קצין בטחון המנהל את מערך האבטחה בארגון הכולל הן אבטחה פיזית ואבטחה באמצעות ציוד טכנולוגי וכולל בתוכו ביצוע חקירות מהימנות עובדים ואבטחת מידע , נדרש להיות איש מקצוע בתחומו ומעורב בתחומי התמחות של החברה.
חברות שאינן זקוקות לקב"ט במשרה מלאה נוטות לוותר על הפונקציה או לשלב בה אחד ממנהלי החברה ללא ידע מקצועי או הכשרה מתאימה וזמן הנדרשים לביצוע המשימה, וכך מתקבל הרושם כי נחסכים כסף ומשאבים אולם בדיעבד מתברר כי מהלך זה שגוי ויש לו גם מחיר כלכלי ונזק לפעילות העסקית של הארגון בטווח הארוך.
מהרשום לעיל, עולה השאלה מה השיטה הכי טובה לארגון או חברה שמעוניינים לצרף קצין בטחון או לשדרג את מערך הבטחון הפנימי שלהם ואף ליצור כך סדר ומשמעת בארגון.
שלב ראשון ומנסיוננו נדרש לבצע אחת לשנתיים או שלוש לכל המאוחר סקר סיכונים בחתך ארגוני וזאת בכדי לאתר נקודות תורפה חוסר יעילות שבסופו מביא לאיבוד כסף.
הסקר חייב להיות מבוצע על ידי חברה חיצונית שאין לה קשר עם מי מעובדי או בעלי החברה כך שהבחינה תהיה נקייה וללא אינטרסים.
סקר סיכונים יבוצע במטרה להעריך את רמת החשיפה של הארגון לסיכונים ואיומים מסוגים שונים הכוללים סיכונים כלכליים, סיכוני פח"ע, סיכונים פליליים ועוד כמו כן עליו לנגוע בכל רבדי ומחלקות החברה /ארגון.
הוא מהווה כלי מרכזי עיקרי ויעיל בשלבי הניתוח של מידת האיום (על כל סוגיו) לארגון ובקביעת נקודות הסיכון הגבוהות.
יתרה מכך, תוצאותיו הן הבסיס לקביעת אופן חלוקת והקצאת המשאבים בארגון בהתאם לשיקולי עלות מול תועלת.
השלב השני והחשוב הוא בניית מערך אבטחה משולב הכולל מערכות טכנולוגיות המשלימות את מערך כוח האדם הפועל במשימות אבטחה ובמקומות מסוימים לעיתים בארגונים שונים הוא הנדבך העיקרי ומהווה תחליף לכוח אדם פיזי במקום ועונה אף לעיתים על הקצאת משאבים מיותרים.
בין האמצעים הטכנולוגים המוצעים:
- מצלמות במעגל סגור מסוגים ואפיונים שונים {קבועות,מתנייעות,פנים,חוץ,יכולת הקלטה ושידור מרחוק, התרעה על תנועה בשטחים לא מאוישים,יכולת מענה אינטרנטי} .
- מערכות גילוי אש ועשן
- מערכות התראה מפני דליפות מים ,גז וכימיקלים.
- מערכות כניסה ובקרה של עובדים ,נוכחות לפי תפקידים ובהתאמה לצרכי הלקוח, פתרונות טכנולוגיים נוספים לפיקוח ובקרה על שליחים סוכנים ועובדי חוץ.
השלב השלישי הוא בניית מערך אבטחת מידע שייתן מענה לכל מערכות המידע הממחושבות תוך שילוב פעולות פיזיות מול עובדים בכל דרגות הניהול מרמת עובד ועד מנכ"ל.
כידוע מידע מהווה כוח רב עוצמה, זליגה של מידע ממאגרי ועובדי הארגון עלול לגרום נזק גדול שחלקו בלתי הפיך הן בתחום המקצועי והן בתחום הכלכלי ויכול בסופו של דבר למוטט עסקית וכלכלית את הארגון ופעילותו.
המטרה למנוע אובדן של מידע יקר כוללת אבטחת מחשבים נייחים וניידים, שמירה על מסמכים מסווגים והעברתם מגורם לגורם, פיקוח של מחלקת הנהלת חשבונות וספקים ,תדרוך עובדי פנים וחוץ {פקידים, מחסנאים, שלחים, סוכנים, מוכרנים ועוד} מידור פנימי בתוך המתחם,מניעת האזנות.
היא מחייבת ראייה כוללת של האיומים וניתוח מקומות האחסון הפיזי של נתונים ואיכות המידע האצור בקרב עובדי הארגון בכירים וזוטרים, בנוסף פיקוח על עובדים הנושאים מחשבים ניידים ומורשים לעבוד מביתם.
פעילות המניעה חייבת לכלול הטמעה של נהלים לגבי טיפול והרגלי עבודה ביחס לחומר מסווג, מסמכים ,דואר, הרשאות, הדרכה. ולשלב פעילות יזומה הכוללת ביצוע בדיקת האזנות בכל מתחם החשוד ממנו דולף מידע רגיש, לרבות פעילות מניעה ובדיקות פתע יזומות לאיתור מועד של זליגת מידע.
מערך אבטחת המידע חייב לכלול בתוכו מערכת בקרה שתנוהל על ידי קצין הבטחון של הארגון ותתופעל על ידי איש IT של הארגון .
השלב הרביעי מתרכז בהון האנושי של החברה / ארגון משלב האיתור, גיוס עובדים שימור עובדים ואף לעיתים היפרדות מהם.
לכל שלב חייב להית תהליך מובנה עם כללים ברורים כיצד ואיך לבצע את הנהלים, מתפקידו של קצין הבטחון להבטיח שמידע עסקי לא יועבר למתחרים ולא יבוצע ריגול עסקי (החדרת עובד מרגל).
מודיעין עסקי הוא תוכנית שיטתית ואתית לאיסוף וניתוח מידע על פעולות מתחרים ומגמות עסקיות וכלכליות,מקשת רחבה של מקורות מידע שונים.
במידע יש חשיפה של יכולותיו של הגורם המתחרה,הן כלכליות ועסקיות והן מגמות עתידיות וחולשותיו העסקיות.
היקף פעילותו כיום, קשריו העסקיים {חברות בת,חברות קשורות ועוד}
למידע שמתקבל יש יכולת להשפיע על מגמות ופעילות עסקית בהווה ובעתיד של הארגון וערכות להשגת יתרון על המתחרה, ידע על הסביבה העסקית המגמות בשוק,בכל נושא קבלת החלטות ופעילות שוטפת של הארגון.
לאור כל זאת מחובתו של קצין הבטחון בארגון לתת דגש בשילוב מחלקת משאבי אנוש על נושא מהימנות עובדים בכל השלבים שלב האיתור, שלב הגיוס, שלב השימור ושלב ההפרדות להלן פירוט הנושאים:
חקירת מהימנות עובדים היא חקירה בעלת שתי פנים:
• חקירת עובדים הפועלים בארגון.
• חקירת עובדים לפני גיוס לעבודה בארגון.
סיבות לבדיקה של עובדים מועסקים בארגון :
- רצון לקדם עובד לתפקיד רגיש בו הוא עתיד להיחשף למידע רגיש , מסמכים, סודות מסחריים , ואו לעבוד עם סכומי כסף גדולים.
- קידום עובד מועסק למשרה בחירה או שינוי סטאטוס לעמדת שותף.
- בדיקת חשד של עובד המדליף מידע עסקי למתחרים, גונב מידע
- חשד לעובד המשקר בנושא רישום שעות עבודה, מילוי הוראות ונהלים, זיוף אישורים.
- חשד לזליגת מידע ואו גניבה על ידי סוכנים חיצוניים עובדי שטח וכדומה.
עובדים לפני קבלה לעבודה בארגון (בתהליך גיוס)
- בדיקת מהימנות קורות חיים.
- רקע אישי, וכלכלי.הסתבכויות פליליות ומעורבות בהלכים משפטיים.
- מניעת ניגוד אינטרסים על רקע אישי ואו קשרים למתחרים(על מנת למנוע החדרת עובדים).
- לעיתים על מנת לאבחן את מידת הסיכון נעבוד לפי מדרג בדיקת רקע, תשאול פרונטאלי, בדיקת פוליגרף.
- במקרים מיוחדים נחמיר ואף נבצע מעקב (על פי חוק)
לסיכום
ניהול הבטחון בארגון הינו נדבך מרכזי וחשוב המכיל בתוכו מספר כלליים פנימיים אשר מהווים חוק בתוך הארגון, חוקים אלה חייבים להיאכף על ידי קצין הבטחון במספר שיטות כאשר הן מחולקות לפעולות מניעה (הכן את עצמך) המושתתות על תרגילים ותוכניות מניעה מובנות ומתאימות לארגון ופעולות יזומות (תקיפה) שיבואו לידיח ביטוי בשטח וייצרו הרתעה .
יחד עם זאת, ניתן לראות כי בארגונים בהם מתקיימים נהלי בטחון היעילות גבוה ואיבוד משאבים הוא נמוך .
משה ידין קסוטו חוקר פרטי רשוי myc חקירות ויעוץ בטחוני