קצין בטחון שמנהל את מערך האבטחה הפיסי והטכנולוגי בחברה או ארגון, נדרש להיות מומחה בתחום ומעורב בכל תחומי העשייה של החברה.

לעיתים, חברות שאינן זקוקות לקב"ט (קצין ביטחון) במשרה מלאה נוטות לוותר על הפונקציה הזו או למנות אליה את אחד ממנהלי החברה, ללא ידע מקצועי, הכשרה מתאימה וזמן הנדרש לביצוע המשימה וכך, למרות שלכאורה נראה כי החברה חוסכת כסף ומשאבים, בפועל, עלול להתברר בדיעבד, כי 'החיסכון' גבה ממנה מחיר כלכלי גבוה וכי נגרמו לפעילות העסקית שלה נזקים משמעותיים בטווח הקצר והארוך.

אז איך מתחילים לשדרג את מערך הביטחון של החברה ומייצרים, אגב כך, סדר ומשמעת בארגון? 

הנה התשובה.

שלב ראשון - סקר סיכונים

אחת לשנתיים או שלוש לכל היותר מומלץ לבצע סקר סיכונים בחתך ארגוני וזאת, כדי לאתר נקודות תורפה וחוסר יעילות בחברה שמביאים, בסופו של דבר, לאיבוד כסף. הסקר חייב להיות מבוצע על ידי חברה חיצונית שאין לה קשר עם מי מעובדי או בעלי החברה וזאת, על מנת שהבחינה תהיה נקייה וללא אינטרסים. 

סקר סיכונים יבוצע במטרה להעריך את רמת החשיפה של הארגון לסיכונים ולאיומים מסוגים שונים לרבות כלכליים, סיכוני פח"ע, סיכונים פליליים ועוד. הסקר צריך לכלול את כל רבדי ומחלקות החברה או הארגון והוא מהווה כלי מרכזי, עיקרי ויעיל בשלבי ניתוח מידת האיום לארגון (על כל סוגיו) ובקביעת נקודות הסיכון הגבוהות. יתרה מכך, תוצאות הסקר הן הבסיס לקביעת אופן חלוקת והקצאת המשאבים בארגון, בהתאם לשיקולי עלות מול תועלת.

השלב השני - בניית מערך האבטחה

לאחר שהערכנו את הסיכונים הקיימים, יש לבנות מערך אבטחה משולב שכולל מערכות טכנולוגיות שמשלימות את מערך כוח האדם הפועל במשימות אבטחה. המערכות והאמצעים הטכנולוגיים, שמהווים תחליף לכוח אדם פיזי ועונים על הצורך במניעת הקצאת משאבים מיותרים, מהווים את הנדבך העיקרי במערך האבטחה ובין האמצעים הטכנולוגים המוצעים ניתן למנות:

  1. מצלמות במעגל סגור מסוגים ואפיונים שונים (קבועות, מתנייעות, פנים, חוץ, בעלות יכולת הקלטה ושידור מרחוק, התרעה על תנועה בשטחים לא מאוישים, יכולת מענה אינטרנטי ועוד)
  2. מערכות גילוי אש ועשן
  3. מערכות התראה מפני דליפות מים, גז וכימיקלים
  4. מערכות כניסה ובקרה על עובדים, נוכחות לפי תפקידים ובהתאמה לצרכי הלקוח
  5. פתרונות טכנולוגיים נוספים לפיקוח ובקרה על שליחים, סוכנים ועובדי חוץ

השלב השלישי - אבטחת מידע 

מידע מהווה כוח רב עוצמה וזליגה שלו ממאגרי המידע על ידי עובדי הארגון, עלול לגרום נזק גדול שחלקו בלתי הפיך הן בתחום המקצועי והן בתחום הכלכלי, נזק אשר יכול, בסופו של דבר, למוטט עסקית וכלכלית את הארגון ופעילותו.

לכן, יש לבנות מערך אבטחת מידע, שייתן מענה לכל מערכות המידע בחברה או בארגון, תוך שילוב  פעולות פיזיות מול עובדים בכל דרגות הניהול, מרמת העובד ועד למנכ"ל.

כדי למנוע אובדן מידע יקר, יש לאבטח מחשבים נייחים וניידים, לבצע פעולות שמירה של מסמכים מסווגים ופיקוח על העברתם מגורם לגורם, פיקוח של מחלקת הנהלת חשבונות וספקים, תדרוך עובדי פנים וחוץ (פקידים, מחסנאים, שליחים, סוכנים, מוכרנים ועוד), מידור פנימי בתוך המתחם, מניעת האזנות ועוד.

האסטרטגיה מחייבת ראייה כוללת של כלל האיומים הקיימים, ניתוח מקומות האחסון הפיזיים של נתונים ואיכות המידע האצור בקרב עובדי הארגון בכירים וזוטרים וכן פיקוח על עובדים הנושאים מחשבים ניידים ומורשים לעבוד מביתם.

פעילות המניעה חייבת לכלול הטמעה של נהלים לגבי טיפול והרגלי עבודה ביחס לחומר מסווג, מסמכים, דואר, הרשאות, הדרכה ועוד במקביל לשילוב פעילות יזומה הכוללת ביצוע בדיקת האזנות בכל מתחם בו עולה חשד לדליפת מידע רגיש, לרבות פעילות מניעה ובדיקות פתע יזומות לאיתור זליגת מידע.

מערך אבטחת המידע חייב לכלול בתוכו מערכת בקרה שתנוהל על ידי קצין הביטחון של הארגון ותתופעל על ידי איש IT של הארגון. 

השלב הרביעי - ההון האנושי 

פן זה מתרכז בהון האנושי של החברה או הארגון משלב האיתור וגיוס העובדים, דרך שימורם ועד לפרידה מהם.

לכל שלב כזה יש לבנות תהליך ברור ומובנה עם נהלים ברורים וישימים.

חובתו של קצין הביטחון בארגון היא לתת דגשים, ביחד עם מחלקת משאבי אנוש, בכל הקשור למהימנות עובדים בכל שלבי העסקת העובדים לרבות בסיום ההעסקה.

הפעולות בהן משתמש קצין הביטחון בכל שלב הן: 

  1. מבדקי מהימנות עובדים בשילוב תשאול טרם הגיוס 
  2. מבדקים או תשאול של העובדים הקיימים באופן אקראי או ביצוע בדיקות פוליגרף תקופתיות 
  3. תשאול עובדים בעת סיום העסקה וליווי שלהם למניעת גניבת מידע 

הסיבות לביצוע מבדק מהימנות/ פוליגרף לעובדים המועסקים בארגון:

  1. רצון לקדם עובד לתפקיד רגיש בו הוא עתיד להיחשף למידע רגיש, מסמכים, סודות מסחריים, ו/או לעבוד עם סכומי כסף גדולים
  2. קידום עובד מועסק למשרה בכירה או שינוי סטאטוס לעמדת שותף
  3. בדיקת חשד להדלפת מידע עסקי למתחרים או גניבת מידע על ידי עובד
  4. חשד לעובד המשקר בנושא רישום שעות עבודה, מילוי הוראות ונהלים, זיוף אישורים וכו'
  5. חשד לזליגת מידע ו/או גניבה על ידי סוכנים חיצוניים, עובדי שטח וכו'
  6. עובדים לפני קבלה לעבודה בארגון (בתהליך גיוס)
  7. בדיקת מהימנות קורות חיים
  8. רקע אישי וכלכלי כגון הסתבכויות פליליות ומעורבות בהליכים משפטיים
  9. מניעת ניגוד אינטרסים על רקע אישי ו/או קשרים למתחרים (על מנת למנוע החדרת עובדים)

לעיתים, על מנת לאבחן את מידת הסיכון יש לעבוד באופן מדורג: ביצוע בדיקת רקע, תשאול פרונטאלי, בדיקת פוליגרף וכו' ובמקרים מיוחדים, ניתן לבצע מעקב, בהתאם לחוק. 

השלב החמישי - מודיעין עסקי

מודיעין עסקי הוא תכנית שיטתית ואתית לאיסוף וניתוח מידע על פעולות מתחרים ומגמות עסקיות וכלכליות מקשת רחבה של מקורות מידע שונים.

במידע יש חשיפה על יכולותיו של הגורם המתחרה, הן כלכליות עסקיות והן מגמות עתידיות וחולשותיו העסקיות, היקף פעילותו כיום, קשריו העסקיים (חברות בת, חברות קשורות ועוד).

למידע שמתקבל יש יכולת להשפיע על מגמות ופעילות עסקית בהווה ובעתיד של הארגון וערכות להשגת יתרון על המתחרה, ידע על הסביבה העסקית המגמות בשוק, בכל נושא קבלת החלטות ופעילות שוטפת של הארגון.

תפקידו של קצין הביטחון בהיבט זה הוא להבטיח, שמידע עסקי לא יועבר למתחרים ולא יבוצע ריגול עסקי (החדרת עובד מרגל לחברה/ לארגון).

לסיכום

ניהול הביטחון בארגון הינו נדבך מרכזי וחשוב שמתייחס למספר היבטים וכללים פנימיים שיש ללמוד וליישם בקפידה. קצין הביטחון הוא הגורם המוסמך לנהל את התחום, הן בהיבט המניעתי והן בניהול בעיות ופרצות אבטחה שמתגלות. חשוב לשלב הן הרתעה ומניעה והן טיפול יעיל ומובנה וכל זאת, על ידי אדם מוסמך שזהו תחום מומחיותו ועיסוקו. 

ניתן לראות בבירור, כי בארגונים וחברות שבהם מתקיימים נהלי בטחון, היעילות גבוהה ואיבוד המשאבים נמוך ולכן מומלץ שלא לזלזל וליצור מערך אבטחה וביטחון יעיל ומותאם לארגון.