SECURITY (prů)povídky - ,,Flákanec”

SECURITY (prů)povídky - ,,Flákanec”
Autor fotografie: pixabay.com
30 / 01 / 2021, 09:00

„Jestli tady půjdeš, dostaneš flákanec.“ Hláška poslance parlamentu Volného obletěla svět. Než tato věta mě k napsání mého fejetonu zaujala celá bezpečnostní situace, tedy „útok zevnitř“, s nímž se velmi často setkávám při jednáních s klienty. Ať už v souvislosti s kyber, personální, fyzickou nebo technickou bezpečností. Ten pohled zabezpečit vše jen „směrem VEN“. Ale i uvnitř se může a mnohdy ukrývá nebezpečný element, na který je více než vhodné se zaměřit.

Takový zaměstnanec, který neprojde personálním screeningem, což nemá s „fízlováním“ nic společného, jak se někdy mylně domnívají někteří personalisté, může ve firmě způsobit mnohé nesnáze, její diskreditaci, poškození dobrého jména a přivodit finanční ztráty, nedejbože trestní stíhání firem tzv. TOPO a jejich představitelů.

Větší detail přinesu v samostatném rozhovoru s odborníkem na personální bezpečnost Petrem Morozem ze společnosti Scaut, kde se ale už teď můžete na jejich webových stránkách tzv. „nabrífovat“ a zjistit, jak ochránit svoji společnost www.scaut.cz.

Ale zpět k tématu.

  • Proč máte před vjezdem betonové zátarasy? Naše zahraniční centrála to požaduje!
  • Máme tady dokonale propracovaný kamerový systém! A sleduje ho někdo? Nooo…jednou jsem se na něj už koukl.
  • Klíč od trezoru je sice volně k dispozici, ale stejně neznáte heslo na kódovacím zařízení trezoru. Po „vymačkání kódu z výroby“ a otevření trezoru…civí s otevřenou pusou…jak jste to udělal?
  • Pootevřené bezpečnostní dveře režimového pracoviště s „klínkem“ (zarážkou), tak aby se nemuselo pořád otevírat.
  • Výpis z rejstříků trestů nepožadujeme, protože nám to ulehčí od pravidel GDPR!
  • Interní kriminalita? To nesledujeme, MY si tady věříme!
  • Kde máte směrnici / pokyn pro zaměstnance v případě výhružky bombou? Mám ji zamknutou ve stole v kanceláři v prvním patře, když se bude něco dít, skočím pro ni.

 

Pár příkladů z praxe při bezpečnostních auditech a analýzách. Věřím a vím od ostatních kolegů z praxe, že i oni se setkávají s něčím podobným.

Opravdu máte tolik peněz na vyhazování?

Proč investujete do kamerových systémů, systému vstupů kontrol, bezpečnostních dveří a jiných technologií, když to pak není ze strany zaměstnanců dodržováno či kontrolováno.

Proč se nezajímáte o to, kdo k Vám nastupuje do zaměstnání? Koho si tzv. „pouštíte do kuchyně a dáváte přístup ke své kuchařce“.

Proč chráníte kyberbezpečnost jen proti útokům z venku a ne proti útokům zevnitř.

Proč se díváte na bezpečnost jen směrem zevnitř ven…a ne dovnitř, kde to je mnohem nebezpečnější, protože interní kriminalitu dělají lidé s perfektní znalostí systému a času.

Zaměřte se na interní kriminalitu! Máte přeci zodpovědnost za společnost, za její výsledky, za ochranu jejich zaměstnanců.

A to na všech frontách a ve všech směrech.

Pro své společnosti si od interních bezpečnostních manažerů, ředitelů nechte pravidelně minimálně jednou ročně zpracovat bezpečnostní analýzu hrozeb a rizik.

Pečlivě si zhodnoťte: „CO CHCETE CHRÁNIT…a PROTI KOMU, ČEMU…TO CHCETE CHRÁNIT“.

Velmi detailně si nechte posoudit analýzu současného stavu, stanovte si klíčové procesy, proveďte bezpečnostní audit, zpracujte si analýzu ohroženosti, popište si jednotlivé hrozby a rizika a k nim určete jednotlivé doporučení ochrany a prevence.

Postupujte tak, že si rizika například zařadíte do několika skupin. Ve skupině jedna jsou rizika a hrozby tak malá, že je nemá cenu řešit, ať už z pohledu toho, že prevence by byla mnohem náročnější, finančně nákladnější. Do druhé skupiny dejte rizika, kde můžete zodpovědnost tzv. „přesunout na někoho jiného“, jsou tím myšleny pojišťovny, bezpečnostní služby atp. A v poslední, třetí skupině jsou hrozby a rizika, na která se musíte zaměřit, investovat, mít připravenou obranu a prevenci proti nim.

Součástí může být nejen compliance program, který bude podpořen získání certifikace ISO normy, získání certifikace ISO proti korupci, nebo získání certifikace ISO pro BCM. Určitě se to vyplatí a budete mít náskok před konkurencí a nejen to, hlavní cíl je ochránit společnost a zaměstnance v ní.

V rámci bezpečnostní analýzy pracujte s pravděpodobností a dopadem. Jaká je např. dostupnost prostředku daného způsobu, výskyt daného způsobu útoku, složitost provedení útoku (útok není myšleno jen fyzický útok, ale všeobecně). V rámci určení dopadu se zaměřte na dopad na život a zdraví, dopad na objekt, finanční dopad, dopad na přímo zasažené společenství.

Využívejte informace z otevřených zdrojů, jako jsou statistiky Policie ČR, veřejné zprávy tajných služeb, dokumenty ASIS International, hodnocení hospodářské kriminality PWC, výstupy Compliance Academy a informace z dalších zdrojů.

Pro ty z vás, kteří s tím nemají zkušenosti, neváhejte se prosím obrátit na odborné služby bezpečnostního poradenství, které Vás celým procesem provedou, pomohou Vám nastavit jednotlivé procesy a dokumentaci.

Nabídku externího bezpečnostního poradenství, alespoň toho základního, bych se nebál využít ani v případě, že jsem „kovaný odborník na bezpečnost“. Důvodem je „provozní slepota“ a možná není na škodu znát názor a pohled někoho, kdo vaší společnost, její objekty a problematiku nezná a bude mít zcela nezasvěcený pohled.

Hodně zdraví v Novém roce!

 

Jaromír Průša

Předseda Asis International pro ČR/SK

Jednatel Asset protection agency s.r.o., bezpečnostní poradenství

www.apagency.cz

 

Tagy článku

-->