.
На самом деле подобных случаев великое множество. Зачастую даже не нужно проводить аудит безопасности. Вполне достаточно посмотреть на сотрудника охраны, задать ему пару вопросов и понять, что охрана в данной компании осуществляется исключительно для галочки. Если сотрудник, осуществляющий функции охраны, не знает элементарной нормативной базы, не может ответить на вопрос, каков его официальный статус в данной компании, какие его права и обязанности, – это первый признак того, что на безопасности в данной компании всерьез экономят.
Подводя итог, могу сказать, что, если попытаться выделить общие проблемы, выявляемые в процессе проведения аудитов систем и служб безопасности, в сухом остатке мне видятся всего две: когда вместо грамотной оптимизации работы служб безопасности применяется повальное урезание финансирования и, конечно же, проблема человеческого фактора как следствие экономии на безопасности. Иногда доходит до смешного. Вроде и оборудование смонтировано, и сотрудников набрали, а безопасности на объекте нет. Начинаешь выяснять почему – нет нормального руководителя службы безопасности. А почему его нет? А потому, что либо зарплата руководителя службы безопасности не позволяет пригласить на эту должность профессионала, либо, что тоже встречается, хоть и не столь часто, руководство компании не хочет пускать посторонних во внутреннюю кухню компании. А хороший начальник СБ, если он действительно профессионал, максимум через полгода будет знать о компании практически все. Если последний случай все же скорее исключение, то попытки платить человеку на должности начальника СБ компании зарплату на уровне среднего менеджера и меньше встречаются довольно часто. Чтобы в этом убедиться, достаточно зайти на любой ресурс с вакансиями и забить в строке поиска «начальник службы безопасности».
Мне, когда я вижу подобные объявления, все время хочется задать вопрос хозяевам бизнеса: на что вы рассчитываете, предлагая такую зарплату человеку, который идет на должность фактически первого заместителя и который, как я уже говорил, максимум через полгода будет знать про компанию все, в том числе про ее уязвимые места?
В любом случае независимо от того, видите вы прорехи в системе безопасности, так сказать, невооруженным взглядом или, наоборот, вам кажется, что структура безопасности компании безупречна, только полноценный аудит может выявить реальное положение в системах безопасности компании и подсказать пути оптимизации и снижения расходов без ущерба безопасности.

Внимание! Копирование материалов, размещенных на данном сайте допускается только со ссылкой на ресурс http://www.tzmagazine.ru