Riadenie bezpečnosti

Bezpečnost je matkou nebezpečenstva a babičkou destrukcie.

Thomas Fuller

Riadenie bezpečnosti (Security Management, niekedy tiež Corporate Security) je oblasť riadenia, ktorá rieši bezpečnosť aktív (zdrojov) v organizácii, teda ako bezpečnosť fyzickú, tak bezpečnosť elektronického sveta. Riadenie bezpečnosti veľmi úzko súvisí s riadením rizík a je zamerané na vytvorenie alebo trvalé zabezpečenie takých podmienok, ktoré pomôžu predchádzať alebo znížiť identifikovaná rizika, vyhnúť sa problémom a to najmä pomocou rôznych metód, procedúr, smerníc, štandardov a nástrojov.

Riadenie bezpečnosti je sústavná, opakujúce sa sada navzájom previazaných aktivít, ktorých cieľom je zaistiť bezpečnú prevádzku a zamedziť bezpečnostným rizikám a hrozbám, ako sú ohrození alebo poškodenie života a zdravia, hmotného a nehmotného majetku organizácie.

Riadenie bezpečnosti sa z veľkej časti týka zabezpečenia autorizovaného prístupu osôb k aktívam organizácie (najmä k financiám, informáciám, hnuteľnému i nehnuteľnému majektu). S riadením bezpečnosti úzko súvisí riadenia kontinuity činností organizácie (Business Continuity Management).

Akokoľvek je bezpečnosť spravidla zabezpečovaná odbornými útvarmi a odborníkmi, primárne je súčasťou každodennej práce vedúceho zamestnanca a štatutárneho orgánu.

Kľúčové okruhy riadenia bezpečnosti v organizáciách sú:

Fyzická bezpečnosť
- Bezpečnosť majetku (vrátane hotovosti a cenností), bezpečnosť budov, ostraha
- Osobná bezpečnosť, vrátane riadenia ľudských zdrojov
Informačná bezpečnosť - v zmysle ochrany zákonom alebo zmluvne chránených či cenných informácií
ICT bezpečnosť, (tiež Počítačová bezpečnosť) v zmysle použitia a nastavení hardvéru a softvéru, vrátane špeciálnych prostriedkov (napr. ochrana, či nasadenie sledovania a odposluchov)
Bezpečnosť práce a ochrana zdravia, požiarna ochrana (Safety)
Ochrana proti podvodom a zneužitím (Fraud management), Forenzná audit

Zodpovednosť za riadenia bezpečnosti má vo veľkých a stredných organizáciách manažér bezpečnosti (CSO). Najvyššia zodpovednosť, za bezpečnosť má prirodzene vlastník, štatutárny orgán a najvyšší manažment (top management) organizácie.

V rade väčších organizácií existuje profesia manažéra informačnej bezpečnosti (CISO) zameraná výhradne na informačnú bezpečnosť alebo ICT bezpečnosť a pre riešenie bezpečnosti na korporátnej úrovni je určená funkcia viceprezident alebo riaditeľa korporátnej bezpečnosti (Director of Corporate Security). Veľké organizácie alebo organizácie podnikajúce v rizikovom prostredí (napríklad banky, poisťovne) môžu mať ešte ďalšie určené špecialistov riadenia bezpečnosti.

V malých organizáciách je zodpovednosť za riadenie bezpečnosti koncentrovaná na úrovni štatutárneho orgánu, pretože nie je efektívne zamestnávať špecializovaného manažéra bezpečnosti na plný úväzok.

Medzi najznámejšie metódy a metodiky v oblasti riadenia bezpečnosti patrí:

CLA (Checklist analysis) - analýza kontrolným zoznamom
CCA (Cause-Consequence Analysis) - analýza príčin a následkov - kombinácia FTA a ETA
CRAMM (CCTA Risk Analysis and Management Method) - analýza rizík a riadenie bezpečnosti informácií
ETA (Event tree analysis) - analýza stromu udalostí
FMEA (Failure Modes and Effects Analysis) - analýza možných chýb a ich následkov
FMECA (Failure Mode, Effects and Critically Analysis) - analýza možných chýb a ich kritických následkov
FTA (Fault Tree Analysis) - analýza stromu poruchových stavov
Forenzná audit
HAZOP (Hazard and Operability Study) - riziková a operačný analýza
HAZID (Hazard Identification Study) - štúdie identifikácia nebezpečenstva
HRA (Human Reliability Analysis) - analýza ľudskej spoľahlivosti
MA (Multicriteria Analysis) - multikriteriálnej analýza pre zhodnotenie efektívnosti nasadenie bezpečnostných opatrení
PHA (Preliminary Hazard Analysis)
Prognózovanie
Pravdepodobnostné metódy
RR (Relative ranking) - relatívna klasifikácia
SA (Safety Audit) - bezpečnostný audit
SR (Safety Review) - bezpečnostná prehliadka
Čo - keď analýza (What-if Analysis)
Winterlingova krízová matice