Риски безопасности и репутация компании
Инцидент безопасности и связанный с ним урон для репутации представляют головную боль для многих бизнесменов. Плачевные последствия, в зависимости от характера инцидента, могут быть разными - большие штрафы, потеря клиентов, удар по ценовой политике, дестабилизация или закрытие бизнеса, в отдельных случаях уголовные дела против руководителей или организации в целом.
Самый скандальный случай произошел с обанкротившейся энергетической компанией Enron, который показал, что может произойти, если не уделять приоритетного внимания управлению рисками. Но это редкий факт. Чаще всего репутационный коллапс заканчивается отставкой топ-менеджеров, падением акций.
Статья Джеймса Блейка на эту тему в журнале Security Magazine содержит ряд практических рекомендаций по минимизации рисков и их потенциальных последствий для организаций.
Жестко придерживаться стандартов, разработанных Международной организацией по стандартизации (ISO) и Международной электротехнической комиссии (IEC). Эксперты особо выделяют ISO 31000 – семейство стандартов, касающихся риск-ориентированного управления организацией, которые разработаны Техническим комитетом № 262 «Менеджмент риска» Международной организации по стандартизации (ISO). В феврале 2018 года вышла новая версия стандарта. Она вводится взамен технически пересмотренного первого издания (ISO 31000:2009). Также обращается внимание на необходимость соблюдения ISO/IEC 27000 — серии международных стандартов, включая стандарты по информационной безопасности, которые содержат лучшие практики и рекомендации.
Разработать четкие и ясные инструкции (политики) для предельно допустимых для конкретной компании рисков. Обычно такая работа осуществляется с участием членов правления и акционеров.
Регулярно проводить тренинги с персоналом организации, разъясняя как специфические риски и угрозы могут серьезно нарушить функционирование разных компонентов организации. Как показывает практика, в случае серьезного инцидента безопасности его реальные последствия для тех или иных направлений и сегментов бизнеса зачастую слабо понимаются и учитываются персоналом и руководством организации.
Инвестировать необходимые средства в работу службы безопасности по мониторингу горизонта рисков, симуляции и анализу наихудших сценариев, кризисному планированию, измерению потенциальных последствий наиболее вероятных рисков.
Сформировать команду по кризисному управлению с целью эффективного управления бизнесом в экстремальных условиях. На столе этой команды должен быть план действий на тот или иной случай, к выработке которого с самого начала необходимо привлекать топ-менеджмент и акционеров.
Обратить серьезное внимание на вопросы обеспечения безопасности деловых поездок. Вести мониторинг изменений в ландшафте угроз и рисков тех стран и регионов, куда планируются командировки сотрудников компании.
Регулярно проводить «мозговые атаки», «сценарные игры», анализируя и оценивая предполагаемые изменения в имеющейся корпоративной инфраструктуре безопасности, ориентируясь на устранение обнаруженных уязвимостей и брешей, в том числе путем замены устаревших технологий на более современные и эффективные системы.
|
вернуться назад
