Ir daudzi veidi, kā novērtēt organizācijas drošības programmas gatavību. Neatkarīgi no tā, vai drošības vadītājs veic regulārus iekšējos pārskatus, vai programmas novērtējumu veic ārēja ieinteresētā puse. Ir svarīgi vienmēr paturēt prātā, ka programmas darbības joma un funkcijas lielā mērā ir atkarīgas no tās atbalstītā uzņēmuma prioritātēm un vajadzībām.
Lai gan nav divu vienādu drošības programmu, drošības operācijās tiek ņemti vērā visaptveroši riska pārvaldības procesi. Šeit lietotais termins “risks” nozīmē draudu realizācijas iespējamību un ietekmi. Vienkāršiem vārdiem sakot, nobriedušai drošības programmai ir jāspēj efektīvi identificēt, novērtēt un savlaicīgi mazināt organizācijas aktīviem radītos riskus.
1. Identificēt
Pirmais solis risku pārvaldības dzīves ciklā ir identificēt tiešu vai netiešu apdraudējumu, kas radies aizsargājamai organizācijai. Lai to izdarītu, drošības funkcijai ir jābūt skaidri dokumentētam un apstiprinātam draudu reģistram, kurā norādīts to draudu apjoms, pret kuriem organizācija cer mazināt risku. Tie var būt acīmredzami draudi, piemēram, vardarbība pret darbiniekiem, un/vai nozarei specifiski draudi, piemēram, toksīnu iekļūšana ūdens avotā vai dārgu inženiertehnisko iekārtu zādzība.
Kad programmas darbības joma ir skaidri definēta, tā var sākt izstrādāt dažādus veidus, kā uzraudzīt un identificēt apdraudējumus. Daži no veidiem, kā veikt uzraudzību ir nodrošinot pieejamas trauksmes cēlēju ziņošanas iespējas, proaktīva draudu uzraudzība, izmantojot izlūkošanas (intelligence) platformas, atslēgvārdu un sociālo mediju uzraudzība, īpaši pielāgotas apmācības personālam par draudu identificēšanu, un labi izveidotas attiecības ar vietējām tiesībaizsardzības un izlūkošanas iestādēm.
2. Novērtēt
Tiklīdz drošības programma spēj efektīvi identificēt draudus, ir svarīgi, lai drošības komandai būtu iespēja savlaicīgi un efektīvi novērtēt šo draudu rašanās iespējamību un ietekmi. Šis novērtēšanas process ir atslēga, lai izstrādātu pamatotus un uz risku balstītus ieteikumus vadībai par to, kā pārvaldīt organizācijai radītos draudus.
Lai pareizi novērtētu draudu ietekmi, drošības speciālistiem jābūt aprīkotiem ar rīkiem, kas ļauj analizēt draudu dalībnieka (Threat actor) nodomu un spējas, noteikt, cik efektīvas ir ieviestās kontroles, lai mazinātu šos draudus, kādas ir draudu iestāšanās sekas, un, kādi ir atjaunošanas mehānismi, lai reaģētu uz incidentu, ja tas notiktu.
Īsāk sakot, nobriedušai drošības funkcijai, novērtējot apdraudējumu, jāspēj atbildēt uz šādiem jautājumiem:
- Cik iespējams ir, ka notiks netiešais vai tiešais apdraudējums?
- Ja rodas draudi, vai mums ir ieviesti kontroles mehānismi, lai tos novērstu?
- Ja, nē, kāda ir šāda notikuma ietekme?
3. Samazināt
Tradicionālajā riska pārvaldībā organizācija ņem vērā vienu no četriem T: paciest (Tolerate), pārcelt (Transfer), apstrādāt (Treat) vai izbeigt (Terminate). Drošības speciālistiem ir jābūt zināšanām, atbalstam un resursiem, lai ātri un efektīvi ieviestu riska mazināšanas stratēģiju, tādējādi samazinot atlikušo risku līdz pieņemamam līmenim.
Dažos gadījumos apdraudējuma mazināšana var nozīmēt vienkārši papildu apsardzes norīkošanu perimetra caurlaides punktā, bet citos gadījumos tas var nozīmēt ēkas evakuāciju vai uzņēmējdarbības pārtraukšanu konkrētā tirgū. Mēs varam domāt par riska mazināšanas taktiku kā par svirām, ko uzņēmums var izmantot, lai samazinātu iespējamību, ka apdraudējums ietekmēs tā cilvēkus, darbību un reputāciju.
Kas nepieciešams: Drošības programmas rīki
Lai uzturētu visas iepriekš minētās iespējas, nobriedušai drošības programmai būs nepieciešami dažādi svarīgi pamatinstrumenti, kas ļaus efektīvi un lietderīgi darboties. Jo īpaši drošības organizācijai, kas vēlas izstrādāt vai uzturēt nobriedušu programmu, jācenšas nodrošināt darbiniekus ar stabilu programmas pārvaldību, drošības kultūru, ko atbalsta augstākā līmeņa vadība, un rīkiem un tehnoloģijām, lai uzlabotu ikdienas programmas darbību.
Pārvaldība
Vienkāršāk sakot, pārvaldība ir dokumentācija, ar kuras palīdzību organizācijas drošības dienesti formālā veidā piemēro struktūru un vadību savām darbībām. Pārvaldības pakete ietver politikas, ietvarus (frameworks), standartus, procedūras un veidnes, kas nosaka un nodrošina darbības prasības drošības funkcijas veikšanai. Papildus drošības operāciju aprakstīšanai, dokumentēta pārvaldība ir ļoti svarīga, lai nodrošinātu, ka drošības funkcijām ir ieviestas galvenās riska kontroles, kuras izpildītu juridiskās un regulatīvās saistības, kā to var prasīt dažādi risku pārvaldības standarti.
Kultūra
Organizācijas drošības kultūru definē kā organizācijas idejas, paražas un sociālo uzvedību, kas ietekmē tās drošību. Drošības dienesti bieži paļaujas uz darbiniekiem, kas nav saistīti ar drošību. Drošības kultūra veicina darbiniekos motivāciju identificēt draudus un ziņot par tiem, veikt regulāras drošības funkcijas, piemēram, objektu drošības novērtēšanu un apmeklētāju kontroli, kā arī iesaistītos sarežģītu incidentu novēršanā to rašanās brīdī.
Nobriedušas drošības programmas aktīvi un konsekventi cenšas palielināt izpratni par drošību. To panāk, izmantojot iekšējās drošības kampaņas, un apmācot darbiniekus par pozitīvu drošības uzvedību, kamēr tiek veiktas ar organizāciju saistītas ikdienas darbības. Ar labi izveidotu un pastāvīgi attīstītu drošības kultūru drošības dienesti var paļauties uz modriem darbiniekiem. Viņi uzlabo organizācijas drošību un darbojas kā papildu aizsardzības līnija, nevis netīši palielina vai atklāj viegli izmantojamas ievainojamības.
Rīki un tehnoloģijas
Visbeidzot, bez efektīviem rīkiem un tehnoloģijām drošības speciālistiem ir ierobežotas iespējas uzturēt jebkuru no iepriekš minētajiem riska pārvaldības pīlāriem. Apsverot piemērotus rīkus un tehnoloģijas, lai atbalstītu nobriedušu drošības programmu, ir svarīgi pārskatīt programmas darbības jomu un pielāgot risinājumus, lai vispirms risinātu visnopietnākos drošības apdraudējumus.
Ja iespējams, ideālā gadījumā vadītājiem būtu jāizvēlas tehnoloģiskie risinājumi, kas attiecas uz vairāk nekā vienu no iepriekš minētajām jomām. Turklāt, ļoti komplicēti risinājumi var šķist pievilcīgi, bet ir svarīgi neignorēt rīkus, kas ir viegli lietojami, nodrošina efektīvu darba plūsmas pārvaldību un ikdienas programmas atbalstu, kā arī integrē vai aizstāj esošos rīkus un infrastruktūru.
Rīki, kas var automatizēt daļu no drošības apdraudējumu identificēšanas, pārvaldības un mazināšanas darbībām, ļauj speciālistiem koncentrēties uz sarežģītu problēmu risināšanu, nevis pārāk aizrauties ar atkārtojamiem uzdevumiem.
Izmantojot holistisku pieeju drošības programmas novērtēšanai un ieviešot nepieciešamos pamatinstrumentus, lai identificētu, novērtētu un mazinātu risku, var nodrošināt organizācijas vadību ar informāciju, kas nepieciešama, lai pieņemtu labākos lēmumus par organizācijas drošību.
