Źródło: http://zabezpieczenia.com.pl/
Autor, odnosząc się do złożonej problematyki wynikającej z konieczności zapewnienia bezpiecznego funkcjonowania firmy oraz pisząc o konieczności edukowania kadry zarządzającej w tym zakresie, wskazuje grupy procesów mających bezpośredni wpływ na bezpieczeństwo firmy i jej sukcesy.
Podpowiada, jakie działania menedżerskie należy podjąć oraz czemu w codziennej praktyce wypada szczególnie się przyjrzeć, aby – w wyniku zbiegu niekorzystnych zdarzeń i własnej niefrasobliwości – nie zostać zaskoczonym niespodziewanymi stratami (finansowymi, informacyjnymi i rynkowymi).
Tytułem wstępu.
Bezpieczeństwo jest przez człowieka rozumiane intuicyjnie jako brak widocznych zagrożeń, ale próba sformułowania jego jednej i zarazem jednoznacznej definicji napotyka na szereg trudności – merytorycznych, językowych i kulturowych. Działania człowieka pod tym względem mają podstawy naturalne, ale są modyfikowane nabytymi nawykami i procesami kulturowymi w jego bezpośrednim otoczeniu (przysłowiowa już „moralność Kalego”).
„(…) Instynkt poszukiwania bezpieczeństwa sięga początków świata ożywionego i tworzy istotny element ciągłości w jego ewolucji. Dotyczy to zarówno jednostek jak i zbiorowości – od mrowisk po narody i państwa (…)” (A. Töfller)
Wiele dyskusyjnych nieporozumień w ocenie bezpieczeństwa człowieka, firmy, państwa jest skutkiem braku świadomości i złego rozumowania. W ferworze przekonywania i udowadniania swoich racji rozmówcom zapomina się bowiem o istotnym fakcie: bezpieczeństwo nie jest stanem – jest ciągle zmieniającym się procesem, którego wewnętrzne i zewnętrzne uwarunkowania są, w różnym (czasami niewielkim) stopniu, zależne od osoby, organizacji, społeczności, której bezpośrednio dotyczą.
Kilka słów o teorii samego zjawiska
Obszar bezpieczeństwa człowieka stał się w ostatnich latach XX wieku domeną działalności naukowej – securitologii, uwzględniającej wieloaspektowość postrzegania i „odczytywania” bezpieczeństwa jako obiektu badań.
Pierwsze publikacje podejmujące próbę wyodrębnienia securitologii jako dyscypliny naukowej pochodzą z 1989 r., co można wyjaśnić nowymi potrzebami i oczekiwaniami, a także warunkami kształtującymi się po rewolucyjnej zmianie ustrojów społeczno-politycznych w Europie.
Cechą charakterystyczną dla tych właśnie publikacji jest opisanie i uwzględnienie wielorakich czynników: obiektywnych i subiektywnych, socjopsychologicznych i kulturowych, politycznych i prawnych, przyrodniczych i technicznych, makroi mikroekonomicznych, które nie tylko warunkują zagrożenia, ale także pozostają z nimi we wzajemnych nierozerwalnych związkach.
Nauka o bezpieczeństwie (securitologia) jest w chwili obecnej widziana dwojako i jest traktowana jako:
dyscyplina naukowa w grupie 64 (nauki interdyscyplinarne), tzn. poświęcona badaniom naukowym dotyczącym bezpieczeństwa;
poddziedzina nauki, ulokowana w ramach systematyzacji odpowiednio w grupie 3 (nauki ekonomiczne) i w dziedzinie 2 (nauki o zarządzaniu, tzn. badanie procesów zarządzania bezpieczeństwem).
Powyższe wynika z szeregu praktycznych osiągnięć zrealizowanych w badaniu teorii i praktyki bezpieczeństwa człowieka w ramach securitologii w okresie ostatnich lat – przy liczącym się współudziale polskiego środowiska naukowego oraz prac popularyzatorskich Stowarzyszenia EAS (European Association for Security).
Zapoznanie się z bieżącym dorobkiem publicystycznym i normatywnym, dotyczącym bezpieczeństwa w rozumieniu potrzeb człowieka i firmy, jest dla personelu kierowniczego potrzebą chwili – ciągłe zmiany w stosunkach gospodarczych, asymetryczny układ zagrożeń wojennych oraz narastające zagrożenie ze strony terroryzmu są istotnymi czynnikami wpływającymi na pozycję danej firmy na rynku. Dla firm ponadnarodowych (korporacje, holdingi) problematyka ta jest czymś oczywistym, ale warto zwrócić uwagę na zmiany w zakresie bezpieczeństwa firm w rozumieniu ich funkcjonowania na rynkach lokalnych – wymaga to chwili roztropnego zastanowienia…
Stowarzyszenie EAS jest towarzystwem naukowym, które prowadzi badania i popularyzuje nauki o bezpieczeństwie człowieka. EAS powstało na konferencji krakowskiej 12 maja 2000 r. i posiada osobowość prawną. Celem Stowarzyszenia jest edukacja dla bezpieczeństwa ludzi i firm we wspólnej Europie. Adres, statut, lista członków i inne dokumenty są dostępne na stronie www.eas.krakow.pl.
Stowarzyszenie wydaje publikacje książkowe oraz – na bieżąco – zeszyty naukowe Securitologia/Securitology/ Секюритология, dotyczące nauk o bezpieczeństwie oraz zagadnień z zakresu edukacji dla bezpieczeństwa. Warto wiedzieć, że na podstawie programowej wypracowanej przez Stowarzyszenie prowadzone są studia wyższe w specjalnościach: zarządzanie bezpieczeństwem, bezpieczeństwo europejskie, administracja bezpieczeństwem, a także studia podyplomowe: zarządzanie bezpieczeństwem, edukacja dla bezpieczeństwa. Funkcjonuje także Międzynarodowy Ośrodek Szkoleń Specjalnych. Równolegle (ze względu na czas zdarzeń) rozwijana jest związana z bezpieczeństwem informacji i problematyką zarządzania nim międzynarodowa działalność normatywna połączonego komitetu organizacji ISO i IEC (data 15 grudnia 2000 roku oznacza przyjęcie przez JTC1/SC27 ISO/IEC pierwszej międzynarodowej normy zarządzania bezpieczeństwem ISO 17799 – powstałej na bazie normy brytyjskiej BS 7799). Aktualnie istnieje (ciągle rozbudowywana) rodzina norm ISO 27000 w całości poświęcona problemom bezpieczeństwa informacji i zarządzania, a jej powiązania ukazuje poniższy rysunek (norma ISO/IEC 27005 została opublikowana dnia 5 lipca 2008 roku w Genewie).
Kwestia unormowania sposobów zarządzania bezpieczeństwem, postępowania z ryzykiem oraz zabezpieczenia informacji w procesach zarządczych i poza nimi jest od roku 2000 priorytetem działań komitetu SC27 i jego grup roboczych (WG 1-5) w zakresie zaspokojenia potrzeb i oczekiwań społecznych w tym względzie, przy zachowaniu warunków standaryzacji bezpieczeństwa jako takiego.
Zarządzanie bezpieczeństwem – profesja czy profesjonalizm zawodowy
Pojęcie profesji jako wyspecjalizowanego zawodu ma wielowiekowy rodowód (cechy rzemieślnicze w średniowieczu) i w odczuciu społecznym wiąże się z doskonałością wykonywanej pracy. Szeroko rozpowszechniony jest pogląd, że profesje powstają, by zaspokajać określone potrzeby zbiorowości, gwarantować wysoki poziom usług. Stąd termin profesjonalizm, który oznacza wysoki standard wykonania danej czynności. Określenia pochodne odnoszone są do różnych dziedzin współczesnego życia (np. profesjonalizacja armii – jako określenie jej uzawodowienia; reklamowana profesjonalność usług; intratna profesja – jako określenie wysoko opłacanego zawodu itp.).
Czy zarządzanie bezpieczeństwem można uznać za wyodrębniony zawód – profesję? Odpowiedź na tak postawione pytanie jest tylko pozornie prosta – można i trzeba, ale pod warunkiem uzupełnienia/dookreślenia poprzez przypisanie zakresu/obszaru tego zarządzania, bowiem wypada jednoznacznie określić, jakie/czyje bezpieczeństwo tym zarządzaniem chcemy zapewnić. Truizmem jest tutaj przypominanie, że jeśli „(…) ktoś mówi, że robi wszystko – to sam nie robi nic” (J. Piłsudski, Pisma wybrane, Warszawa 1932).
W firmie mamy szereg obszarów, o których bezpieczeństwo powinniśmy dbać w sposób szczególny. Są to miejsca, w których gromadzimy:
tajemnice przedsiębiorstwa (w tym informacje biznesowe własne i powierzone);
dane osobowe pracowników, klientów i kontrahentów;
mienie o znacznej wartości (własne i powierzone);
materiały archiwalne o wymaganym okresie udostępniania (szczególnie z zakresu finansowo-księgowego, dokumentacja zatrudnienia itp.).
Nie wolno zapominać przy tym o ogólnej ochronie fizycznej i technicznej obiektu firmy oraz o jego bezpieczeństwie środowiskowym (bhp, ochrona ppoż., ewakuacja itd.).
Na poziomie „odpowiedzialnego za wszystko” ustawowego kierownika jednostki organizacyjnej (w praktyce stojącego na czele firmy prezesa – dyrektora generalnego) zarządzanie bezpieczeństwem ma charakter decyzyjny i skupione jest z zasady na następujących kierunkach/obszarach:
zarządzanie bezpieczeństwem organizacyjnym (głównie personalnym);
zarządzanie bezpieczeństwem fizycznym (ochrona osób i mienia);
zarządzanie bezpieczeństwem informacyjnym (informacje, dane, zasoby I&CT);
zarządzanie bezpieczeństwem kryzysowym – zachowaniem ciągłości działania.
Rozbieżność wymagań szczegółowych w każdym z tych obszarów (osadzenie prawne, realia funkcjonowania, różnorodność zagrożeń, charakter ponoszonego ryzyka, skuteczność działania) jest przyczynkiem do wyodrębnienia specjalizacji zarządczej (niezbędne jest opanowanie szczegółów prawnych i praktyka ich stosowania), co stawia pod znakiem zapytania możliwości i zakres niezbędnych umiejętności zawodowych (profesję) pojedynczej osoby mającej je wszystkie opanować przy jednoczesnej zdolności i gotowości do poprawnego kierowania firmą w zakresie biznesowym i operacyjnym.
Czy można rozstrzygnąć tę sprzeczność? Warto ten problem widzieć jako „profesjonalizm władzy”, czyli poprawność działania ogólno-zarządczego, wyrażającego się w powołaniu na poziomie najwyższego kierownictwa osoby (np. pełnomocnika zarządu) na tyle zorientowanej w kwestiach bezpieczeństwa firmy, aby móc jej powierzyć odpowiedzialność za te właśnie obszary oraz udostępnić związane z nią uprawnienia decyzyjne (organizacyjne i finansowe). Od takiego funkcjonariusza można wówczas wymagać profesjonalnego działania (po zapewnieniu mu odpowiedniego certyfikowanego przeszkolenia) i zapewnienia całości bezpieczeństwa na takim poziomie, jaki jest wymagany i niezbędny w danej firmie.
Zagrożenia bezpieczeństwa we współczesnej firmie
Doświadczenia zebrane w okresie transformacji ustrojowej Polski w znaczącym stopniu wpłynęły nie tylko na wprowadzane definicje bezpieczeństwa społecznego, ale przede wszystkim na jego odczucie w codzienności biznesowej firmy. Aktywność rynkowa nie tylko wprowadziła na polski rynek własnych przedsiębiorców, ale znacząco go zmieniła poprzez udział konsorcjów i agend międzynarodowych, ujawniając nie zawsze korzystne zjawiska (przysłowiowe już widmowe „firmy krzaki”, leasing fraud, liczne przekręty towarowe i finansowe związane z akcyzą, zwrotem VAT itp.). Zagrożeniem dla firmy stały się nie tylko warunki zewnętrzne (niestabilność rynku, nieuczciwi kontrahenci), ale i wewnętrzne (zaniedbania ochrony danych, kradzież tajemnic przedsiębiorstwa, nieuczciwy personel własny i zapewniany przez outsourcing), nie zawsze będące ewidentnymi przestępstwami, ale poprzez swoją częstość przynoszące wymierne straty i szkody w codziennym funkcjonowaniu firmy. Działania zarządcze na rynku (planowane w ujęciu biznesowym) okazały się źródłem łatwiejszych do zlokalizowania i wyeliminowania incydentów i zagrożeń niż operacyjne funkcjonowanie samej firmy – szczególnie jeśli, w trosce o redukcję kosztów, szereg wewnętrznych czynności usługowych powierzono firmom zewnętrznym, których priorytety znacząco odbiegają od oczekiwań zlecającego. Jeżeli dodamy do tego ofensywę wywiadowni gospodarczych oraz firm zajmujących się wyszukiwaniem i rekrutacją pracowników („łowców głów” – ang. head hunters), to wówczas oczywiste staje się stwierdzenie, że „współcześnie 80% zagrożeń firmy pochodzi z jej wnętrza” (dane wg FBI USA; 04.2005).
Przyjmując (za gen. Zbigniewem T. Nowickim), że zakres dóbr chronionych obejmuje osoby, mienie oraz porządek, i nie zapominając o skutkach zaistnienia siły wyższej (katastrofy naturalnej lub wywołanej przez człowieka, stanów kryzysowych oraz nadzwyczajnych), musimy szczególnie wnikliwie przyjrzeć się działaniom własnych pracowników. Pojawia się zatem socjologiczna sprzeczność: musimy zaufać pracownikom, powierzając im istotne dane i tajemnice firmy, a zarazem liczyć się z koniecznością kontroli ich pracy. Problem ten musi być rozwiązywany wielopłaszczyznowo: organizacyjnie, personalnie i informacyjnie, przy spełnieniu wymagań ochrony bezpośredniej (fizycznej i technicznej), a szczególnie w odniesieniu do zespołów ludzkich zapewniających ciągłość działania firmy.
Obszary zarządzania bezpieczeństwem w firmie
Powierzenie zarządzania bezpieczeństwem firmy wiąże się bezpośrednio z odrębnością uregulowań prawnych (rozporządzeń UE i dokumentów ustawowych RP) i z tego względu (odrębności strukturalne oraz penalne) skupione jest na głównych kierunkach zarządzania bezpieczeństwem w firmie, tzn. na:
bezpieczeństwie organizacyjnym, obejmującym kontrolę stanu:
zewnętrznego (dotyczy to szczególnie bezpieczeństwa biznesowego i administracyjno-prawnego);
wewnętrznego (dotyczy to szczególnie audytów i przeciwdziałania penetracji);
bezpieczeństwie fizycznym, obejmującym kontrolę stanu:
ochrony osób (dotyczy to szczególnie personelu własnego, ale także osób zewnętrznych: klientów, stażystów, outsourcingu usług);
ochrony technicznej (dotyczy to szczególnie zagrożeń danych i mienia oraz rozwiązań ewakuacyjno-ratunkowych);
bezpieczeństwie informacyjnym, obejmującym wszystkie działania ochronne prowadzone na rzecz:
zapewnienia bezpieczeństwa (poufności, integralności i dostępności) informacji własnych i powierzonych
niezależnie od charakteru zasobu;
zapewnienia ochrony systemów przetwarzania informacji (dane doraźne, zasoby archiwizowane, systemy I&CT);
bezpieczeństwie kryzysowym, związanym z zachowaniem ciągłości działania firmy w różnych warunkach, obejmującym:
bieżące przeciwdziałanie incydentom i zagrożeniom (niedopuszczenie do materializacji wynikających z nich ryzyk);
działania bieżące w warunkach kryzysowych (scenariusze kryzysowe i plany działania firmy w sytuacjach nadzwyczajnych).
Układ tych zależności można przedstawić graficznie jako „drzewo celów” i opracowywać pod względem zarządczym (cele, decyzje, skutki, zależności) z wykorzystaniem metody PATTERN.
Pojawiające się w praktyce codziennej działalności firmy różnorodne zagrożenia można przewidywać, ale, aby im zapobiegać, należy zwracać szczególną uwagę na ich wcześniejsze symptomy i analizować zaobserwowane incydenty z zakresu naruszeń bezpieczeństwa. Zasadność takiego działania stanie się oczywista, jeżeli dokonamy weryfikacji zgłoszeń wszystkich przypadków związanych z bezpieczeństwem oraz uzupełnimy to działanie o weryfikację raportów o próbie wejścia/włamania pochodzących z automatycznych zabezpieczeń (fizycznych, technicznych, informatycznych).
Istotny jest tutaj czynnik czasu – analiza zagrożeń wynikających z incydentów jest możliwa na drodze działań bezpośrednich człowieka nawet w bardzo dużej firmie, o ile została przygotowana prawidłowa lista priorytetów i określono zakres i sposób działania wobec standaryzowanych objawów incydentów. W każdym innym przypadku powiększa się jedynie prawdopodobieństwo przepuszczenia bez oddziaływania sygnałów świadczących o zagrożeniach, aż do momentu wystąpienia bezpośrednich zdarzeń i przypadków materializacji ryzyk. Profesjonalne przygotowanie w małej albo średniej firmie jednej osoby odpowiedzialnej za całość bezpieczeństwa pozwala na prawidłowe agregowanie wszystkich tego typu zjawisk i skuteczne przeciwdziałanie ich negatywnym objawom. W firmach średnich, o dużym obszarze zdarzeń, może być konieczne dodatkowe wyspecjalizowanie zawodowe osób zajmujących się pojedynczymi obszarami bezpieczeństwa, a czasami wskazane jest powołanie zespołów ludzi dla danego obszaru (np. wymóg ustawowy Pionu Ochrony Informacji Niejawnych). W warunkach rozległych organizacji krajowych i międzynarodowych działają wyodrębnione komórki organizacyjne (działy, biura i wydziały bezpieczeństwa), co stwarza dodatkowe problemy w zakresie zrozumiałej i wspólnej wymiany informacji o niebezpieczeństwie.
Profesjonalizm w zarządzaniu bezpieczeństwem firmy
Profesjonalizacja czynności związanych z bezpieczeństwem wiąże się w sposób nierozerwalny z zaufaniem właściciela do wszystkich podejmowanych i realizowanych działań oraz osób je wykonujących. Rozległość polskiego prawa i przyjęte zobowiązania unijne powodują, że, aby być profesjonalistą w zarządzaniu bezpieczeństwem, trzeba posiadać dobrą znajomość zdarzeń i dogłębną praktykę, a zarazem umieć uzyskać i uzasadnić zaufanie do prowadzonej działalności. W chwili obecnej nie można bezkarnie powierzać bezpieczeństwa firmy osobom nieprzygotowanym, ale zarówno właścicielom, jak i zarządcom przydałaby się chwila zastanowienia nad własnym rozumieniem tych problemów, o czym warto przypomnieć.
dr inż. Marek Blim
Bibliografia
Fehler Wł. (red.), Bezpieczeństwo w biznesie, Messenger Service Stolica S.A., Warszawa 2005.
Jemielniak D., Kultura – zawody i profesje, [w:] Prace i materiały Instytutu Studiów Międzynarodowych SGH, nr 32, Warszawa 2005, s. 7–22.
Konieczny J., Wprowadzenie do bezpieczeństwa biznesu, Konsalnet, Warszawa 2004.
Meister D. H., Prawdziwy profesjonalizm, Studio Emka, Warszawa 2001.
Materiały VI kursu przygotowawczego do rzeczoznawstwa STZOiMoZB, opracowanie TECHOM – POLALARM, Warszawa 2006–2007.
Sikorski Cz., Profesjonalizm. Filozofia zarządzania nowoczesnym przedsiębiorstwem, PWN, Warszawa 1995.
Sikorski Cz., Drogi do sukcesu. Profesjonalizm kontra populistyczna kultura organizacyjna, Difin, Warszawa 2007.
Zagórski Z., Socjologiczne portrety grup społecznych, Wydawnictwo Uniwersytetu Wrocławskiego, Wrocław 2002.
Zabezpieczenia 1/2009