Sudjelovanje korporativne sigurnosti u glavnim tvrtkinim aktivnostima vrlo je važno. Nije dovoljno samo digitalno bilježiti, pratiti i analizirati podatke, predviđati rizike i stvarati scenarije izlaska iz krize. S rizicima se treba znati suočiti – i to s više upravljačkih pozicija
Kada smo prije desetak godina pisali o menadžerima sigurnosti, jedan od njih rekao nam je da je sretan što ga se zaposlenici pomalo boje. Koliko je to dobro za radno ozračje, upitno je, ali taj je menadžer htio reći i to koliko je ta funkcija važna u tvrtki. Posao menadžera sigurnosti danas je, sigurno, važniji nego ikada prije jer se s rizicima i prijetnjama često treba suočiti oči u oči. Koliko uprave slušaju menadžere sigurnosti, važno je pitanje. Alen Ostojić, predsjednik Hrvatske udruge menadžera sigurnosti (HUMS), kaže da za sigurnosna pitanja u tvrtki može nedostajati pozornost kakva se posvećuje drugim pitanjima, pogotovo kad govorimo o profitu. Zato se neke odluke o sigurnosti donose tek nakon što tvrtka pretrpi štetu, a katkad se i površnom analizom zaključi da više nema potrebe za kontinuiranom sigurnošću.
Menadžerske uloge
Osim toga, nabraja Ostojić, neke odluke o sigurnosti donose se kad postoji bojazan od gubitka poslovanja ako se ne uspostavi sigurnost u skladu sa željama korisnika ili klijenata. Neke se donose kad uprave opaze da konkurentske organizacije upotrebljavaju sigurnosnu tehnologiju koju one ne posjeduju. Sve su te odluke uvjetovane nekim vanjskim faktorima, no, pomalo ironično navodi Ostojić, ‘neke se odluke donose na temelju preporuka menadžera korporativne sigurnosti‘.
– U nekim kompanijama menadžer korporativne sigurnosti nema velik utjecaj, no u mnogima je njegova uloga prepoznata. Uglavnom se čini da je korporativno donošenje odluka koje se tiču sigurnosti dobro strukturirano i temelji se na dokazima. Sudjelovanje korporativne sigurnosti u glavnim tvrtkinim aktivnostima vrlo je važno. Dio toga je i povezivanje s ljudskim potencijalima, strategijom razvoja, usklađenosti, nabavom i drugim operativnim skupinama – nabraja Ostojić.
U Plivi i Tevi korporativnoj sigurnosti pridaju veliku pozornost. Kako kažu, organiziraju se i na lokacijama periodički i svakodnevno provode operativne aktivnosti zaštite u skladu s politikama, smjernicama i preporukama Globalne korporativne sigurnosti, a kompanija je posebice usmjerena na zaštitu ljudi, imovine, proizvoda i informacija. Rizici se analiziraju mjesečno, a prema potrebi i češće, ovisno o otkrivanju potencijalnih prijetnji, a nerijetko se pri analizi i prevenciji možebitnih rizika surađuje i s lokalnim policijskim upravama. U posljednje vrijeme najveći otkriveni rizici proizlaze iz aktualnih sukoba u svijetu, za što se primjenjuju mjere osiguranja kojima se smanjuju oni koji mogu zaprijetiti poslovanju.
Zaštita od napada i špijunaže
U Fini navode da se rizicima upravlja krovno i putem više upravljačkih funkcija, a jedna je od njih iz perspektive menadžera sigurnosti. Najčešći su, očekivano, kibernetička prijetnja i ranjivost, prijetnje fizičkoj sigurnosti i zdravlju radnika te ugroza života.
– Svaki menadžer sigurnosti u Fini u svom timu ima stručnjake koji pridonose donošenju odluka menadžera temeljenih, između ostalog, na procjeni rizika, stručnjake koji upravljaju sustavima zaštite za sprječavanje neželjenih događaja te stručnjake koji ublažavaju njihove posljedice – nabrajaju u Fini.
Robert Žunac, direktor Ureda za korporativnu sigurnost Hrvatske poštanske banke, također poput kolega u Fini upozorava na poznate opasnosti i dodaje da se poslovi korporativne sigurnosti ‘odnose i na provedbu procjene rizika informacijskog sustava, upravljanje aktivnostima vezanim uz kontinuitet poslovanja Banke, suradnju s mjerodavnim nacionalnim i sektorskim tijelima i institucijama u segmentu poslova sigurnosti te edukaciju i podizanje svijesti zaposlenika o ulozi i važnosti sigurnosti‘.
I u DOK-ING-u naglašavaju važnost osiguranja informacijske sigurnosti, koja uključuje zaštitu od napada te sprečavanje eksterne i interne industrijske špijunaže, ali i zaštitu fizičke sigurnosti tvrtke.
– Osiguravamo zaštitu informacija i intelektualnog vlasništva na najvišoj razini. Jednako tako imamo sofisticirane nadzorne sustave koji jamče sigurnost u našoj tvrtki štiteći naše dragocjene podatke i inovacije. Naš je pristup sigurnosti aktivan, kontinuirano unaprjeđujemo svoje mjere zaštite kako bismo ostali korak ispred potencijalnih prijetnji – ističu u toj tvrtki.
Manjak kadra
Dakle, ozbiljne tvrtke i financijske institucije sigurnosti pridaju dužnu pozornost, no što je s kadrom za to? Naši sugovornici kažu da imaju stručnjake, ali s obzirom na to da se globalni život usložnjava, potreba za njima će rasti.
– S novim uredbama EU-a i direktivama DORA (Digital Operational Risilience Act) i NIS 2 (Network and Information Security), čiji je cilj podizanje razine informacijske sigurnosti u državama članicama, povećat će se potražnja za stručnjacima za sigurnost u cijeloj Europi, što će biti velik ispit za tržište rada. U tom kontekstu važno je napomenuti da smo, u suradnji s ostalim poslovnim područjima, posvećeni i edukaciji klijenata, čija je svjesnost o mogućim prijetnjama i prijevarama iznimno važna – naglašava Žunac.
I Ostojić potvrđuje manjak kadra u korporativnoj sigurnosti, poglavito u informacijskoj i kibernetičkoj. HUMS stalno organizira besplatne radionice, seminare i savjetovanja o tome, veli Ostojić.
– ‘Certificirani menadžer korporativne sigurnosti – CMKS‘, koji traje 140 nastavnih sati i pokriva dvanaest modula najvažnijih područja korporativne sigurnosti, od analize stanja i upravljanja rizicima do poslovno-obavještajne djelatnosti, stručni je obrazovni program cjeloživotnog obrazovanja koji se izvodi u Centru za kompetencije Hrvatske udruge menadžera sigurnosti. Upisi su u tijeku – navodi Ostojić.
Uz rad članova u stručnim odborima HUMS jedanput na godinu organizira nacionalnu konferenciju hrvatskih menadžera sigurnosti; ove godine održat će se osamnaesta. Žunac kaže da se menadžeri sigurnosti u tvrtkama danas ipak više uzimaju u obzir nego prije, ali moglo bi biti i bolje. Kao što ističu u Fini, glas menadžera koji se bave tim područjem sluša se ako se ima prilike čuti, za što se i sami moraju izboriti.