Vlasnici kompanija ili direktori u njima obično nemaju neophodno iskustvo i znanje iz domena sigurnosti, pa se zato moraju osloniti na osobe iz struke kako bi dobili profesionalan savjet, implementirali sigurnosni program i uspješno ga održavali. Osnovno razumijevanje dizajniranja, implementacije i administriranja sveobuhvatnog i održivog sigurnosnog programa u okviru finansijske prihvatljivosti za kompaniju osigurat će adekvatan odgovor potrebama kompanije, bez straha od manipulacija sigurnosnim troškovima i kreiranja okruženja koje bi negiralo garancijsku odgovornost integratora sigurnosnog sistema. Svakako je dobro u skladu s ovim sjetiti se stare izreke: “Dobit ćeš onoliko koliko platiš.”

Indolentnost i inkompetencija najčešće su uzrok finansijskog gubitka i veće mogućnosti pokretanja krivične odgovornosti. Razvoj sveobuhvatnog sigurnosnog plana organizacije zahtijeva metodološku i promišljenu analizu. Polazeći od razumijevanja makroorganizacije i progresivno idući ka mikrosigurnosnim zadacima, potrebno je poduzeti adekvatno strukturiranje, kako bi se sastavio i analizirao sigurnosni plan. Iz toga proizišle preporuke orkestrirane su da komplementiraju i podrže jedna drugu. To predstavlja značajan poduhvat zato što postoji nekolicina različitih industrijskih modela. Nekoliko sigurnosnih programa je proizvod sveobuhvatne analize; većina njih je razvijena kao ad hoc odgovor na sigurnosni incident. Zapravo, mnoge sigurnosne operacije su osmišljene i dizajnirane za istražne aktivnosti nakon samog događaja, a ne za samu prevenciju. Svrha sigurnosne analize je da identificira sigurnosne prijetnje na jedan metodološki i temeljit način, tako da iz toga nastali program bude baziran na širokoj analizi, a ne samo na karakteristikama posljednjeg sigurnosnog incidenta. Analiza omogućuje da troškovi za sigurnost budu usmjereni adekvatno se bazirajući na lokalne potrebe, štiteći kritične resurse i istovremeno prihvatajući rizik koji dopire iz manje kritičnih segmenata. Međutim, cilj pri tome nije razvijanje potpuno nepropusnog sigurnosnog plana. Temeljna značajka i koncept leži u tome da niti jedna lokacija ne može biti zaštićena u potpunosti, a da pritom ne dođe do ekstremno velikog rasipanja finansijskih sredstava i ugrožavanja kompanije u poslovnom smislu. Umjesto toga, cilj je da se oteža, a ne da se suparniku učini nemogućim da ugrozi sigurnost organizacije. Nivo tog otežavanja zavisit će od vrijednosti imovine i granica tolerancije kompanije na rizike. Analitički proces stoga se dijeli na pet faza: definicija imovine, analiza ranjivosti, selekcija protumjera i implementacija. Ovaj proces je osmišljen za promišljenu analizu i zahtijeva kompletiranje svake prethodne faze prije prelaska na sljedeću.                 

Šta je to što treba biti zaštićeno?

Često su instalacija videonadzornih kamera i uređaja za kontrolu pristupa jedine implementirane mjere sigurnosti. Najvrednije što kompanija posjeduje jeste njena reputacija: percepcija javnosti – kao vanjska reputacija i percepcija uposlenih – kao interna reputacija. Osnova reputacije kompanije je mišljenje i zadovoljstvo poslovnih korisnika i samih uposlenika. Puko prisustvo sigurnosnih službenika i sigurnosnih uređaja može ostaviti lažni utisak o sigurnosnoj situaciji u kompaniji. Kvalitet rada tih uređaja i osoblja su ono što je u stvarnosti važno u pogledu sigurnosnih mjera. U poslovnom svijetu, ništa drugo osim profesionalne vrijednosti i učinkovitosti ne bi se trebalo uzimati kao prihvaćeni standard. Ključ zaštite i unapređenja reputacije kompanije nisu njen naziv ili naziv njenog vlasnika, vrsta njene djelatnosti ili kozmetički način rješavanja uočenih problema, već upravo njeni korisnici i uposlenici koji i oblikuju njenu reputaciju.      

Definiranje vrijednosti započinje širokim razumijevanjem operacija organizacije, njenih zadataka i funkcija, kao i njenog operativnog okruženja. Kao početak analize uzimaju se intervjui s menadžmentom organizacije i operativnim osobljem, u cilju identificiranja resursa neophodnih za odvijanje operativnih aktivnosti kompanije. To uključuje proizvodnu opremu, operativne sisteme, sirovi materijal, gotove proizvode, kontrolu zaliha i sistem menadžmenta, kao i infrastrukturu elektronapajanja, vodovoda, plinovoda, telekomunikacija i sl. Često su neopipljive vrijednosti najznačajnije i mogu se uočiti samo ispitivanjem organizacijskih operacija duboko ispod njihove površine. U principu, ovaj korak definira moguće mete napada. Svaka vrijednost može se dalje podijeliti na svoje mikrokomponente. Analiza može ukazati na to da određena vrijednost mora biti definirana u detalje zbog svoje važnosti.
 
Informacijske tehnologije su primjer generalnog definiranja vrijednosti, koji se može dalje podijeliti u obliku proširene liste sistemskih komponenti, uključujući hardversku opremu, operativne sisteme, aplikacijski softver, sistem menadžmenta baze podataka, telekomunikacijsku i sistemsku dokumentaciju. Opipljive, ali i neopipljive vrijednosti bi trebale biti okarakterizirane kao vitalne (čiji bi gubitak izazvao katastrofalne posljedice po poslovanje), važne (njihov gubitak bi izazvao ozbiljan metež, ali bi kompanija mogla prevazići nastale probleme), ili sekundarne (njihov bi se gubitak mogao opisati kao relativno beznačajan).

Procjena sigurnosnih rizika

Sveobuhvatan sigurnosni plan zahtijeva široko definiranje prijetnji, uzimajući pri tome u obzir i stepen izloženosti. U samoj analizi, fokus bi se trebao usmjeriti ka onim prijetnjama za koje se smatra da su najvjerovatnije. Procjena počinje prikupljanjem podataka o minulim sigurnosnim incidentima, uključujući incidente na lokacijama, unutar kompanije i u okviru konkretne industrije. Potrebno je utvrditi da li postoje šabloni kriminalnog ponašanja i definirati njihovu prirodu. Također je potrebno revidirati izvještaje o gubicima, sigurnosne izvještaje i pravne presude vezane za organizaciju. Nadalje, neophodno je konsultirati pravne zastupnike i advokate kompanije i razmotriti eventualne sudske presude, kako bi se identificirale moguće implikacije vezane za sigurnost, te provesti intervjue s menadžementom, osiguravateljem i lokalnim službama zaštite, kako bi se odredili mogući sigurnosni rizici. Revidirati podatke o kriminalu i uporediti ih sa stopama kriminala za državu, regiju, grad i općinu također je od velikog značaja. Nužno je utvrditi i karakteristične prijetnje za samu oblast, kao i za organizaciju, zatim lokacije na kojima su uskladišteni opasni materijali, kao i puteve koji se obično koriste za prijevoz takvih materijala. U obzir treba uzeti i prijetnje koje se još nisu manifestirale kroz praktično događanje, ali čija je vjerovatnoća dešavanja velika zbog same prirode djelatnosti organizacije ili zbog političkih ili socijalnih prilika konkretnog lokaliteta. Procjena rizika je kvalitativna analiza, premda su u njoj primijenjene i tehnike prirodnije kvantitativnoj analizi. Bitno je naglasiti da je ovakva procjena zapravo slika sigurnosnog stanja u datom trenutku. Kako se budu mijenjale prilike, tako će se mijenjati i sigurnosni rizici. Zbog toga je nužno ažuriranje prijetnji, kako bi se osiguralo da sigurnosni program ide u skladu s potrebama vremena. Svaka prijetnja trebala bi biti kategorizirana kao vjerovatna (očekuje se njeno zbivanje), moguća (okolnosti pogoduju njenoj pojavi), ili manje vjerovatna (ne očekuje se njeno zbivanje). Ozbiljnost svakog pitanja kategorizira se kao katastrofalno (događaj razornih razmjera), umjereno (događaj je moguće prevazići) i beznačajno (ostavlja relativno male posljedice).      

Analiza ranjivosti

Sigurnosne protumjere predstavljaju prepreke na putu odvijanja neke situacije ka ugrožavanju sigurnosti. Cilj je učiniti dešavanje takvih događaja manje vjerovatnim, otežavajući djelovanje potencijalnim izvršiocima sigurnosne prijetnje. Međutim, prije postavljanja takvih prepreka mora se utvrditi sam proces događaja. Analiza ranjivosti pruža mehanizam za izradu scenarija sigurnosnih prijetnji, detaljno definiranih korak po korak. Predstavnici organizacije sa širokim poznavanjem njene unutarnje strukture trebali bi dati svoj doprinos u kreaciji ovih scenarija. Time se stavljaju u poziciju kriminalca koji napada organizaciju, što im omogućava da otkriju ključne tačke ranjivosti vlastite organizacije. Sigurnosni planovi dizajnirani da osujete informiranog “insajdera” bit će jednako efektivni, ako ne i efektivniji u primjeni protiv eksternog kriminala. Ova simulacija označava tačke ranjivosti i pruža okvire za sljedeću fazu – selekciju protumjera. Analiza ranjivosti kreira garnituru zaštite; pod tim se misli da jasno vodi ka tome da se fokusirani problem riješi kroz aplikaciju sigurnosnih protumjera. Ove garniture zaštite se najbolje ilustruju kreiranjem tabelarnog prikaza korelacijskih vrijednosti i prijetnji, ukazujući pri tome na to koje su vrijednosti izložene specifičnim prijetnjama. Svaki scenarij trebao bi sadržavati tabelarne ulaze, fokusirane na plauzibilnostima (da li je scenarij, možda, nerealan ili malo vjerovatan?), posljedice događaja i količinu rizika koji je organizacija spremna prihvatiti.       

Komponente sveobuhvatnog sigurnosnog plana – sveobuhvatan program obuhvata interakciju, sprečavanja i preklapanja značajki koje pružaju međusobnu podršku i usmjeravanje programa: uređaji, osoblje, smjernice i procedure, edukaciju, inspekciju i menadžment.

Odabir sigurnosnih protumjera

Kao što bi se pacijentu moglo naštetiti neodgovarajućim lijekom, sigurnosna situacija organizacije bi mogla biti oslabljena, pa i posve kompromitirana neprimjerenom aplikacijom sigurnosnih mjera. Simulacija je više umjetnost negoli nauka, zahtijeva kolaborativni napor osoblja menadžmenta i osiguranja u svrhu dostizanja programa dosljednog potrebama organizacije. Sigurnosne protumjere mogu uključivati implementaciju elektronskih sigurnosnih sistema, mehaničkih barijera, sigurnosnog osoblja, kao i smjernice i procedure. Elektronski sigurnosni sistemi obuhvataju kontrolu pristupa, detekciju, videonadzor i evidenciju prisustva. Podsistemi mogu uključivati detekciju provale, kontrolu pristupa, CCTV, interfon, javni razglas i telefonske sisteme. Mehaničke i psihološke barijere se primjenjuju kako bi spriječile pristup meti napada. Mehaničke barijere uključuju trezore, sefove, barijere za vozila, ograde i kapije, neprobojne materijale, bodljikave žice, blindirana vozila, mehaničke sisteme zaključavanja, “ležeće policajce", kao i strukture otporne na eksploziv, osvjetljenje i oklope.       

Sigurnosno osoblje obavlja različite funkcije, uključujući rukovođenje elektronskim sistemima, osobnu kontrolu različitih lokacija i patroliranje. Većina zaštitarskih operacija je dizajnirana za opservaciju i izvještavanje tijela za provođenje zakona o mogućim ili nastalim incidentima. U nekim slučajevima službenici osiguranja su naoružani i obučeni da interveniraju kad je to potrebno. Smjernice i politika označavaju poziciju i filozofiju menadžmenta o pitanjima poslovanja i prakse. Procedure definiraju sredstvo za implementaciju politike. To je veoma važan korak u kreiranju sigurnosnog programa, koji definira programe i procese ključne za efektnost sigurnosnih mehanizma.  

Šta obuhvata kvalitetan sigurnosni program?

Prije početka identifikacije svih parametara potrebnih za održiv sigurnosni program bitno je odrediti koje su to potencijalne prijetnje koje trebaju biti neutralizirane. To se postiže sveobuhvatnom procjenom rizika. U obzir treba uzeti unutrašnje rizike, ali i vanjske prijetnje, koje mogu negativno utjecati na poslovanje. Unutrašnje prijetnje uključuju proizvodnju ili upotrebu opasnih materijala, prisustvo farmaceutika, krađu proizvoda visoke vrijednosti i druge robe i sl. Vanjske prijetnje obuhvataju kriminalne aktivnosti karakteristične za tu oblast, demografsku strukturu susjedstva, jednostavnost pristupa pješaka i vozila lokaciji i susjedstvu, ali i kvalitet djelovanja lokalnih javnih sigurnosnih tijela. Velika je greška tokom procjene rizika osloniti se samo na ulazne informacije supervizora i menadžera organizacije. Ti ljudi često znaju samo ono što su im saopćili podređeni, tako da je bolje ići direktno do izvora informacija. Također, moguće je da neki menadžeri manipuliraju informacijama radi vlastitih interesa. Direktan kontakt s uposlenicima omogućuje informacije iz prve ruke i iz njihove perspektive, daje im osjećaj da vodite brigu o njihovoj sigurnosti i zaštiti i osiguravaju njihovu podršku za vaša sigurnosna rješenja. Korištenje sigurnosnih upitnika za ovu priliku daje najbolje rezultate. Mnogo vrijednih podataka bit će izgubljeno ukoliko uposlenik bude imao osjećaj da može biti identificiran kao izvor informacija. Dobijene informacije nisu nužno najvredniji input koji se može dobiti, ali to omogućuje uposlenicima da sebi daju oduška, kao i osjećaj da su potrebni u cijelom tom procesu. Sam način prikupljanja informacija ponekad je važniji od prikupljenih informacija. Informacije o vanjskim prijetnjama mogu se dobiti iz javnih izvora i vlasititim posmatranjem. Za kvalitet informacija ne može se nikada garantirati stoprocentno, zbog mogućih političkih manipulacija, inkompetencije sigurnosnih agencija ili u njima zaposlenog kadra. Posmatranje i analiza rada obučenog sigurnosnog službenika može imati mnogo veću vrijednost.  

Kako utvrditi i ocijeniti sigurnosne uređaje?

Kada su utvrđeni ciljevi i očekivanja, vrijeme je da se razmotre i potrebe za sigurnosnim uređajima. Preporučljivo je posavjetovati se s kompetentnim sigurnosnim konsultantom, kako bi se utvrdile osnovne potrebe. Ime proizvođača ne bi trebalo biti osnova kod izbora uređaja. Odabir proizvoda treba biti zasnovan na tome da li on može zadovoljiti iskazane potrebe i postavljena očekivanja. Ime proizvođača ne garantira da je proizvod pametan i isplativ izbor pri određenim specifičnim zahtjevima. Prodavači i distributeri opreme imaju različite nabavne ugovore, koji mogu utjecati na to da proizvod jednog proizvođača cjenovno varira u ponudama distributera i prodavača. Direktna nabavka od proizvođača može biti mnogo povoljnija nego nabavka iz nekog od različitih slojeva posredovanja.

Veoma je bitno okupiti sve potencijalne davatelje usluga na jednoj ponuđačkoj konferenciji, na kojoj će biti pojašnjeni interesi svakog segmenta željene zaštite i to svim ponuđačima u isto vrijeme. Potencijalne dobavljače trebalo bi informirati o željenoj zaštiti u određenim oblastima, ali ne i koji tip uređaja želite instalirati. Naprimjer, treba ih informirati da je potrebna vizuelna zaštita u određenom području, ali ne i koji tip uređaja bi trebalo instalirati. Identificiranje odgovarajuće opreme, prikladne potrebama, zadatak je dobavljača u ponuđačkom procesu. Bit će slučajeva u kojima će oni pružiti informacije koje će upotpuniti ili čak i prevazići vaša početna očekivanja. Kao dio ponuđačkog paketa, prodavač opreme bi trebao dostaviti listu obavljenih instalacija, s imenima i kontakt-informacijama nadležnih osoba. To omogućuje kupcu da kontaktira druge korisnike takve opreme i utvrdi njihovo zadovoljstvo proizvodima i instalacijom. Po prijemu ponude, ponuđeni uređaji trebali bi biti adekvatno provjereni, kako bi se utvrdilo da li ispunjavaju specificirane mogućnosti. Od odabranog ponuđača treba zahtijevati da prezentira sve detalje vezane za garanciju na proizvode i samu instalaciju. Instalaciju uređaja mora izvršiti prema odgovarajućim zakonskim odredbama, regulacijama i uredbama – certificirano i tehnički kvalificirano osoblje. Angažiranje nekvalificiranog tehničara u instalaciji ne bi se smijelo prihvatiti zbog mogućnosti zakonske odgovornosti ili neprimjerene instalacije uređaja.

Kako osigurati sveobuhvatnost sigurnosnog programa?

Kako bi bio sveobuhvatan, sigurnosni program mora se sastojati iz nezavisnih dijelova, sa zadatkom podrške krajnjem cilju programa. Objekti i uređaji kao što su videonadzorne kamere, ograde s kapijama i kontrola pristupa, ne mogu biti efikasni u ispunjenju vaših očekivanja bez ljudske intervencije. Zbog toga su pisana politika i procedure vitalni element za razmatranje. Politika naznačava korporativna očekivanja dok procedure pružaju smjernice za njenu implementaciju. U slučaju civilne parnice zbog povreda ili oštećenja imovine, politika i procedure su vitalna komponenta odbrambene strategije. Uspješna politika i procedure moraju biti sačinjene tako da budu primjenjive. Politika ne smije propisivati utopijske zahtjeve, koji ne mogu biti implementirani kako zbog nedostatka neophodne opreme, tako i zbog nedostatka neophodne obuke i osoblja. Politiku i procedure koje je, možda, jednostavno provesti u situacijama kad je prisutna većina radnog osoblja, možda neće biti moguće implementirati tokom noćnih sati, zbog drastične redukcije prisutnog personala. Zbog toga, alternativne strategije su potrebne za različita razdoblja dana i radne sedmice. Jedini način na koji je moguće mjeriti održivost direktiva jeste kontinuirano i sveobuhvatno testiranje. Naprimjer, testiranje protupožarnog evakuacijskog plana nakon najave uposlenicima ne pruža stvarnu sliku održivosti plana. Uposlenici, znajući da će plan biti testiran, osvrnut će se na plan prije vremena, planirati svoje postupke i evakuaciju, ispunjavajući vremenski rok izvršavanja, a u mnogim slučajevima objekt će biti evakuiran i prije samog početka testa. Nenajavljeno testiranje pruža mnogo vjerodostojnije informacije. Sve politike i procedure trebaju ponuditi odgovore na sljedeća pitanja: ko, zašto, šta, kada, gdje i kako. Procedure bi, također, trebale identificirati lokaciju kompletne opreme potrebne za uspješno kompletiranje planiranih očekivanja. Utvrđivanje lokacija za okupljanje i evidentiranje ljudi, kako uposlenika tako i posjetilaca, moralo bi biti dio svakog evakuacijskog plana.  

U fazi same implementacije sistema preporuke su transformirane u specifikacije za osoblje, sisteme i djelovanje. Cilj je prevođenje sigurnosnog plana u obavezujuće i dostupne dokumente i procedure organizacijskih programa i procesa.

Kako osigurati kontinuiran i odgovarajući rad sistema?

Svi sigurnosni uređaji trebali bi biti testirani na periodičnoj osnovi, u zavisnosti od frekventnosti njihove upotrebe, uputstva proizvođača ili lokalne zakonske regulative. Operativne karakteristike može provjeriti bilo ko, međutim, inspekciju opreme poput alarmnih sistema, protupožarnih pumpi i sl. trebao bi provesti kvalificirani tehničar najmanje na polugodišnjoj osnovi, ili u kraćim intervalima, opet u zavisnosti od lokalnih zakonskih propisa. Svaka inspekcija, neovisno o frekventnosti i inspektoru, trebala bi biti dokumentirana. Ključ pravilne i uspješne upotrebe sigurnosnog programa jeste, svakako, i involviranost menadžmenta. Podređeni menadžeri mogli bi imati zadatak provjere izvršenja periodičnih inspekcija, dok bi viši menadžment mogao voditi računa o tome da sve protiče u skladu s korporativnom politikom i procedurama. Ipak, ne bi se trebalo osloniti samo na riječi podređenih menadžera, već viši menadžment povremeno treba preuzeti i ulogu izvršnog menadžera. Ukoliko se provjeravaju oni koji provjeravaju, tada će i oni tako postupiti u vlastitim nadležnostima.

Komentari (0)

RSS feed Comments

Ime

Website

Naslov

Komentar

Dodaj komentar