2 Maja, 2026
image
Home Kategorija Security Services (Page 23)

Security Services

Uloga sigurnosnih odjela unutar organizacija

Zaštitna uloga sigurnosnih odjela temelji se na prevenciji. Ona obuhvata prevenciju vršenja krivičnih djela i nastanka gubitaka primjenom strategije i filozofije sprečavanja kriminalca u njegovoj namjeri da uspješno realizira krivično djelo

Piše: Semir Kapetanović
E-mail: redakcija@asadria.com

Sigurnosni odjel unutar organizacije u prvom redu ima ulogu tijela zaduženog za čuvanje imovine kompanije, proizvoda, robe, opreme, ugleda i uposlenika. Ova zadaća nije ograničena samo na imovinu i uposlenike nego se odnosi i na lica koja ne rade u kompaniji, bez obzira jesu li u pitanju gosti, kupci, posjetioci ili druge osobe koje su pozvane u prostorije kompanije. To znači da sigurnosni odjel ima ulogu čuvara cjelokupne imovine i svih lica koja se u određenom trenutku zateknu u prostoru koji pripada organizaciji.

Ova zaštitna uloga obuhvata pružanje usluga određenoj organizaciji. Dakle, uloga sigurnosnog odjela u odnosu na organizaciju može se definirati kao uslužna. Vrijednost navedenih usluga mjeri se u odnosu na to šta se nije desilo, tj. šta je spriječeno, u odnosu na ono šta se, zapravo, desilo. Tu spada, npr., period unutar kojeg nije došlo do provala u prostorije kompanije, u kojem nije bilo velikih krađa inventara, opreme, podataka ili dokumentacije, u kojem nisu zabilježeni slučajevi silovanja, krađe ili napada na pripadajućim parking-prostorima kompanije, stepenicama ili bilo kojoj drugoj lokaciji koja pripada organizaciji. To znači da se zaštitna uloga sigurnosnih odjela temelji na prevenciji. Tu spada prevencija vršenja krivičnih djela i pojave gubitaka primjenom strategije i filozofije sprečavanja kriminalca u njegovoj namjeri da uspješno realizira krivično djelo. U skladu s tim, neke organizacije umjesto sigurnosnih odjela osnivaju odjele za sprečavanje i kontrolu gubitaka. To je usklađeno sa shvatanjem da se sigurnost može lahko identificirati kao zaštitna usluga prevencije i kontrole.

Zaduženja sigurnosnih odjela

Konkretne zadaće koje obavlja neki sigurnosni odjel uveliko zavise od specifičnosti same kompanije, poput objekata koji se osiguravaju, vrste djelatnosti, imovine, sadržaja, osoblja, interakcije na svim nivoima, općeg okruženja i ugleda same organizacije. Ipak, postoje neki općeniti zadaci kojima se bavi svaki sigurnosni odjel u organizacijama. Tu, u prvom redu, spadaju hapšenje i predaja na dalju obradu svih osoba koje čine krivična djela spram imovine, opreme, proizvoda i drugih materijalnih dobara koja pripadaju kompaniji. U tu svrhu sigurnosni odjeli kreiraju i donose planove vršenja fizičke zaštite unutar samog objekta. Ovi odjeli se bave i kontrolom pristupa unutar objekata, provjerom biografije uposlenika prije upošljavanja, kao i praćenjem njihovog ponašanja nakon zapošljavanja. Isto važi i za kontrolu i zaštitu povjerljivih dokumenata i informacija. Sigurnosni odjeli vode i održavanje kontakata sa lokalnim, državnim ili nacionalnim tijelima za provedbu zakona. Njihovo polje odgovornosti uključuje kontrolu i nadzor parkinških prostora, te prevenciju i smanjenje kriminaliteta pomoću održavanja tzv. sigurnosnog prisustva i vidljivosti u vidu patroliranja i korištenja za to posebno obilježenih vozila (ako postoji potreba za vršenjem patrola putem vozila). Osim toga, pripadnici ovih odjela nose posebno obilježene službene odore, koje ne moraju biti bazirane na uniformama vojnog tipa. Ovi odjeli su zaduženi i za provedbu programa kontrole pristupa koji se primjenjuju na nivou kompanija, a organiziraju i obuku iz ove oblasti. Jedan od važnijih zadataka sigurnosnih odjela jeste i vršenje istraga u vezi sa bilo kakvim kriminalnim aktivnostima koje se počine unutar prostorija kompanije, bilo da su one usmjerene na organizaciju ili ne, u šta spadaju i fizički napadi na osobe. U okviru istih zaduženja nalazi se i vođenje izvršnog programa zaštite, koji obuhvata sigurnosne usluge tokom situacija pobune, prirodnih katastrofa, štrajkova, eksplozija i sl. U tom smislu, uposlenici ovih odjela vode i programe zaštite u slučaju prirodnih katastrofa. Izvan sfere vanrednih situacija, vode se i redovne sigurnosne analize rizika na nivou kompanije i, po potrebi, angažiraju zaštitari, agenti, istražitelji i konsultanti u ovoj oblasti. Tu spada i nabavka usluga koje se tiču uništavanja dokumentacije, transporta dragocjenosti i korištenja detektora laži. Konačno, sigurnosni odjel ima ulogu internog savjetnika i konsultanta za rukovodeće strukture u vezi sa svim pitanjima koja se tiču oblasti sigurnosti i zaštite.

Specijalne usluge koje pružaju sigurnosni odjeli

Nabrojane dužnosti i obaveze sigurnosnih odjela ni u kom slučaju ne pokrivaju sva zaduženja za koje navedeni segmenti poslovnih organizacija snose odgovornost u konkretnim situacijama. Navedeno samo potvrđuje ranije iznesenu tezu da je primarni zadatak ovih odjela zaštita kompanije (ljudi i imovine) od napada ili gubitaka. Ova generalna uloga dijeli se na više manjih segmenata koji se u organizacijama nerijetko zanemaruju, odnosno na tri kategorije usluga: a) specijalne, b) edukativne i c) menadžerske usluge.

U segmentu specijalnih usluga zadatak sigurnosnih odjela je doprinošenje ostvarivanju poslovnih ciljeva kompanije. Rukovoditeljske strukture kompanije utvrđuju ove ciljeve, koji najčešće korespondiraju sa njihovim ličnim stremljenjima. Zbog toga pružanje usluga kompaniji podrazumijeva bivanje na usluzi njenom menadžmentu. Voditelji sigurnosnih odjela koji razumiju logiku pružanja najšireg mogućeg spektra specijalnih usluga znaju da to znači i usklađivanje sigurnosne funkcije sa cjelokupnim poslovanjem kompanije i njenim uspjehom. Postoji više vidova ovih specijalnih usluga. Jedna od njih je osiguravanje doma menadžera kompanije. Razlog za to je činjenica da se sami menadžeri nerijetko odlučuju na angažman sigurnosnog osoblja kompanije u ulozi savjetodavca, a nauštrb traženja istih usluga od policije, sigurnosnih konsultanata i sl. Domovi menadžera na ovim nivou su često atraktivne mete za pljačku u odnosu na kuće običnih uposlenika, zbog čega je potrebno preduzeti dodatne mjere. Među posebnim uslugama sigurnosnih odjela spada i pružanje pomoći prilikom vođenja istraga. To uključuje situacije poput praćenja registarskih tablica osoba koje udare automobile u vlasništvu menadžera ili utvrđivanje izvora s kojeg je on dobio prijeteće pismo, a sve uz asistenciju policije. Ove usluge ne moraju biti ograničene na visokopozicionirana lica, odnosno potrebu za aktivnostima ovog tipa može imati i neko na nižem stepenu rukovodne hijerarhije. Ovaj tip usluga može podrazumijevati i pružanje usluga tjelohranitelja ili pratnje.

Kurirske usluge

Uposlenici sigurnosnih odjela mogu, privremeno ili trajno, biti angažirani kao vozači rukovodećeg osoblja. Isto tako, oni mogu biti dio pratnje gostiju kompanije ili pratiti menadžere tokom posjeta rizičnim lokacijama. To važi i za zaštitu članova porodice menadžera i druženje sa gostima u posebnim prilikama. Osim navedenih, tu su još i uloge kurira ili osiguravanja kurirske pratnje, a sigurnosni odjeli mogu biti uključeni i u pružanje usluga u nepredviđenim situacijama. Većina uposlenika ovih struktura svoje redovne zadatke obavlja tokom 24 sata. Zbog mogućnosti cjelodnevnog vršenja komunikacije uposlenici ovih odjela menadžmentu kompanije mogu ponuditi jedinstvenu uslugu ukoliko se dese nepredviđene situacije. Svaki menadžer koji se uključi u odgovarajući sigurnosni plan može dati podatke o svom imenu, prezimenu, spolu, datumu rođenja, adresi i broju telefona i učiniti isto za svoje članove porodice, uz upute kako se do njih može najlakše doći. U slučaju nepredviđenih situacija, uposlenici ovih odjela mogu odmah stupiti u kontakt sa navedenim osobama. Zbog toga u korištene podatke treba uvrstiti i brojeve telefona kućnih ljekara, lokalnih policijskih stanica, spasilačkih i vatrogasnih službi, kao i zdravstvenih ustanova. Među kontakte se mogu uvrstiti i informacije o susjedima ili najboljim prijateljima i kolegama. Na taj način sigurnosni odjeli u nepredviđenim situacijama postaju informativni centri za upućivanje i koordinaciju rada hitnih službi, obavještavanje nadležnih tijela i usmjeravanje toka informacija.

Kako najefikasnije iskoristiti vrijeme planiranja i realizacije?

Da bi planiranje bilo precizno, neophodno je detaljno poznavati vrijeme potrebno za realizaciju svake pojedinačne akcije. Precizno možemo odrediti vrijeme početka neke akcije, ali ne i njeno trajanje i završetak, pa je stoga od velike važnosti da tokom planiranja predvidimo i rezervno vrijeme. Ukoliko se, pak, radi o periodu/stanju kada nema akcija ili prijetnji i kada nismo pod pritiskom, vremensko planiranje se može izvesti i i zabilježiti obrnutim redoslijedom poteza, odnosno od kraja zamišljene akcije

Piše: Džemal Arnautović, instruktor IPSTA-e (International Private Security Training Association)
E-mail: redakcija@asadria.com

Trenutne mjere su u svojoj osnovi skup naredbi i djelatnosti usmjerenih prema timu. One podržavaju vođu operacije i ne ograničavaju ga u slobodi djelovanja, a ostalim članovima tima pomažu kako bi optimalno iskoristili vrijeme za pripremu i kako bi se što prije integrisali u propisanu mjeru. U stvarnosti nove mjere nikada nije lahko provesti, a veoma često ta praksa dovodi i do ograničenja u slobodi našeg djelovanja, čime i sami „nesvjesno“ djelujemo pogrešno na odluku. Trenutne mjere mogu se odnositi na:

  • orijentaciju tima,
  • izviđanje,
  • opservaciju,
  • prikupljanje informacija,
  • utvrđivanje termina (sjednica tima, kratki sastanak itd.),
  • alarmiranje (slanje drugog osoblja, povećanje spremnosti),
  • davanje sredstava na raspolaganje (vozila itd.),
  • nadgledanje,
  • uspostavu kontakta,
  • logističke i administrativne akcije koje prethode.

Vremensko planiranje

Planiranje vremena predstavlja temeljnu okosnicu mjera planiranja aktivnosti, njihovog provođenja, kao i menadžmenta u cjelini. Ono daje osnovne okvire za naš način rada i pomaže nam da pravovremeno postignemo sve definisane ciljeve. Da bismo kao tim koordinirano postigli rezultat ili proveli neku odluku, a to će se najčešće događati u otežanim uslovima, neophodna osnovna pretpostavka je stalno vremensko planiranje. Ono također obuhvata izradu plana i potrebnog vremena, te nam daje spoznaju o neophodnom stepenu priprema. Vrijeme se, nažalost, ne može dobiti, samo se može bolje i efektivnije iskoristiti. Vremenski okviri i postavljeni prioriteti u velikoj mjeri određuju vrstu, formu i obim pojedinačnih akcija, kao i dubinu pribavljanja potrebnih informacija. Da bi planiranje bilo precizno, neophodno je detaljno poznavati vrijeme potrebno za realizaciju svake pojedinačne akcije. Precizno možemo odrediti vrijeme početka neke akcije, ali ne i njeno trajanje i završetak, pa je stoga od velike važnosti da tokom planiranja predvidimo i rezervno vrijeme. Ukoliko se, pak, radi o periodu/stanju kada nema akcija ili prijetnji i kada nismo pod pritiskom, vremensko planiranje se može izvesti i i zabilježiti obrnutim redoslijedom poteza, odnosno od kraja zamišljene akcije, ali također uvrštavajući u plan svaki pojedinačni korak.

Ovisno o složenosti zadatka može biti korisno i da istovremeno postavimo više vremenskih planova za različita pojedinačna područja. Naprimjer, interni vremenski plan za tim za planiranje, drugačiji plan za tim za zaštitnu pratnju, vremenski plan za štićenu osobu itd. Vremenski planovi bi se uvijek trebali prikazati grafički, ukoliko je moguće opisati vremensku crtu. Kao i kod svih ilustracija, preporučuje se format A4, jer se u slučaju potrebe može poslati faksom.

Odluka

Na temelju svih prikupljenih informacija i vlastitih uputa, a uzimajući u obzir naše načine rada i preuzete obaveze, dolazimo do krucijalnog dijela planiranja – odlučivanja. Nakon postavljanja zadataka i ispitivanja vlastitih mogućnosti dolazimo do faze u kojoj odlučujemo koju tačno mjeru želimo provesti i u kojim okvirima. Ovisno o situaciji o tome će odlučiti vođa operacije ili drugi nadređeni, a nerijetko to radi i nalogodavac, odnosno štićena osoba. Odluka je logičan rezultat sveobuhvatne analize. Ona služi vođi operacije kao osnova za izvršenje naloga, a svim sudionicima razjašnjava efektivnu provedbu zadatka. Odluka je prisilan i obavezujući akt. Ipak, od nje se smije odstupiti samo ukoliko nastupi značajna promjena situacije, odnosno ako bi kruto ustrajavanje prijetilo krajnjem cilju. Jasno je da se do cilja ne može dospjeti bez opasnosti, zato ukoliko se ponudi prilika da se zadatak obavi na efikasniji i lakši način i uz manji utrošak materijalnih sredstava, prethodna odluka ne mora biti primijenjena. Ali, o tome odlučuju nadređeni.

Izrada varijanti

Kao i mi, i protivnička strana raspolaže različitim mogućnostima djelovanja. Stoga se neizbježno javlja i mnoštvo mogućnosti i rješenja. A rješenje nikada ne može biti cjelovito i uključiti sve racionalno osmišljene posljedice. Zbog toga moramo razmišljati o varijantama i izraditi različita moguća rješenja. Svaka varijanta ima svoje vlastite prednosti i slabosti. Moramo odvagati sljedeće:

  • protivničku stranu i njenu agresivnost (motivacija, volja za postizanjem cilja)
  • druge opasnosti/prijetnje/rizike
  • standardni postupak za pojedinačne mjere zaštite lica (npr. motorizovana zaštitna pratnja itd.)
  • slabe tačke protivničke strane (ili gdje smo mi posebno jaki)
  • slobodu djelovanja (želja klijenta, budžet itd.)
  • vremenske omjere

Prezentacija varijanti

Da bi odgovorna osoba ili nadređeni mogao donijeti kvalitetnu odluku, neophodno je prezentirati sve pojedinačne varijante. Prezentacija bi trebala biti jedinstvena, a prednosti i nedostaci moraju biti očiti. Preporučuje se da se prvo prezentuju sve varijante prije nego što se one počnu upoređivati, jer će nadležnima inače nedostajati temeljne informacije i postoji opasnost brzopletog donošenja suda. Time se, naravno, može negativno utjecati na krajnju odluku. U stvarnosti se često dešava da, npr., vođa tima za zaštitnu pratnju izradi i prezentira svoje varijante za rute i pomjeranja, dok će vođa tima za zaštitu prezentirati nadgledanje pojedinačnih ciljeva zaštite. Nakon prezentacije sve varijante se moraju detaljnije analizirati, a često će događa da se samo dijelovi iz pojedinačnih varijanti sklope u novu varijantu, koja se opet iznova mora obraditi i prezentirati.

————————

Konačna odluka

Osoba odgovorna za odlučivanje bira jednu varijantu sa svim njenim prednostima i nedostacima. Zatim se iz toga mora formulisati radni nalog, a to se treba učiniti što je moguće jednostavnije i jasnije. Radni nalog čini osnovu za sve članove tima i omogućava im da djeluju i vlastite aktivnosti usmjere prema istom cilju. Sada svi sudionici imaju zajednički cilj i razumiju način na koji ga trebaju postići. Smisao ovakvog radnog naloga često se, nažalost, potcjenjuje. Međutim, upravo u slučajevima nužde ili kada se nalazimo pod agresivnim utjecajem protivničke strane od izuzetne je važnosti da znamo kako trebamo djelovati i da u tim ekstremnim situacijama nemamo potrebu da pitanjima i dozvolama opterećavamo našeg nadređenog. Zato odluka i iz nje izveden radni nalog moraju biti precizni i jasni.

Radni nalog treba obuhvatati sljedeće:

  • put do postizanja cilja
  • konačno stanje
  • mjere zaštite lica, podjelu tima, zadatke i težišta
  • ciljeve zaštite i njihovu važnost
  • faze mobilnosti i njihove detalje
  • vremenski tok

Odluka je logičan rezultat sveobuhvatne analize. Ona je prisilan i obavezujući akt, od koje se smije odstupiti samo ukoliko nastupi značajna promjena situacije i ako bi kruto ustrajavanje prijetilo krajnjem cilju

Najčešći sigurnosni problemi

Što ranije prepoznavanje najčešćih sigurnosnih problema od ključne je važnosti jer ostavlja vrijeme za reagovanje na one rijetke sigurnosne probleme koji nisu poznati i kojima treba posvetiti mnogo više vremena. Zbog toga ćemo se prepoznavanju najčešćih sigurnosnih problema često vraćati u našim tekstovima. Za početak pozabavimo se onim baš osnovnim sigurnosnim problemima, koji ponekad na prvi pogled i ne okarakterišemo kao sigurnosni problem

Izvor: Goran Milić
E-mail: redakcija@asadria.com

Kada govorimo o IT sigurnosti, odnosno zaštiti informacionih sistema, na pamet će nam odmah pasti zli hakeri koji žele da nam ukradu podatke, mada se u posljednje vrijeme toj slici dodaje i neka zla kompanija ili neka druga organizacija koja stoji iza svega. Iako su ovakvi scenariji sasvim mogući i dovoljno česti da o njima treba razmišljati, stvarnost je ipak daleko manje glamurozna. Naime, velika većina obrisanih, promijenjenih ili na drugi način izgubljenih podataka su rezultat akcija zaposlenika ili drugog autorizovanog osoblja. Najveći postotak ovako izgubljenih podataka je rezultat slučajnog, odnosno nenamjernog djelovanja. Slučajne greške prilikom unosa podataka ili prilikom pristupanja mrežnim resursima, te jednostavna nemarnost prilikom korištenja kompjutera, servera ili mrežne opreme najčešći su razlog gubljenja podataka. Zbog toga je vrlo važno da sigurnosni plan uzme u obzir ovakve situacije, jer će se one dešavati gotovo svakodnevno.

Poznavanje korisnika

Da bi spriječili slučajno gubljenje podataka o kojem ovdje govorimo, sigurnosno osoblje mora poznavati svoje korisnike i stepen njihove obučenosti za rad sa informacionim sistemom. Onim korisnicima koji nemaju visok stepen tehničke obučenosti treba dati što je moguće manje pristupa osjetljivim podacima i opremi. Oni trebaju da imaju pristup samo onome što im je potrebno za obavljanje posla. Ovo se ponekad naziva i “princip najnižih privilegija”. Mnogo je mrežnih korisnika nenamjerno uništilo ili promijenilo važne podatke jednostavno pokušavajući da oslobode prostor na hard disku ili pokušavajući da riješe neki drugi problem na kompjuteru.

Edukacija i kontrola korisnika

Edukacija korisnika je najvažniji faktor kada je riječ o sprečavanju ovakvih sigurnosnih incidenata. Ovo ne mora obavezno da znači povećanje tehničkog znanja korisnika, iako i to može biti slučaj. Pretvaranje svih korisnika u napredne korisnike uglavnom nije dobra ideja. Ono što jeste dobra ideja je obuka korisnika da koriste propisane procedure i da strogo poštuju propisana pravila. Svaki korisnik treba da bude svjestan jednostavne činjenice da su te procedure i pravila kreirana kako bi im olakšala rad.

Kreiranje striktnih pravila i obučavanje korisnika samo su ponekad dovoljni. U drugim slučajevima potrebno je nadgledati korisnike. Ovo proizlazi iz jednostavne činjenice da je korisnicima često naporno da koriste propisane procedure, te da najčešće traže način da što prije završe posao. Zbog toga je potrebno nadgledanje rada korisnika, a u slučaju kršenja procedura potrebno je uskraćivanje resursa i primjena drugih metoda koje će na neki način prisiliti korisnike da stvari rade na ispravan i siguran način. Srećom, velika većina korisnika će ipak nastojati da poštuje procedure i pravila.

——————————————–

Interni sigurnosni problemi

Prema velikoj većini istraživanja koja su provedena o temi informatičke sigurnosti, interni sigurnosni problemi uzrokuju više štete od eksternih napada. Interni napadači su opasniji iz više razloga. Prije svega, oni znaju više o organizaciji i njenim internim strukturama, mreži, rasporedu zgrada, uobičajenim operativnim i sigurnosnim procedurama te drugim podacima do kojih im je mnogo lakše doći s obzirom da su uključeni u rad organizacije. Drugi razlog je to što već imaju određeni nivo pristupnih dozvola, pa im je lakše doći do sigurnosnih podataka i informacija o sigurnosnim problemima. Na kraju, interni napadači znaju koje se informacije nalaze u sistemu, kako ih mogu iskoristiti i kako mogu prouzrokovati najviše štete.

Dobra sigurnosna strategija podrazumijeva kombinaciju tehnologija, upravljanje operacijama organizacije i rukovođenje ljudima. U velikom broju slučajeva ljudi predstavljaju najslabiju kariku u lancu. Zbog toga je veoma važno voditi računa o ljudima i to od najranije moguće tačke – trenutka zaposlenja. To jednostavno znači da je prilikom odabira zaposlenika vrlo važno  dobro proučiti karakter zaposlenika. Radna okolina trebala bi njegovati visoke moralne kodekse, jer je u velikom broju slučajeva do sigurnosnih problema dolazilo iz osvete zaposlenika koji su se osjećali premalo plaćeni, necijenjeni ili preskočeni u promociji.

Jedna od najefikasnijih metoda za sprečavanje internih sigurnosnih problema je nadgledanje informacionog sistema i bilježenje svih sigurnosnih događaja, bilo da je riječ o uobičajenim svakodnevnim operacijama ili neuobičajenoj aktivnosti. Na taj način je moguće lako utvrditi kada i kojim objektima je pristupano, koji korisnici su im pristupali, da li su prekoračivali svoja prava, kada se korisnik prijavio i odjavio sa kompjuterske mreže i slično. Jedini problem je pronaći pravu mjeru prilikom određivanja parametara koji će se pratiti. Napredna firewall rješenja mogu djelimično pomoći u sprečavanju internih upada tako što će spriječiti zaposlenike da se spajaju na opasne web-stranice ili da šalju specifične mrežne pakete izvan interne mreže. Međutim, to nije dovoljno, jer zaposlenici mogu iznijeti podatke na druge načine, putem CD ili DVD optičkih diskova, flash memorije ili jednostavnim štampanjem povjerljivih podataka. Zbog toga se u visokosigurnim okolinama zabranjuje korištenje medija za pohranu podataka, te se strogo kontroliše šta, kada i kako se štampa. U sve ovo treba uključiti i metode fizičke zaštite kao što su korištenje identifikacionih kartica za pristup serverskim sobama i drugim osjetljivim resursima. Enkripcija podataka još je jedan od vrlo važnih resursa koji stoji na raspolaganju sigurnosnom osoblju.

Eksterni sigurnosni problemi

Eksterni sigurnosni problemi često se nazivaju i hakerski upadi, a podrazumijevaju neovlašten ulazak u informacioni sistem, odnosno kompjutersku mrežu koja je osnova tog sistema. Ovakvi napadi u posljednje vrijeme dobivaju ogromnu medijsku pažnju, pa se ostali tipovi napada pomalo i zanemaruju. Posebno su eksponirani napadi na velike multinacionalne kompanije i državne organe kao što su to bili napadi na Sony, JP Morgan, Pentagon, iranska industrijska postrojenja te nedavni napad na web-stranicu za preljubnike AshleyMadison, nakon čega su objavljeni sigurnosni podaci o nekoliko miliona korisnika.

Jedna od bitnijih razlika između internih i eksternih napada je ta što se eksterni napadi tretiraju kao kršenja zakona, pa se protiv “vanjskih hakera” obično podižu i kriminalne optužnice. Druga važna osobina eksternih sigurnosnih problema je fokusiranost na tek nekoliko važnih komponenti informacionog sistema. Obično postoji samo nekoliko tačaka koje su pogodne za hakerske upade, pa je sigurnosnim stručnjacima lakše da se brane. Bitna potvrda ove tvrdnje je to što napadači mnogo češće pokreću napade koji se nazivaju socijalni inženjering – povjerljive informacije pokušavaju dobiti od zaposlenika i drugih osoba koje imaju veze sa metom napada, te često uopšte i ne koriste tehnička sredstva jer je njihova upotreba skupa i vremenski neefikasna.

Vrlo je važno napomenuti da prilikom planiranja odbrane od eksternih upada nikada ne treba zavisiti samo od firewall sistema, što je prilično čest slučaj. Da bi bio efikasan, sigurnosni plan mora se sastojati od više komponenti, pa tako tehnička sredstva predstavljaju samo dio zaštite. Naprimjer, šta se dešava ako napadači ipak nekako uspiju da savladaju firewall zaštitu? Da li postoje sredstva kojima im se može otežati ili potpuno onemogućiti stvaranje štete na informacionom sistemu, odnosno iznošenje povjerljivih informacija?

Posebno su opasni eksterni napadi kada napadač dobije interni pristup informacionom sistemu. Obično se radi o fizičkoj provali u prostor organizacije, ali se takav pristup može ostvariti i čisto digitalnim putem. Ovakve upade je izuzetno teško otkriti dok već nije prekasno. Taktičko planiranje je ključna osobina dobrog sigurnosnog stručnjaka, koji mora stalno razmišljati u formatu “ako/onda”. Ako dođe do takvog i takvog napada, onda je potrebno da uradimo to i to. Ovako postavljeno razmišljanje će dovesti do stvaranja efikasnog sigurnosnog plana. Dobar sigurnosni plan je veoma detaljan zbog jednostavne činjenice da u stanju uzbune nema mnogo vremena za razmišljanje. Na kraju, za dobar sigurnosni plan potrebno je detaljno poznavanje tehnologije koja se koristi, zbog čega se preporučuje da sigurnosni plan kreiraju dvije ili više osoba kako bi se u njega ugradilo što više tehničkih detalja.

 

Organizacijska struktura sigurnosnih odjela

Sigurnosni menadžer mora biti svjestan postojanja neformalnih struktura na najnižem nivou organizacije kako bi sačuvao integritet i harmoniju poslovnih odnosa unutar svog odjela. Stoga je važno zapitati se koliko puta se desilo da je neki novoimenovani menadžer, posebno onaj koji nije detaljno upoznat s organizacijom i osobljem, došao na teren i počeo mijenjati osoblje i način rada, a da se pri tome nije susreo sa velikim otporom. S administrativne tačke gledišta, to je isto kao i zamijeniti kapetana poručnikom

Piše: Semir Kapetanović
E-mail: redakcija@asadria.com

Organizacijska struktura sigurnosnog odjela unutar neke kompanije temelji se na logičkoj podjeli zadataka i odgovornosti i jasno definisanim ovlastima, posebno na krovnom nivou. Na horizontalnoj ravni, podjela se vrši prema odgovornostima, a na vertikalnoj prema hijerarhiji ovlasti. Naprimjer, odgovornost na planu sigurnosti kojom upravlja odgovarajući menadžer pokriva dva polja, u čemu mu pomažu pomoćni menadžeri za prevenciju gubitaka i vođenje istraga. Za svakog pomoćnog menadžera sigurnosti horizontalno se definiše polje odgovornosti, dok su svi u vertikalnom smislu podređeni sigurnosnom menadžeru.

Organizacijska struktura sigurnosnog odjela može se razlikovati od kompanije do kompanije, čak i unutar istog sektora. Jedan od razloga za to je činjenica da svaka organizacijska struktura oslikava način na koji sigurnosni menadžer i uprava tretiraju svoje poslovne prioritete. Na ovo utječe i odabir osoblja. Zato je potrebno izgraditi strukturu koja je fluidna i lahko izmjenjiva kako bi bila u toku sa kontinuirano promjenjivim poslovnim trendovima.

Neformalna organizacija

Razlika između formalnog i neformalnog pristupa organizaciji odjela može proizlaziti iz više razloga. Neki pomoćni menadžeri mogu ne posjedovati dovoljno talenta za određene oblasti (npr. zaštita objekata) ili preferiraju rad u nekim drugim sferama rada. Isto tako, neki menadžeri mogu imati problema sa prepuštanjem ovlasti u sigurnosno osjetljivim poslovima, zbog čega preferiraju da ih obavljaju samostalno. Pri tome je, također, potrebno uzeti u obzir i personalne odnose među samim uposlenicima. Drugi važan faktor promjenjive dinamike organizacijske strukture jeste i razvoj kompanije. Određena kompanija može početi poslovati sa jednom zgradom, da bi se kasnije proširila na brojne podružnice i predstavništva. To se mora reflektirati i u organizacijskoj strukturi sigurnosnih odjela. Oni se po tome značajno razlikuju od, npr., policijskih struktura, jer potonje pokrivaju organizacijske cjeline koje se manje dinamično mijenjaju (npr. broj stanovnika u gradovima).

Budžetska ograničenja

Prilikom razrade organizacijske strukture neophodno je imati na umu još jednu važnu stavku – budžet. U slučaju da, naprimjer, dostupna sredstva omogućavaju angažman ograničenog broja pomoćnih sigurnosnih menadžera, to će se reflektirati i na horizontalnu organizacijsku strukturu, pri čemu će doći do kombiniranja ili spajanja različitih pododjela. Ove promjene ne moraju nužno odgovarati potrebama kompanije, no budžetska ograničenja ih čine neizbježnim. Bez obzira na to da li su promjene rezultat rasta ili budžetiranja, ciljevi organizacije moraju ostati isti, a to je da se zadaci povjereni odjelu realiziraju preko inteligentne podjele zadataka i jasnog definisanja nadležnosti i ovlasti. Ovo se podjednako odnosi na manje i veće kompanije. U manjim odjelima postoji i manje vertikalnih nivoa ovlasti i podjela obaveza je jednostavnija, no ciljevi organizacije i pristup organizacijskoj strukturi su identični.

Održiva struktura

U idealnoj situaciji uspostava održive organizacijske strukture uključuje tri koraka: a) identifikaciju ciljeva odjela, 2) identifikaciju različitih zadataka i njihovu podjelu u logičke radne cjeline, i 3) identifikaciju nivoa liderstva potrebnog za realizaciju određenog zadatka. Ovdje je, ipak, riječ o idealu, a uvjeti na terenu obično nisu takvi. Za početak, osoblje uključeno u ova tri koraka već je raspoređeno na svojim radnim mjestima. Zbog toga je dvodimenzionalno planiranje ograničavajuće upravo zbog postojanja treće dimenzije – raspoloživih uposlenika. Drugim riječima, prisutna je tendencija da se organizacija temelji na ljudima, umjesto da se potrebni talent rasporedi u skladu sa planom organizacije. Međutim, sigurnosni menadžer koji vodi svoj odjel obično nije u prilici da bira saradnike, nego se snalazi sa postojećim osobljem. Realnost vođenja organizacijske strukture je da ono neminovno postaje potraga za kompromisom između planiranja prema najboljim kriterijima horizontalne i vertikalne organizacije i dostupnih uposlenika unutar sigurnosnog odjela. Organizacijska struktura također pomaže u utvrđivanju „lanca komandovanja“, iako i tu mogu postojati brojne neformalne poveznice. Ovaj segment organizacije omogućava da se određene ovlasti dodjeljuju i oduzimaju među uposlenicima.

Podjela na pododjele

Osim organizacijske strukture svog odjela, sigurnosni menadžer mora biti upoznat i sa radom pododjela i nižih radnih jedinica. Broj uposlenih u ovim strukturama i njihova veličina zavise od samog sigurnosnog odjela. Ove strukture uglavnom imaju iste karakteristike kao i formalna organizacija, odnosno poznaju horizontalnu i vertikalnu podjelu obaveza i ovlasti. Organizacijska struktura, npr., podrazumijeva raspoređivanje osoblja prema smjenama, pri čemu nižerangirano osoblje dobija najmanje poželjne smjene, što je najčešće prva. U odsustvu šefa smjene ili narednika, komandu može preuzeti i uposlenik zadužen za patrolu, dok zaštitar nadležan za glavni ulaz, kao i onaj za predvorje mogu preuzeti odgovornost za sve interne sigurnosne aktivnosti. U slučaju eksterne zaštite, organizacijska shema dolazi više do izražaja jer je osoblje angažovano na osiguranju unutrašnjosti objekta uglavnom slično rangirano. To može dovesti do borbe za poziciju unutar hijerarhije, na što je potrebno obratiti pažnju. Ove mini strukture i vidovi organizacije postoje na terenu, iako ih menadžment ne mora prethodno službeno odobriti, niti su iste prikazane na organizacijskim shemama. Sigurnosni menadžer, stoga, mora biti svjestan postojanja ovih neformalnih struktura na najnižem nivou organizacije kako bi sačuvao integritet i harmoniju poslovnih odnosa unutar svog odjela.

Stoga je važno zapitati se koliko puta se desilo da je neki novoimenovani menadžer, posebno onaj koji nije detaljno upoznat s organizacijom i osobljem, došao na teren i počeo mijenjati osoblje i način rada, a da se pri tome nije susreo sa velikim otporom. S administrativne tačke gledišta, to je isto kao i zamijeniti kapetana poručnikom, jer uposlenici na ovom nivou organizacijske strukture imaju svoje neformalne „kapetane“ i „poručnike“, iako oni nikada nisu formalno postavljeni na te pozicije. Obraćanje pažnje na ove organizacijske faktore pomaže ne samo u izbjegavanju pojave nesklada u radnim odnosima nego i unapređuje organizacijske performanse u pogledu produktivnosti. Ako osoblje na višim pozicijama ili sigurnosni menadžer, npr., žele osigurati da se neki zadatak obavi u odsustvu šefa smjene, oni se mogu obratiti osobi zaduženoj za nadzor patrola. Ako pri tome zaobiđu potonjeg i obrate se, npr., licu zaduženom za glavno predvorje, moguće je da taj zadatak neće biti obavljen. Zbog toga je jasno da ključ uspješnog obavljanja posla menadžera ili nadzornika leži u sposobnosti identifikacije neformalnih rukovodećih struktura i njihovog korištenja za dobrobit samog sigurnosnog odjela.

Korporativna kultura

Korporativna kultura također predstavlja dodatni aspekt neformalne organizacije. Ona je, međutim, više „filozofska“ nego strukturalna kategorija, no i kao takva može značajno utjecati na obavljanje zadataka. U ovom slučaju potrebno je obratiti pažnju na različite stavke, poput potrebe da svaki plaćeni uposlenik, uključujući sigurnosno osoblje, bude na radnom mjestu dva sata prije linijskih rukovodilaca. Također, od menadžera i rukovodećeg osoblja očekuje se da se pojave na poslu subotom ujutro, iako niko drugi ne radi, ukoliko u kompaniji vlada takva korporativna kultura. Osim toga, neke kategorije uposlenika kompanija u kojima postoji sigurnosni odjel mogu biti zaštićene od određenih organizacijskih pravila, npr. u pogledu parkiranja ili korištenja određenih ulaza ili izlaza. Tu je potrebno obratiti pažnju i na činjenicu da neki od tih uposlenika ne mogu biti osumnjičenici ili da ih niže rangirano sigurnosno osoblje ne smije ispitivati, što se, u tom slučaju, prepušta sigurnosnom menadžeru ili šefu odjela. Tu su i neki manje važni faktori korporativne kulture poput nošenja istovjetnih uniformi ili korištenja istih vozila. Sve navedeno navodi na zaključak da zbir formalne i neformalne organizacijske strukture i korporativne kulture predstavlja preduvjet za kreiranje dinamične i funkcionalne poslovne jedinice.

Rad sa informatorima

Izvori informacija u javnom i privatnom sektoru mogu biti različiti, od korištenja podataka službenih institucija do onih koji se nalaze u rukama privatnih lica. Ovi potonji su u podjednakoj mjeri korisni za istražitelje, s tim da njihovo korištenje podrazumijeva zaštitu kako privatnosti tako i povjerljivosti

Piše: Semir Kapetanović
E-mail: redakcija@asadria.com

Osobe koje daju informacije istražiteljima nazivaju se kontakti, odnosno informatori. Stručnjaci ih definišu kao osobe koje su spremne dati informacije kojima istražitelj u normalnim uvjetima obično nema pristup. I u tom kontekstu postoje važne razlike. Klasični istražiteljski izvori informacija mogu ponuditi podatke koji će dovesti do lociranja osumnjičenog, dok privatni izvori, odnosno kontakti, mogu reći istražitelju gdje se osumnjičenik tačno nalazi. Informacije dobivene od nekih izvora mogu upućivati i na motive za određeni zločin, ali to je moguće saznati tek od odgovarajućih kontakt-osoba. Dokumentacija može poslužiti kao izvor informacija ili čak i dokaz da se određeni incident desio prije ili nakon nekog datuma, dok kontakt-osoba može ponuditi i tačno vrijeme njegovog odvijanja. Također, generalni izvor informacija istražitelju može dati uvid u obrazac na temelju kojeg se budući zločin može predvidjeti, dok informator može dati konkretne podatke o planovima kriminalaca.

„Privatni izvori“

Iz navedenog je jasno da angažman i održavanje veza sa kvalitetnim informatorima ima veliki značaj za istražitelja, kao i za osoblje organa reda. Prema službenim podacima, samo na području američkog grada San Francisca godišnje se zahvaljujući informatorima uhapsi više od 2.000 osoba, posebno onih koje se bave trgovinom narkoticima. Pri tome, istražitelji i policija koriste saradnju sa različitim kategorijama informatora. U prvu grupu spadaju profesionalni kontakti. U većini slučajeva, riječ je o drugim istražiteljima ili sigurnosnom osoblju, kao i drugim osobama iz sektora sigurnosti. Oni nude povjerljive informacije nakon što im se istražitelj direktno obrati, pri čemu ih se može sasvim legitimno tretirati kao „privatne izvore“.

U drugu kategoriju privatnih izvora spadaju informatori. Struka prepoznaje osam vrsta informatora: jednokratni informatori, povremeni informatori, informatori uposlenici, anonimni informatori, informatori iz kriminalnog miljea, lični informatori, osobe sa psihičkim poteškoćama kao informatori i kontrolisani informatori. Bez pretjerivanja je moguće ustvrditi da su neke od najznačajnijih istraga korporativnih istražitelja vođene uz pomoć informatora. Njihovo adekvatno korištenje predstavlja ključnu vještinu za profesionalnog istražitelja, ali se ova oblast nerijetko zanemaruje u okviru formalne edukacije.

Jednokratni informatori

Jednokratni informator obično posjeduje konkretne informacije i želi da se na osnovu njih nešto preduzme. Motiv za otkrivanje informacije uglavnom je moralne prirode. Informatori ovog profila obično dobro razmisle prije nego što se odluče na ovaj potez. U radu s njima treba imati na umu da je kod njih često prisutna nervoza zbog insistiranja na garancijama da njihov identitet neće biti razotkriven. Jednokratni informatori mogu biti uposlenici koji razotkrivanje kriminalnih djela smatraju činom za dobrobit kompanije. Drugi čest motiv može biti želja za osvetom, odnosno izravnavanje računa za navodno počinjeno djelo. U većini slučajeva je, nakon inicijalnog kontakta, teško izvući dodatne informacije od ovakvih informanata, a razlog za to je njihovo kontinuirano predomišljanje.

Povremeni informatori

Povremeni informator je najčešće oportunist koji sporadično prenosi informacije i to najčešće u slučajevima kada to zadovoljava njegove potrebe. To mogu biti lica koja daju informacije o, naprimjer, svojim nadređenim u slučaju da im to nudi mogućnost za napredovanje u karijeri ili ako smatraju da će im to donijeti pohvale menadžera sigurnosti unutar kompanije.  Bez obzira na motiv, koji najčešće nije finansijske prirode, ove informatore istražitelj treba ohrabrivati i hvaliti, odnosno stvoriti dojam kod njih da su dio istražiteljskog tima, što se dugoročno najčešće isplati.

Informator uposlenik

Iako je tačno da uposlenici mogu biti povremeni ili jednokratni informatori, ovoj populaciji treba posvetiti posebnu pažnju kao izvorima obavještajnih podataka. Razlog za to je činjenica da ih se može koristiti u okviru strukturiranog programa. U svakoj radnoj organizaciji postoje uposlenici koji su upoznati s određenim nečasnim radnjama ili, barem, sumnjaju na njih. Neki od njih su nezadovoljni načinom na koji uprava rješava konkretan problem. To dovodi do frustracije i pada elana među uposlenicima, a šalje se i opasna poruka svim zaposlenicima u kompaniji. Postoje dva razloga zašto korektni uposlenici ne prijavljuju interne nečasne radnje. Kao prvo, oni često nisu sigurni kome da ih prijave, odnosno je li to neposredno nadređeni ili neka druga osoba, koja također može biti uključena u vršenje krivičnih djela. Drugi važan razlog je odsustvo želje da se navedenog informatora identificira kao takvog. U većini slučajeva to bi imalo negativan utjecaj na njihovo radno okruženje. Zbog toga je važno da menadžment kompanije uspostavi legitimni i strukturirani program za distribuciju informacija unutar kompanije, u okviru kojeg se njihova razmjena vrši na siguran i anoniman način.

Anonimni informator

Ovaj tip informatora uvijek insistira na zaštiti identiteta i ne želi biti na bilo koji način doveden u vezu s određenim krivičnim djelom. Kod rada s njima treba obratiti pažnju na mogućnost da su ponuđene informacije lažne i usmjerene ka diskreditaciji ili prevari. Zbog nemogućnosti identifikacije informatora, ovi izvori informacija moraju biti niže rangirani u odnosu na ostale.

Informator iz kriminalnog miljea

S ovom vrstom informatora češće radi policija, a ne privatni istražitelji. U ovu skupinu spadaju prostitutke, sitni kriminalci, narkomani i drugi „ljudi s ulice“ koji razmjenjuju informacije sa policijom u zamjenu za novac ili smanjene kazne. Iako ih se smatra ključnim za rad policije i drugih organa reda, ovakvi informatori nisu primarni izvor informacija za privatnog istražitelja. Takve osobe, naprimjer, mogu dati informacije gdje određeni počinitelj želi prodati ukradenu robu i sl.

Lični informator

U ovom slučaju riječ je o osobi koja sarađuje isključivo sa jednim istražiteljem. To mogu biti osobe koje je istražitelj nečim zadužio ili im izašao u susret, a da su one, pri tome, znale čime se on bavi. Kao takve, one mogu biti značajan izvor informacija.

Osobe sa psihičkim poteškoćama kao informatori

U pitanju je jedinstvena kategorija osoba koje se ne mogu tretirati kao autentični informatori. One najčešće nisu svjesne svojih psihičkih problema i istražitelji često imaju problema u pogledu pristupa njima nakon što ih se dovede u vezu sa nekim događajem. Njihove informacije su najčešće neupotrebljive i istražitelji im trebaju pristupati s oprezom.

Kontrolisani informatori

Kao i ostali tipovi informatora, ova lica su pojedinci koji posjeduju informacije o određenim istražiteljski zanimljivim situacijama ili osobama. Obično je riječ o pojedincima koji su „insajderi“ ili su direktno povezani sa počinjenim kriminalnim djelima. Kontrolisani informatori su slični prikrivenim agentima, iako im za njihov rad na planu stjecanja povjerenja kod određenih osoba treba mnogo manje vremena. U njihovom slučaju, za istražitelja je jako važno da sa njima uspostavi odnos koji je mnogo kvalitetniji od pukog poznavanja. Riječ je o ljudima koji obično žele zadržati svoj društveni status kod pripadnika grupe u vezi s kojom pružaju informacije. Ako istražitelj, barem u percepciji informatora, s njim ne uspostavi kvalitetan i na empatiji utemeljen odnos, nemoguće je očekivati da će ovi informatori u svakoj situaciji davati pouzdane informacije. Zato je na ovom segmentu najbolje početi raditi od samog početka građenja odnosa s informatorom.

Uloga menadžmenta i organizacije u zaštiti

Samo u rijetkim slučajevima bit ćemo u prilici da prije početka izvršavanja naloga dobijemo sve neophodne informacije i resurse od nalogodavca kako bismo napravili opsežnu analizu opasnosti. Zato su prve ponude i tzv. grubi koncept izuzetno važni dokumenti našeg menadžmenta i često će njihov kvalitet odlučivati jesmo li uopće u igri ili ne.

Piše: Džemal Arnautović, instruktor IPSTA-e (International Private Security Training Association)

E-mail: redakcija@asadria.com

Menadžment naše kompanije mora analizirati svaki nalog ili naloge, izraditi različite dokumente i, shodno situaciji, iste sa nalogodavcem, saradnicima i drugim organima uskladiti, provjeriti, prilagoditi i konačno usvojiti. Sve naše dalje aktivnosti temeljit će se na ovim dokumentima. Pri tome mislimo na, između ostalog, one koji tretiraju: koncept zaštite lica, koncept sigurnosti, koncept operacije, koncept za slučaj nužde, sigurnosne upute i upute za ponašanje, naredbe i ponude, razne koncepte i varijante, izvještaj o položaju, vremenske planove (interne i eksterne), stručno ocjenjivanje upita, pregled kontakata, pregled trenutnih mjera, liste za sastanke i dogovore itd.

U privatnom sektoru, kao i u mnogim drugim, često se, nažalost, događa da agencije klijentima prvo moraju izraditi grubi koncept osiguranja sa opsežnom ponudom bez poznavanja osnovnih detalja o štićenoj osobi ili potencijalnoj prijetnji. I tek kada se izda nalog, dobija se pristup potrebnim informacijama za provođenje opsežne analize opasnosti. Također, može se dogoditi da su drugi savjetnici ili institucije već postavili svoju analizu opasnosti, a da smo mi ubačeni u projekat samo kao zaštita prema već propisanim specifikacijama. Dakle, samo ćemo u rijetkim slučajevima biti u prilici da prije početka izvršavanja naloga dobijemo sve neophodne informacije i resurse od nalogodavca kako bismo napravili opsežnu analizu opasnosti. Zato su prve ponude i tzv. grubi koncept izuzetno važni dokumenti našeg menadžmenta i često će njihov kvalitet odlučivati jesmo li uopće u igri ili ne.

Djelatnosti menadžmenta

Kako bi se u djelatnosti menadžmenta moglo uključiti više osoba, one bi trebale biti postavljene sistematski i prema jednostavnom i jasnom obrascu razmišljanja. Time je također zagarantovano da druge osobe mogu jednostavno preuzeti nalog ili upravljanje, odnosno da efektivno mogu sarađivati u poslovima menadžmenta, a olakšana je i pojednostavljena saradnja sa drugim organizacijama. Ovaj postupak odaje sigurnost da su svi faktori uzeti u obzir i može biti od velike pomoći ako se neka odluka kasnije mora objasniti ili detaljnije obrazložiti, kao što je, naprimjer, situacija u kojoj imamo povrijeđene osobe. Potrebno vrijeme te organizacijski, ljudski i materijalni utrošak zavise od složenosti izazova, raspoloživog vremena te osoba koje su uključene i njihovog iskustva u menadžmentu. Taj proces možemo sažeti kroz sljedeće faze ili aktivnosti:

  • Shvatanje (započinjanje)
  • Analiziranje (orijentacija)
  • Odlučivanje (razvoj koncepta)
  • Razvijanje (razvojni plan)
  • Upućivanje/revizija (naredba/revizija)
  • Paralelno: vremenski plan/trenutne mjere

Shvatanje

Kada dobijemo novi nalog ili se situacija temeljno promijeni, prvo što moramo uraditi jeste da shvatimo suštinu tog problema i podijelimo ga u nekoliko kategorija. Počinjemo sa analizom onoga o čemu je riječ i definisanjem u kojem okviru i vremenskom omjeru se mora djelovati. Nakon toga se moraju prikupiti dodatne informacije kako bismo nakon iscrpne inspekcije mogli imati pregled situacije i definisati pojedinačne probleme. Zatim se rješavanje pojedinačnih zadataka/problema dodjeljuje odgovornim osobama, koje će prvenstveno utvrditi važnost i hitnost svakog problema. U većini slučajeva mi ne raspolažemo sa dovoljno vremena i kapaciteta da bismo mogli samostalno i optimalno riješiti svaki pojedinačni problem/zadatak. Zbog toga vođa operacije mora utvrditi prioritete. Nakon temeljnog shvatanja naloga trebali bismo imati sljedeće dokumente:

  • Opis zadatka sa definisanim konačnim stanjem
  • Cilj i svrhu
  • Djelomične naloge sa prioritetima
  • Formativne okvirne uslove
  • Prve pristupe za rješenje
  • Dodjeljivanje odgovornosti

Analiziranje

Analizirati, odnosno ocijeniti situaciju ili nalog znači prepoznati faktore koji su relevantni za odlučivanje i iz toga izvesti moguće rješenje situacije, uzimajući u obzir sve uslove. Najjednostavnije je da se analiziraju činjenice (izjave), da se svrstaju u saznanja i iz toga izvedu posljedice.

Zadatak

Zadatak formira osnovu za vlastito djelovanje tokom cjelokupnog trajanja mjere zaštite osoba. Moguća područja evaluacije su formativni okvirni uslovi, očekivanja (logistika, sigurnost i zaštita) te podrška.

Vremenski omjeri

Faktor vremena nije ništa drugo do vremensko ograničenje svih naših djelovanja. Tačna analiza o njemu daje zaključak o tome kada i gdje moramo biti, fazama mobilnosti (izbor sredstava, dionice itd.), fiksnim vremenima i terminima, potrebnom vremenu za pojedinačne akcije i organizacijskim mjerama kako bi se vrijeme efektivno iskoristilo i pridržavalo vremenskih omjera.

Ciljevi zaštite

Ciljevi zaštite su svi elementi koji se uključuju u koncept zaštite i predstavljaju definiciju stanja kojem težimo. Drugim riječima, oni nam daju spoznaje o posljedicama upotrebe naših resursa, ali i svih mogućnosti protivničke strane. Jedan od direktnih ciljeva je klijent i njegova cjelokupna okolina, kao i mjesta koja posjećuje te faze mobilnosti koje se nalaze između njih. Ciljevi zaštite moraju se prethodno definisati i propisati. Nakon toga slijedi sveobuhvatna analiza (check-liste). Naravno, izviđanje će nam pomoći kako bismo se snabdjeli neophodnim informacijama prije donošenja odluke.

Sastavni dijelovi analize su:

  • Područje stanovanja i okruženje
  • Područje rada i okruženje
  • Javni objekti i okruženje
  • Slobodne aktivnosti i okruženje
  • Faze mobilnosti
  • Oblasti
  • Ključna mjesta
  • Štićena osoba i druge uključene osobe (tokovi dana, navike, redovitosti, aktivnosti itd.)
  • Faze komunikacije

Vlastiti resursi

Analiza vlastitih resursa i mogućnosti je neophodna da bi se mogle sagledati realne procjene mogućnosti i dijapazon našeg djelovanja. Faktori koji nam daju oslonac su postojeće tehničke, građevinske i organizacijske mjere, osobe koje će djelovati, oprema, zakonske osnove, budžet i formativni uslovi.

Protivnička strana

Moraju nam biti jasne postojeće i moguće opasnosti i prijetnje. One postavljaju osnovu za mjere zaštite lica koje će se primijeniti i taktike koje će se provoditi. Tako ocjenjujemo područja opće opasnosti, opasnosti vezane za sami nalog, nepersonificirani kriminalitet i personificirani kriminalitet. Pokušavamo napraviti razliku između najopasnije aktivnosti protivničke strane i najvjerovatnije mogućnosti, ali i označiti sve druge moguće opasnosti. Također, važan kamen temeljac je pitanje zbog čega i s kakvom motivacijom bi protivnička strana mogla biti zainteresovana za moguće aktivnosti protiv naše štićene osobe i/ili protiv nas. Iz toga proizlaze i neka osnovna pitanja:

  • Izvor opasnosti
  • Motivi djelovanja (politički, privatni, osveta itd.)
  • Vremensko ograničenje (politički nastup, za vrijeme posjete/manifestacije itd.)
  • Efektivni cilj (štićena osoba, okolina, saradnici ili porodica i dr.)
  • Regularnosti (gdje smo tačno ranjivi)

Djelatnosti menadžmenta trebale bi biti postavljene sistematski i prema jednostavnom i jasnom obrascu razmišljanja kako bi se u njih moglo uključiti više osoba. Time je omogućeno da i druge osobe mogu jednostavno preuzeti nalog ili upravljanje, odnosno da efektivno mogu sarađivati u poslovima menadžmenta

Kako zaštititi bežične, mobilne i prijenosne uređaje

Ako je cilj zaštite informacionog sistema kompletna kontrola svih podataka koji ulaze i izlaze iz kompjuterske mreže, potrebno je definisati sve objekte u tom sistemu koje treba zaštititi. Danas se informacioni sistemi sastoje iz mnoštva vrlo različitih komponenti, pa je definicija svih objekata u njemu veoma složen posao. Međutim, postoje osnovne smjernice kojima se treba voditi kada se definiše plan zaštite IT sistema

Izvor: Goran Milić
E-mail: editorial@asadria.com

U prošlome tekstu objasnili smo šta je to fizička kontrola informacionog sistema i zašto je ona tako važna. Ovaj aspekt sigurnosti informacionog sistema je veoma važan, a najčešće je i zanemaren, pa ćemo mu posvetiti još malo pažnje. Već smo govorili o zaštiti nekih osnovnih komponenti informacionog sistema – servera, radnih stanica, mrežnih uređaja i mrežne infrastrukture. Pogledajmo i ostale bitne komponente.

Zaštita bežičnih mrežnih uređaja

Iako smo mrežne uređaje i mrežnu infrastrukturu već spominjali, bežične mrežne uređaje moramo izdvojiti budući da su oni podložniji sigurnosnim napadima u poređenju sa žičanim mrežnim uređajima. Razlog njihove velike ranjivosti je jednostavan – za komunikaciju koriste elektromagnetni spektar kojem može pristupiti svako, bez mogućnosti fizičke izolacije, koju, naprimjer, ima mrežna infrastruktura koja koristi bakarne ili optičke kablove.

Druga važna karakteristika bežičnih mrežnih uređaja, odnosno bežičnih mreža u cjelini, jeste ogroman rast popularnosti ove vrste uređaja, odnosno tog tipa mrežne konekcije. U urbanim sredinama gotovo da svaki stanovnik posjeduje bar jedan bežični mrežni uređaj. Što se, pak, ruralnih područja tiče, bežične mreže predstavljaju odličnu alternativu u slučaju da je kablove teško ili nemoguće provesti. Na kraju, osim elektromagnetnog ili radiospektra, za bežičnu komunikaciju se može koristiti i laserska i infracrvena tehnologija.

Moglo bi se reći da bežične mreže “koriste vazduh za komunikaciju”, što nije tačno, ali jako dobro oslikava problem koji ove mreže imaju. Naime, kao što je i vazduh dostupan svima, tako je i komunikacija koja se obavlja bežičnim mrežama dostupna svima. I onima koji tu komunikaciju koriste u legitimne svrhe i onima koji imaju loše namjere.

Jedina zaštita od prisluškivanja bežičnog mrežnog saobraćaja je korištenje enkripcije, kojom se mrežni saobraćaj čini nečitljivim za sve osim za legitimne učesnike u komunikaciji. Postoji nekoliko enkripcijskih standarda koje je moguće koristiti, ali se trenutno preporučuje upotreba WPS2 standarda u kombinaciji sa AES enkripcijom. U slučaju da je sigurnost mrežnog saobraćaja apsolutni prioritet, ne preporučuje se korištenje javno dostupnih standarda 802.11x (danas su najpopularnije mreže 802.11g i 802.11n, a najnoviji i najbrži standard je 802.11ac). Umjesto njih, preporučuje se upotreba vlasničkih standarda čija dokumentacija nije javno dostupna. Na kraju, moguće je i potpuno zabraniti bežičnu komunikaciju te koristiti samo žičane komunikacione kanale koje je mnogo lakše kontrolisati.

Svemu ovome treba dodati i korištenje telekom-operatera kao posrednika za ostvarivanje konekcije, bilo da je riječ o glasovnoj komunikaciji ili o prijenosu podataka. Ovaj način komunikacije je donekle sigurniji jer se uvijek tačno zna ko učestvuje u komunikaciji, ali i dalje predstavlja potencijalni sigurnosni problem. Kao i uvijek kada u sistemu postoji i treća strana, nikada ne možete biti sigurni da li neko na strani telekom-operatera prisluškuje vašu komunikaciju, pa i na taj aspekt sigurnosti treba obratiti pažnju.

Zaštita mobilnih uređaja

Poput zaštite bežičnih mrežnih uređaja, i zaštita mobilnih uređaja sve je potrebnija zbog velikog porasta njihove popularnosti. Tradicionalno su laptopi bili glavni predstavnici ove kategorije uređaja, ali pametni telefoni i tableti praktično su preuzeli glavnu riječ kada je mobilni tip uređaja u pitanju.

Fizička zaštita mobilnih uređaja trenutno predstavlja veliki problem za IT stručnjake jer još ne postoji idealno rješenje za udaljeno upravljanje njima. Dio problema je veliki broj različitih proizvođača ovih uređaja, a drugi dio je jako velika brzina kojom se tehničke karakteristike ovih uređaja unapređuju, pa je sigurnosnim stručnjacima veoma teško da razviju odgovarajuće procedure, specifikacije i standarde.

S obzirom da se na mobilnim uređajima često nalaze povjerljivi podaci, zaštita od krađe jedan je od glavnih problema njihove fizičke zaštite. Jedino praktično rješenje je udaljeno upravljanje uređajima i brisanje podataka u slučaju prijavljivanja krađe. Kao što smo već rekli, jedinstveno i sveobuhvatno rješenje za ove probleme trenutno ne postoji, mada velike svjetske kompanije kao što su Microsoft, Apple, Google, Samsung, Blackberry i druge aktivno rade na njemu.

Ovde svakako treba spomenuti i koncept poznat kao BYOD (Bring Your Own Device), koji označava korištenje privatnih uređaja zaposlenika u poslovne svrhe, čime se problem zaštite poslovnih podataka dodatno usložnjava.

Za sada se preporučuje korištenje enkripcije za sve podatke na uređajima, korištenje jakih šifri te drugih biometrijskih podataka za autentifikaciju i autorizaciju korisnika (otisci prsta i slično). Postoje i specijalizovani servisi koji prate fizičku lokaciju uređaja i koji mogu pomoći prilikom gubljenja uređaja.

————————

Zaštita papirne dokumentacije

Stručnjaci za mrežnu sigurnost i sistem-administratori obično se koncentrišu na zaštitu podataka u elektronskoj formi, ali treba biti svjestan jednostavne činjenice da zlonamjerni korisnici mogu doći do važnih podataka štampanjem povjerljivih digitalnih informacija ili pronalaženjem već odštampanog materijala. Slaba je korist od implementacije sigurnosnih pravila o složenosti šifri i detaljne kontrole pristupa ako zaposlenici mogu jednostavno odštampati povjerljive podatke i ostaviti ih na svom stolu. Ili, još gore, baciti te papire u obližnji kontejner za smeće, koji je dostupan svima. Postoji čak i poseban termin “ronjenje po kontejnerima” (engl. dumpster diving), koji označava dolazak do povjerljivih informacija na ovaj način. Sve ovo možda zvuči smiješno, ali je, zapravo, jedan od najčešćih načina na koje zlonamjerni korisnici dolaze do povjerljivih podataka.

Ako povjerljivi podaci već moraju biti odštampani, što treba izbjegavati u najvećem mogućem broju slučajeva, potrebno je voditi računa o njihovom smještaju. Ne treba zaboraviti ni uništavanje takve dokumentacije zato što danas više nije dovoljno korištenje rezača papira, već se preporučuje miješanje isječenog papira sa vodom kako bi se spriječilo njegovo ponovno sastavljanje.

——————————-

 Zaštita prijenosnih medija za prijenos podataka

Još jedan način zaobilaženja složenih i dobro provjerenih sigurnosnih IT planova je snimanje podataka na prijenosne medije. Nekada diskete, CD i DVD mediji, a danas prijenosni hard diskovi i flash memorije predstavljaju ozbiljnu sigurnosnu prijetnju, kako zbog namjernog iznošenja povjerljivih informacija tako i zbog eventualne krađe tih medija. I ovdje se kao najbolje rješenje pokazuje enkripcija i korištenje složenih šifri za pristup podacima.

Treba obratiti pažnju i na činjenicu da jednostavno brisanje podataka, pa čak i formatiranje ovih medija nije dovoljno. Postoje specijalizovani softveri, a za ozbiljnije namjene i specijalizovani hardverski uređaji koji mogu vratiti upisane podatke čak i nakon nekoliko brisanja. Zato se preporučuje korištenje posebno dizajniranog softvera koji obrisane podatke prepisuje slučajnim podacima više desetaka puta. Na kraju, sigurnosna praksa nalaže da se čak i u slučaju rashodovanih uređaja povede računa o hard diskovima i drugim uređajima za pohranu podataka, jer i oni mogu biti iskorišteni za ostvarivanje pristupa povjerljivim podacima.

Kao što možete zaključiti iz onoga što je napisano u ovom i prethodnom tekstu, fizička zaštita informacionih sistema je veoma složen proces koji zahtijeva mnogo planiranja i terenskog testiranja. S obzirom na multidisciplinarnost koju zaštita IT sistema zahtijeva, kreiranje dobrog sigurnosnog plana obavezno treba prepustiti stručnom i iskusnom sigurnosnom timu.

Fizička zaštita informacionog sistema

Ako je cilj zaštite informacionog sistema kompletna kontrola svih podataka koji ulaze i izlaze iz kompjuterske mreže, potrebno je definisati sve objekte unutar tog sistema koje treba zaštititi. Danas se informacioni sistemi sastoje iz mnoštva vrlo različitih komponenti, pa je definicija svih objekata u njemu vrlo složen posao. Međutim, postoje osnovne smjernice kojima se treba voditi kada se definiše plan zaštite informacionog sistema

Piše: Goran Milić
E-mail: redakcija@asadria.com

Jedan od najvažnijih, ali istovremeno i najčešće zanemarenih aspekata sigurnosti informacionog sistema je fizička kontrola. Lako je uvidjeti zašto je to tako – sistemski i mrežni administratori se u svojim svakodnevnim obavezama bave složenim softverskim i hardverskim sistemima, pa fizičku zaštitu, odnosno direktni pristup kompjuterskoj opremi, serverima, mrežnim uređajima i drugim komponentama informacionog sistema često uopšte i ne razmatraju. Ili, u boljem slučaju, fizičku zaštitu prepuštaju drugim odjelima organizacije koji se bave fizičkom zaštitom ostale imovine. Zbog kompleksnosti modernih informacionih sistema ovakav pristup nikako nije dobar jer u velikom broju slučajeva upravo fizička krađa neke komponente, recimo hard diska iz servera, predstavlja najlakši način dolaska do povjerljivih informacija. Još jedan dobar primjer je odlaganje smeća – šta ako se u obližnjem kontejneru za smeće mogu pronaći odbačeni finansijski izvještaji kompanije čijim se dionicama trguje na berzi?

Osnovne komponente informacionog sistema

Vrlo je važno definisati takozvani “vanjski perimetar” informacionog sistema, koji, zapravo, predstavlja popis njegovih komponenti koje se moraju fizički zaštititi. Spisak koji slijedi sadrži najosnovnije komponente informacionog sistema za koje treba napraviti plan zaštite:

  • serveri
  • radne stanice (desktop i laptop kompjuteri)
  • mrežni uređaji (ruteri, switchevi, pristupne tačke)
  • mrežna infrastruktura (kablovi, utičnice, enkripcija mrežnog saobraćaja)
  • bežične mreže (enkripcija mrežnog saobraćaja, pristupne tačke)
  • mobilni uređaji (pametni telefoni, tablet uređaji, laptopi)
  • štampani mediji (izvještaji, analize, dopisi, fakture)
  • prenosni mediji (CD, DVD, USB flash memorija, prenosni hard diskovi)

Sve ove komponente zahtijevaju određeni stepen fizičke zaštite. Naprimjer, server vjerovatno neće niko iznositi iz prostora organizacije, ali je važno kontrolisati ko ima fizički pristup serverskoj opremi. Prenosni mediji, kao i mobilni uređaji se, sa druge strane, lako i često iznose iz prostorija organizacije, a u većini slučajeva IT i sigurnosno osoblje ne može znati kakvi podaci se nalaze na njima.

Zaštita servera

File serveri na kojima se smještaju svi podaci jedne organizacije te infrastrukturni serveri na kojima se nalaze ključni servisi od kojih zavisi funkcionisanje organizacije, kao što su oni za autentifikaciju korisnika i kontrolu pristupa, moraju biti smješteni na veoma sigurnim lokacijama. Kao apsolutni minimum navode se zaključane sobe u koje pristup imaju samo oni koji direktno rade sa fizičkim komponentama serverskih uređaja. Pristup ovim prostorijama trebao bi se bilježiti, pa se preporučuje korištenje elektroničkih brava, magnetnih kartica, pristupnih šifri, skeniranje otisaka prstiju i slično. Također, poželjno je da ove prostorije budu pod nadzorom videokamera i alarmnih sistema. Posebno je potrebno obratiti pažnju na zaštitu od požara, poplava i sličnih katastrofa. Serverski uređaji prilikom svog rada generišu mnogo toplote, tako da je serverske sobe nemoguće dizajnirati bez rashladnih uređaja. S obzirom da se na serverima nalaze praktično svi podaci o radu organizacije, u slučaju banaka, osiguravajućih kuća, državnih organa i sličnih institucija preporučeno je kreiranje iste ili bar slične serverske sobe na udaljenoj lokaciji, koja se naziva Disaster recovery site. Na ovoj “rezervnoj” lokaciji se dupliraju podaci i hardverska konfiguracija (ili bar u najpribližnijoj mogućoj mjeri) kako bi se u slučaju poplava, požara, zemljotresa i sličnih prirodnih katastrofa funkcionisanje organizacije moglo nastaviti ili ponovo uspostaviti u najkraćem mogućem roku. Rezervna lokacija se pravi na udaljenosti 30 ili više kilometara od originalne.

Zaštita radnih stanica

Mnogi IT sigurnosni planovi se fokusiraju isključivo na servere, a pri tome ignorišu radne stanice koje imaju mrežni pristup do tih servera. Vrlo često se dešava da zaposlenici ostavljaju svoje kompjutere nezaštićene kada odlaze na pauze za ručak ili na kraju radnog dana. Također, često je relativno lako doći do kompjutera na ulazu u neki objekat (čuvar, recepcioner i slično). U slučaju da osoba koja tu radi nije prisutna (odlazak do toaleta, neki radni zadatak i slično), moguće je ostvariti pristup internim servisima informacionog sistema, jer nije napravljena odjava (logout) sa sistema.

Dobar sigurnosni plan uključuje zaštitu svih radnih stanica na kojima se trenutno ne nalazi neki korisnik. Korisničko ime i šifra omogućavaju ne samo autentifikaciju i autorizaciju korisnika nego i zaključavanje radne stanice kada korisnik nije tu kako bi se spriječilo neovlašteno korištenje resursa informacionog sistema. Međutim, korištenje korisničkog imena i šifre nije dovoljno, jer čak i sam fizički pristup kompjuteru koji je povezan na kompjutersku mrežu može olakšati posao napadačima. Zbog toga je kontrola pristupa u objektima neke organizacije zapravo dio zaštite IT sistema.

Dobar sigurnosni plan sadrži takozvani Password policy, odnosno minimalnu kompleksnost korisničkih šifri, kako bi se otežalo ili onemogućilo njihovo pogađanje (apsolutno je zabranjeno korištenje datuma rođenja, imena najbližih članova familije i slično). U posljednje vrijeme se insistira na dužini šifre, a ne na kombinaciji slova, brojeva i specijalnih karaktera. U slučaju potrebe za višim nivoom sigurnosti, mogu se upotrebljavati i dodatni uređaji za autentifikaciju korisnika, kao što su pametne kartice, USB stikovi, token generatori i slično.

Na kraju, postoje i specijalne brave koje onemogućavaju vađenje hard diskova iz radnih stanica, pošto se i na njima mogu nalaziti povjerljivi podaci. Slične brave postoje i za sprečavanje korištenja USB flash memorija ili optičkih diskova.

Zaštita mrežnih uređaja

Routeri, switchevi, pristupne tačke i drugi mrežni uređaji moraju biti fizički zaštićeni. Važno je zapamtiti da uređaji koji nemaju monitor na kojem se mogu vidjeti podaci i dalje ostaju podložni napadima. Čak i samo onemogućavanje rada ovakvih uređaja (fizičkim uništenjem ili nekim drugim) može nanijeti ozbiljne štete organizaciji. U današnje vrijeme praktično svi dijelovi organizacije u manjoj ili većoj mjeri zavise od ispravnog rada informacionih sistema, tako da čak i prestanak rada nekog njegovog manjeg dijela može prouzrokovati ozbiljnu štetu.

Fizički pristup mrežnim uređajima omogućava obučenim napadačima skupljanje informacija koje saobraćaju kompjuterskom mrežom. Za tako nešto više nije potrebna ni posebna oprema, dovoljan je laptop sa odgovarajućim softverom kao što je Wireshark (takozvani network analyzer ili sniffer alati) i mrežna konekcija. Mnogi mrežni uređaji imaju i posebne portove za administraciju, pa ako napadač ima pristup takvom portu, upad u sistem postaje lakši. Čak i u slučaju da je mrežni administrator konfigurisao mrežne uređaje da onemogući takve napade, fizički pristup mreži može omogućiti napadaču da značajno uspori ili čak u potpunosti onemogući mrežni saobraćaj, što je ravno isključenju ključnih komponenti informacionog sistema. Zbog svega toga mrežnu opremu je najbolje držati “pod ključem” baš kao i mrežne servere jer je riječ o ključnim komponentama informacionog sistema.

Zaštita mrežne infrastukture

Mrežni uređaji kao što su routeri i switchevi klasificiraju se kao aktivna mrežna oprema, dok su kablovi, utičnice i patch paneli pasivna mrežna oprema. Gotovo sve rečeno za mrežne uređaje važi i za mrežnu infrastrukturu, ali je mrežne kablove daleko teže zaštititi zbog njihove dužine i rasprostranjenosti kroz objekte. Na tržištu su lako dostupni takozvani “tapping” uređaji, koji se jednostavno postave na mrežni kabl i “prisluškuju” sav mrežni saobraćaj koji prolazi kroz njih. To ponovo potvrđuje da je kontrola pristupa objektima neke organizacije zapravo dio zaštite IT sistema. Optički mrežni kablovi mnogo su teži za takve vrste prisluškivanja, što je prava sreća jer se oni koriste za povezivanje udaljenih objekata, pa su još i više izloženi vanjskim napadima. Ipak, ni oni nisu potpuno imuni na prisluškivanje, pa njihovo postavljanje zahtijeva pažljivo planiranje.

Opći principi organizacije sigurnosnih kompanija i odjela

Strukturalni okvir organizacije predstavlja sam temelj ostvarivanja ciljeva zbog kojih se osnivaju kompanije ili njihovi odjeli. Taj okvir, odnosno sama organizacijska struktura, ne može samostalno „razmišljati“, utvrđivati inicijative i djelovati ili reagovati. Ipak, organizacija je ključni faktor jednog radnog okruženja. Adekvatan organizacijski okvir omogućava uposlenicima sigurnosnih kompanija da na isti način izvršavaju svoje zadatke.

Piše: Semir Kapetanović
E-mail: redakcija@asadria.com

Uzmimo za primjer bolnicu kao instituciju za pružanje usluga iz oblasti zdravstva. Jedan od segmenata ovakve krovne institucije jeste i sigurnosni odjel, koji je organiziran radi zaštite okruženja za pružanje zdravstvenih usluga. To znači da se „organizacija“ može tretirati kao skup ljudi sa zajedničkim ciljem ili zadatkom i utvrđenim zonama odgovornosti, unutar kojih postoje jasno definisani kanali komunikacije i hijerarhije.

Organizacijski principi

Uspostava kvalitetnog organizacijskog okvira podrazumijeva primjenu šest etabliranih principa, a svaki od njih se mora primjenjivati unutar sigurnosne organizacije i svakog od njih potrebno je pojedinačno razraditi. Ti principi su:

  • Rad je neophodno podijeliti prema određenom logičkom planu,
  • Hijerarhijsku strukturu i odgovornosti treba što jasnije utvrditi,
  • Jedan menadžer može efektivno kontrolisati ograničeni broj osoba i taj limit ne treba povećavati,
  • U organizaciji mora postojati „jedinstvo komandovanja“,
  • Odgovornost se ne može povjeriti ako prethodno nisu utvrđena prateća ovlaštenja i odgovornost za njih,
  • Sve aktivnosti nižih odjela i osoblja moraju se koordinirati u skladu sa harmoniziranim naporom na ostvarivanju ciljeva organizacije.

Logička podjela rada

Potreba za podjelom rada postaje evidentna čim je na nekom poslu angažovano više od jedne osobe. Način na koji se vrši podjela rada može značajno utjecati na konačni proizvod ili učinak, kako kvalitativno tako i kvantitativno. U tom kontekstu, radni procesi mogu se podijeliti na pet kategorija: a) svrha; b) proces ili metoda; c) klijentela; d) vremenski raspored; e) geografska pokrivenost. Shodno navedenom, rad se može podijeliti prema svojoj svrsi. Sigurnosne kompanije ili organizacije mogu se dodatno podijeliti na odjele, npr. na odjeljenje za kontrolu ili prevenciju gubljenja resursa i detektivski odjel sa zaduženjem da privodi lica koja uspiju izbjeći preventivne aktivnosti prvog odjeljenja.

Kada je riječ o procesima, odjeli se organiziraju prema metodi rada, odnosno svi slični procesi se objedinjuju unutar jedne radne jedinice. Primjer za ovo u kontekstu sigurnosti mogu biti operateri soba za alarme i dispečeri, kao i istražitelji zaduženi za kreditne kartice unutar glavnog sigurnosnog odjela. Rad se, također, može podijeliti i prema klijenteli s kojom se radi ili kojoj se pružaju usluge. Kao primjer može poslužiti osoblje za provjeru biografija uposlenika, detektivi u maloprodajnim objektima, koji se fokusiraju na pljačkaše, ili istražitelji za oblast maloprodaje koji se bave falsifikatorima i drugim prekršiteljima zakona. Podjela rada prema namjeni, procesu ili klijenteli temelji se na prirodi radnih zadataka i nazivamo je „funkcionalnom“ podjelom. Drugim riječima, grupisanje sigurnosnog osoblja koje obavlja rad podijeljen po njegovoj prirodi može se tretirati kao funkcionalna organizacija. Za mnoge kompanije funkcionalna organizacija predstavlja temelj podjele rada. Sigurnosne strukture, poput policije i vatrogasaca u javnom sektoru, imaju 24-satnu odgovornost u pogledu obavljanja svojih zaduženja. Za razliku od svojih pandana u javnom sektoru, sigurnosne kompanije u privatnom sektoru često moraju pokrivati znatno šire geografsko područje. Što se tiče vremenskog okvira, 24-satna pokrivenost nekog objekta može se na prvi pogled učiniti kao jednostavan koncept. Lahko je pretpostaviti da u sigurnosnoj kompaniji postoje osmosatne smjene sa fiksnim punktovima, patrolama, komunikacijom i alarmnim centrom, uz smjene u ponoć i osam ujutro. Ipak, u pogledu vremenskog organizovanja potrebno je riješiti bitne probleme koji se javljaju tokom rada.

Vremenska organizacija

Jedan od problema jeste i pitanje koliko ljudi je potrebno za rad u prvoj smjeni? Ako, naprimjer, minimalan broj sigurnosnog osoblja preuzme smjenu u ponoć, a poslovni subjekt počinje s radom u sedam ujutro, je li moguće raditi jedan sat s ovakvim brojem uposlenika ili se prije početka rada mora uključiti još zaposlenih? Samo za ovaj problem moguće je utvrditi stotine varijabli. Isto tako, ako postoje dvije ili više funkcionalnih cjelina, sa jednim dijelom osoblja angažovanim na patroliranju, a drugim na komunikacijama i alarmima, ko može predstavljati komandnu strukturu u tri ujutro? S tim je povezano generalno pitanje koliko osoblja je potrebno angažovati izvan radnog vremena poslovnog subjekta? Kako se postupa ako se neko od uposlenika ne pojavi na dužnosti? Može li se rezervisati angažman dodatnog uposlenika kako bi se izbjegla navedena situacija? Ovo su samo neki od problema sa kojima se sigurnosne kompanije i odjeli redovno suočavaju. Vremenska organizacija, stoga, igra ključnu ulogu u oblasti vođenja sigurnosnih operacija i tu je organizaciji rada potrebno posvetiti dosta pažnje.

Geografska pokrivenost i nadležnost

Ako neki sigurnosni odjel ima obavezu da pokriva lokaciju koja je udaljena od sjedišta kompanije ili organizacije, on će za taj angažman na teren morati da pošalje odgovarajuće osoblje. Tu se postavlja važno pitanje: ko je nadređen navedenom sigurnosnom osoblju? Je li to sigurnosni menadžment u sjedištu kompanije ili su u pitanju upravljačke strukture u čijoj je nadležnosti zaštićeni objekat, a koje nemaju veze sa sigurnošću? Dakle, ovo pitanje se tiče potrebe da „nesigurnosni“ menadžment ima mogućnost direktne kontrole nad uposlenikom koji posjeduje tehničke i druge vještine izvan sfere nadležnosti navedene uprave. Utvrđivanje vrste nadležnosti izvršnih struktura tiče se pitanja hijerarhije i uloge osoblja. U tom kontekstu, može se reći da sigurnosno osoblje uvijek treba odgovarati vlastitom menadžmentu sigurnosti. Uprava osiguravane lokacije ili objekta može imati tek uslužne ili savjetodavne uloge, ali se ne može uplitati u pitanja poštivanja službe, redovnosti podnošenja izvještaja i pridržavanja generalnih propisa. Detalji koji se tiču sigurnosnih aktivnosti su izvan sfere nadležnosti „nesigurnosnog“ menadžmenta. Istovremeno, u njegovoj nadležnosti je interna kontrola, na temelju koje se vrši prijavljivanje bilo kakvih nepravilnosti u vezi s radom osoblja, o čemu se izvještava uprava sigurnosne kompanije.

——————————————————

Hijerarhija i zaduženja

Nakon odgovarajuće podjele rada organizacija počinje funkcionisati kao piramidalna struktura, koja je dodatno podijeljena u manje piramide. Svaki segment piramide predstavlja funkciju ili polje odgovornosti i njime se utvrđuje ko je odgovoran kojem nivou. Na vrhu je direktor sektora sigurnosti ili menadžer sigurnosti, koji snosi najvišu odgovornost za svaku funkciju unutar sigurnosne organizacije. Ovu piramidalnu strukturu nužno je grafički predstaviti u vidu organizacijskog grafikona. Ovoj vrsti dokumentacije sigurnosno osoblje mora imati stalni pristup kako bi moglo utvrditi svoj status u organizacijskoj shemi i provjeriti ko je njihov nadređeni. Ukoliko ona ne postoji, to može dovesti do konfuzije u pogledu hijerarhije, koja je jedan od ključnih faktora neadekvatnog poslovnog učinka. Osim informativne funkcije, organizacijski grafikon služi i kao svojevrsni motivator, jer uposlenici mogu lakše utvrditi svoj plan budućeg napredovanja unutar piramide. Istovremeno, okviri i linije na grafikonu ne smiju izgledati kao prepreka ostvarivanju komunikacije. I najniže pozicionirani uposlenici moraju imati dojam da se u bilo kojem trenutku mogu obratiti menadžeru sigurnosti bez potrebe za dozvolom drugih hijerarhijskih struktura.

Upravljanje osobljem

Nužno je imati na umu da je broj osoba kojima rukovodi određeno nadređeno lice ograničen i toga se treba uvijek pridržavati. On se kreće u okvirima od maksimalno pet osoba na najvišem organizacijskom nivou do maksimalno 12 uposlenika na najnižem. Što je stepen složenosti interakcije između menadžera i uposlenika veći, optimalno polje upravljanja osobljem se sužava. Ipak, u posljednjih nekoliko godina prisutan je trend „poravnanja“ organizacijske piramide, odnosno smanjenja broja menadžera sa širokim ovlastima. Organizacije u ovom slučaju moraju same pronaći odgovor na ovo pitanje operativne kontrole. Neadekvatna organizacija ovog segmenta upravljanja nužno vodi u manjak discipline i neadekvatan radni učinak.

Odbrane od napada i pružanje prve pomoći

Shodno nalogu ili utvrđenoj prijetnji naša je obaveza da pripremimo odbranu od različitih taktika napada, oružja i tehničkih opasnosti. Moramo biti fleksibilni i uvijek razmišljati o tome jesmo li sveobuhvatno i dovoljno objektivno ocijenili i procijenili situaciju. Često se pitajte kako biste vi izveli neki napad jer to donosi nove spoznaje i metode koje se mogu provjeriti. U slučaju ranjavanja moramo znati kako pružiti prvu pomoć

Piše: Semir Kapetanović
E-mail: redakcija@asadria.com

Temeljna teoretska i praktična znanja iz prve pomoći mogu biti presudna za odbranu od opasnosti. Nažalost, u prošlosti su štićene osobe često umirale zbog posljedica nedovoljnih mjera spašavanja života, a u nekim slučajevima one su potpuno izostale. Zato svaki član našega tima mora znati stručno primijeniti i provesti mjere prve pomoći, čak i ako se nalazi pod utjecajem aktivnosti protivničke strane, a pritom mora obezbijediti i vlastitu sigurnost. Zbog toga se ovakve mjere trebaju integrisati u naš redovni trening, koji obavljamo u fazi pripreme.

Prva pomoć

Samo praktičan trening, uz uslov da imamo i neophodnu opremu, može nam pomoći i dati sigurnost da ćemo u slučaju nužde reagovati adekvatno, brzo i promišljeno. Potrebno je da trening bude „skrojen po mjeri“, jer se kod običnih kurseva prve pomoći ne obrađuju situacije u kojima postoji i protivnička strana. Unutar tima mora biti jasno definisano ko se u slučaju nužde brine o mjerama prve pomoći, a ko će zadržati protivničku stranu na distanci. U situacijama napada, kada vlada panika i stres, izuzetno je važno da ostanemo mirni i pribrani te da promišljeno pristupimo ukazivanju prve pomoći. I ovdje važi pravilo da se postupa po jednostavnom načelu – zakloniti, spasiti, javiti. Pod zaklonom se podrazumijeva da se povrijeđena osoba odnese iz zone opasnosti, a spašavanje znači ocjenu pacijenta prema DKK metodi (disajni putevi, krvarenje, kardio), a zatim preduzimanje mjera prve pomoći, bilo da je riječ o zavijanju, davanju umjetnog disanja, oživljavanju, ispravnom polaganju, njegovanju itd. Nakon toga ili paralelno uz to slijedi dojava ili alarmiranje daljih spasilačkih službi po potrebi. Isto tako moramo znati kako pomoći prilikom ranjavanja od metka, opekotina, ozljeda kiselinom, trovanja i izgubljenih ili otkinutih dijelova tijela. Sve to se uči na specijalnim kursevima i usavršava na treninzima.

Odbrana od vatre

Kao tjelohranitelji moramo vladati i tehnikama suzbijanja požara. I ovo je, naravno, nešto što se uči putem literature, kurseva, obuke i stručnih usavršavanja direktno od vatrogasaca, udruženja i njihovih organa. Moramo poznavati sredstva za gašenje požara u našoj okolini, znati ih ocijeniti i u slučaju nužde ispravno ih upotrijebiti. Protiv vatre se pripremamo s odgovarajućom opremom. Tako, naprimjer, maske za bijeg će povećati našu mobilnost i omogućiti nam bijeg poznatim prolazima, hodnicima ili putevima zahvaćenim vatrom i dimom. Sredstva za gašenje požara mogu se veoma efektivno upotrijebiti i za odbranu od aktivnosti protivničke strane. Aparat za gašenje požara sa ispravnim pritiskom može se djelotvorno upotrijebiti i protiv napadača s nožem, dok će nam crijevo s vodom pod pritiskom poslužiti čak i u odbrani od grupe napadača.

Zaštita osoba kao proces

Zaštita lica prilično je dinamičan proces koji se, jednom pokrenut, mora stalno kontrolisati, prilagođavati, mijenjati, ali i okončati u nekoj formi, pa i naknadno doraditi. Ovisno o postojećoj organizaciji ili već dokazanom postupku u vašem svakodnevnom području djelovanja, pojedinačni koraci se moraju obraditi i/ili prilagoditi i provesti sa drugim prioritetima i težištima. Svaka odgovorna osoba mora imati slobodu da ustaljenu metodu za donošenje odluke i njenu provedbu prilagodi ili po potrebi skrati, a to će prvenstveno zavisiti od trenutne situacije na terenu, nivoa znanja i količine informacija koju ima. Naravno, lično iskustvo u menadžmentu te stil i filozofija vođenja ljudi također će igrati presudnu ulogu. U svakom slučaju praksa je pokazala da se mnogi problemi i neuspjesi u zaštiti osoba svode na nedostatak vođstva ili pogrešno vođenje.

Uspjeh prilikom zaštite osoba zavisi od adekvatnog korištenja dostupnih resursa i njihove upotrebe u pravo vrijeme na pravom mjestu, a na temelju dobijenih pouzdanih i sveobuhvatnih informacija. Pri tome se moraju pojedinačno analizirati i ocijeniti faktori mjesta, resursa, vremena i informacija (MRVI analiza). Svaka mjera zaštite osoba je kompleksan izazov i zahtijeva analizu pojedinačnih elemenata i faktora sa opsežnim planiranjem njihove efektivne upotrebe, mogućim tokom i dostupnim alternativama.

Taktika naloga/naredbe

Zaštita osoba sa svim višestrukim i kompleksnim mjerama zahtijeva opsežan i efektivan menadžment, kao i koordinaciju na svim područjima. Vremenska ograničenost i neizvjesnost načelne su karakteristike kojima se mora višestruko upravljati. Vođe operacije ili pojedinačne vođe timova često će biti u situaciji da odlučuju i pokazuju samostalnost i inicijativu bez opsežnog poznavanja cjelokupne situacije. Taktika naloga je vrsta upravljanja koja primaocu naloga omogućava maksimalnu slobodu djelovanja u okviru poznatih radnih naloga nalogodavca za provođenje konkretnog zadatka. U nalogu su utvrđeni ciljevi i ograničeni okvirni uslovi, a primalac naloga je slobodan u izboru efektivnog provođenja mjera i upotrebi sredstava i resursa koja mu stoje na raspolaganju. Upravljanje usmjereno ka cilju zahtijeva i jedinstvenost u razmišljanju, ali i savjesno djelovanje svih uključenih osoba. Nalog i radni nalog nalogodavca osnova su za svako razmišljanje i djelovanje. Od naloga se ne smije odstupiti izuzev ako to situacija uslovljava ili se ne može uspostaviti veza sa nalogodavcem. Ipak, on se mora što brže informisati o promjenama.

Prilikom zaštite osoba taktika naloga se višestruko primjenjuje kako bi vođa operacije i pojedinačni članovi tima mogli u praksi provesti svoje stručno znanje i iskustvo. Taktika naredbe ograničava primaoca naredbe u jasno opisanom okviru i praktično ne odobrava slobodu djelovanja prema vlastitoj interpretaciji. Naredbu provodimo bez ispitivanja ili davanja vlastitih ideja i načina djelovanja, što za posljedicu ima razvijanje obostranog povjerenja naredbodavaca, koji tako postaju sigurni da će dobiti tačno željeni rezultat i da će se njihova naredba provesti bezuslovno.

Ponekad nadređeni neće biti u situaciji da proslijede informacije neophodne za pravljenje naloga, pa zbog toga mogu izdati i direktne naredbe svojim saradnicima. To su uglavnom opasne situacije kada smo pod utjecajem agresivnih aktivnosti protivničke strane i baš tada će kompletna akcija ovisiti o našem bezuvjetnom provođenju. Naprimjer, prilikom evakucije štićene osobe automobilom iz opasne situacije vozaču ne možemo više dati nalog, već mu glasna naredba: „Vozi“ ili „Kreni“ mora biti dovoljna da nas odveze iz opasne zone. Nakon izlaska iz područja opasnosti vozač će opet dobiti klasični nalog sa definisanim odredištem i željenim vremenom dolaska. Zato je važno da svi u timu za zaštitu osoba poznaju ove razlike u naredbama i da se shodno tome adekvatno ponašaju.

Samo praktičan trening, uz uslov da imamo i neophodnu opremu, može nam pomoći i dati sigurnost da ćemo u slučaju nužde reagovati adekvatno, brzo i promišljeno. Potrebno je da trening bude „skrojen po mjeri“, jer se kod običnih kurseva prve pomoći ne obrađuju situacije u kojima postoji i protivnička strana

IZDANJA

Global Security d.o.o.

Hasiba Brankovića 3, 71000 Sarajevo, Bosna i Hercegovina
Tel: +387 (0)33/788-985
Fax: +387 (0)33/788-986
Web site: www.asadria.com
Marketing: marketing@asadria.com
Pretplata: pretplata@asadria.com
PDV broj: 201142740001
Identifikacioni broj: 4201142740001
ISSN 1986-5

Magazin a&s Adria – stručni magazin za kompletna sigurnosna rješenja – mjesečna je publikacija licencirana od strane kompanije Messe Frankfurt New Era Business Media za Adriatic regiju: Bosnu i Hercegovinu, Crnu Goru, Hrvatsku, Kosovo, Makedoniju, Sloveniju i Srbiju.