By uniknąć luk i incydentów

Od czego powinniśmy zacząć budowanie strategii bezpieczeństwa w organizacji? 

Warto zacząć od dokładnej analizy sytuacji. Powinniśmy zrozumieć specyfikę działalności firmy, jej charakter, cele biznesowe oraz strukturę organizacyjną. To pozwala zidentyfikować kluczowe aktywa, procesy i zasoby, które wymagają ochrony. Należy również uwzględnić regulacje prawne i przepisy dotyczące bezpieczeństwa, które mogą się różnić ze względu na prowadzoną działalność. Następnie powinna zostać wykonana analiza potencjalnych zagrożeń oraz ocena stanu bezpieczeństwa, które pomogą nam w określeniu priorytetów i sprecyzowaniu celów strategicznych.

Jakie masz doświadczenia jako osoba zarządzająca tym obszarem po stronie zamawiającej? 

Z perspektywy układania strategii bezpieczeństwa dla organizacji doświadczenie w zarządzaniu tym obszarem po stronie zamawiającej jest kluczowe. Funkcje, jakie dotąd pełniłem (i nadal pełnię) obejmują szeroki zakres działań w różnych organizacjach. Byłem odpowiedzialny za opracowywanie i wdrażanie strategii bezpieczeństwa (zarówno fizycznego, jak i technicznego), zarządzanie dostawcami usług ochrony, koordynację działań operacyjnych.  Moje zadania obejmowały również ocenę ryzyka oraz przeprowadzanie wewnętrznego i zewnętrznego audytu bezpieczeństwa przedsiębiorstw. Na podstawie powstałych analiz opracowywałem rekomendacje i plany działań, mające na celu poprawę poziomu bezpieczeństwa. Należy wspomnieć również o ścisłej współpracy z zarządami, w celu synchronizacji proponowanych przeze mnie koncepcji z planami  strategicznymi organizacji.

Jak wygląda, a jak powinna wyglądać współpraca na linii: dyrektor ds. bezpieczeństwa — zarząd?

Współpraca dyrektora ds. bezpieczeństwa oraz zarządu jest jednym z istotnych elementów efektywnego zarządzania bezpieczeństwem. Powinna odbywać się na zasadach partnerskich i wyglądać tak, jak poniżej przedstawiam. Dyrektor ds. bezpieczeństwa regularnie informuje zarząd o stanie bezpieczeństwa organizacji oraz zidentyfikowanych ryzykach, rekomendując działania zaradcze. Z kolei zarząd aktywnie wspiera i angażuje się we wdrażanie strategii bezpieczeństwa. Oznacza to zrozumienie jej znaczenia dla organizacji, pomoc w osiągnięciu celów biznesowych, podejmowanie odpowiednich decyzji oraz zapewnienie zasobów na jej realizację.

Opowiedz o lukach w budowaniu strategii bezpieczeństwa, które dostrzegasz jako audytor.

Jako audytor dostrzegam pewne luki w procesie budowania strategii bezpieczeństwa. Jedną z najczęstszych jest identyfikacja ryzyka, co wielokrotnie prowadzi do niedostatecznego uwzględnienia pewnych zagrożeń. Dodatkowo pojawia się niespójność między strategią przyjętą przez dział bezpieczeństwa a jego rzeczywistymi działaniami w codziennej praktyce. Należy podkreślić, że również brak kontroli  i aktualizacji strategii – w odpowiedzi na zmieniające się zagrożenia – mogą narazić organizację na niebezpieczeństwo. Ważne jest, aby strategia była dynamiczna i regularnie aktualizowana.

Jakie powinny być etapy analizy i oceny ryzyka? 

Powinniśmy zacząć od analizy zagrożeń. Przed rozpoczęciem budowy systemu bezpieczeństwa musimy wiedzieć, jakie mogą wystąpić zdarzenia niepożądane w naszym przedsiębiorstwie, przed czym powinniśmy je chronić i jakie straty mogą wystąpić. Dlatego jednym z najważniejszych elementów tworzenia systemu jest wykonanie identyfikacji potencjalnych zagrożeń, ustalenie sposobu ich powstawania, prawdopodobieństwa wystąpienia oraz wpływu, jakie będą miały na naszą firmę. Określenie prawdopodobieństwa ich wystąpienia wskaże nam poziom ryzyka, który chcemy kontrolować, zabezpieczyć w odpowiedni sposób oraz przygotować działania zapobiegawcze. Należy również pamiętać, iż  analiza zagrożeń powinna być wykonywana co jakiś czas – tak, byśmy potrafili rozpoznać nowe, potencjalne zagrożenia oraz uszczelnić nasz system.

Jaki jest uniwersalny dekalog dla każdej osoby zarządzającej działem bezpieczeństwa w organizacjach?

Tworzenie takiego dekalogu rozpocząłbym od przypomnienia o konieczności regularnych szkoleń – zarówno swoich, jak i naszych pracowników. Ich świadomość co do potencjalnych zagrożeń pozwoli nam uniknąć wielu incydentów. Dodatkowo – przy tak postępującym rozwoju technologicznym – musimy być na bieżąco ze wszystkimi nowościami, aby odpowiednio dopasować je do naszych potrzeb.

Regularne monitorowanie wyników analiz i przeprowadzanie audytów pozwoli nam określić poziom naszego bezpieczeństwa oraz wprowadzić ewentualne, niezbędne zmiany. Monitorowanie zmian w przepisach prawnych pozwoli uniknąć wielu nieprzyjemnych niespodzianek.

Szybka i efektywna reakcja na incydenty może skutecznie uchronić nas przed poważnymi konsekwencjami. Pamiętajmy, że  z pozoru nawet niewielkie niedopatrzenie może wywołać efekt kuli śnieżnej, którą później trudno będzie zatrzymać, a skutki jej działania mogą być katastrofalne.

Co do zasady, nie sposób przygotować się  na wszystkie niespodziewane wydarzenia, ale chociaż część z nich możemy przewidzieć i zaplanować odpowiednią strategię działania na wypadek ich niepożądanej obecności.

To tylko krótka lista, z pewnością tych punktów jest więcej z uwagi na zmienność naszej pracy i wciąż pojawiające się nowe wyzwania, ale to już materiał na oddzielny artykuł.

Jakie kluczowe obszary należy uwzględnić w analizie ryzyka, w zależności od typu budynku i działalności, jaką reprezentujemy?

To często pomijany, choć nie mniej istotny punkt w analizach. Poza informacjami o obiekcie oraz rodzaju wykonywanej działalności, należy także ustalić, jakie wartościowe kwestie się w nim znajdują, co należy objąć ochroną. Powinniśmy również pamiętać o zabezpieczeniach budowlanych – informacje o konstrukcji obiektu, strefach pożarowych okażą się pomocne w planowaniu zabezpieczeń mechanicznych.

Warto również przyjrzeć się otoczeniu, czyli sąsiadującym zabudowaniom, okolicy, odległościom  lotnisk, dworców, dróg od służb. W przypadku wystąpienia incydentu mamy informacje o sposobie i szybkości ucieczki potencjalnych przestępców.

Czym powinien charakteryzować się profesjonalny audyt zero? Jakie są najczęstsze niedopatrzenia? 

Głównym celem audytu zerowego jest ocena stopnia spełnienia wymagań w organizacji, która nie posiada jeszcze opisanych i wdrożonych systemów zarządzania bezpieczeństwem. To oznacza, że organizacja jest na początkowym etapie w zakresie zarządzania bezpieczeństwem i ochrony, zaś audyt ma na celu pomóc jej określić, co jest niezbędne do spełnienia poszczególnych wymagań. Wśród kluczowych aspektów związanych z audytem należy wyróżnić:

– identyfikację stosowanych rozwiązań, obejmującą analizę procesów, procedur, technologii i praktyk stosowanych w organizacji;

– zgodność z wymaganiami – w ramach audytu zerowego ocenia się, czy istniejące rozwiązania i procedury są zgodne z wymaganiami określonymi w kryteriach;

– identyfikację obszarów do uzupełnienia, czyli wskazanie, które istniejące rozwiązania są niezgodne lub niewystarczające i wymagają uzupełnienia bądź poprawy, aby uzyskać zgodność;

– identyfikację krytycznych niezgodności, które mogą prowadzić do poważnych problemów lub katastrofalnych skutków. To pozwala organizacji skoncentrować się na priorytetowych dziedzinach, które wymagają natychmiastowej uwagi;

– przygotowanie harmonogramu wdrożeń, który pozwoli określić jakie działania i inwestycje są potrzebne, aby osiągnąć zgodność z wymaganiami.

Na czym polega przegląd dostępnych środków?

To proces oceny narzędzi, technologii i procesów związanych z bezpieczeństwem, które są lub mogą być wdrożone w organizacji. Wartościowy przegląd zawiera zarówno ochronę fizyczną (rodzaj osób, ich kwalifikacje), jak również uwzględnia dostępność i wydajność technologii, jej zgodność z potrzebami organizacji, koszty implementacji i utrzymania, a także ocenę dostępnych rozwiązań na rynku. Pamiętajmy, iż obiekty różnią się od siebie i do każdego z nich należy podejść indywidualnie, abyśmy zastosowali jak najbardziej efektywne środki, które nie będą generowały niepożądanych kosztów.

W jaki sposób analiza ryzyka i sprawdzenie aktualnego stanu bezpieczeństwa wpływa na decyzję o współpracy z agencją ochrony i dostawcami rozwiązań technologicznych? 

Analiza i sprawdzenie aktualnego stanu bezpieczeństwa są bardzo istotnymi narzędziami przy podejmowaniu decyzji o współpracy z agencjami ochrony oraz dostawcami technologicznymi. Pomagają one określić, jakie konkretne usługi lub rozwiązania są potrzebne do zapewnienia odpowiedniego poziomu bezpieczeństwa i przeciwdziałania przed zidentyfikowanymi zagrożeniami. Zupełnie różne wymagania będziemy mieli dla obiektów infrastruktury krytycznej niż dla obiektów handlowych. Dokładna znajomość naszych potrzeb ułatwi wybór tylko takich partnerów, którzy zapewnią nam odpowiedni poziom świadczenia usług, a także  pozwoli uniknąć przykrych niespodzianek w przyszłości, np. w związku z brakiem odpowiednio wyszkolonych pracowników.

Czym skutkuje powierzchowne podejście do tego tematu i jakie korzyści czerpiemy z rzetelnie wykonanej pracy przy tym etapie?

Jeśli podejdziemy do tego tematu powierzchownie, możemy przeoczyć istotne luki w bezpieczeństwie i nie dostosować odpowiednio środków ochrony do rzeczywistych zagrożeń, z kolei ich lepsze zrozumienie pozwoli nam skonstruować bardziej efektywną strategię bezpieczeństwa. Rzetelna praca na etapie analizy przynosi wymierne korzyści, takie jak:

• zapewnienie zgodności z obowiązującymi przepisami;
• skoncentrowanie zasobów na najważniejszych zagrożeniach;
• wybór odpowiednich dostawców i technologii;
• zminimalizowanie ryzyka incydentów i strat finansowych;
• wzrost zaufania interesariuszy do organizacji.

Inwestowanie zarówno czasu, jak i wysiłku w dokładną analizę i weryfikację stanu bezpieczeństwa jest podejściem opłacalnym, ponieważ pozwoli funkcjonować danej organizacji w sposób bezpieczny, a zarazem skuteczny.