Jak stworzyć dział bezpieczeństwa w firmie?

Część osób z naszej „paki” odeszła już ze służby, mając nadzieję na to, że będą mogli wykorzystać posiadaną wiedzę na rzecz zapewnienia bezpieczeństwa firmom, zwłaszcza tym wywodzącym się z Polski. Ich dotychczasowe doświadczenia potwierdzają, że na rynku również można zrobić sporo dobrego i jednocześnie zobaczyć jak pracują „cywilni” specjaliści.

W związku z wojną na Ukrainie obserwujemy ponadto wzrost zainteresowania tematyką bezpieczeństwa korporacyjnego. Właściciele firm, managerowie, a nawet szeregowi pracownicy mają niekiedy wątpliwości co do tego, jak powinien wyglądać taki departamentw firmie.

Spieszymy więc z odpowiedzią – w nowoczesnym przedsiębiorstwie nie oznacza to postawienia „wielkiego chłopaprzed drzwiami wejściowymi 😉 Sprawny dział „security” realizuje swoje zadania w sposób niewidoczny, chroniąc jednocześnie przedsiębiorstwo przed kryzysem PR, pozyskując informacje o otoczeniu konkurencyjnym, czy też minimalizując ryzyko inwestycyjne.

Rozwój rynku bezpieczeństwa korporacyjnego – a co za tym idzie, różnych modeli zarządzania bezpieczeństwem w organizacji – może jednak prowadzić do problemów z wyborem właściwego dla danej firmy modelu. Dlatego dzisiaj chcemy porozmawiać o tym, na co powinno się zwrócić uwagę przy okazji tworzenia i rozbudowy działu bezpieczeństwa.

Dlaczego firma potrzebuje działu bezpieczeństwa?

Na początek kilka historii, które przytrafiły się naszym chłopakom „na rynku” w ostatnich miesiącach. Potwierdzają one to, że „w cywilu” również jest co robić, a firmy narażone są na wiele różnego rodzaju zagrożeń.

Zagraniczny wyjazd biznesowy. Po trzech dniach ciężkich i przedłużających się negocjacji jeden z członków firmowej delegacji dał się namówić na odprężającego drinka w hotelowej restauracji. Tam poznał kobietę, która była bardzo w jego „typie”. Szybko znaleźli wspólne tematy do rozmowy, pomimo delikatnej bariery językowej…

Sprawy miały już przybrać nieco bardziej intymny charakter, gdy do pokoju hotelowego „wprosił się” ochroniarz. Miał nosa, gdyż jego klientowi właśnie podano GHB, czyli tzw. pigułkę gwałtu. Po kilkuminutowej rozmowie kobieta przyznała, że została „wynajęta” przez kilku smutnych panów w celu wyciągnięcia od biznesmena informacji.

Warszawa. Pewna korporacja ogłasza w mediach zatrudnienie osoby, mającej objąć jedno z kluczowych stanowisk w firmie. Następnego dnia do działu HR wpływa „anonim” oskarżający nowego pracownika o przestępstwa na tle seksualnym. Tylko sprawnie przeprowadzone śledztwo pozwala oczyścić ofiarę z pomówień, odszukać oszusta, a firmę uchronić od ryzyka reputacyjnego.

Negocjacje na wysokim szczeblu. Firma będąca dystrybutorem elektroniki zamierza zakupić podzespoły od nowego dostawcy. CFO odczuwa jednak wewnętrzny niepokój podyktowany tym, że cena wydaje się być zbyt korzystna, aby była prawdziwa. Sprawdzenie kontrahenta wykazuje, że podzespoły pochodzą z przestępstwa, a firma prowadzi negocjacje z… grupą przestępczą.

Podobnym zagrożeniom należy zapobiegać lub minimalizować ich ewentualne skutki. I właśnie tym powinien zajmować się w danej organizacji dział bezpieczeństwa.

Trend, który obecnie obserwujemy polega zaś na tym, że zarządy przedsiębiorstw różnej wielkości coraz częściej widzą w nim, nie tylko „fizola” stojącego na recepcji, ale również doradcę zarządu, mogącego wnieść do firmy wartość dodaną. To jak w praktyce będzie funkcjonować komórka bezpieczeństwa, zależy jednak od decyzji podjętych w trzech kluczowych obszarach:

  • Funkcji, które ma pełnić w firmie dział bezpieczeństwa. Czy ma on sprowadzać się jedynie do ochrony budynku, czy ma obejmować również takie zadania jak zapobieganie kryzysom PR, czy przygotowywanie zarządu do prowadzenia negocjacji na wysokim szczeblu?
  • Rodzaju działalności przedsiębiorstwa. Inaczej chroni się kluczowy „know-how” w branży biotechnologicznej, a inaczej systemy IT korporacji zajmującej się wydobyciem surowców.
  • Preferencji względem modelu in-house w porównaniu z outsourcingiem usług z zakresu bezpieczeństwa.

Zacznijmy więc od przybliżenia funkcji, które może potencjalnie pełnić dział bezpieczeństwa w firmie. Najpierw opiszemy te najbardziej oczywiste z nich, przechodząc stopniowo do bardziej zaawansowanych zadań, które pozwalają firmie uzyskać przewagę konkurencyjną.

Bezpieczeństwo fizyczne firmy

Bezpieczeństwo fizyczne jest powszechnie kojarzone z ochroną obiektową i osobistą – jawną lub skrytą. Ta druga opcja wymaga znacznie większych umiejętności, ale jest skuteczniejsza i dyskretniejsza. Do ochrony obiektowej zalicza się np. pracę recepcji (odbieranie poczty, telefonów, wydawanie kluczy/kart dostępu), czy też utrzymanie w porządku korytarzy ewakuacyjnych.

Natomiast pracownicy ochrony osobistej (w zależności od warunków umowy) powinni umieć m.in. dokonać wcześniejszego rozpoznania terenu, na którym będą wykonywać swoją pracę, koordynować rozkład dnia osoby ochranianej, czy też ustalić trasy przejazdu. Ważne, aby nie mylić pracy ochrony z pracą kamerdynera i rzetelnie określić potrzeby firmy w tym zakresie.

Szczególne znaczenie ma zabezpieczenie osób mających strategiczną wartość dla przedsiębiorstwa (np. ze względu na zajmowane stanowisko lub posiadane informacje). Zadaniem ochrony jest wtedy m.in. dokonanie oceny zagrożenia, ustalenie metod komunikacji z VIP-em, zabezpieczenie go przed podsłuchem lub próbą szantażu, a nie chodzenie po zakupy.

Jeśli zaś chodzi o ochronę obiektową to przedsiębiorstwa często decydują się na outsourcing tych usług w celu minimalizacji kosztów. Jeżeli organizacja wynajmuje tylko część budynku, za bezpieczeństwo fizyczne odpowiada na ogół zewnętrzna firma wynajęta przez zarządcę nieruchomości. Niestety nie jesteśmy wtedy w stanie upewnić się co do jakości świadczonych przez nią usług.

Ekstremalnym przykładem problemu z outsourcingiem bezpieczeństwa fizycznego było zabójstwo Carli Stefaniak przez pracownika ochrony w nieruchomości prowadzonej przez Airbnb. Korporacja, bazując na poręczeniu innego pracownika, nie sprawdziła odpowiednio przeszłości kandydata, który okazał się być karany i dopuścił się zbrodni na jednej z osób korzystających z usług serwisu.

Bezpieczeństwo infrastruktury

Obejmuje ono głównie zabezpieczenie techniczne, czyli m.in. monitoring, systemy alarmowania, systemy kontroli dostępu, technologie GPS (np. w pojazdach i wyposażeniu służbowym o dużej wartości), indywidualne wyposażenie pracowników ochrony, systemy ochrony przeciwpożarowej, czy też systemy ochrony perymetrycznej.

Osoby odpowiedzialne za zabezpieczenia techniczne współpracują często z komórkami dbającymi o bezpieczeństwo fizyczne, BHP i ochronę Ppoż. Może zdarzyć się też tak, że za wszystkie te elementy odpowiadać będzie jeden zespół. Jeśli działa on sprawnie będzie w stanie nie tylko monitorować zagrożenia za pomocą określonych systemów, ale również im przeciwdziałać.

Bezpieczeństwo sieci informatycznych i łączności,

Jest to obszar zwany inaczej cyberbezpieczeństwem. Działania w tej materii skupiają się z reguły wokół dwóch obszarów – technicznego i proceduralnego. Obszar techniczny to m.in. budowa i utrzymanie systemów teleinformatycznych, przeprowadzenie testów penetracyjnych, monitoring zagrożeń, oraz opracowanie i wdrożenie rozwiązań awaryjnych.

Natomiast obszar proceduralny dotyczy polityki bezpieczeństwa. Określa ona to, które zasoby i w jaki sposób mają być chronione. Wspomniany dokument będzie więc precyzował poziomy dostępu do kont w systemie, wymagania dotyczące ustalania przez pracowników haseł, zasady podłączania się i korzystania z sieci Internet, czy też metody ochrony przed złośliwym oprogramowaniem.

Za oba w/w obszary odpowiedzialny jest często jeden departament. Tworząc zabezpieczenia firmowe i odpowiednie procedury postępowania, specjaliści od działki „cyber” powinni również współpracować z innymi działami firmy, aby uwzględniać nie tylko techniczne możliwości przełamania zabezpieczeń.

Słabości ludzkiego umysłu i podatność „przeciętnego Kowalskiego” na wyrafinowane oszustwa z zakresu inżynierii społecznej powodują bowiem, że czasami łatwiej jest przestępcom lub wrogim służbom „dowiedzieć się” jakiego używamy hasła, niż próbować je złamać.

Nawet najbardziej zaawansowane zabezpieczenia w sferze „cyber” nie pomogą ponadto w sytuacji, w której do firmy może dostać się osoba z zewnątrz i swobodnie podłączyć do jednego z komputerów pendrive zawierający złośliwe oprogramowanie.

Nasi koledzy uczestniczyli już w kilku testach penetracyjnych i naszym zdaniem najlepszym poziomem ochrony przed atakami hakerów i cyberprzestępców cechują się te firmy, które regularnie poszukują „słabych ogniw” nie tylko w zakresie zabezpieczeń technicznych, ale również fizycznych, oraz podatności na ataki socjotechniczne.

Bezpieczeństwo informacji

Obszar ten sprowadza się na ogół do ochrony przechowywanych przez firmę danych osobowych, oraz niedopuszczenia do ujawnienia wrażliwych szczegółów z zakresu jej funkcjonowania. Klasycznym przykładem jest utajnienie receptury produktu lub metod jego wytwarzania, czy też tzw. polityka czystego biurka (clean desk policy).

Poważnym wyzwaniem w sferze bezpieczeństwa informacji są obecnie próby kradzieży technologii dokonywane przez wywiady takich państw jak Chiny, Rosja, Iran, czy też Korea Północna (ale nie tylko ;)). Zabiegi związane z nieautoryzowanym uzyskaniem dostępu do danych niekoniecznie muszą odbywać się za pomocą nielegalnych metod. Mogą jednak i tak wiązać się z zagrożeniami.

Takim przykładem może być pozyskiwanie informacji na potrzeby spekulacji giełdowych lub „wyniesienie” listy klientów przez odchodzącego pracownika. Firma powinna ponadto zadbać o spełnienie wymogów prawnych dotyczących ochrony danych, a także minimalizację niezamierzonych „przecieków” ze strony pracowników (np. podczas rozmowy z inną osobą w miejscu publicznym).

Przeciwdziałanie oszustwom i korupcji wewnątrz firmy (tzw. antifraud).

Działania tego zespołu polegają na identyfikacji rodzajów oszustw, na które może być narażone przedsiębiorstwo, a następnie wdrażaniu procedur mających im zapobiegać. Na co dzień wiele z czynności wykonywanych przez dział antifraud dotyczy zbierania i analizy danych w celu wykrycia nietypowych zachowań.

Mogą one polegać m.in. na kopiowaniu/przesyłaniu ważnych informacji/plików, czy dokonywaniu transferów pieniężnych w odmienny niż dotychczasowy sposób. Do monitoringu tego rodzaju aktywności coraz częściej wykorzystywane są narzędzia oparte o sztuczną inteligencję i pozwalające zautomatyzować wiele monotonnych i długotrwałych procesów.

Do zadań osób zatrudnionych w dziale antifraud należy ponadto rozpoznawanie nowych metod popełniania przestępstw korporacyjnych i adaptowanie firmowych regulacji w tym zakresie, prowadzenie wewnętrznych „przesłuchań i śledztw” związanych z wykryciem podejrzanej aktywności, a także szkolenie pracowników (np. z zakresu przepisów antykorupcyjnych).

Ważnym elementem wewnętrznej polityki antifraud są ponadto tzw. sygnaliści. Potrafią oni zaalarmować kierownictwo i dział bezpieczeństwa o poważnych naruszeniach przepisów i procedur przez pracowników-oszustów. Mamy jednak na myśli prawdziwych whistleblowerów, którzy na uwadze mają dobro firmy i współpracowników, a nie tzw. „konfitury” 😉

Sprawny dział bezpieczeństwa powinien cieszyć się zaufaniem pracowników, które zaskarbia się m.in. prowadzeniem jasnej komunikacji dotyczącej braku tolerancji dla osób, które w celu osiągnięcia osobistych korzyści puszczają „donosiki” (do kierownictwa lub mediów). Zwłaszcza jeśli zawierają one nieprawdziwe lub przekłamane informacje o pracowniku lub całym dziale.

Ciągłość działania firmy w warunkach kryzysowych, czyli tzw. BC/DR (Business Continuity/Disaster Recovery).

W ostatnich latach obserwujemy coraz większe zainteresowanie ideą BC/DR. Polega ona na tworzeniu zespołów, których zadaniem jest przygotowanie przedsiębiorstwa na wystąpienie zdarzenia mało prawdopodobnego, lecz znacznie utrudniającego funkcjonowanie firmy lub wręcz zagrażającego jej istnieniu, a także odbudowa biznesu po zaistnieniu takiego incydentu.

Pandemia COVID-19 i rosyjska agresja na Ukrainę przyczyniły się do tego, że zaczęto przywiązywać większą uwagę do wysiłków z zakresu ciągłości działania firmy. W ostatnim czasie część z nas przeprowadziła m.in. szkolenia z zakresu funkcjonowania przedsiębiorstwa w warunkach wojny i uwzględniania tego czynnika w procesie planowania inwestycji i zarządzania łańcuchem dostaw.

Zjawiska o niskim prawdopodobieństwie i znaczących konsekwencjach mogą jednak wynikać nie tylko z czynników zewnętrznych, ale również wewnętrznych, np. w postaci poważnych kryzysów wizerunkowych, czy też wystąpienia awarii przeradzającej się w katastrofę ekologiczną (np. eksplozja platformy wiertniczej w Zatoce Meksykańskiej w 2010 roku).

Wspólnym mianownikiem podobnych incydentów jest to, że bardzo ciężko jest przewidzieć dokładny moment ich wystąpienia i podjąć ewentualne działania prewencyjne. Możliwa jest jednak identyfikacja poszczególnych zagrożeń dla funkcjonowania organizacji, a następnie wcześniejsze przygotowanie się na minimalizację ich skutków.

Pozyskiwanie informacji, czyli tzw. Business Intelligence

Profesjonalne komórki bezpieczeństwa potrafią również pozyskiwać przydatne dla przedsiębiorstwa informacje. Takie działania mogą obejmować np. dokonanie sprawdzenia kandydata do objęcia kluczowego stanowiska w firmie, czy też weryfikację kontrahenta pod kątem jego sytuacji finansowej.

Działania typu Business Intelligence mogą ponadto pomóc w przygotowaniu zarządu do prowadzenia negocjacji na wysokim szczeblu. Dzięki temu członkowie delegacji będą wiedzieli np. od czego zacząć tzw. „small talk”, jakie są mocne i słabe punkty drugiej strony, a także jaka może być jej pozycja negocjacyjna.

Oprócz tego, asysta ze strony komórki bezpieczeństwa może okazać się przydatna przy okazji sporów prawnych. W środowisku biznesowym wynikają one często z asymetrii informacji pomiędzy stronami lub też z innego postrzegania przez nie tego, co ich zdaniem jest „sprawiedliwe”.

Niwelacja tej różnicy poprzez dostarczenie wartościowych informacji może spowodować, że spór uda się rozstrzygnąć na drodze mediacji. W przypadku, w którym firma toczy z drugą stroną zażartą walkę, Business Intelligence może z kolei przechylić szalę zwycięstwa na stronę przedsiębiorstwa korzystającego z pomocy profesjonalistów w tym zakresie.

Jeśli osoby odpowiedzialne za bezpieczeństwo odznaczają się wysokim poziomem profesjonalizmu mogą one ponadto zapracować na miano wartościowych doradców zarządu. Ich zadaniem będzie wtedy wspomaganie procesu decyzyjnego zarówno poprzez dostarczenie istotnych informacji, jak i również wydawanie rekomendacji, które nie są naznaczone perspektywą żadnego z działów firmy.

Analiza ryzyka

Posiłkując się typologią zaproponowaną przez Donalda Rumsfelda, preferujemy podział ryzyka występującego w przedsiębiorstwach na trzy grupy. Pierwsza z nich zawiera te, o których istnieniu wiemy i wynikają one zazwyczaj z niedostosowania się pracowników do odgórnych wymogów firmy. Przykładem może być nieusunięta awaria, która grozi pożarem w fabryce.

Drugi rodzaj ryzyka obejmuje zaś decyzje, które grożą potencjalnie niekorzystnymi konsekwencjami, ale które organizacja podejmuje świadomie w celu osiągnięcia wyższych zysków. Przykładem jest możliwość poniesienia strat finansowych związanych z dużą inwestycją, która umożliwi jednocześnie organizacji ekspansję na nowe rynki.

Trzeci rodzaj ryzyka wiąże się z kolei z czynnikami zewnętrznymi, znajdującymi się poza kontrolą firmy. Mogą to być kryzysy gospodarcze, nieoczekiwane wydarzenia polityczne, czy też strategiczne posunięcia konkurencji. Każdym typem ryzyka można jednak zarządzać poprzez identyfikację potencjalnych zagrożeń, prewencję i minimalizację skutków ich wystąpienia.

Ci z członków naszej „paki”, którzy pracują już z klientami biznesowymi proponują im więc m.in. audyty zmierzające do poprawy lub wprowadzenia nowych procesów w firmie, „read teamy” poszukujące „słabych ogniw” w poszczególnych projektach, czy też gry wojenne i stress testy, sprawdzające odporność przedsiębiorstwa na określone zdarzenia.

Jak typ przedsiębiorstwa wpływa na organizację pionu bezpieczeństwa?

Koncentracja zasobów ludzkich i narzędzi przez nich wykorzystywanych (czyli legendarnych „sił i środków”) do zarządzania bezpieczeństwem w danej organizacji będzie zależała od kilku kluczowych elementów. Jednym z nich jest typ działalności gospodarczej.

Model bezpieczeństwa firmy produkcyjnej (z obiektami wielkoobszarowymi/maszynami przemysłowymi/substancjami chemicznymi) będzie różnił się od modelu korporacji zajmującej się np. usługami finansowymi.

W przedsiębiorstwie produkcyjnym większą uwagę poświęcimy z kolei procedurom przeciwpożarowym i bhp, podczas gdy w branży e-commerce nacisk kładziony jest przede wszystkim na cyberbezpieczeństwo i ryzyko reputacyjne.

Druga kwestia wpływająca na organizację pionu bezpieczeństwa to sposób prowadzenia działalności gospodarczej. Nawet w obrębie jednej branży mogą występować znaczne różnice w zakresie sposobów dostarczania klientowi produktów lub usług.

Dwie firmy operujące na tym samym rynku mogą stosować np. różną technologię produkcji (zastosowanie nowoczesnych robotów vs tradycyjnych narzędzi), zatrudniać inną liczbę pracowników z różnym stopniem wykwalifikowania lub też wykorzystywać inny model sprzedażowy (sprzedaż internetowa vs sklep stacjonarny).

W pierwszym przypadku skupimy się zatem, na bezpieczeństwie zautomatyzowanych systemów produkcji, sferze „cyber” i ochronie firmowego „know-how” przed konkurencją. Natomiast w drugim na zapewnieniu odpowiedniego sprzętu ochrony indywidualnej pracownikom przebywającym na hali produkcyjnej i zabezpieczeniu technicznym obiektów.

Ważne jest również to, w jakiej formie sprzedawany jest produkt (np. towar fizyczny, dane w formie cyfrowej, unikalny „know-how”), jak jest wytwarzany i jaką ma wartość. W zależności od tego, może on bowiem reprezentować sobą różny stopień atrakcyjności dla grup przestępczych, a utrata produktu może wiązać się z mniejszymi, bądź większymi konsekwencjami dla firmy.

Kolejnym istotnym czynnikiem wpływającym na model zarządzania bezpieczeństwem jest obszar prowadzenia działalności przez przedsiębiorstwo panujące tam otoczenie prawne. Rozproszenie terytorialne i skala działalności determinuje wielkość, stopień autonomii i konieczność dostosowania struktur bezpieczeństwa do potrzeb organizacji na danym terenie.

Firma może ponadto operować w rejonach podwyższonego ryzyka, co będzie się wiązało z wysokim prawdopodobieństwem porwania delegowanych pracowników przez grupy przestępcze lub organizacje terrorystyczne. Wbrew pozorom nie należy również lekceważyć takich „błahostek” jak sąsiedztwo terenów o szczególnym znaczeniu przyrodniczym.

Znamy m.in. przypadek firmy budowlanej, której groziło widmo kar finansowych i kryzysu wizerunkowego, ponieważ na placu budowy… zalęgła się odmiana żabek będących pod ochroną 🙂 Przedsiębiorstwo rozpoczęło prace przed zakończeniem okresu lęgowego tych zwierząt i dokonaniem starannej inwentaryzacji każdego z osobników.

Było to złamaniem warunków umowy i zaleceń herpetologa (specjalisty od płazów i gadów), co doprowadziło do sporego konfliktu na linii zleceniodawca – wykonawca – herpetolog. Ostatecznie sprawę załagodzono, lecz zysk firmy budowlanej z tego zlecenia pomniejszył się o znaczące kary wynikające z nieterminowości prac. Nadszarpnięta została również reputacja firmy.

Model in-house, outsourcing, a może coś pomiędzy?

Podobnie jak w przypadku większości innych usług firma może podjąć decyzję o utworzeniu działu bezpieczeństwa w ramach struktur organizacji, wynająć do tego celu zewnętrzną firmę lub też zastosować model hybrydowy. Każde z tych rozwiązań ma swoje zalety i wady.

W modelu in-house firma posiada całkowitą kontrolę nad procedurami reagowania na pojawiające się incydenty. Managerowie otrzymują dzięki temu ciągły spływ informacji (w formie raportów/maili/telefonów) ze strony działu bezpieczeństwa. Zatrudnieni tam pracownicy odznaczają się dodatkowo pełną dyspozycyjnością w stosunku do pracodawcy.

Łatwiej jest również nadzorować osoby funkcjonujące wewnątrz struktur organizacji, a także korygować ewentualne błędy z ich strony. Personel funkcjonujący w ramach modelu in-house powinien też teoretycznie dysponować obszerniejszą wiedzę o specyfice działania firmy, a także cieszyć się większym zaufaniem ze strony zarządu.

Pracownicy wewnętrznego działu bezpieczeństwa będą też zazwyczaj posiadać lepsze relacje z innymi osobami zatrudnionymi w firmie. Umieszczenie tej komórki w strukturach organizacji może też utwierdzać kierownictwo w przekonaniu, że informacje wrażliwe nie wyjdą „na zewnątrz”. Jak pokazał jednak przypadek firmy Airbnb wrażenie to może być czasem złudne.

Model in-house posiada szereg niewątpliwych zalet, przez co doceniła go m.in. stojąca za portalem Facebook, korporacja Meta. Funkcjonujący tam dział bezpieczeństwa uznawany jest za jedną z lepszych tego typu struktur na rynku. Rozwiązanie to jest jednak kosztowne i przez to dostępne zazwyczaj jedynie dla dużych przedsiębiorstw.

Przykładem złego funkcjonowania wewnętrznych działów bezpieczeństwa są z kolei komórki działające w ramach części polskich spółek skarbu państwa. Są one nie tylko skrajnie nieefektywne, ale stają się też często narzędziami wewnętrznych „przepychanek” na tle politycznym.

Zewnętrzny dział bezpieczeństwa

Za outsourcingiem usług z zakresu bezpieczeństwa przemawia z kolei szereg innych atutów. Jest to przede wszystkim szeroki zakres kompetencji. Zewnętrzna firma jest w stanie zgromadzić w swoich szeregach wielu specjalistów, którzy pracując dla różnych klientów nieustannie podnoszą swoje umiejętności, oraz doświadczenie.

Drugą przewagą outsourcingu są koszty. Zleceniodawca płaci tylko i wyłącznie za dostarczone usługi i nie jest obarczony wydatkami związanymi z zatrudnieniem pracowników. Pomimo tego, że firma zewnętrzna może okazać się droższa w przeliczeniu na roboczogodzinę, to takie rozwiązanie jest z reguły znacznie bardziej efektywne na poziomie łącznych kosztów.

Firmy specjalizujące się w bezpieczeństwie nie mogą ponadto pozwolić sobie na „nieszczelności” dotyczącą wykonywanych zleceń, gdyż każdy taki wyciek skutkować może utratą reputacji, posiadanych klientów i pozwem. W związku z tym, zewnętrzna firma zapewnia z reguły wyższy poziom ochrony informacji, nawet jeśli zleceniodawca zdecyduje się na zerwanie z nią umowy.

Outsourcing wiąże się też z reguły ze zwiększoną obiektywnością i efektywnością procesu podejmowania decyzji w firmie. Zewnętrzny kontraktor wynajmowany jest do konkretnych zadań i rozliczany z osiąganych rezultatów. Raportuje więc bezpośrednio do osoby decyzyjnej i wnosi do „stolika” świeżą perspektywę, która zwiększa możliwości znajdywania optymalnych rozwiązań.

Profesjonalizacja i dążenie do maksymalizacji efektywności sprawiły, że nawet NATO zdecydowało się na korzystanie z usług firm zewnętrznych, a poszczególne państwa już od wielu lat zatrudniają prywatne firmy wojskowe. Outsourcing nie jest oczywiście pozbawiony „pułapek”, których przykładem jest m.in. zatrudnienie E. Snowdena w firmie współpracującej z NSA.

W tym przypadku to jednak praca w modelu „in-house”, w ramach służb specjalnych USA skłoniła Amerykanina do późniejszego podjęcia zatrudnienia w zewnętrznej firmie w celu udokumentowania aktywności NSA. Profil psychologiczny E. Snowdena stwarzał po prostu ryzyko ujawnienia przez niego wrażliwych danych już w okresie jego pracy w służbach.

Przedsiębiorstwa nie powinny więc obawiać się samego modelu współpracy z firmami zewnętrznymi, ale skupić się na tym co jest w nim najważniejsze, czyli wyborze odpowiedniego partnera.

Model „hybrydowy”

Na rynku spotykane są również działy bezpieczeństwa, których struktura oparta jest na modelu hybrydowym (pośrednim). W takich przypadkach firma zatrudnia jednego managera lub niewielki zespół, który umieszczony jest wysoko w hierarchii organizacji i odpowiada za współpracę z zewnętrznymi kontraktorami.

Zdarza się również, że po pewnym okresie współpracy opartej na outsourcingu zleceniodawca decyduje się zatrudnić przedstawiciela firmy jako doradcę zarządu. W innych przypadkach managerowie poszczególnych komórek są etatowymi pracownikami firmy, mają jednak – ograniczoną lub pełną – dowolność w doborze podwładnych, zatrudnionych na stałe lub tylko na konkretne zlecenia.

Takie rozwiązanie jest stosowane powszechnie np. w obszarze ochrony osobistej, gdzie za całość zespołu odpowiada zatrudniony w przedsiębiorstwie na stałe kierownik, ale już poszczególni członkowie jego zespołu dobierani są wedle bieżących potrzeb (umiejętności, znajomość języków obcych, postura, itd.).

Mamy nadzieję, że ten artykuł będzie dla Was punktem wyjście do dyskusji dotyczącej organizacji działu bezpieczeństwa w firmie. Jeśli macie jeszcze jakieś pytania lub chcielibyście z nami pogadać na ten temat – koniecznie dajcie znać na info@bezpieczenstwoistrategia.com

Możecie też z nami porozmawiać za pośrednictwem:

Zapiszcie się ponadto na wysyłany przez nas co tydzień newsletter. Zawiera on komentarz do wydarzeń bieżących oraz ekskluzywne i prawdziwe anegdoty ze świata wojska i służb mundurowych.

0 0 votes
Article Rating
Subscribe
Powiadom o
guest
0 komentarzy
Inline Feedbacks
View all comments
Back To Top