Rock zvezda med poklici – bo menedžer korporativne varnosti

Varnostniki, ki skrbijo, da vam iz skladišča ne ukradejo zaloge, in varnostni sistemi, ki morebitnim nepridipravom otežujejo dostop do vaše lastnine, na zelo kratek rok upravičujejo svoje stroške. Podjetje, ki bi zaloge pustile nezavarovane, bi kaj hitro utrpelo škodo, višjo od stroškov varovanja. A obvladovanje bolj kompleksnih tveganj, ocenjevanje celotne varnostne situacije, onemogočanje kraje informacijskih podatkov zahteva precej kompleksnejše rešitve, ki tudi niso najcenejše. In če bi vam nezavarovano zalogo piva hitro kdo izmaknil iz skladišča, vam morda slabo varovanih poslovnih skrivnosti ali podatkov iz vašega informacijskega sistema morda ne bi ukradli že prvi dan. Morda v nasprotju z manjkajočim pivom takoj ob dogodku niti ne bi opazili, da se je kdo prebil do pomembnih informacij, ki predstavljajo vašo ključno konkurenčno prednost. Posledično niso redki primeri, ko podjetja ocenijo, da je tu prostor za prihranek, in za tovrstno varnost namenijo manj sredstev. In ker se v nasprotju s fizičnim varovanjem škoda ne pokaže takoj, je to najprej videti kot dobra odločitev, pa čeprav se bo morda nekoč v prihodnosti izkazala za usodno.

Od ključavnice do požarnega zidu

Varovanje izdelkov v skladišču in varovanje podatkov ter intelektualne lastnine sta zelo različna projekta in zahtevata paleto znanj in sposobnosti odgovorne osebe. Kdor zna dobro obvladovati vse vidike varnosti podjetja, mora imeti torej zelo širok nabor kompetenc, predvsem pa zelo globoko razumevanje poslovanja in obilo tehnološkega znanja. Prav zaradi te širine in vedno večjih potreb podjetij po obvladovanju številnih zelo različnih tveganj so nekateri mediji že pred leti razglasili, da bo v prihodnosti poklic menedžerja korporativne varnosti postal izjemno cenjen in iskan, neke vrste rock zvezdnik med poklici.

Med drugim in tretjim temeljnim vprašanjem o obvladovanju tveganj številnim podjetjem spodrsne.

A pozor, tako kot vsak udeleženec šova Slovenija ima talent ne more postati zvezdnik, tako tudi vsak, ki se odloči za ta poklic, ne bo nujno postal izjemno iskan. Le osebe, ki ob tehničnem znanju združujejo v sebi tudi vse druge potrebne sposobnosti in so agilne ter se v poslovnem svetu hitro znajdejo, lahko postanejo zares iskan in cenjen kader.

Za takšen profil kadra je zelo pomembno, da ima veliko teoretičnega znanja, hkrati pa mora izjemno dobro poznati tudi procese v podjetjih v praksi. Denis Čaleta, predsednik sveta Inštituta za korporativne varnostne študije ICS in eden od predavateljev na magistrskem programu upravljanja tveganj in korporativne varnosti, pravi, da med svojimi študenti takoj opazi razliko med dvema skupinama: »Del študentov prihaja iz delovnega okolja, kjer so se že srečevali s procesi obvladovanja tveganj, in ta skupina ima vsekakor že takoj na začetku prednost pred tistimi, ki prihajajo v program brez delovnih izkušenj.«

Pixabay

V Sloveniji do zdaj povpraševanje po tem kadru še ni bilo tako veliko, a Čaleta meni, da se povpraševanje že kaže: »Prepričan sem – in to kažejo že tudi raziskave, ki jih izvajamo na Inštitutu za korporativne varnostne študije –, da se povpraševanje tudi pri nas že povečuje. Vsa tveganja, ki jih prinaša poslovno okolje, namreč to zahtevajo. Na primer na informacijsko-varnostnem področju se je več tveganj že uresničilo – bili so že vdori v račune podjetij, tudi večjih institucij. Uresničila so se že tudi druga tveganja, in to ne le pri podjetjih, ki delujejo v mednarodnem okolju, ampak žal vedno bolj tudi pri tistih, ki delujejo zgolj doma. Vse to podjetjem čedalje bolj daje misliti, da potrebujejo kompetentno osebo, ki bo znala obvladovati ta tveganja in predvsem združiti različne varnostne rešitve, ki so zdaj morda razpršene znotraj podjetja na več oddelkov ali oseb.« K temu vedno bolj pripomore tudi zakonodaja, nadaljuje Denis Čaleta: »V zadnjem času so bili sprejeti trije zakoni s tega področja: zakon o kritični infrastrukturi, zakon o informacijski varnosti in razvpita direktiva o varovanju osebnih podatkov – vse to vedno bolj terja v podjetjih osebo, ki to zakonodajo razume in zna njene zahteve vgraditi v sistem – ne le zgolj formalnopravno, pač pa učinkovito.«

Ločevanje šuma od signala

Menedžer korporativne varnosti pri svojem delu lahko uporablja številna orodja, a predvsem je pomembno, da razume, kaj s temi orodji dosega, in zna razlikovati med pomembnimi in nepomembnimi podatki. Še tako kompleksna orodja in še tako na široko zastavljen sistem, ki analizira potencialna tveganja, je brez prave sposobnosti analize malo vreden – pri korporativni varnosti je ena najpomembnejših sposobnosti menedžerja dobro razločevanje med šumom in signalom. Boljša orodja sicer olajšajo delo, a sama po sebi niso zagotovilo za uspeh. Dobri menedžerji korporativne varnosti znajo bolje uporabiti informacije, pridobljene z bolj primitivnimi orodji, kot slabi iz najzahtevnejših modelov.

Menedžer korporativne varnosti ne more biti vsakdo ...

Tako je Marko Cabric, predavatelj in pisec knjig s področja korporativne varnosti, nekoč dejal, da mu je menedžer korporativne varnosti v eni od bolj uspešnih ameriških korporacij dejal, da za prvo sito, na katere trge bodo širili svoje poslovanje, ne uporablja zahtevnih analiz, pač pa začne s tako imenovanim modelom McDonals'd. Ta »model« je uporabil tudi, ko je razmišljal o širitvi na Balkan: Če je na ciljnem trgu ta ameriška veriga s hitro prehrano močno prisotna (ali pa druge ameriške verige), potem je trg primeren. Kako naklonjeno je poslovno okolje tujim (konkretno ameriškim) podjetjem, namreč ne pokaže analiza tamkajšnje zakonodaje, pač pa šele konkretni primeri pokažejo, kako okolje v praksi sprejema takšne prišleke. In če lahko McDonaldove restavracije tam cvetijo, potem očitno ni večjih ovir za ameriški kapital, verjetno tudi ni prevelike nastrojenosti med prebivalstvom proti ameriškemu kapitalskemu imperializmu in se prišleku ni treba preveč bati vandalizma nad njegovimi novimi trgovinami. To ne pomeni, da ne opravi še drugih varnostnih analiz, vsekakor pa pomeni, da s preprostim posnetkom stanja na terenu hitreje in bolj zanesljivo pride do prvih informacij, ki ga pravilno usmerijo. Tako v nekem smislu izkoristi tudi študije, ki so jih pred njim gotovo že opravile druge ameriške verige, ko so iskale nove trge. Če jih na določenem trgu ni, za to verjetno obstaja razlog. In če na drugem trgu uspešno poslujejo, to daje možnost tudi drugim ameriškim korporacijam, da lahko tam začnejo novo uspešno zgodbo. Dobri menedžerji korporativne varnosti tako s svojo izkušenostjo in vpogledom v poslovanje lahko tudi s preprostimi orodji sprejemajo prave odločitve in pripomorejo k učinkovitosti poslovanja. Prav gotovo pa bi bilo naivno in napačno, če bi takšno orodje postalo temelj odločanja, ne pa zgolj začetni kompas, ki kaže, na katerih trgih je smiselno začeti iskati priložnost.

Korporativna varnost – preventiva ali kurativa?

Tveganja, ki jih prinaša poslovanje, so različna, od poslovnih do finančnih, od operativnih do strateških. Bolj ko so tveganja razumljiva in večja ko je pogostnost negativnega izida, bolj verjetno je, da ima podjetje vpeljane primerne postopke za njihovo obvladovanje. Kako verjetno je, da v proizvodnjo ne bo pravočasno prispela potrebna količina določene surovine, kakšne rešitve imamo pripravljene za tak primer in kaj moramo storiti danes, da bomo to tveganje dobro obvladovali, ko bodo nastopile težave? Takšnih operativnih tveganj se v podjetjih še kako dobro zavedajo in njihovemu obvladovanju namenjajo tudi precejšnjo pozornost. A bolj ko se od operativnih tveganj pomikamo proti strateškim, več je neznank in težje podjetja ta tveganja obvladujejo. Manj ko so tveganja znana, jasna in verjetna, težje se podjetja odločijo porabljati svoja sredstva za njihovo obvladovanje. A to pogosto to ni najboljša odločitev, saj lahko prav takšni »črni labodi« najbolj destruktivno vplivajo na podjetje. Prav uresničitev tveganj, ki so bolj nejasna in je njihova uresničitev kratkoročno manj verjetna, najhuje škodujejo podjetju oziroma uničijo njegov posel.

Kako se spopadati s tveganji

Preprost pregled, kako se spopasti s tveganji, zajema štiri kratka vprašanja. Neupoštevanje enega od njih številna podjetja drago stane. Prvo vprašanje je »Kaj se lahko zgodi?«. Odkrivanje potencialnih nevarnosti je prvi korak. Drugo vprašanje je »Kakšna je verjetnost, da se to zgodi?«. Po besedah Marka Cabrica do tu skoraj vsa podjetja svoje delo dobro opravijo, pri naslednji stopnički pa jim spodrsne. Zavozijo namreč že pri odločitvi, kaj odgovor na drugo vprašanje pomeni. Posvetijo se varnostni problematiki le pri temah, kjer odgovor na drugo vprašanje kaže na dovolj veliko verjetnost. A pozor, to je napaka. Nikakor ni pametno izpustiti tretjega vprašanja, ki se glasi »Kakšne bodo posledice, če se tveganje uresniči?«. Šele kombinacija odgovorov na verjetnost uresničitve tveganja in obseg možnih posledic označuje prave meje, do kod se je smiselno ukvarjati s problematiko. Zanemarjanje malo verjetnih dogodkov z velikimi posledicami lahko družbo veliko stane.

Ena oseba ali deljena odgovornost

Tveganj v podjetjih je vedno več, posebno vrsto tveganj predstavlja kibernetski kriminal, ki še posebej kliče po močnih ukrepih. Podjetja hranijo čedalje več občutljivih podatkov, ki so tarče napadov, zato je njihova zaščita ključna.

Manj ko so tveganja znana, jasna in verjetna, težje se podjetja odločijo porabljati svoja sredstva za njihovo obvladovanje. A to ni najboljša odločitev.

Še ena od pomembnih skupin so zaposleni, in to z vsaj dveh vidikov; treba je poskrbeti za njihovo varnost na delovnem mestu, hkrati pa preprečiti, da bi bil prav kdo od zaposlenih tisti, ki bi poskrbel, da občutljive informacije odtečejo iz podjetja. Glede na opisano raznolikost področij varnosti ni nenavadno, da tudi nekatera velika podjetja odgovornost za to področje prerazporedijo na različne oddelke. Marko Cabric pravi, da je to sicer razumljivo, a sam zagovarja zaposlitev menedežerja korporativne varnosti. Drži sicer, da je v različnih oddelkih v različnih osebah lažje najti vse potrebne kompetence kot pa najti vse to v isti osebi, a takšna razdrobljenost reševanja varnostne problematike po njegovem mnenju zaradi različnih parcialnih rešitev, ne pa celostnega sistema, neizogibno vodi v varnostne luknje in nezdružljive ali slabo povezljive sisteme, ki pa morajo biti v sodobnem svetu izjemno dobro usklajeni, da lahko zagotavljajo ustrezen nivo varnosti.

Pixabay

Ne le podjetja

Varnost seveda ni le vprašanje v podjetjih, na drugačen način, a še bolj pomembna je na ravni države, državnih sistemov in podsistemov, začenši z zdravstvenim in prometnim. Tudi na teh področjih je učinkovit pristop k o obvladovanju tveganj ključen, predvsem pa bo treba v prihodnosti ta prizadevanja bolj uskladiti. A to je že druga zgodba …