Bezbednost nije termin koji se povezuje samo sa državnim strukturama. U savremenim uslovima, poslovanje neminovno doživljava promene, maltene na dnevnom nivou, pa je neophodno staviti akcenat na korporativnu bezbednost koja „najgrublje“ rečeno, predstavlja, multidisciplinarno upravljanje rizicima.
Zašto je važno upravljati rizicima i kako to utiče na poslovanje?
Koja je uloga menadžera bezbednosti?
Sa kojim rizicima se najviše susreću kompanije i šta mogu da očekuju „neverne Tome“ koje zanemaruju brigu i ulaganje u bezbednost?
Za stručni magazin SecuritySEE, na sva ova i mnoga druga pitanja od značaja za bezbedno poslovanje, odgovora Vladimir Mićić, Direktor Službe upravljanja rizicima bezbednosti Erste Banke.
1. Koje kvalifikacije, veštine i osobine su neophodne za jednog menadžera bezbednosti u banci?
– Primarni motiv osobe koja se bavi pitanjem bezbednosti je želja da pomogne nekom drugom. Drugim rečima, da veruje da je to što proizvodi ili stvara dobro delo i da ga to čini zadovoljnim. U bankarskom svetu taj motiv prate stečeno obrazovanje, ekspertiza i iskustvo, a sve zajedno rezultuje poverenjem između koleginica i kolega, klijenata i bezbednosnog tima. Lične osobine koje treba izgraditi za ovaj posao su posvećenost, multidisciplinarnost, dobro vladanje stresom, veština brzog donošenja ispravnih odluka, komunikativnost i fleksibilnost u radu sa ljudima, kao i orijentacija ka modernom, volja za istraživanjem, procesni menadžment itd.
2. Zašto je uloga menadžera bezbednosti važna za jednu kompaniju? Sa čime se najčešće susreću kompanije koje nemaju Security menadžera i sektor bezbednosti? Šta mogu da očekuju?
– Uloga menadžera bezbednosti važna je za kompaniju onoliko koliko je kompanija svesna rizika svog poslovanja. Ukoliko su ti rizici bezbednosni, sledeći korak je ispravan tretman uočenih rizika na način njihovog ublažavanja ili kontrole. Bezbednost kao oblast vidi dva tipa poslodavaca: savesne poslodavce i one koji to nisu. Rezultat upravljanja tj. neupravljanja bezbednosnim rizicima pokazuju brojke same za sebe, a koje u kompanijama koje se ublažavanjem rizika ne bave, opisuju izvršena teška krivična dela, negativan uticaj elementarnih nepogoda, gubitak radne snage, zastoj kritične infrastrukture često praćen prekidom poslovanja, značajne regulatorne kazne usled nepoštovanja zakonskih normi, a sve zajedno rezultuje nepoverenjem i zaposlenih i klijenata.
3. Da li vaša pozicija zahteva samostalnog ili fleksibilnog timskog igrača?
– Do sada nisam sarađivao ni sa jednom kompanijom koja ima samo jednu osobu zaduženu za bezbednost. U bankama kao što je Erste, pozicija koja pripada menadžeru bezbednosti pokriva analizu sveukupnih bezbednosnih rizika, projektovanje sistema fizičko-tehničke zaštite, bezbednost i zdravlje na radu, zaštitu od požara, informacionu bezbednost, brigu o poverljivim podacima, upravljanje kvalitetom dobavljača, učešće u projektima, procenu rizika Cyber bezbednosti, administraciju bezbednosnih alata i sistema, upravljanje kontinuitetom poslovanja i kriznim događajima, saradnju sa službama revizije, timovima operativnih rizika, policijom, odeljenjem za visokotehnološki kriminal i mnoštvo drugih povezanih aktivnosti. Sve ovo ne možete naći u jednoj osobi, pa je prirodno da je sublimacija pojedinačnih znanja u dobar bezbednosni tim od presudnog značaja. Bez visokog stepena fleksibilnosti uspešan timski rad u ovoj oblasti nije moguć.
4. Kako izgleda radni dan jednog bezbednjaka u Banci?
– Redovan radni dan ili radni dan u kome se suočavamo sa incidentnim događajem? 😊 Redovan radni dan uključuje sve proaktivne radnje koje preduzimamo da bismo upravo takvih redovnih radnih dana imali što više, a što manje onih koji nam uvek pokvare raspoloženje. S obzirom na to da se incidenti dešavaju iznenada i neočekivano za onoga ko se od njih brani, proaktivno praćenje i korelacija događaja u našem okruženju spadaju u naše dnevne rutine. S druge strane, svaki „neredovan“ radni dan ima svoj poseban oblik koga prati niz procedura za reagovanje na neželjene događaje, koje su onoliko uspešne koliko smo takve događaje unapred predvideli, simulirali i pravovremeno otklonili njihove glavne uzročnike.
5. Da li ste imali iskustvo upravljanja rizikom u nekim drugim poslovnim sredinama? Ako da, u čemu je razlika, a u čemu su sličnosti sa sadašnjom izazovima na datoj poziciji? Šta je zahtevnije?
– Po obrazovanju sam master inženjer telekomunikacija i moji prvi radni zadaci bili su vezani za projektovanje sistema tehničke zaštite različitih struktura: industrijski objekti, saobraćajnice i objekti od javnog značaja, privatni objekti, sportske i koncertne manifestacije i kreativni inkubatori. Svako upravljanje rizicima uslovljeno je tipom industrije a rezultuje onim šta želite da postignete. Navešću vam jedan interesantan primer upotrebe sistema za video nadzor u lancu pekara u Novom Sadu, u kome taj sistem pored bezbednosnog zadatka služi i za vizuelni pregled toplih i hladnih polica u prodajnom delu objekta, kako bi se na udaljenoj lokaciji za proizvodnju spremala isporuka proizvoda koji su taj dan neočekivano brže rasprodati.
Kako danas radim u kompaniji koja upravlja novcem i poverljivim podacima svojih klijenata, svakako da je upravljanje rizicima u Banci neuporedivo odgovornije u odnosu na prethodne moje poslove. S druge strane, zamislite odgovornost u upravljanju rizicima u naftnim industrijama, industrijama teških metala ili avionskim kompanijama, gde su rizici od povreda ili nastalih grešaka katastrofalni po ljudski život. U takvim sredinama rizici su daleko veći.
Lične osobine koje treba izgraditi za ovaj posao su posvećenost, multidisciplinarnost, dobro vladanje stresom, veština brzog donošenja ispravnih odluka, komunikativnost i fleksibilnost u radu sa ljudima, orijentacija ka modernom, volja za istraživanjem, procesni menadžment itd.
6. Došli smo i do glavnog pitanja. Koji su to najčešći rizici sa kojima se banke suočavaju?
– Kada bi se odgovor na takvo pitanje mogao zamrznuti u vremenu, posao Security tima bi bio jednostavan a možda i dosadan. Banke funkcionišu u veoma dinamičnom okruženju i često se trude da budu korak ispred sredine u kojoj posluju. Svaka promena poslovanja dovodi do promene nivoa rizika (ne nužno naviše), a promena nivoa rizika do promene načina tretmana rizika. Ako bi ta tačka u vremenu bila danas, u bankarskom sektoru u Srbiji, rizici koji su prisutni su rizici od pljački i prevarnih radnji, koje u korak prate rizici modernog doba vezani za internet tehnologije i digitalne kanale, sve više u upotrebi od strane naših klijenata. Motiv onih koji na brz način žele nešto što nije njihovo, a to nešto se u ovom slučaju nalazi u Banci ili kod njenih klijenata, je novac.
Razvojem društva razvijaju se i kanali kojima se do tog novca raznim oblicima pretnji i prevara može doći. Ukoliko biram jedan rizik prevare modernog doba, to je sigurno Phishing, tip tzv. socijalnog inženjeringa u kome lako možete poverovati u nešto što nije tačno. Svaki vid prevare ima i svoje mane, pa bismo sigurno našli neke detalje koji ukazuju na prevaru, ali to je samo onda kada pažljivo gledamo ili slušamo. Zato, budimo oprezni, informacije koje čujemo ili pročitamo moraju se dobro proveriti pre nego reagujemo. Svaka ishitrena, nepromišljena akcija može biti pogubna.
7. Da li postoje takozvane organizacione „kritične tačke“?
– Kritične tačke organizacije su zapravo njene ranjivosti. Konkretan odgovor na konkretno pitanje: rizik nikada nije nula, rizik uvek postoji i cilj igre je doći do sopstvene ranjivosti pre nego što do nje dođe neko zlonameran, neko ko ima nameru da je zloupotrebi.
Motiv onih koji na brz način žele nešto što nije njihovo, a to nešto se u ovom slučaju nalazi u Banci ili kod njenih klijenata, je novac.
8. Da li postoji jedinstveni akt sa objedinjenim rizicima i merama za postupanje? Koliko se često ažurira procena rizika i u kojoj meri je implementiran Plan obezbeđenja? Koliki je njihov značaj za jednu kompaniju, kao što je Erste Banka?
– Takav akt postoji. Regulatorno je obavezan i naziva se Akt o proceni rizika u zaštiti lica, imovine i poslovanja. Važno je shvatiti da Akt ne postoji radi akta, nego kao dokument koji daje metodološki prikaz identifikovanih rizika i njihovih nivoa, a koji za rezultat ima Akcioni plan (Plan obezbeđenja) za otklanjanje ranjivosti. Kako izradu takvog Akta mogu raditi isključivo sertifikovana lica, sumnja u njegov kvalitet i doprinos je nepostojeća, posebno za kompanije koje se baziraju na kompleksnim procesima, imaju veliki broj zaposlenih i posluju na velikom broju lokacija, često i izvan granica zemlje.
9. Da li u vaš delokrug rada spada i podizanje svesti zaposlenih u pogledu bezbednosne kulture, treninzi i edukacije?
– Banke kao institucije koje rade sa stotinama hiljada klijenata su u obavezi da pomognu u njihovoj edukaciji, koliko god je to moguće i na sve prihvatljive/moguće načine. Dodatno, bezbednost kao oblast je ISO standardizovana, a jedna od osnovnih smernica tog standarda je podizanje svesti zaposlenih, klijenata i uopšte društva koje vas okružuje. Zanimljivost koju mogu podeliti sa vama je da smo nedavno u javnost plasirali prvu onlajn igricu za decu pod nazivom „Čuvari zmajevog blaga”, u kojoj mališani od 7 do 10 godina kroz zabavu mogu da nauče mnogo toga o novcu, njegovoj upotrebi, vrednosti i štednji. Inspirisani uspehom ove aplikacije već razmišljamo i o podizanju nivoa svesti dece i mladih u domenu bezbednosti na sličan način.
10. Da li biste podelili sa nama neko iskustvo u kome ste dali doprinos i na taj način sačuvali integritet, imidž i kredibilitet kompanije?
– Za pohvalu je definitivno upravljanje COV-19 pandemijskom situacijom, tokom koga su timovi za krizni menadžment i bezbednost i zdravlje na radu pokazali izvanrednu profesionalnost i posvećenost, obezbedili zdrav i siguran rad naših zaposlenih od kuće, organizovali sigurne isporuke novca našim klijentima (nekima od njih i na kućnu adresu), osigurali nastavak ključnih projekata koji su doprineli rastu naše Banke na tržištu, a evo posle pune dve godine stvorili uslove za uspešan povratak naših koleginica i kolega u sve naše objekte i iz tog iskustva naučili i primenili mnogo toga za buduće poslovanje. Pohvalio bih i odličnu saradnju sa Udruženjem Banaka Srbije i kolegama iz bezbednosti iz drugih banaka, sa kojima smo odlično sarađivali i razmenjivali iskustva i dobre prakse.
11. Upravljanje rizicima, koliko je adrenalinski i lep deo posla, toliko nosi sa sobom i onu drugu stranu medalje, a to je stres usled neizvesnosti i pritiska. Kako se nosite sa stresom i na koji način on utiče na krajnje rezultate?
– Ovaj posao ne možete raditi izolovano niti kao pojedinac niti kao odvojen tim i bez toga da idete u korak sa strategijom i vizijom organizacije. Banka u kojoj radim prepoznaje značaj upravljanja rizicima u svim domenima i u velikoj meri ulaže u bezbednost kao specifičnu oblast. Kada ste okruženi ljudima kojima verujete i koji imaju poverenja u vas, stres i pritisak se dele jednako koliko i uspesi. Sve dok smo okruženi takvom energijom, ne sumnjam da ćemo se uspešno izboriti i sa izazovima koji slede.
12. Za kraj, koliko je važno da kompanija ide u korak sa izazovima, promenama i bezbednosnim rizicima i koja je vaša preporuka za „neverne Tome“?
Odgovor bih prilagodio razvoju akademske zajednice u okruženju u kome živimo. Nije slučajno da je Univerzitet u Novom Sadu sa Univerzitetima u Beogradu i Nišu sertifikovao usmerenje za informacionu bezbednost na master godini studija, na kojoj već imaju adekvatan broj prijava. To govori o tome da mladi ljudi prepoznaju značaj ove oblasti, posebno u domenu digitalnih tehnologija, pa bi to bila i poruka za sve one kojima je ova oblast nepoznata ili smatraju da smo kao društvo još mladi za baviti se njom.
Erste Banka je razvila program za razvoj i stipendiranje studenata, između ostalog i u Cyber domenu, i evo već treću godinu za redom Security tim Erste Banke nagrađuje pobednike Serbian Cyber Security Challenge takmičenja, poznatijeg kao „Hackathon“. Nagradom su obuhvaćene posete našim Cyber Security Operations centrima u Erste Bankama u Bratislavi i Beču, gde se mogu upoznati veoma kompleksna i moderna tehnološka rešenja za rano otkrivanje hakerskih napada u mrežama finansijskih institucija. I na ovom polju se slične edukacije u formi igrica organizuju za najmlađe učesnike iz osnovnih škola, tokom kojih se biraju Cyber heroji. To nam govori da smo na dobrom putu i da zajedno razvijamo veoma perspektivnu i za sve nas neophodnu oblast modernog doba.
Akt o proceni rizika u zaštiti lica, imovine i poslovanja ne postoji radi akta, nego kao dokument koji daje metodološki prikaz identifikovanih rizika i njihovih nivoa, a koji za rezultat ima Plan obezbeđenja za otklanjanje ranjivosti.
Vladimir Mićić, Erste Banka