DTR011 Создание безопасной организации

Downloadable PDF Resources

  1. Engish
  2. English/Spanish
  3. English/Russian

This module will take you through the Создание безопасной организации.

  1. Создание безопасной организации
  2. Введение
  3. Управление всеобщей безопасностью
  4. Две организации «лучшей практики»
  5. Безопасность – это управление территорией
  6. «Всеобщий охват»
  7. «Жесткое управление»
  8. Территория равна «Всесторонней защите»
  9. Всесторонняя защита
  10. Всеобщий охват означает, что каждый несет ответственность за безопасность
  11. Итоги
  12. Основные положения

 

нформация, содержащаяся в данном документе, является частью аккредитованного IQ курса
«Сертификат 4-го уровня по усовершенствованию управления рисками и кризисной ситуацией»

Создание безопасной организации

‘Целью службы безопасности является защита, а не реагирование на опасность’.

Creating a Secure Organisation

‘The purpose of security is to create safety, not respond to danger’.

Введение

Одним из наиболее эффективных способов разработки систем управления безопасностью является наблюдение за тем, как другие организации управляют своими программами безопасности, и как им удалось сбалансировать различные аспекты, уже охваченные в предыдущих главах. В этой главе рассматриваются две организации, которые получили широкое признание за то, что разработали Лучшие Практики мирового класса для решения очень разных типов угроз. одной поставлена задача управления массовым доступом с низким уровнем угрозы в парки развлечений, в то время как другая разработала свои собственные методы управления безопасностью перед лицом международного терроризма на протяжении более сорока лет. Принципы, которые они разработали для создания потенциала управления безопасностью в своих организациях будет иметь значение для тех, кто участвует в любом аспекте управления безопасностью.

Introduction

One of the most effective ways of developing security management systems is to look at how other organisations manage their security programmes, and to learn from them how they have managed to balance the various aspects already covered in previous chapters. This chapter introduces two organisations that are widely accepted to have developed world class Best Practices for dealing with widely differing threat profiles. One is tasked with managing mass-access but low-threat amusement parks, whilst the other has developed its own security management practices in the face of international terrorism for over forty years. The principles that they have developed to create security management capability across their organisations will be of value for anyone involved in any aspect of security management.

Управление всеобщей безопасностью

Хотя «Создание безопасной организации» является конечной целью любого менеджера безопасности, есть еще много различных (и в некоторых случаях, конфликтующих) идей о том, как это может быть достигнуто.

Одной из распространенных моделей управления безопасностью является модель под названием «Управление на основе угрозы», о которой уже упоминалось в Разделе 1, когда мы говорили о трехступенчатой модели риска: Оценка риска — Контроль риска – Планирование действий при непредвиденных обстоятельствах, которая основана на идее, что если вы определите все возможные угрозы, а затем разработаете методы («протоколы») их предотвращения, вы создадите безопасную организацию. Проблема заключается в том, что вы никогда не исчерпаете все из возможных угроз, и есть большая вероятность того, что, сколько бы много угроз вы не приняли во внимание, внешний мир бросит на вас еще одну, о которой вы не подумали.

Тем не менее, еще один метод заключается в подходе к проблеме с другой стороны, а именно путем сосредоточения усилий на создании безопасности как составной части организации, а затем положиться на то, что любая потенциальная проблема, которая может стать угрозой для организации, будет определена достаточно рано, чтобы ей можно было управлять и справиться с ней, прежде чем она будет иметь возможность перерасти в реальную опасность. Терминология для описания этого подхода заключается в названии — «Управление всеобщей безопасностью».

Хотя термин УВБ изначально был придуман для описания управления вертикального риска, то есть, через различные уровни управления цепочками поставок, чтобы конечный клиент не зависел от эффективного управления предыдущих звеньев в цепи поставок, которые находятся за пределами их контроля, он может в равной степени быть использован для описания полного контроля над территорией, которая находится под ответственностью менеджера безопасности. Таким образом, управление безопасностью может рассматриваться в качестве упреждающей меры, направленной на создание среды безопасности, а не реагирующей системы, которая реагирует на риски, угрозы и опасности только после того, как они были обнаружены.

Total Security Management

Although the ‘Creation of a Safe Organisation’ is the ultimate objective of any security manager, there are still many differing (and in some case, conflicting) ideas of how that can be achieved.

One of the common models of security management has been ‘Threat-Based Management’ which was covered in the three-stage Risk Assessment – Risk Control – Contingency Planning model introduced in Unit 1, which is based on the idea that if you identify all possible threats, and then develop methods (‘protocols’) to prevent them from happening, you will then have created a safe organisation. The problem is, of course, that you will never run out of possible threats, and the likelihood is that however many threats you think of, the world will throw a new one at you that you hadn’t taken into consideration.

However, another method is to approach the problem from the other side, namely by concentrating on creating security as an integral part of the organisation, and then trusting that any potential problem that might become threat to the organisation will be identified early enough to manage and deal with that potential threat before it has the opportunity to escalate into an actual danger. One phrase used to describe this approach is ‘Total Security Management’. Although TSM was originally coined to describe the management of vertical risk – that is, through the different levels of supply chain management, so that the end-user was not dependent on the effective management of the previous links in the supply chain that were outside of their control, it can be equally used to describe the total control of territory that comes under a security manager’s responsibility. In this way, security management can be seen as a proactive measure designed to create safety, rather than a reactive system that responds to risks, threats and dangers only after they have been detected.

Две организации «лучшей практики»

Есть две организации, которые, по широкому признанию, интегрировали «лучшие практики» управления безопасностью и риском во все аспекты их управленческой деятельности, одна из которых занимается вопросами нормальных, ежедневных слабого воздействия и высокой вероятности сценариев, а другая имеет дело с потенциально более серьезными низкой вероятности и сильного воздействия угрозами.

Первая — это Мир Диснея, которая создала самодостаточное Королевство, внутри которого одной из главных продаваемых привлекательных особенностей для потенциальных посетителей является его безопасность. Хотя Мир Диснея разработан, чтобы иметь дело с огромным количеством людей, имеющих свободу выбора делать огромное количество различных вещей (видимо …), основная система управления, основана на полном контроле своей территории, так что, как только вы внутри Мира Диснея, вы на самом деле проходите через полностью управляемый опыт.

Второй организацией является Эль-Аль, израильская национальная авиакомпания, которая, со времени первого угона самолета 21 июня 1967 года по политическим мотивам, рейса, направлявшегося из Рима в аэропорт Тель-Авив (после окончания 6-дневной войны), сумела в общем поддерживать безопасность в своих аэропортах и на своих самолетах по всему миру в течение 45 лет (несмотря на несколько заметных исключений, в частности, убийства 26 человек во время нападения на Лод аэропорт (ныне Бен-Гурион) в 1972 году членами подготовленной в Ливане Красной армии Японии). El Al, до сих пор считается, имеет, пожалуй, наиболее эффективную систему управления безопасностью в мире, и ее методики получили широкое признание в качестве примера для обеспечения массового доступа в зоны общественного пользования. Хотя Мир Диснея и Эль Аль, казалось бы, столкнулись с радикально различными угрозами, методы, которые они разработали, чтобы управлять ими, удивительно похожи.

Two ‘Best Practice’ Organisations

There are two organisations that are widely recognised to have integrated best-practice security and risk management into every aspect of their wider management operations, one dealing with the issue of normal, daily low impact high-likelihood scenarios, and the other dealing with potentially more serious low-likelihood-high impact threats.

The first is Disney World, which has created a self-contained Kingdom within which one of the main selling-points for potential visitors is its safety. Although Disney World is designed to deal with a massive amount of people with the freedom to choose to do a massive amount of different things (apparently…), the underlying management system is one based on total control of their territory, so that once you are inside Disney World you are actually experiencing a totally managed experience.

The second organization is El Al, the Israeli national airline, which since the first political hijacking of a plane on 21st June 1967 of an El Al plane from Rome to Tel Aviv airport (following the end of the 6-Day War), has maintained security in its airports and planes across the world for 45 years (despite a couple of notable exceptions, specifically the killing of 26 people in an attack on Lod Airport (now Ben Gurion) in 1972 by members of the Lebanese-trained Japan Red Army). El Al is still considered as perhaps the most effective security management system in the world, and its methodologies are widely accepted as setting the bench-mark for securing mass access public areas. Although the Disney World and El Al are seemingly faced with radically different threats, the methods they have devised to manage them are remarkably similar.

Безопасность – это управление территорией

Первая концепция, общая для обеих систем – это Территорией. Территория — это пространство, над которым вы имеете контроль, и за которое вы берете на себя ответственность. Для Мира Диснея и Эль-Аль территория начинается задолго до того, прежде чем вы достигните каких-либо фактических зданий. В Орландо, штате Флорида, имеются вывески, приветствующие вас еще за 30 миль до самого парка. Они информируют вас, какие документы вам необходимо иметь с собой, какие имеются аттракционы и на какую радиостанцию вам надо настроить радио, чтобы получить дополнительную информацию о Мире Диснея. В аэропорту Бен-Гурион, Израиле, первые пункты пропуска находятся на расстоянии 2 км от фактического аэропорта, и предназначены, чтобы дать вам положительное ощущение, что вы въезжаете в безопасную зону, где все возможные угрозы и проблемы были выявлены и эффективно устранены. Эта Первая Точка Контакта (ПТК) имеет две цели. Во-первых, четко разметить территорию, на которой вы принимаете на себя ответственность за создание и управление безопасного пространства. Во-вторых, чтобы позволить ПТК выступать в качестве исходной системы фильтрации, что позволяет первичной команде безопасности идентифицировать подозрительных лиц, которых затем можно отозвать в сторону и осмотреть их на индивидуальной основе, не нарушая основной бизнес поток.

Концепция Контроля над Территорией продолжается, как только посетитель оказался «внутри». Нет ни одного места в Мире Диснея, в израильском аэропорту или в секции авиакомпании, которое не находилось бы под контролем кого-то, кто имеет особую ответственность за поддержание безопасности этого участка. Один писатель рассказал, как его дочь натерла ногу до появления волдыря во время визита в Мир Диснея и сняла обувь и носки. Она была немедленно идентифицирована и к ней подошли служащие парка. Когда им сообщили, что это не разрешено по причине «безопасности для посетителей», а также, что неспособность одеть обратно или заменить ее обувь приведет к тому, что они должны будут покинуть парк, она решила, что будет терпеть боль, с тем чтобы иметь возможность оставаться в пределах увеселительного парка.

Территория определяется границей. Это там, где находится Первая Точка Контакта. Контроль доступа позволяет легко проникать на эту территорию тем, кто не представляет никакой угрозы, и дает системе безопасности возможность определить потенциальные проблемы, прежде чем они смогут подойти к зонам повышенного риска глубже в рамках системы.

Security is About the Management of Territory

The first concept common to both systems is Territory. Territory is that space over which you have control, and for which you take responsibility. For both Disney World and El Al, their territory begins a long way before you reach any actual buildings. In Orlando, Florida, there are signs welcoming you to Disney World from 30 miles away, telling you what documents you will need, informing you of what attractions are available, telling you what radio station to tune to for Disney world information. In Israel’s Ben Gurion airport, the first check points are 2Kms from the actual airport, and are designed to give you the positive feeling that you are entering a safe zone, one where possible threats and problems have been identified and effectively mitigated. This First Point of Contact has two purposes. The first is to clearly mark the territory where you accept responsibility for creating and managing a safe space. The second is to allow the FPoC to act as an initial filtering system, allowing the initial security team to identify people who will not move through the system smoothly, who can then take be taken to the side and dealt with on an individual basis, without disrupting the main flow of business.

The concept of Control of Territory is continued once the visitor is ‘inside’. There is nowhere within Disney World, or within an Israeli airport or airline section, that is not under the control of someone who has the specific responsibility for maintaining the safety of that area. One writer told how his daughter developed a blister during a visit to Disney World and removed her shoes and socks. She was immediately identified and confronted. When told that this was not allowed ‘for the safety of visitors’, and that failure to replace her footwear would result in them being escorted from the grounds, she decided that the she would undergo the pain in order to be allowed to remain within the funfair.

Territory is defined by a Boundary. This is where the First Point of Contact is made. Access Control allows easy entry to that territory for those who pose no problem, and gives the security system the opportunity to identify potential problems before they are able to make an approach to higher-risk areas deeper within the system

«Всеобщий охват»

Вторая концепция, общая для обеих организаций заключается в том, что «каждый участвует в обеспечении безопасности». Разумно предположить, что небольшая команда безопасности не сможет обеспечить контроль и «слежку» за всеми возможными ситуациями, которые могут развиться. Тем не менее, если в рамках организации все бдительны, то большая вероятность того, что кому-то станет известно о потенциальной проблеме, прежде чем она перерастет в реальную угрозу, и эта информация может быть передана команде безопасности, которая затем сможет вмешаться наиболее подходящим образом. Это не относится только к традиционным угрозам безопасности, но справедливо для любых действий, которые могут поставить под угрозу организацию.

Хотя кажется, что это простой принцип, достаточно только просмотреть ежедневные газеты, чтобы увидеть, как организации ставят себя в опасность из-за простых проблем, которым позволяют перерасти в серьезные угрозы, потому что, хотя люди знают о них, никто не берет на себя ответственность сообщить кому-то обличенным властью.

‘Total Cover’

The second concept common to both organisations is the fact that ‘Everyone is involved in security’. It is reasonable to presume that a small security team cannot maintain control and ‘eyes on’ to every possible situation that might develop. However, if everyone within the organisation is security aware, then the likelihood is that someone will become aware of a potential problem before it escalates into an actual threat, and that information can be passed on to the security team, who can then intervene in the most appropriate manner. This is not only relevant to traditional security threats, but is valid for any actions that could threaten the organisation.

Although it seems that this is a simple principle, you only need to read the papers each day to see how organisations are putting themselves into danger because simple problems are allowed to develop into major threats, because although people are aware of them, no-one has taken the responsibility to inform someone in authority.

«Жесткое управление»

Третий принцип управления безопасностью состоит в том, что обе системы основаны на «Жестком управлении». Написание руководств по безопасности и списков протоколов легко. Поддержание их на эффективном уровне в течение долгого времени практически невозможно. Истина заключается в том, что большинство программ безопасности терпят неудачу, потому что правила, которые были введены в действие затем не соблюдаются, и культура лени или невежества становится частью организации. Обе организации, о которых здесь идет речь, имеют очень сильную систему управления, так что существует четко определенная организационная культура и понимание, что управление безопасностью важно, все понимают свою роль в ней, а системы контроля установлены таким образом, чтобы обеспечить ее соблюдение. Если вы хотите проверить систему, попробуйте выбросить обертку жевательной резинки на пол в Мире Диснея, и посмотрите, как долго займет, чтобы ее подняли, а затем сообщили вам, что сорить не допускается.

Таким образом, вопрос заключается в том, как мы можем адаптировать уроки, выученные у этих глобальных лидеров безопасности, и внедрять эти высокоэффективные модели управления безопасностью в наших собственных организациях?

‘Tight Management’

The third principle of security management that both systems are based on is that of ‘Tight Management’. Writing security manuals and lists of protocols is easy. Maintaining them at an effective level over time is almost impossible. The truth is that most security programmes fail because the policies that have been put into place are not adhered to, and then a culture of laziness or ignorance becomes embedded into the organisation. Both of the organisations that we have discussed here have a very strong management system in place, so that there is a clearly-defined organizational culture that security management is important, everyone understands what they have to do, and control systems are in place to ensure that they do so. If you want to test the system, drop a chewing gum wrapper on the floor at Disney World, and see how long it takes for someone to pick it up, and then inform you that littering is not allowed.

The question therefore, is how can we adapt the lessons learned from these global security leaders, and introduce these highly effective security management models into our own organisations?

Территория равна «Всесторонней защите»

Территория – это не просто «Пространство». Например, если бы вы были менеджером безопасности на предприятии с прилегающей автостоянкой, но у вас не имелось бы никакой информации о том, что происходит внутри этой автостоянки, она не могла бы считаться вашей «Территорией». Даже если бы к вам поступала информация о стоянке, например, с помощью использования системы видеонаблюдения и мониторинга из центральной диспетчерской, но у вас была возможность только наблюдать, что там происходит, не будучи в состоянии реагировать на это, то вы бы все равно не смогли рассматривать стоянку, как часть вашей территории. Таким образом, одним из определений Территории является «Тот участок, о котором у вас есть и информация, и над которым есть контроль».

После того, как понятие Территории как функции информации и контроля принимается, следующий вопрос касается именно того, где начинается наша территория. Это очень важный вопрос в процессе разработки эффективного потенциала управления безопасностью.

Territory Equals ‘Security in Depth’

Territory is not just ‘Space’. For example, if you were the manager of a factory with an attached car park, but you had no information about what was happening within that car-park, it could not be considered your ‘Territory’. Even if you had information about the car-park – for example, through use of CCTV monitored from a central Control Room – but could only observe what was happening without being able to do anything about it, you would still not be able to consider that area your territory. So, one definition of Territory is ’That area over which you have both information and control’.

Once the concept of Territory as a function of information and control is accepted, the next question concerns exactly where our territory starts. This is a critical question in the process of developing an effective security management capability.

Всесторонняя защита

Дополнительные меры безопасности могут быть созданы путем увеличения расстояния от Первой Точки Контакта и основного охраняемого участка путем введения дополнительных барьеров. Основные принципы, лежащие в основе Всесторонней Защиты, одинаковы, идет ли речь об ограничении доступа за кулисы на концерте, в VIP-зал в клубе, в кабинет председателя в крупной корпорации или в научно-исследовательские лаборатории в технологической компании.

Любая территория определяется границами. Каждому должно быть ясно, что входя на вашу территорию, он сразу же попадает под ваш контроль — хотя это должно выглядеть в дружественной и приветственной манере, а не официозным и безличным образом. Граница отмечена Первой Точкой Контакта. Хотя Первая Точка Контакта может выглядеть открыто на основе системы безопасности, как в здании правительства или военной базы, в зависимости от общей среды угрозы ее также можно представить в терминах «Встреча и Приветствие».

Эту форму безопасности, в форме «обслуживания клиентов», можно увидеть в сотнях различных ситуациях, когда менеджеры безопасности хотят четко обозначить начало их территории, таких как бары, где у двери стоит охранник; 5-звездочные отели, где у входа находится швейцар, который ждет, чтобы приветствовать вас, корпоративной штаб-квартиры, где находятся сотрудники службы безопасности, которые проведут вас к стойке регистрации, или торговые центры, где у главного входа стоят (или, по крайней мере, должны быть!) сотрудники службы безопасности.

Как мы установили в Модуле 1, всегда существует баланс между свободой и безопасностью. Один из способов, которым мы можем откалибровать уровень безопасности, является расстояние между Первой Точкой Контакта и объектами, которые мы защищаем, и количество барьеров, которые необходимо пройти, чтобы к ним подойти. В качестве основного правила, «Чем большее расстояние между ПТК и целью, и чем большее количество барьеров, тем сильнее вы защищены»

Security in Depth

Additional security can be created by increasing the distance from the First Point of Contact and the main area that is being protected, and by the introduction of additional barriers. The basic principles behind Security in Depth are the same whether it is limiting access to the backstage area at a concert, the VIP room of a club, the Chairman’s office in a major corporation or the research laboratories in a technology company.

Any Territory is defined by Boundaries. It should be clear to anyone coming into your territory that they are now coming under your control – though that should be done in a friendly, welcoming way, rather than an officious, impersonal way. The Boundary is marked by the First Point of Contact. Although the First Point of Contact might be overtly security-based, as in a government building or military base, depending on the general threat environment it can also be seen in terms of ‘Meet and Greet’.

This form of security as ‘customer care’ can be seen in hundreds of different situations where security managers want to clearly mark the beginning of their territory, such as bars, where there is a Door Supervisor outside the door; 5-star hotels, where there is a doorman waiting to greet you; corporate headquarters, where there are security personnel who will show you to the reception desk, or shopping centres, where there are (or at least, should be!) security personnel at the main entrance.

As we established in Unit 1, there is always a balance between Freedom and Security. One way that we can calibrate the level of security is the distance between the First Point of Contact and the thing that we are securing, and the number of barriers you need to pass to get there. As a basic rule, ‘The greater the distance between the FPoC and the target, and the greater the number of barriers, the safer you are’.

Всеобщий охват означает, что каждый несет ответственность за безопасность

Один из основополагающих принципов как в Мире Диснея, так и в Эль-Аль состоит в том, что безопасность — это не только единоразовое событие, когда вы показали пропуск и все проверки безопасности закончены, но что безопасность встроена в каждый аспект организационных функций.

Например, в то время как команды безопасности в обеих организациях высоко обучены, очень профессиональны и хорошо обеспечены ресурсами, они — не единственные сотрудники, отвечающие за безопасность. Обслуживающий персонал автостоянки, уборщики туалетов, продавцы арахиса, работники, забирающие мусор из кухни, все считаются частью программы управления безопасностью. Таким образом, можно иметь полное покрытие территории, где кто-то обязательно сможет обнаружить любую потенциальную проблему, прежде чем она превратится в реальную опасность. Роль этого человека — проинформировать службу безопасности, что что-то не так. Они затем будут иметь возможность среагировать соответствующим образом, оценить ситуацию и принять необходимые меры.

Total Cover Means That Everyone is Responsible for Security

One of the fundamental principles of both Disney World and El Al is that security is not just a single event – you show your pass to someone, and then the security checks are finished — but that security is in-built into every aspect of that organisation’s functions.

For example, whilst the security teams in both systems are highly-trained, extremely professional and well-resourced, they are not the only people responsible for security. The car park attendants, the toilet cleaners, the peanut-sellers, the people taking the rubbish out of the kitchen are all considered to be part of the security management programme. In this way, it is possible to have total cover of an organisations’s territory, where someone will be bound to spot any potential problem before it becomes an actual danger. The role of that person is then to inform the security team that something is not quite right, and they will then be able to respond in an appropriate manner, assess the situation and take the necessary actions.

Итоги

Безопасность должна где-то начинаться и где-то заканчиваться, и это определяется тем, как мы определяем территорию, за которую мы принимаем на себя ответственность. Всесторонняя Защита описывает способ, с помощью которого мы можем использовать все наши собственные ресурсы для создания более безопасной среды. Эти простые принципы управления безопасностью используются двумя из самых уважаемых организаций глобального управления безопасностью, каждая из которых сталкивается с совершенно разными потенциальными угрозами.

Summary

Security has to begin and end somewhere, and that point is decided by how we define the territory that we accept responsibility for. Security in Depth describes the way that we can utilise our own resources in order to create progressively more secure environments. These simple principles of security management are used by two of the most well-respected organisations in global security management, each of which is facing completely different potential threats.

These principles are easy to understand, simple to implement, and can be adapted to almost any security situation.

Основные положения

  • Всеобщее Управление Безопасностью (ВУБ) позволяет играть активную роль в создании безопасной организации, а не реагировать на индивидуальные риски / угрозы
  • ВУБ может быть Вертикальным — как в управлении цепочкой поставок — или Горизонтальным, через контроль Территории
  • Территория — это Пространство, которое определяется Границами, о котором имеется Информация и над которым налажен Контроль
  • Безопасность усиливается за счет Всесторонней Защиты
  • Каждый в организации является частью Программы управления безопасностью

Main Points

  • Total Security Management (TSM) allows you to be proactive in developing a safe organisation, rather than responding to individual risks / threats
  • TSM can be Vertical – as in Supply Chain Management – or Horizontal, through control of Territory
  • Territory is Space which is defined by Boundaries, and for which you have Information and Control
  • Safety is increased by Security in Depth
  • Everyone in an organisation is part of the Security Management Programme