сотрудник с 01.01.2015 по настоящее время
Москва, г. Москва и Московская область, Россия
студент с 01.01.2016 по 01.01.2021
Россия
ВАК 08.00.05 Экономика и управление народным хозяйством (по отраслям и сферам деятельности, в том числе: экономика, организация и управление предприятиями, отраслями, комплексами; управление инновациями; региональная экономика; логистика; экономика труда; экономика народонаселения и демография; экономика природопользования; экономика предпринимательства; маркетинг; менеджмент; ценообразование; экономическая безопасность; стандартизация и управление качеством продукции; землеустройство; рекреация и туризм)
ВАК 08.00.10 Финансы, денежное обращение и кредит
ВАК 08.00.12 Бухгалтерский учет, статистика
ВАК 08.00.13 Математические и инструментальные методы экономики
ВАК 08.00.14 Мировая экономика
УДК 33 Экономика. Экономические науки
ГРНТИ 06.52 Экономическое развитие и рост. Прогнозир-ние и планирование экономики. Экономич. циклы и кризисы
ОКСО 38.05.01 Экономическая безопасность
ББК 65 Экономика. Экономические науки
BISAC BUS069000 Economics / General
Как показывает практика, немногие организации стремятся к прогнозированию потенциальных или реальных угроз и рисков. В статье рассмотрена необходимость разработки в организации документа стратегического планирования – стратегии обеспечения экономической безопасности организации. Предложен подход к группировке анализа в соответствующие разделы стратегии, наиболее полно описывающий деятельность организации.
стратегия, угрозы, экономические риски, модель функционирования, безопасность, шифровальщики
Стратегия экономической безопасности представляет собой документ стратегического планирования, подразумевающий моделирование возможного развития организации, определяющий реальные цели и задачи такой стратегии.
Стратегическое планирование невозможно без использования принципов, правил и методик, направленных на:
- определение траектории развития организации;
- предвидение реальных и потенциальных угроз и экономических рисков, «тормозящих» запланированное развитие;
- противодействие предвиденным угрозам и рискам.
Вышеупомянутые действия закрепляются в документах с привязкой к размерам привлекаемых ресурсов, срокам выполнения задач и ответственностью.
Практика ведения бизнеса в различных сегментах показывает, что большинство организаций не применяют оценку состояния дел, протекающих внутри организации, посредством прогнозов. Возникает необходимость изучения последствий, когда организация не применяет в своей деятельности процесс стратегического планирования.
В ежегодном отчете компании GROUP-IB, ориентированной на детектировании и предотвращении кибератак, спрогнозировано, что в 2021 году увеличится число атак с использованием шифровальщиков.
Злоумышленники, получая доступ к корпоративной сети предприятия, похищают значимые для бизнеса данные, выводят систему из строя, шифруя исходные данные корпоративной сети. Для мотивирования компании-жертвы заплатить выкуп за получение «ключа» расшифровки, злоумышленники угрожают публикацией данных в открытый доступ. В случае, если компания отказывается платить выкуп, доступ к ее корпоративной сети продается и выкладывается в открытый доступ.
Динамика рынка продажи доступов к корпоративным сетям за период 2018-2020 гг. представлена на рисунке 1.
Рис.1. Динамика продажи доступов к корпоративным сетям
За первую половину 2020 года количество продаваемых баз данных организаций выросло в 5,2 раза по отношению к аналогичному периоду предыдущего года. По отношению к 2019 году, прирост продаж в 2020 году составил 13% (и это только первая половина года).
Представим такую ситуацию, когда в организации отсутствуют любые проекты и документы, регламентирующие выявление и противодействие угрозам и рискам. Организация, не имея таких документов, не предполагает о потенциальных и реальных угрозах, и предположим, не знает о существовании атак шифровальщиков.
В такое случае злоумышленник внедряет вредоносный код, к примеру на сайт «Бух.1С» или «В помощь бухгалтеру», которые часто в своей деятельности используют бухгалтеры различных организаций. Переходя по ссылке, куда заранее был внедрен «вредонос», бухгалтер не замечает, как в это время на его компьютер скачивается скрытый исполняемых файл, позволяющий злоумышленнику отслеживать процессы внутри организации, получить доступ к системе, собрать критичные для организации данные и вывести систему из строя, шифруя все данные с целью получить в дальнейшем выкуп.
Размер потенциального ущерба для организации – «жертвы» в данном случае может высчитываться по следующей формуле:
Ущерб = Средняя сумма выкупа * Количество «жертв», (1)
Это лишь одна из угроз и только в информационной составляющей экономической безопасности, которая без должного внимания способна привести к непоправимым последствиям.
Для предотвращения подобных последствий или минимизации их проявлений в организации необходимо обоснование создания специализированного органа, а также подготовить документ, определяющий системную работу по данному направлению.
Предлагаемая структура стратегии претендует на более глубокое раскрытие не только теоретических аспектов и расчет требуемых показателей, но и использование подходов упреждающей и реагирующей деятельности.
В первом разделе стратегии предлагается определить целевую установку обеспечения безопасности и закрепить задачи, необходимые для достижения указанной цели.
Второй раздел стратегии нацелен на закрепление положений по созданию специального органа по обеспечению экономической безопасности организации (СОЭБ). Построение СОЭБ не должно противоречить используемым в повседневной деятельности организацией принципам.
К элементам защиты следует относить:
- личную безопасность руководящего состава и физическая безопасность (территорий, зданий и сооружений, транспорта, документов);
- информацию ограниченного доступа, к которой стоит относить обработку персональных данных, коммерческую и государственную тайны и т.п.;
- каналы связи;
- безопасность договорной деятельности;
- безопасность деловых встреч;
- технологическую и противопожарную безопасность;
- безопасность перевозки должностных лиц, документов, грузов и т.п.
Кроме указания принципов и элементов защиты, высшему руководству организации следует выбрать модель функционирования СОЭБ в зависимости от имеющихся финансовых, трудовых и материальных ресурсов. Это может быть:
- распределенная модель, функционирующая за счет создания специализированного органа (СОЭБ) со своими подразделениями;
- концентрированная модель, применяемая в организациях с меньшей долей финансовых, трудовых и материальных затрат. В указанном случае один ведущий специалист взаимодействует с другими существующими подразделениями организации (финансовым, техническим и т.д.).
В малых организациях обязанности специалистов СОЭБ могут возлагаться на руководителя организации и привлекаемых им специалистов.
Третий теоретический раздел стратегии направлен на определение и выбор методик оценки состояния экономической безопасности организации, методов оценки экономических рисков, а также отбор критериев и показателей состояния экономической безопасности организации.
Четвертый раздел стратегии включает расчеты, необходимые для оценки состояния экономической безопасности организации по нескольким направлениям, без которых представить полную «карту» протекающих внутри событий не представляется возможным.
В число таких составляющих входит финансовая, информационная, интеллектуальная, кадровая, технико-технологическая, правовая и силовая составляющие, а также оценка конкурентной среды и определение потенциальных и реальных угроз и экономических рисков организации.
Оценка конкурентной среды происходит посредством SWOT-анализа, в дополнение к которому должен предшествовать и PEST-анализ. Такой комплекс позволит оценить не только слабые и сильные стороны организации, но и оценить влияние внешних факторов (политические, экономические, социальные и технологические), не зависящие от деятельности компании.
Оценка финансовой составляющей включает анализ платежеспособности (на основе показателя ликвидности, рентабельности, деловой активности и финансовой устойчивости) и ликвидности баланса. Оценка дополняется расчетом прогнозирования банкротства по нескольким моделям.
Оценка информационной составляющей включает проведение двух видов аудита информационной безопасности: экспертный аудит (выявление «слабостей» систем) и аудит на соответствие государственным специализированным руководящим документам. Итоги проведения аудита фиксируются в аналитическом отчете.
Интеллектуальная составляющая и ее оценка сводится к анализу наличия или отсутствия собственных разработок, методик.
Анализ кадровой составляющей на основании таких показателей, как состав и структура работников, их демографическая структура, оценка кадрового состава, эффективность использования трудовых ресурсов, позволяет определить профессионализм сотрудников, эффективность их работы.
Высокий уровень технико-технологической составляющей обеспечивает конкурентное преимущество организации, ее способность к быстрому реагированию на изменяющиеся условия. Оценка составляющей производится на основании таких критериев, как: определение состава и структуры основных и оборотных средств, расчет показателей эффективности их использования.
Для полной оценки состояния экономической безопасности организации, как было отмечено ранее, следует провести и оценку правовой и силовой составляющей.
Определение платежной дисциплины и качества оказания юридических услуг, а также расчет коэффициента юридического менеджмента позволяют оценить правовую составляющую.
Поскольку руководство организации, равно как и ведущие специалисты могут быть подвержены физическому или психологическому неблагоприятному воздействию со стороны недоброжелателей (конкурентов), рекомендуется оценить силовую составляющую, посредством анализа транспортной безопасности и защищенности персонала и имущества организации, определения количества лиц, уволенных за кражу или попытку уничтожения имущества.
Последним, немаловажным этапом в данном разделе стратегии является определение перечня угроз и экономических рисков, их ранжирование по приоритетным показателям (по величине предполагаемого ущерба, времени наступления или степени значимости), а также разработка мер по противодействию наступлению таких угроз или же минимизации их проявления.
Раскрытию в пятом разделе стратегии подлежит расчет необходимых ресурсов и средств финансовых, трудовых и материальных, необходимых для обеспечения экономической безопасности организации. В этом же разделе предлагается сопоставить объем затраченных ресурсов и потенциального ущерба.
Последний раздел стратегии направлен на разработку мер по реализации основных положений стратегии. Следует описать «идеальные» условия для реализации стратегии. На основании сопоставления затрат и результата внедрения стратегии определить возможные источники необходимых ресурсов. Рекомендуется организовывать подготовку персонала по вопросам режима безопасности, разрабатывать стратегические планы по решению задач, определенных стратегией.
Рассмотренная структура стратегии позволяет получить наиболее полное представление событий, протекающих внутри организации, а также контролировать внешние факторы, способные нанести дестабилизирующее воздействие.
1. Указ Президента РФ от 13 мая 2017 г. № 208 “О Стратегии экономической безопасности Российской Федерации на период до 2030 года”
2. Hi-Tech Crime Trends 2020/2021 / Отчет компании Group-IB. - Москва, 2020. - 79 с. - URL: https://www.group-ib.ru/resources/threat-research/2020- report.html
3. Попова, Е.Н. Экономическая безопасность предприятия, угрозы экономической безопасности предпринимательства / Е.Н. Попова, Т.Н.