Автор: Пользователь скрыл имя, 09 Декабря 2011 в 13:17, доклад
Но глубина такого заимствования зависит от конкретной профессиональной области. Например, если обратиться к объявлениям о вакансиях в IT, то там в названиях должностей, описаниях требований к специалистам и условий работы активно используются американские термины. В области безопасности все по-другому – применение западных стандартов практически отсутствует, что обусловлено, как правило, объективными причинами. Тем не менее информация о принципах кадровой политики в области безопасности компаний развитых стран может служить некоей точкой отсчета и оказаться полезной при построении собственных структур.
Последнее время при выстраивании кадровой структуры предприятий российский бизнес во многом опирается на опыт западных компаний. Это и понятно – должности и функционал, используемые в компаниях развитых стран, разумеется, намного точнее отвечают запросам рыночной экономики, в которой наша страна ≪пробует себя≫ лишь последние пару десятилетий.
Но глубина такого заимствования зависит от конкретной профессиональной области. Например, если обратиться к объявлениям о вакансиях в IT, то там в названиях должностей, описаниях требований к специалистам и условий работы активно используются американские термины. В области безопасности все по-другому – применение западных стандартов практически отсутствует, что обусловлено, как правило, объективными причинами. Тем не менее информация о принципах кадровой политики в области безопасности компаний развитых стран может служить некоей точкой отсчета и оказаться полезной при построении собственных структур.
Политика западных организаций в сфере безопасности и подход к этому вопросу российских компаний существенно различаются, и сравнение здесь будет не в нашу пользу. Новые для отечественного рынка должности «в широком прокате» появились сравнительно недавно, этим и объясняется скудный выбор профессий в этом сегменте. Как утверждают эксперты, на Западе все ровным счетом наоборот: многообразие персонала, задачей которого является обеспечение безопасности, настолько велико, что для того, чтобы разобраться в хитросплетениях должностей, нужно изрядно постараться. Например, стоит упомянуть о сложившемся разделении информационной безопасности на общую, включающую в себя, скажем, хранение бумажных документов, и IT-безопасность, которая призвана обеспечить защиту от внешнего проникновения к электронным базам данных компании. При этом в России часто оба эти вида безопасности рассматриваются как единое целое.
Итак, разговор в этой статье пойдет о профессиях, связанных с обеспечением безопасности предприятия. Для начала стоит отметить, что введение подобных специалистов в штат компании отнюдь не чья-либо прихоть. По расчетам, крупные компании в среднем расходуют около 30 % своего бюджета именно на обеспечение собственной безопасности на всех уровнях. Как говорится, скупой платит дважды: утечка ценной информации или несвоевременная, запоздалая реакция на стороннее вмешательство может стать причиной глубокого кризиса в организации, а в некоторых случаях даже ее банкротства. Первая профессия, о которой необходимо сказать, – это Chief Security Officer (CSO), или, если подбирать эквивалент в русском языке, руководитель отдела безопасности. CSO, как правило, выступает в качестве главного специалиста, ответственного за разработку, внедрение корпоративной безопасности компании и управление ею в целях снижения рисков во всех областях деятельности организации: информационной, финансовой и др. Хочется отметить, что многие российские компании уже давно применяют тактику введения такого специалиста в свой штат.
Несмотря на то что на данный момент в отечественных организациях отсутствует практика включения в штатное расписание одновременно двух должностей – руководителя отдела безопасности и Chief Information Security Officer (CISO), или директора по информационной безопасности, на Западе есть четкая грань между двумя этими работниками. CISO – ведущий специалист, отвечающий за обеспечение защиты информационных ресурсов компании. Как правило, CISO подчиняется CSO, однако, как уже было сказано, возможно и совмещение этих должностей. Директор по информационной безопасности – настолько значимая и важная фигура в компании, что можно с уверенностью сказать, что этот человек знает все и обо всех. Зачастую даже хозяин бизнеса не обладает таким объемом информации. В компаниях, где IT не является основным видом деятельности, CISO может выполнять функции IT-директора и взять на себя еще и роль консультанта по вопросам ведения бизнеса. В таких фирмах сотрудники порой даже не осознают, что в сферу деятельности «вот этого человека», который занимается «непонятно чем», входит высокая финансовая аналитика, что он имеет доступ к управлению электронными счетами компании, осуществляет контроль за охранными системами видеонаблюдения и занимается еще много чем, что скрыто от всеобщего обозрения.
Не менее важным лицом любой западной компании является Chief Risk Officer (CRO), или Chief Risk Management Officer (CRMO), или директор по управлению рисками. Деятельность каждого предприятия неразрывно связана с понятием «риск», т.е. с возможностью развития событий, что называется, по худшему сценарию.
Причиной этого может стать недобросовестный деловой партнер, обанкротившийся банк, экономический кризис, стихийное бедствие или банальный компьютерный вирус. Несмотря на различные проявления, все эти риски в равной степени могут нанести урон организации. Для того чтобы компания могла принимать обоснованные решения в условиях неопределенности, ей необходимо выработать политику по управлению рисками, которая должна основываться на специальном внутреннем документе – программе по управлению рисками. Действия CRO направлены на эффективное и действенное управление возможными рисками компании, которые в большинстве классификаций подразделяются на кредитные, рыночные, риски ликвидности, операционные и юридические. В сферу деятельности CRO также могут входить дела, касающиеся страхования, внутреннего аудита, информационной безопасности, корпоративного расследования финансового, интеллектуального или другого типа мошенничества. В более сложных по структуре организациях CRO также отвечает и за координацию деятельности организации в целом.
Более узкая специализация – у Director of Operational Risk, или директора по управлению операционными рисками. Под операционными рисками подразумеваются потенциальные потери компании, которые могут быть вызваны ошибками либо непрофессиональными (противоправными) действиями персонала компании, а также сбоями в работе оборудования. Во многих организациях к операционным рискам относят и форс-мажорные ситуации, связанные с воздействием природных сил. Принцип действия при управлении операционными рисками такой же, как и при управлении другими видами рисков: выбор критерия управления, идентификация и измерение рисков, а также выработка мероприятий, позволяющих взять ситуацию под контроль. Вопросы управления рисками компании должны контролироваться топменеджментом или собственниками организации. В первую очередь необходимо улавливать так называемые ≪сигналы о рисках≫, которые могут поступать, например, через служебные записки персонала, сообщающие о текущей неблагоприятной ситуации.
Director of Privacy, или директор по обеспечению конфиденциальности занимается проблемой защиты персональных данных, которая в последние годы приобретает все большую актуальность.
В Российской Федерации регулярно изменяется профильный закон № 152-ФЗ, что, без сомнения, не может не сказаться на деятельности большинства компаний, причем в самое ближайшее время.
На Западе вопросу Privacy, или защиты от вмешательства в личную жизнь, уделяется еще более серьезное внимание. Наиболее подвержены угрозам крупные компании – банки, медицинские центры, онлайн-гипермаркеты, т. е. предприятия, по роду деятельности вынужденные обрабатывать огромные массивы личных данных клиентов. Недавние события, связанные с масштабными утечками клиентской информации в известных компаниях, в том числе и в России, заставляют гигантов мирового бизнеса серьезно беспокоиться по поводу возможных рисков, связанных с раскрытием личной информации. Эти риски, в том числе судебные, настолько велики, что неблагоприятное развитие ситуации может привести к серьезным проблемам, вплоть до закрытия компании. Именно поэтому средства, расходуемые на Privacy, выделяются достаточно щедро.
Сегодня вы вряд ли встретите хотя бы одного руководителя компании, который не принимал бы мер по обеспечению безопасности своего предприятия. Однако, как показывает статистика, в России собственники бизнеса готовы потратить всего 15 % своей прибыли на поддержание внутренней и корпоративной безопасности.
Информация о работе Информационная безопасность на западе и в России