Business Security – jak zabezpieczyć firmę przed nadużyciami

Nowoczesne technologie codziennie usprawniają procesy, podnoszą jakość świadczonych usług, przyspieszają i skalują biznes. Każda akcja po stronie przedsiębiorczości powoduje reakcję po stronie przestępczości, która przybiera zupełnie inny wymiar i ma nowe oblicza. Przestępczość gospodarcza jest coraz bardziej skuteczna w procederze okradania firm, które nie są odpowiednio przygotowane i zabezpieczone, żeby skutecznie stawić czoło zagrożeniu.

Jak pokazują polskie i zagraniczne źródła – blisko połowa firm jest regularnie okradanych i pada ofiarą nadużyć gospodarczych. Część z nich notuje z tego tytułu wielomilionowe straty. Nieuczciwa konkurencja, nielojalni pracownicy, korupcja, zmowy przetargowe, podrabianie produktów, kopiowanie usług, oszustwa podatkowe, cyberprzestępstwa czy szpiegostwo gospodarcze to tylko namiastka problemu.

Pierwszym krokiem ku zabezpieczeniu firmy przed oszustwami jest zdanie sobie sprawy z powagi sytuacji. Analizując codzienną prasę, każdego dnia media donoszą o przypadkach nadużyć. Praktyka adwokacka pokazuje, że skala przestępczości gospodarczej rośnie z dnia na dzień. Pytanie, na które trzeba odpowiedzieć nie brzmi „czy” tylko „kiedy” firma może spotkać się z fraudem i jak mu zapobiec.

Analiza ryzyka

Kontekst, cele, otoczenie biznesowe, rynek, struktura zatrudnienia, warunki legislacyjne, potencjalne słabości systemów wewnętrznych, luki w zabezpieczenia osobowych, fizycznych, technologicznych, czy organizacyjnych stanowią elementy składowe gruntownie przeprowadzonej analizy ryzyka. Wsparciem w tym arcyważnym zadaniu są metodologie opracowane przez międzynarodowe organizacje i inne rozwiązania pozwalające systemowo podejść do audytu wewnętrznego organizacji.

Wyjątkowego znaczenia nabierają dwa najczęstsze czynniki doprowadzające do naruszeń bezpieczeństwa informacji, finansów lub kradzieży. Są to wykorzystywana w firmie technologia i świadomość pracowników.

Technologia

Technologie bezpieczeństwa stanowią szerokie i wielowątkowe zagadnienie, które coraz częściej staje się epicentrum firmy i sercem biznesu. Ciężko wyobrazić sobie podejmowanie jakichkolwiek działań gospodarczych bez nowoczesnych rozwiązań. Prawidłowe zabezpieczenie tego obszaru jest wyzwaniem kosztownym oraz wymagającym doświadczenia nie tylko stricte technicznego, ale również prawnego, wdrożeniowego i projektowego. Mnogość rozwiązań dostępnych na rynku, dostosowanie mechanizmów i procesów obowiązujących w firmie (często projektowanych kilka czy kilkanaście lat temu) w kontekście nakładów finansowych, jakie należy zabudżetować na ten cel jest zadaniem wymagającym, ale nie najtrudniejszym w całym procesie dostosowawczym.

Świadomość

Posiadanie nowoczesnych narzędzi w firmie czy nawet w codziennej aktywności pozazawodowej wymaga od nas percepcji, przewidywania i kojarzenia zagrożeń z bieżącymi działaniami, na co nakłada się dodatkowo dynamika codziennych zadań i obowiązków. Podnoszenie świadomości zagrożeń (nie tylko w zakresie cyberbezpieczeństwa) jest kluczowe i najbardziej efektywne w osiągnięciu wzrostu poziomu bezpieczeństwa.

Jedną z form podnoszenia świadomości są regularne, szyte na miarę szkolenia. Oferta na rynku jest w tym zakresie bardzo bogata. Niestety wiele programów szkoleniowych koncentruje się na straszeniu lub opowiadaniu historii rodem z dobrych kryminałów. Ich zbieżność z analizą codziennej działalności firmy i rzeczywistością danego biznesu czy branży jest znikoma. Szkolenia powinny być dopasowane nie tylko do roli w organizacji, ale również do codziennych zadań danej osoby czy komórki organizacyjnej.

Compliance

Opisanie zabezpieczeń, procedur i regulacji wewnętrznych w sposób odzwierciedlający powinności zachowania w danych okolicznościach, kolejność wykonywania zadań, podział obowiązków i odpowiedzialności – sformułowane jasnym, prostym i zrozumiałym językiem – są niezbędne w budowaniu bezpiecznej firmy. Mnogość procedur, ciężkie i opasłe segregatory regulaminów nie są dobrym kierunkiem. Wręcz przeciwnie – szansa, że ktokolwiek je przeczyta jest znikoma. Cała sztuka tworzenia regulacji wewnętrznych w organizacji polega na lekkości i niezbędnych akcentach.

Coraz więcej usług dostarczanych jest przez zewnętrznych dostawców. Kontrakty outsourcingowe wymagają niebagatelnej uwagi. Prawne zabezpieczenie interesów firmy, nałożenie odpowiedzialności na partnerów biznesowych oraz troska o skuteczną realizację uprawnień wynikających ze współpracy są na wagę złota – zwłaszcza w czasie incydentu czy kryzysu.

Norma

Przeciwników i zwolenników wprowadzania norm międzynarodowych (np. ISO) do firmy jest prawdopodobnie tyle samo. Norm funkcjonujących w biznesie jest cała masa. Potwierdzenie kondycji bezpieczeństwa organizacji normą może być krytykowane, niemniej nikt nie wymyślił jeszcze lepszego udokumentowania stanu bezpieczeństwa firmy.

Incydent

Co zrobić, gdy już doszło do incydentu? Po pierwsze, należy ograniczyć straty oraz zidentyfikować przyczynę nadużycia. W praktyce adwokackiej regularnie spotykamy się z sytuacjami, gdy spółki, w obawie przed materializacją ryzyk reputacyjnych czy konkurencyjnych, nie decydują się na podjęcie działań zmierzających do ścigania sprawców na drodze karnej. Często jednak jest to jedyna droga do ich znalezienia, zdefiniowania słabych stron systemu bezpieczeństwa, wyeliminowania ich oraz realnej poprawy poziomu bezpieczeństwa. Postępowanie przygotowawcze i proces, w których spółka ma status pokrzywdzonego są narzędziami pozwalającymi na odzyskanie środków czy aktywów będących przedmiotem nadużycia.

Share This: