Keep your business safe!
Din punct de vedere conceptual, rolul unui sistem de securitate organizațională este de a asigura protejarea tuturor obiectivelor, bunurilor, valorilor și intereselor unei organizații, precum și protecția persoanelor, în condițiile menținerii continuității activităților și a operațiilor de bază ale organizației, respectiv a celor generatoare de profit, fără a influența într-un mod determinant rațiunea existenței organizației, în sensul blocării sau îngreunării activității de bază a acesteia.
La modul general, sistemul de securitate al unei organizații este compus din mai multe subsisteme pe următoarele paliere:
– securitatea personalului;
– securitatea documentelor;
– securitatea sistemelor informatice și de comunicații;
– securitatea și sănătatea în muncă;
– sistemul apărării împotriva incendiilor, protecția mediului și situațiile de urgență;
– sistemul pregătirii de securitate a personalului,
– securitatea industrială și comercială.
La rândul lui, fiecare subsistem de securitate este alcătuit din mai multe elemente componente. De exemplu, sistemul securității fizice este compus din următoarele: sistemul mecano – fizic de securitate; sistemul tehnic de securitate; sistemul uman de securitate; sistemul procedural intern privind asigurarea securității fizice.
Orice sistem de securitate organizațională, cu toate subsistemele și elementele componente, trebuie organizat și dimensionat conform următoarelor principii:
♦ Principiul descurajării – protejarea bunurilor prin descurajarea atacurilor, amenințărilor și exploatarea vulnerabilităților
♦ Principiul interzicerii – interzicerea surselor de amenințare și a vulnerabilităților
♦ Principiul detecției – detecția materializării amenințărilor și a exploatării vulnerabilităților
♦ Principiul întârzierii – întârzierea materializării amenințărilor și a exploatării vulnerabilităților
♦ Principiul contracarării / distrugerii – distrugerea surselor de amenințare și de înlăturare a vulnerabilităților.
Teoretic, nici unul din subsistemele de securitate componente nu își poate atinge obiectivele proprii în mod independent, în condiții de eficiență și de minimizare a costurilor, și nici nu poate asigura aplicarea integrală a principiilor generale de securitate, drept pentru care subsistemele de securitate sunt organizate pe principiul complementarității și concentricității. Același lucru este valabil și pentru elementele componente ale subsistemelor de securitate.
În aceste condiții, dacă un subsistem ori o componentă de securitate nu sunt eficiente ori îngrădesc sau influențează negativ unele activități de bază ale organizației, peste o limită de toleranță acceptabilă, atunci trebuie identificate soluții alternative de securitate, care, de cele mai multe ori, sunt de resortul altor subsisteme și/sau componente de securitate.
Din aceste motive, un sistem de securitate poate fi considerat un sistem integrat în care o parte din funcțiile subsistemelor și elementelor componente de securitate pot fi asigurate și de către alte subsisteme ori alte componente de securitate, în funcție de specificitățile organizației.
Modul de organizare al unui sistem integrat de securitate trebuie să vizeze protejarea tuturor activelor unei organizații, în funcție de valoarea și de importanța lor în cadrul organizației, în directă corelație cu zonele de securitate în care activele respective sunt amplasate și cu standardul minim de securitate definit pentru fiecare zonă în parte. În funcție de aceste criterii urmează a fi stabilit necesarul de subsisteme de securitate și de elemente componente.
Dintr-o altă perspectivă, din punct de vedere teoretic, nu există sisteme de securitate care să asigure o protecție totală, fiecare sistem având o serie de vulnerabilități care pot conduce la apariția de breșe de securitate.
Anihilarea breșelor de securitate prin mijloace și metode convenționale, respectiv prin dezvoltarea sistemului integrat de securitate, poate conduce ori la blocarea activității organizației, ori la consumul nejustificat de resurse. Pe lângă aceste neajunsuri, în marea majoritate a cazurilor, alocarea suplimentară de resurse nici nu rezolvă problema de fond privind securitatea organizației.
Și pe acest plan, aplicarea principiilor complementarității și concentricității susbsistemelor de securitate, cumulată cu aplicarea combinata a strategiilor de răspuns la riscurile de securitate, poate oferi o soluție viabilă pentru asigurarea securității organizaționale, conform pragului de acceptabilitate al organizației.
În conformitate cu prevederile ISO 31000, managementul riscurilor reprezintă un ansamblu de activități de identificare, analiză, evaluare și tratare a riscurilor asociate oricărei funcții, activități sau proces a organizației, modul în care pot fi afectate obiectivele organizaționale, indiferent de natura acestora, precum și activități de stabilire a unor măsuri pentru controlul și diminuarea/eliminarea riscurilor, atât în planul probabilității de apariție, cât și în planul impactului acestora asupra obiectivelor organizației.
Drept urmare, la nivelul fiecărei organizații, trebuie implementat procesul de management al riscurilor și de stabilire de mijloace adecvate de control și răspuns, în raport cu pragurile de acceptabilitate specifice organizației și fiecărei categorii de risc identificate, precum și raportat la costurile aferente.
În cadrul procesului de management al riscurilor sunt tratate toate categoriile, subcategoriile și tipurile riscurilor potențiale, inclusiv riscurile de securitate care pot afecta cadrul general de funcționare și operare al organizației, aferente atât sistemului integrat de securitate ori elementelor și subsistemelor componente.
În esență, în cadrul procesului de management al riscurilor sunt stabilite strategii de răspuns și mijloace de control ale tuturor categoriilor de riscuri identificate/evaluate și care ar putea afecta realizarea obiectivelor organizației, inclusiv care ar putea afecta activitățile generatoare de profit, în funcție de limita de toleranță stabilită și în baza amenințărilor și vulnerabilităților existente sau potențiale, precum și strategii și modalități de actualizare a politicilor manageriale de risc adaptate la contextele ulterioare de risc și de funcționare/operare ale organizației.
Totodată, din punct de vedere conceptual, nu există strategii și mijloace de control care sa aibă ca efect eliminarea integrala a riscurilor unei organizații, inclusiv a riscurilor de securitate, drept pentru care se recomanda a fi implementate și prevederile ISO 22301 – Asigurarea continuității activității.
Managementul continuității activitații reprezintă un ansamblu de activități prin care se previzionează și se planifică un cadru organizatoric și procedural intern pentru dezvoltarea rezilienţei/continuității şi pentru construirea capabilităţilor de răspuns efectiv ale organizatiei în situațiile ipotetice de apariție și materializare a unor riscuri, indiferent de natura acestora, care ar putea ameninţa organizaţia şi funcțiile/activitățile sale principale/de bază/creatoare de valoare și profit.
În planul entităților de drept privat, o astfel de abordare a managementului riscurilor și a asigurării continuității activității/afacerii are o importanță deosebită datorită faptului că reprezintă o politică eficientă de preîntâmpinare a unor situații de faliment, insolvență, ori de reducere a afectelor negative care ar putea periclita existența organizației.