You are here

Novinky » BULLETIN INTEGOO » BULLETIN INTEGOO 03/2011 » Koncepce

Kdo plánuje, má za tři

Co by měl obsahovat dokument bezpečnostní koncepce organizace a proč je Integoo často partnerem pro jeho přípravu

Asi nikdo neinstaluje bezpečnostní zařízení bez toho, že by měl představu o celkové koncepci zabezpečení budovy nebo areálu. To ovšem neznamená, že by taková koncepce musela mít písemnou podobu.  Majitel malého rodinného domku nebo provozovny přece také ví, že ze všeho nejdříve musí opatřit dveře zámkem. A také ví, že nemá smysl dávat na dveře druhý a třetí zámek, dokud je hned vedle dveří okno bez mříží i okenic.

S organizacemi je tomu podobně. S řešením podnikové bezpečnosti je možné začít intuitivně a základní koncepci držet v hlavě. Nikdo si přece nebude kupovat konzultace k tomu, aby věděl, že má být na každých dveřích zámek a na parkovišti kamera. Jenže ve skutečnosti je život jen málokdy takhle jednoduchý. Areály jsou složité, rizik je mnoho a ke každému existuje více možností, jak se s nimi vypořádat. Vedle toho hraje roli, že různí lidé v různých odděleních vidí priority jinak a tomu odpovídají jejich požadavky. Není pak divu, že v mnoha areálech najdete dokonale střeženou vrátnici a vedle toho desítky metrů plotu, který lze bez problémů překonat. Jinde se investuje do zabezpečení majetku, který by šlo snadno pojistit, a vedle toho zůstávají neřešeny záležitosti bezpečnosti práce, které by firmu mohly stát miliony.  Jinde jsou pro ochranu dvou cenných zdrojů nasazeny dva systémy, ačkoliv by bylo možné obě záležitosti pokrýt jediným. Nebo je zapotřebí rozšířit systém rozšířit a ukáže se, že zvolený produkt to neumožňuje.

…aby tomu rozuměl i finanční ředitel

„Je to jako v každé jiné oblasti. Ten, kdo postupuje plánovitě a má koncepci, utratí méně a dostane za to více,“ říká projektový ředitel společnosti Integoo Jakub Ševčík. „Navíc, jestliže existuje jasná koncepce, kterou může šéf bezpečnosti přinést do představenstva, o které se dá diskutovat, schválit ji a pak se o ní opírat, jednání o každém jednotlivém projektu je pak mnohem snazší.“ Existence koncepčního dokumentu je důležitá i pro další vztahy mezi manažery. Finanční ředitel nebo obchodní ředitel nemusí rozumět bezpečnostním technologiím, ale celková koncepce jim pomůže pochopit, že si firma nekupuje drahé hračky, ale že za investicemi je jasný plán vycházející z firemní strategie.

-----------------------------------------------------------

"Díky schválené koncepci je možné při výběru každého jednotlivého zařízení  zohlednit, s čím má být v budoucnu propojeno a jaké rozšíření jeho funkcí se předpokládá."

------------------------------------------------------------

Není divu, že v posledních dvou letech se zájem o konzultační podporu při přípravě koncepce zvyšuje. „V mnoha organizacích měli nějakou koncepci už předtím. Ale teď ji chtějí zpracovat důkladněji. Také je pro ně důležitý pohled zvenčí a čekají, že jim přineseme nejlepší praktiky – koncentrované zkušenosti, jak se to řeší jinde,“ doplňuje ředitel vývoje Radim Matěja. Společnost Integoo má pro takový úkol optimální předpoklady – má dostatek praktických zkušeností i technologickou nezávislost. Dokáže spolupracovat i s klasickými konzultačními firmami, které řeší rozvojové koncepce, ale chybí jim praktické zkušenosti s bezpečnostními technologiemi.

Co by v bezpečnostní koncepci nemělo chybět

Bezpečnostní koncepce organizace může být hotová za pár týdnů, ale v některých velmi komplikovaných případech si může vyžádat třeba i půl roku práce. Prostě jako každý jiný konzultační projekt. Ale vždy má její příprava určité fáze.

Sestavení seznamu toho, co organizace potřebuje chránit. Jak je pro ni který zdroj důležitý, jak velké ztráty by znamenalo jeho poškození, zničení či odcizení. Jak vysoká je pravděpodobnost ohrožení. Jak rychle by jej bylo možné obnovit. „V každé firmě je to jedinečné. Nemůžeme přijít a říct, pro vás je tohle hodně důležité a tohle méně důležité. Ale můžeme poskytnout podporu a dohlédnout, aby měl seznam zdrojů správnou strukturu a aby se na nic nezapomnělo. Můžeme také upozornit na něco, co je pro lidi uvnitř tak samozřejmé, že to mohou přehlédnout,“ vysvětluje Jakub Ševčík.

-----------------------------------------------

"Finanční ředitel nebo obchodní ředitel nemusí rozumět bezpečnostním technologiím, ale celková koncepce jim pomůže pochopit, že za investicemi je jasný plán vycházející z firemní strategie."

-----------------------------------------------

Soupis toho, co už se udělalo. Kamerový systém, mříže na oknech, čipy na dveřích, vrátnice s nepřetržitou službou. Pravidla a směrnice. Havarijní plány a záložní zdroje. Součástí této inventury je přesné zjištění, kolik stojí provoz takových zařízení i zjištění, jak jsou pokryta rizika. Například určení rychlosti reakce na incident nebo rizika, že útok bude úspěšný navzdory těmto opatřením.

Navržení ideálního cílového stavu. Jak Jakub Ševčík říká, ideálního stavu je dosaženo tehdy, když riziko ohrožení každého zdroje je tak nízké, že další investice by se už nevyplatila. „Cílem je dosáhnout rovnováhy mezi tím, jak je zdroj důležitý, jaká mu hrozí rizika a mezi náklady vynaloženými na jeho ochranu. Pokud bude běžná kancelář chráněna jako trezor národní banky, je to stejná chyba jako zanedbat riziko.“  Ve skutečnosti je výstupem této fáze projektu poměrně složitý dokument, kde se řeší i takové záležitosti jako náklady na zajištění bezpečnosti, počet zaměstnanců ostrahy nebo příležitosti k využití dat z bezpečnostních zařízení pro jiné než bezpečnostní účely. Samozřejmostí je zásada, že zařízení, která už byla instalována, musí být využita v maximální možné míře.

---------------------------------------------------------------------

„V mnoha organizacích měli nějakou koncepci už předtím. Ale teď ji chtějí zpracovat důkladněji. Také je pro ně důležitý pohled zvenčí a čekají, že jim přineseme nejlepší praktiky – koncentrované zkušenosti."

----------------------------------------------------------------------

Stanovení priorit a návrh konkrétních kroků. Zásady pro určení priorit jsou jednoduché. Jaké dopady by na organizaci mělo, kdyby se riziko naplnilo. Jaké úrovně ochrany již bylo dosaženo. Jakou úsporu by přinesla změna. A naopak s jakými by byla spojena náklady.  Navržená opatření nezahrnují jen instalaci sofistikovaných systémů. Někdy pomůže vyměnit zámek a omezit počet lidí, kteří mají klíč. Jindy organizační opatření nebo zlepšení havarijních plánů, které by umožnily škodu rychle napravit. Vždy je ale důležité vnímat, že každé opatření je spojené s určitými náklady (nejen instalace nových technologií, ale i třeba organizační opatření, které zaměstnancům zkomplikuje práci.  Součástí této části dokumentu bývá i doporučení některých kroků, které by měly být podniknuty bez odkladu – „ucpání děr“, na které se během projektu přišlo.

Každé jednotlivé rozhodnutí pak je možné dělat s ohledem na celkovou strategii. Při výběru každého jednotlivého zařízení je možné zohlednit, s čím má být v budoucnu propojeno a jaké rozšíření jeho funkcí se předpokládá. Nic ale nevydrží věčně, a to se týká i bezpečnostních koncepcí. Proto se doporučuje, aby základní dokumenty prošly každé přibližně tři roky aktualizací a byly znovu předloženy managementu. Aby byly posouzeny na základě toho, zda se nezměnila činnost firmy či její strategie, zda se nezměnila hodnota zdrojů, neobjevila se nová rizika a nezměnily možnosti technologií.