Технології забезпечення безпеки: будинок, побудований на піску?

Уявіть картину: ви страждаєте від постійного болю і нарешті вирішили з'їздити до лікаря, щоб він перевірив стан вашого здоров'я і вилікував вас. І тільки ви зайшли в кабінет і, перш ніж ви що-небудь встигли сказати, лікар оглянув вас поглядом, щось пробурмотів і виписав вам рецепт. Звичайно ви були б щасливі, якби препарати, призначені таким чином, вилікували хворобу, але ваш лікар навіть не спромігся дізнатися, в чому власне проблема? Ви б порахували це професійним підходом? Звичайно ж ні, і все ж кожен день в індустрії безпеки відбуваються саме такі ситуації.

Співробітники служби безпеки, стикаючись з безпосередньою проблемою в забезпеченні безпеки, часто переоцінюють свій досвід, поспішають з висновками щодо того, яким має бути рішення, і поспішно роблять замовлення. Менеджери безпеки, як і лікар про якого вище йшлося, часто не аналізують і не діагностують проблему, покладаючись на волю випадку, що вжиті заходи будуть відповідати потребам. Але коли вжиті заходи виявляються невдалими, це стає вже реальною проблемою.

Чи справедливим є така критика? Зрештою, керівники служб безпеки - всього лише люди, для досягнення своїх цілей часто використовують несвідомі штампи. У всіх нас є власні вподобання і комфорт-зони ("... це те, що ми завжди робили..."), ми орієнтуємося на досвід інших ("... це те, що зробили в компанії N..."), і ми хочемо простих рішень ("... це рішення досить ефективне і доступне..."). Однак, якщо є надійна, незалежна інформація, на основі якої здійснюються рішення про закупівлі, все відбувається зовсім інакше. У 2007 році професор університету Лестера Адріан Бек, описуючи "пустелю даних" в індустрії безпеки, сказав так: "...якщо б системи відеоспостереження та інші охоронні системи були ліками, ми б були абсолютно вражені тим, як широко вони використовуються без ретельного тестування їх ймовірного впливу на пацієнтів ". Генерал Колін Пауелл одного разу сказав, що "... якщо у вас є від 40 до 70% інформації, необхідної для прийняття рішення, відштовхуйтесь від своїх почуттів". Так що ж зробити співробітникам безпеки, щоб поліпшити цю ситуацію? Відповідь проста: при складанні проектів по впровадженню систем безпеки необхідно враховувати ризики. Такий підхід вимагає проведення аналізу причин, оцінки ризиків і розстановки пріоритетів, що призведе до проблемно-орієнтованих рішень, а найголовніше, виправдає витрати на їх фінансування.

Виявлення факторів ризику - Визначення всіх критично важливих ресурсів і конкретних загроз, що стоять перед ними.

Аналіз ризиків - Визначення з переліку всіх можливих ризиків тих, які найбільш вірогідні.

Оцінка ризиків - Розстановка ризиків по порядку, ранжування і визначення пріоритетності заходів.

Досягти головної мети - належного забезпечення безпеки і впровадження правильних охоронних систем - можна тільки відштовхуючись від ретельної і постійної взаємодії із зацікавленими сторонами. Такий підхід допоможе забезпечити можливість отримання різнобічних поглядів і думок; а не базуватися на позиції однієї людини. Сприйняття ризику залежить від дуже багатьох чинників, які ми не будемо тут описувати, але досить сказати, що вони суб'єктивні за своєю природою. Саме тому деякі люди в вихідні дні читають книгу або гуляють з собакою, в той час як інші стрибають з парашутом або підкорюють гори.

Управління ризиками є за своєю суттю діяльністю групи і має відображати мінливий характер умов загроз. Результатом процесу оцінки ризиків повинен стати документ, який визначає заходи протидії. У ньому повинні бути вказані детальні вимоги для кожного пристрою. Пізніше, після реалізації проекту, саме ці документи замкнуть коло, дозволяючи перевірити, чи забезпечила установка те, що було визначено від початку.

Звичайно слід визнати, що технічні заходи є лише частиною вирішення. Безпека - система, яка складається з технічних і людських елементів. Тому, перефразовуючи Матвія 7:26, можна сказати так: індустрія безпеки часто може "...бути подібна необачному, що свій дім збудував на піску". Якщо промисловість бажає представити себе в якості професіонала, вона повинна приймати професійні стандарти на основі фактичних даних та методичному проектуванню, а не випадкових здогадках, що сьогодні залишається занадто поширеним.

Джерело www.sourcesecurity.com. Переклад новини виконала адміністратор сайту Олена Пономаренко