Strona główna Bezpieczeństwo biznesu Jakoś(ć) to będzie

Jakoś(ć) to będzie

Rafał Łupkowski


Bezpieczeństwo to proces wpływający na podstawową działalność operacyjną organizacji. Po czym poznać, że system bezpieczeństwa w firmie ma wysoki poziom albo na jakim jest poziomie?

Od wielu już lat jestem przekonany, że ocena systemu bezpieczeństwa organizacji jedynie pod kątem realizacji jednej usługi, np. ochrony, jest niewystarczająca i nigdy nie da pełnego obrazu stanu bezpieczeństwa. Niestety uważa się często, że bezpieczeństwo to ochrona lub „kamera”, zatem łatwo je zweryfikować – jeśli w ramach oferowanej usługi nie ma reklamacji, a kamery działają, czy to oznacza, że bezpieczeństwo jest na relatywnie wysokim poziomie. Czy na pewno?!

Posłużę się przykładem. W miarę standardowa usługa, np. dwóch pracowników ochrony i pracownik recepcji, kosztuje ok. 0,5 mln zł rocznie. Czy stać nas na „bylejakość” za takie pieniądze? Czy równie łatwo, jak akceptowanie takiego poziomu lub rażącego wręcz niedbalstwa przychodzi nam zarabianie na tak wysokie koszty? W przypadku rozległej struktury wielooddziałowej i zarządzania centralnym usługami i systemami roczne koszty usług ochrony wynoszą już miliony. Czy potrafimy uzasadnić zarządowi dużej spółki, że usługi, za które płacimy, są rzeczywiście na wysokim poziomie? Jeśli nie, pojawia się poważny problem dotyczący podstaw zarządzania bezpieczeństwem.

W ostatnich miesiącach zetknąłem się z przypadkami rażącego wręcz niedbalstwa i „bylejakości” za duże pieniądze. Zastanawia mnie, jak funkcjonuje rynek security, skoro w przypadku incydentów kradzieży, nie badając przyczyn zdarzenia, dokłada się kolejne kamery i zatrudnia nieskuteczną ochronę fizyczną, a jednocześnie nie mając świadomości (lub nie zwracając uwagi), że usługa za np. 700 tys. zł rocznie jest daleka od oczekiwań. „Nie moje, więc nie będę naprawiać świata”? Czy równie łatwo wydalibyśmy własne pieniądze? A może nie mamy oczekiwań?

Czy w obszarze bezpieczeństwa fizycznego jest możliwość badania jakości? Jeśli tak, to jak do tego podejść?
W moim przekonaniu każdy, kto choć kilka lat kierował rozległymi systemami bezpieczeństwa, ma świadomość mało proaktywnego poziomu realizacji usług, zwłaszcza usług ochrony. Uzasadnianie zbyt niskimi stawkami jest wszechobecnym panaceum w kontekście „bylejakości”. Dlaczego jednak, wydając setki tysięcy lub miliony złotych, nie egzekwuje się minimum tego, do czego z tytułu umowy wspólnie się zobowiązano?
Często w umowach na świadczenie usług pojawia się zapis o wspólnych cyklicznych przeglądach stanu bezpieczeństwa obiektu realizowanych przez zleceniodawcę i zleceniobiorcę. Po ich przeprowadzeniu powinny powstać wnioski i rekomendacje. Tylko jak często zapis ten jest faktycznie realizowany, a jak często pozostaje nic nieznaczącą treścią w umowie? Przecież bezpieczeństwo to stan, do którego się dąży, który podobnie jak organizacja zmienia się, służąc podstawowej działalności operacyjnej.

Wiele lat temu dotarł do nas zza oceanu termin SLA (Service Level Agreement), który w dosłownym tłumaczeniu oznacza „umowę dotyczącą poziomu realizacji usług”, czyli innymi słowy parametry umowy określające elementy jakościowe. Takie dość proste narzędzie pozwala na weryfikację poziomu jakości usługi, pod warunkiem że już na początku zostaną określone parametry (wymagania) dotyczące jej realizacji. Jeśli ich brak, warto zastanowić się nad rozpoczęciem postępowania ofertowego.
To samo dotyczy zakupu systemów zabezpieczeń. Coraz częściej spotykam się z sytuacją, że duże postępowania nie opierają się na rzetelnym security concept określającym podstawowe funkcje dla urządzeń, systemów i usług, a jedynie ograniczają się do wskazania liczby urządzeń lub stawki za roboczogodzinę bez wyraźnych założeń. Spotkałem się z przypadkami, że systemy zabezpieczeń nie wniosły wartości dodanej już w momencie ich uruchomienia… Czy nasz rynek na to stać?

Co w przypadku już istniejących systemów i podpisanych kontraktów – w jaki sposób podchodzić do kwestii jakościowych? Otóż najlepiej zacząć od podstaw. Jeśli założymy, że w dniu uruchomienia systemu czy usługi można o nim czy o niej zapomnieć, prawdopodobnie w pewnym momencie nie będziemy już zdolni do bezzwłocznej poprawy stanu, np. po incydencie lub w wyniku piętrzących się reklamacji – problem przekroczy dopuszczalny poziom.

Umowy podpisuje się na tzw. złe czasy – dopóki leżą w szafach, a ich strony mają bieżące relacje, dopóty wszystko wydaje się w porządku. Problemy zaczynają się w momencie, gdy zleceniodawca i zleceniobiorca zaczynają „przeciągać” zapisy umowy na swoją stronę – zapowiada to z reguły zerwanie kontraktu, często poprzedzone miesiącami przepychanek i wzajemnych obciążeń, a przecież nie po to umowa była podpisywana.

Zarządzający czy odpowiedzialny za obszar bezpieczeństwa powinien zatem wiedzieć, co jest przedmiotem umów, którymi zawiaduje, i jak są one realizowane. Ta wiedza nie ogranicza się jedynie do badania czasu dojazdu patrolu po uruchomieniu przycisku napadowego, ale także wielu innych elementów kontraktu, które z reguły, nawet jeśli strony nie zawarły załącznika w postaci SLA, występują w samej treści. Przykłady można by mnożyć: od umundurowania pracownika ochrony, poprzez czasy reakcji na usterki serwisowe, po skomplikowane elementy wynikające z gwarancji i rękojmi oraz ubezpieczenia.
Mając tę wiedzę (i na bieżąco z niej korzystając), można badać odchylenia od warunków kontraktu i wpływać na jakość jego realizacji niemal na każdym etapie. Wymaga to jedynie działania nieco ponad stan typu „brak reklamacji równa się wysoka jakość”. W strukturach rozległych do realizacji wystarczą relatywnie proste narzędzia, w mniejszych organizacjach warto po prostu wiedzieć, co się „kupiło” i czy to rzeczywiście działa.

Problemem jest często organizacja i wyznaczenie obszarów odpowiedzialności a także możliwości wpływania na proces realizacji poprzez właścicielstwo umowy i możliwość jej egzekwowania. To bardzo ważne, jeśli bowiem obszar merytoryczny jest oderwany od obszaru zakupowego, z reguły nadzór bezpośredni ogranicza się do weryfikacji wysokości faktury, a stwierdzone nieprawidłowości nie znajdują odzwierciedlenia w narzędziach dyscyplinujących, np. karach umownych.

Często zarządzający rozległymi obiektami zadają pytania o to, jaki poziom bezpieczeństwa mają ich systemy (z usługami włącznie). Bez odpowiedniego benchmarku rynkowego określanie tego poziomu jest niewdzięcznym zadaniem.
W ostatnim czasie rysuje się wyraźna tendencja do wyrywkowego badania parametrów na zasadzie podobnej do obszaru cybersecurity, czyli tzw. fizycznych testów penetracyjnych, polegających na kontrolowanym złamaniu zasad (uprawnień) dostępu do danego obiektu. Moim zdaniem niewiele mówi to o samym systemie bezpieczeństwa, a jedynie o pewnej jego słabości i podatności na socjotechnikę. Skuteczność systemu bezpieczeństwa nie zależy bowiem tylko od zasad dostępu, ale od wielu aspektów organizacyjnych, w tym konieczności skutecznego zarządzania nim dzień po dniu na podstawie konkretnych czynności kontrolnych badających konkretne obszary.

Solidny proces badania poziomu bezpieczeństwa (jakości) powinien bezwzględnie odnosić się do dobrze przygotowanych parametrów określających wcześniej przedmiot zamówienia – z uwzględnieniem specyfiki organizacji. Powinny także zostać określone konkretne mierniki, które w rezultacie ułatwią wskazanie odchyleń i słabych punktów Wcześniej opracowana koncepcja Security Concept, która określa poszczególne funkcje, a następnie założenia techniczne i parametry usług, zdecydowanie usprawnia działania. Trudno bowiem byłoby osiągnąć cel w postaci skutecznego i dobrze zarządzanego systemu bezpieczeństwa. Należy podkreślić konieczność zgodności projektu z wymogami prawa (jeśli występują), a także odniesienie jej do realnych potrzeb biznesowych.

Zaryzykuję tezę, że nasz rodzimy rynek ochrony ma spore problemy z rzetelną oceną jakości i jej egzekwowaniem prawdopodobnie dlatego, że nam samym trudno określić wymagania i nazwać ryzyka. Na zmaterializowanie się zagrożeń w ostatnich czasach nie trzeba zbyt długo czekać. Dużą rolę odgrywają także zleceniobiorcy, którzy niejednokrotnie wydają się podejmować wykonanie zadań na zasadzie „do pierwszej faktury”, potem „jakoś” to będzie. Z dużą sympatią patrzę na firmy, które chętnie dzielą się wiedzą i niejako odkrywają karty przed zamawiającym, pokazując zarówno mocne, jak i słabe strony rozwiązań. Niestety takie podejście to jeszcze raczej rzadkość.

Warto, aby do kupowanych rozwiązań i usług podchodzić z należytą starannością na każdym etapie ich opracowywania i wdrażania, szczególnie tam, gdzie w grę wchodzą znaczne koszty, a ryzyko związane z niedopasowaniem systemu do realnych potrzeb biznesowych jest znaczące.

Marzy mi się rynek, na którym dostawcy rozwiązań i usług ochronnych wnoszą tylko wartość dodaną, a jasno określone parametry sprawiają, że zarządzanie bezpieczeństwem pozostaje przyjemnością. Na razie jednak mądre kontrolowanie tego, co kupujemy, wydaje się jedynym rozsądnym działaniem. Nie mam jednak wątpliwości, że z upływem lat JAKOŚĆ także i u nas będzie dobrze rozumianym i dostarczanym standardem.

 

Rafał Łupkowski
Niezależny doradca w obszarze bezpieczeństwa biznesu,
właściciel firmy SecurityBroker.
Pasjonat i wieloletni praktyk zarządzania bezpieczeństwem biznesu w korporacjach międzynarodowych, współtwórca Kongresu Security.