Почему руководитель не должен контролировать каждую мелочь
И чем чрезмерный контроль опасен для компанииСпоры о мерах безопасности в компаниях никогда не утихают, кто-то требует максимальной закрытости, кто-то – не мешать работать. Кажется, все очень просто: чем больше защищена компания, тем лучше. Но перекосы что в одну сторону, что в другую – это всегда проблема.
Иногда руководитель чрезмерно усердствует в желании контролировать компанию и уберечь ее от рисков. Этим он только создает новые угрозы: чем строже начальник, тем выше вероятность, что подчиненные будут искать обходной путь: быстрый, легкий и, скорее всего, небезопасный. Из-за гиперконтроля настоящие угрозы часто остаются без внимания. Такое происходит сплошь и рядом – и в небольшом бизнесе, и в корпорациях.
Например, в 2013 г. стало известно, что содержимое рабочей переписки менеджеров оператора связи из большой тройки оказалось в открытом доступе. В нарушение внутренних распорядков сотрудники, в том числе высокопоставленные, вели переписку с личных ящиков на mail.ru. Когда почту одного из менеджеров взломали, в общий доступ попали письма с конфиденциальными документами. Почему сотрудники, зная обо всех требованиях службы безопасности, пользовались общественными сервисами? Потому что политика безопасности была негибкой и блокировала корпоративную почту так усердно, что переписываться в ней стало невозможно – неадекватные меры безопасности создали только новые угрозы.
Другой типичный случай: руководитель пытается контролировать все. Право подписи на документах только у него, печать тоже. В результате договоры и счета, выставленные клиентам, днями лежат неподписанные. Руководитель уезжает в командировку или в отпуск – и жизнь в офисе замирает. Правда, когда речь идет о срочном контракте, директора вдруг как подменяют и он дает разрешение: «Подпишите за меня». Если можно раз, значит, можно и два, решают сотрудники и начинают расписываться за директора в других ситуациях.
Вывод из этих историй один: повсеместный контроль не панацея от рисков, а часто их причина. Компании бросает то в жар, то в холод: от полного отсутствия какой бы то ни было политики безопасности до строжайших запретов. Одни держат печать в свободном доступе, другие чахнут над внутренними документами, создавая из пустякового дела целую церемонию документооборота.
Поиск баланса – всегда конфликт интересов бизнеса и службы безопасности, поэтому к процессу нужно подключать рефери. Чаще всего эта роль отводится собственнику (лично или в лице представителя его интересов). Он рискует своими деньгами, которые с одинаковой вероятностью может потерять как из-за корпоративного мошенничества, так и из-за потери рынка вследствие нарушения бизнес-процессов. Собственник – последняя инстанция, за ним решение по тем рискам, которые он в своем бизнесе готов принять.
Пример: в одной компании решили настроить ролевую модель для бизнес-процессов, это требовало времени и денег: нужно было задействовать разработчиков, тестировщиков, аналитиков. Когда же задались вопросом, как сильно вырастет уровень информационной безопасности, выяснилось, что чуть-чуть. «Чуть-чуть» – плохой результат, это такой результат, при котором лучше не трогать бизнес-процесс в принципе. В итоге компания так ничего и не сделала. А последнее слово было за собственником.
В идеальном случае пересматривать политику безопасности нужно каждый раз, когда появляется план по изменению бизнес-процессов. Но они порой меняются так быстро, что за ними не поспевает ни служба информационной безопасности, ни рефери в лице собственника. Менять бизнес-процессы достаточно раз в квартал, чтобы успеть перестроить бизнес без ущерба для безопасности. Одна компания инициировала процесс аудита ролей. Но пока аудитор проверял соответствие ролевой модели, бизнес-процесс успевал измениться. Приходилось проверять заново.
За имитацией бурной деятельности компании пропускают дорогостоящие угрозы. Например, продолжают использовать нелицензионное ПО, при том что только одна претензия Microsoft способна разорить даже крепкий бизнес. Одной компании удалось благополучно решить вопрос с вендором в досудебном порядке. Но это дорого ей стоило – пришлось выкупать программы стоимостью в $700 000.
Если вы работаете в сфере, где вопросы безопасности не регулируются так тщательно, как, например, в банковской сфере, или где цена потери данных не влечет прямой угрозы компании, клиентам и обществу, как, например, в наукоемком производстве, медицине, госучреждениях, оборонной промышленности, нет смысла возводить вокруг бизнеса крепости со рвами.
Но компании часто пренебрегают простыми и доступными мерами: сверить однажды бизнес-процессы с требованиями безопасности и создать документ, простой для понимания всех в компании – от топ-менеджера до уборщицы. И пересматривать раз в полгода.