Популярное

Шесть столпов корпоративной безопасности

22
23 минуты
Шесть столпов корпоративной безопасности

Сергей Тридневко, эксперт международной ассоциации корпоративной безопасности ICSA

Об авторе:

Эксперт с 25 - летним международным опытом в области комплексной корпоративной безопасности

С 2000 по 2008 г. - служба в правоохранительных органах РФ.

C 2009 Руководитель подразделений Экономической/Кадровой безопасности/Управления рисками/Compliance/ Корпоративной безопасности/Директор по безопасности крупных организаций, в том числе: ФГУП МГРС, АО "Лаборатория Касперского", "Новые облачные технологии".

Введение: новая эра угроз и трансформация роли корпоративной безопасности

В условиях нарастающей глобальной неопределенности, геополитического шторма/турбулентности, стремительной цифровой трансформации, внедрения AI(ИИ) и перехода в VI технологический уклад, классическое представление о корпоративной безопасности (КБ) как о фрагментарной/вспомогательной/реактивной модели защиты, периферийной функцией, то есть функции поддержки, сводившейся к физической охране периметра, базовому контролю безвозвратно устарело.

Вне всяких сомнений, представление о КБ эволюционировало в стратегический императив современного бизнеса.

Сегодняшний мир характеризуется перманентным состоянием неопределенности, где угрозы стали гибридными, многомерными и зачастую непредсказуемыми. Бизнес, независимо от отрасли, сталкивается с возрастающими рисками и вызовами как внутреннего, так и внешнего характера.

Современный корпоративный ландшафт характеризуется экспоненциальным ростом рисков : кибератаки, нарушение логистических цепочек, регуляторные изменения, сложность корпоративных процессов, санкционные войны, мошенничество в финансовой сфере, усиление конкуренции (в том числе недобросовестной), внутренний фрод, изменчивость глобальных рынков и влияющей на них политической конъюнктуры - все это требует системного подхода к обеспечению стабильности, безопасности корпораций и крупных предприятий.

По данным исследования NCSU Enterprise Risk Management Report 2025, 87 % руководителей крупнейших корпораций столкнулись как минимум с одним серьезным кризисом за последнее время, при этом средние финансовые потери от инцидентов безопасности составили не менее 3.8% годовой выручки. Более того руководители высшего звена считают экономические риски, политическую нестабильность и киберугрозы главными факторами риска ближайшего трехлетнего цикла.

В настоящее время роль вице-президента по безопасности (VP Security/Chief Security Officer, CSO) эволюционировала от контроля физического периметра и реагирования на уже произошедшие инциденты к проактивному стратегическому партнерству с бизнесом. Современный CSO отвечает не только за предупреждение, предотвращение, пресечение потерь, но и за создание конкурентных преимуществ через защиту критических активов, обеспечение операционной устойчивости и формирование культуры осознанного, базирующегося на многолетнем опыте и академических знаниях, управления рисками.

Компании со зрелыми системами управления рисками демонстрируют на 23 % более высокую капитализацию и на 31 % меньшую волатильность акций (Gitnux, 2025).

Статья систематизирует ключевые составляющие комплексной экосистемы корпоративной безопасности – Столпы Корпоративной Безопасности, необходимые для долгосрочного устойчивого функционирования компаний. Материал адресован, прежде всего, корпоративным Лидерам - Акционерам, принимающим концептуальные решения об инвестициях в безопасность и формирующим политику управления корпоративными рисками.

Цель данного исследования: структурировать критические компоненты системы корпоративной безопасности с позиции Топ менеджмента, предоставив практический инструментарий для оценки зрелости существующих систем, а также планирования развития Миссии корпоративный безопасности.

Таким образом, главный тезис звучит следующим образом: «В современных условиях устойчивость и конкурентоспособность корпорации прямо пропорциональны уровню зрелости ее системы безопасности». Безопасность перестала быть просто “тормозом”, ограничивающим рискованные инициативы. Напротив, она становится “запускающей” функцией — тем самым Фундаментом, который позволяет бизнесу уверенно идти на обоснованный риск (соблюдая должную осмотрительность), внедрять инновации, выходить на новые рынки, использовать перспективные технологии и, в конечном счете, стабильно развиваться, увеличивая капитализацию, генерируя возрастающий доход.

Фундаментальные столпы корпоративной безопасности

1. Экономическая безопасность

Экономическая безопасность бесспорно является главным краеугольным камнем КБ, поскольку напрямую связана с основной целью любой коммерческой организации — извлечением прибыли и ростом акционерной стоимости компании. Ее основная задача — защита экономических интересов компании от внутренних и внешних угроз, обеспечение сохранности и эффективного использования всех видов доступных корпоративных ресурсов и в первую очередь – финансовых.

«Тот, кто ищет миллионы, весьма редко их находит, но зато тот, кто их не ищет, – не находит их никогда!», – Оноре де Бальзак.

Ключевые направления деятельности в рамках этого блока:

Защита активов, финансовых потоков и интеллектуальной собственности. Это включает в себя предотвращение хищений, нецелевого использования средств, мошеннических схем в закупках и продажах. Объектами защиты выступают не только материальные ценности, но и финансовые ресурсы, а также нематериальные активы, такие как технологии, ноу-хау и коммерческая тайна, это зачастую составляют львиную долю стоимости современной технологичной компании.

Противодействие корпоративному мошенничеству и коррупции. Внутренние угрозы часто наносят больший ущерб, чем внешние. Система экономической безопасности подразумевает выстраивание многоуровневых барьеров, препятствующих реализации мошеннических схем: от внедрения политики “нулевой терпимости” и кодекса этики до технических средств контроля и принципа “четырех глаз” (двойного контроля) при проведении критически важных операций. Это системная работа по искоренению условий, порождающих коррупционные риски.

Финансовая устойчивость как индикатор защищенности. Департамент безопасности в партнерстве с финансовым блоком анализирует деятельность компании на предмет выявления аномалий, которые могут свидетельствовать о проблемах: необъяснимый рост затрат, падение рентабельности отдельных направлений, сомнительные транзакции. Что, в свою очередь, позволяет на ранней стадии выявлять и пресекать как злой умысел, так и неэффективное управление.

Важна роль КБ и в процедурах M&A (слияния и поглощения), проверке контрагентов (Due Diligence). Ни одна крупная сделка не должна заключаться без тщательной проверки объекта инвестирования или нового партнера. Процедура Due Diligence, проводимая силами КБ, позволяет выявить скрытые долги, юридические риски, репутационные проблемы и аффилированность с сомнительными структурами. Игнорирование этого этапа может привести к покупке “токсичного” актива, который вместо синергии принесет многомиллионные убытки, а в перспективе репутационные риски и судебные разбирательства.

Таким образом, безопасность выступает гарантом чистоты и экономической целесообразности стратегических шагов компаний.

В качестве хрестоматийного примера, иллюстрирующего катастрофические последствия пренебрежения процедурой Due Diligence, можно привести сделку по приобретению компанией Hewlett-Packard (HP) британского разработчика программного обеспечения Autonomy в 2011 году. Сделка стоимостью 11 миллиардов долларов обернулась для HP списанием активов на сумму 8,8 миллиарда долларов уже в следующем году из за «преднамеренного мошенничества». Последующее расследование выявило, что руководство Autonomy искусственно завышало финансовые показатели компании, используя неправомерные методы бухгалтерского учета для создания видимости стремительного роста. Департамент безопасности и финансовые аудиторы HP не смогли или не сумели в полной мере вскрыть эти манипуляции на этапе проверки. Данный кейс наглядно демонстрирует, как провал в обеспечении экономической безопасности на этапе стратегической сделки M&A может привести не только к прямым финансовым потерям, сопоставимым со стоимостью самой сделки, но и к долгосрочному ущербу для репутации и акционерной стоимости одной из крупнейших технологических корпораций мира.

кгг.png

2. Информационная безопасность - ИБ

Если экономическая безопасность защищает “кровеносную систему” корпорации, ИБ оберегает ее “нервную систему, нейроны и аксоны”. В цифровой экономике данные являются не просто вспомогательным ресурсом, а критически важным, часто ключевым активом, зачастую превосходящим по стоимости материальные фонды. Утрата, компрометация или недоступность данных может привести к прямым финансовым потерям, остановке операционной деятельности, репутационному коллапсу и санкциям со стороны регуляторов, а в перспективе и к банкротству.

Классификация современных угроз обширна и постоянно расширяется:

Массовые атаки: вирусы-вымогатели (Ransomware), которые шифруют корпоративные данные с требованием выкупа, DDoS-атаки, парализующие публичные ресурсы компании (сайты, клиентские порталы). Эти угрозы опасны своей массовостью и неизбирательностью.

Целевые атаки (Advanced Persistent Threats, APT): это сложные, многоэтапные операции, проводимые хорошо организованными группами с целью проникновения в инфраструктуру конкретной компании для кражи ценной информации (интеллектуальной собственности, стратегических планов) или осуществления диверсий.

Внутренние угрозы (Insider Threats): утечки данных по вине/ злому умыслу сотрудников остаются одной из самых серьезных проблем. Это может быть как случайная отправка конфиденциального документа не тому адресату, так и целенаправленная продажа клиентской базы конкурентам.

Атаки на цепочку поставок: компрометация доверенного поставщика программного или аппаратного обеспечения для получения доступа к инфраструктуре его клиентов.

Для противодействия этим угрозам необходим эшелонированный, многоуровневый подход к защите, включающий современный технологический стек:

Базовые средства защиты: антивирусное ПО нового поколения (NGAV), межсетевые экраны (NGFW), системы предотвращения вторжений (IPS/IDS).

Продвинутые системы мониторинга и анализа: центральным элементом современной кибербезопасности является система сбора и корреляции событий SIEM (Security Information and Event Management). Она агрегирует данные из множества источников (сетевое оборудование, серверы, приложения) для выявления аномалий и признаков атак.

Системы автоматизации и реагирования на инциденты ИБ: платформы класса SOAR (Security Orchestration, Automation and Response) позволяют автоматизировать рутинные действия по реагированию на инциденты, что значительно ускоряет их локализацию и устранение последствий.

Аналитика угроз (Threat Intelligence): использование внешних данных о новых угрозах, тактиках и инструментах злоумышленников для проактивной настройки средств защиты и “охоты на угрозы” (Threat Hunting).

Особое внимание следует уделять соблюдению законодательных требований. Такие регуляции, как GDPR в Европе , Федеральный закон № 152-ФЗ “О персональных данных” в России, устанавливают строгие правила обработки и защиты информации, а их нарушение чревато многомиллионными штрафами. Для компаний, владеющих объектами критической информационной инфраструктуры (КИИ), требования к безопасности еще более строгие, их невыполнение может повлечь за собой уголовную ответственность.

Ярким примером, демонстрирующим разрушительные последствия комплексной кибератаки, является инцидент с датской логистической компанией A.P. Moller-Maersk в 2017 году. Компания стала одной из жертв глобальной эпидемии вируса-шифровальщика NotPetya, который изначально распространялся через атаку на цепочку поставок — компрометацию украинского разработчика программного обеспечения для подачи налоговой отчетности. В результате атаки были парализованы IT-системы Maersk по всему миру: вышли из строя десятки тысяч ноутбуков, тысячи серверов и настольные телефоны. Работа портовых терминалов в десятках стран была остановлена, что привело к глобальному логистическому коллапсу. Прямые финансовые убытки компании, по ее собственной оценке, составили от 200 до 300 миллионов долларов. Кейс наглядно иллюстрирует, как одна уязвимость в цепочке поставок может привести к полной остановке операционной деятельности транснациональной корпорации и демонстрирует критическую важность эшелонированной защиты, систем мониторинга и планов аварийного восстановления для обеспечения непрерывности бизнеса в современных условиях.

 лд.png

3. Физическая безопасность

Несмотря на тотальную цифровизацию, физический мир не исчез, а угрозы остаются абсолютно реальными. Физическая безопасность обеспечивает защиту жизни и здоровья персонала, сохранность материальных активов, а также непрерывность производственных и логистических процессов. Без надежной физической защиты любые, даже самые совершенные, меры кибербезопасности становятся бессмысленными.

Основные задачи физической безопасности в современной корпорации:

Защита персонала и объектов: обеспечение безопасности сотрудников на рабочих местах, в командировках и во время корпоративных мероприятий. Защита офисов, заводов, складов, дата-центров от несанкционированного проникновения, краж, вандализма и других противоправных действий.

Контроль доступа и охрана периметра: внедрение современных систем контроля и управления доступом (СКУД), которые могут быть интегрированы с биометрическими данными и системами учета рабочего времени. Использование интеллектуального видеонаблюдения с функциями видеоаналитики (распознавание лиц, номеров, иных предметов/объектов ) и современных охранных сигнализаций.

Противодействие терроризму и промышленному шпионажу: для критически важных объектов и крупных промышленных предприятий актуальными остаются угрозы саботажа и террористических актов. Физический шпионаж с целью установки прослушивающих устройств - “жучков” или несанкционированного копирования документов/данных также требует постоянного внимания и контрмер.

Защита логистических цепочек: обеспечение безопасности грузов на всем пути их следования, контроль транспорта, противодействие хищениям на складах и в пути.

Ключевой тенденцией последних лет является конвергенция (интеграция) физической и кибербезопасности. Традиционно эти две сферы управлялись разными подразделениями, что создавало опасные “слепые зоны”. Сегодня, в эпоху Интернета вещей (IoT), когда физические устройства (камеры, датчики, станки) подключены к сети, грань между ними стирается. Кибератака может привести к физическим последствиям (например, взлом системы управления производственной линией), а физическое проникновение — к цифровым (установка вредоносного устройства в серверную). КБ должна рассматривать эти два направления как единое целое, создавая общие центры мониторинга и единые протоколы реагирования на инциденты.

В качестве наглядного примера, иллюстрирующего фатальные последствия разрыва между физической и кибербезопасностью, можно привести инцидент с иранскими ядерными объектами в 2010 году, связанный с компьютерным червем Stuxnet. Атака была направлена на промышленные системы управления (SCADA) производства Siemens, которые контролировали центрифуги для обогащения урана. Проникновение вредоносного ПО в изолированную, не подключенную к интернету сеть, предположительно, было осуществлено через физический носитель — USB-накопитель, который был подключен к системе сотрудником или инсайдером. В результате кибератаки Stuxnet тайно изменял скорость вращения центрифуг, заставляя их работать на критических скоростях, что приводило к их физическому разрушению. При этом для операторов системы отображались штатные показатели работы оборудования, что не позволяло вовремя обнаружить саботаж. Данный случай наглядно демонстрирует, как физический доступ к критической инфраструктуре может стать отправной точкой для сложнейшей кибератаки с реальными физическими разрушениями, и подчеркивает необходимость создания единых протоколов безопасности, объединяющих оба контура защиты.

ег.png

4. Кадровая безопасность и корпоративная культура

Любая, даже самая совершенная и дорогостоящая технологическая система защиты может быть сведена на нет одним неверным действием сотрудника. Человек был и остается одновременно самым сильным и самым слабым звеном в корпоративной безопасности. Сильным — потому что именно бдительность, ответственность и правильные действия персонала способны предотвратить атаку на ранней стадии. Слабым — потому что человеческие ошибки, халатность, недостаточная осведомленность или злой умысел являются первопричиной подавляющего большинства (по разным оценкам, от 60% до 80%) всех инцидентов безопасности.

Именно поэтому кадровая безопасность и формирование правильной корпоративной культуры являются не просто дополнением к техническим мерам, а самостоятельным и важнейшим направлением работы.

Основные компоненты системы кадровой безопасности:

Надежные процедуры жизненного цикла сотрудника. Безопасность должна быть встроена в HR-процессы:

Наем: Тщательная проверка кандидатов на ключевые позиции (background check), включая проверку достоверности предоставленных данных, наличия компрометирующих обстоятельств, кредитной истории (где это применимо и законно) и репутации. Цель — не допустить в компанию лиц с криминальными наклонностями или скрытыми мотивами.

Адаптация (Onboarding): Обязательный инструктаж по основам информационной и экономической безопасности для всех новых сотрудников. Четкое разъяснение политик компании, подписание соглашения о неразглашении (NDA). Сотрудник с первого дня должен понимать, что является конфиденциальной информацией и каковы правила обращения с ней.

Увольнение (Offboarding): Не менее важный процесс. Моментальное и полное прекращение всех доступов (физических и цифровых) увольняющегося сотрудника. Проведение финального собеседования для выявления возможных рисков или накопленного негатива. Контроль за тем, чтобы сотрудник не унес/похитил корпоративную информацию.

Программы повышения осведомленности (Security Awareness). Нельзя защититься от того, о чем не знаешь. Регулярное обучение персонала является ключевым инструментом снижения рисков. Эффективные программы включают в себя:

●      Обучающие курсы и вебинары по актуальным угрозам (например, как распознать фишинговое письмо).

●      Регулярные имитации фишинговых атак для проверки бдительности сотрудников и закрепления навыков.

●      Наглядные материалы: плакаты, памятки, рассылки с примерами реальных инцидентов.

●      Геймификация и поощрение сотрудников, демонстрирующих ответственное поведение в области безопасности.

●      Противодействие внутренним угрозам (Insider Threats). Инсайдеры делятся на два типа: злонамеренные (сотрудники, которые умышленно хотят нанести вред компании) и случайные (сотрудники, которые нарушают правила по незнанию или халатности). Работа с ними требует разных подходов:

●      Для выявления злонамеренных инсайдеров используются технические средства, такие как DLP-системы (Data Loss Prevention), которые контролируют перемещение конфиденциальной информации, и UBA/UEBA-системы (User and Entity Behavior Analytics), анализирующие поведение пользователей для выявления аномалий (например, скачивание нетипично больших объемов данных, доступ к системе в нерабочее время).

●      Борьба со случайными инсайдерами — это прежде всего обучение, упрощение и автоматизация безопасных процессов, а также внедрение технических средств, которые минимизируют возможность случайной ошибки (например, блокировка отправки письма с конфиденциальным тегом на внешний адрес).

●      Формирование культуры безопасности. Это высший уровень зрелости кадровой безопасности, когда соблюдение правил становится не принуждением, а осознанной нормой поведения. Культура “нулевой терпимости” к нарушениям должна транслироваться непосредственно высшим руководством компании. Когда топ-менеджеры личным примером демонстрируют приверженность политикам безопасности (например, не просят “сделать исключение” и не обходят установленные процедуры), это становится мощным сигналом для всей организации. Безопасность должна стать частью корпоративной ДНК, где каждый сотрудник понимает свою роль и ответственность за защиту общих активов.

Классическим примером злонамеренной инсайдерской угрозы, иллюстрирующим важность всех аспектов кадровой безопасности — от найма до контроля за действиями персонала, — является дело инженера компании Tesla Энтони Левандовски. В 2016 году Левандовски, будучи одним из ведущих инженеров проекта по созданию беспилотных автомобилей (проект Waymo, принадлежащий Google/Alphabet), уволился из компании, чтобы основать собственный стартап Otto, который вскоре был приобретен компанией Uber. Перед увольнением, используя свои легитимные права доступа, он скачал около 14 000 конфиденциальных файлов, содержащих коммерческие тайны, чертежи и техническую документацию, связанную с технологией лидаров (ключевой компонент беспилотных автомобилей).

Этот инцидент демонстрирует провал сразу нескольких уровней кадровой безопасности. Во-первых, системы мониторинга (UBA/DLP) не смогли вовремя зафиксировать или предотвратить аномально крупную выгрузку критически важных данных сотрудником, который собирался покинуть компанию. Во-вторых, процедуры увольнения (offboarding) оказались неэффективными для предотвращения кражи интеллектуальной собственности. В результате компания Waymo инициировала судебный иск против Uber, который привел к многомиллионному урегулированию и серьезному репутационному ущербу для Uber. Сам Левандовски был приговорен к тюремному заключению за кражу коммерческой тайны. Этот случай подчеркивает, что даже высококвалифицированные и доверенные сотрудники могут представлять колоссальную угрозу, если в компании отсутствуют зрелые процессы контроля за жизненным циклом сотрудника и технические средства для выявления аномальной активности.

5. Обеспечение непрерывности бизнеса (Business Continuity & Disaster Recovery)

Способность продолжать критические операции во время и после серьезных disruptions (нарушений) – ключевой показатель корпоративной устойчивости и прямой драйвер сохранения акционерной стоимости. Стоимость простоя для компаний из Fortune 500 может достигать $1–5 млн в час (Gartner 2025). Пандемия COVID-19 и кибератака на Colonial Pipeline (7 мая 2021 г) окончательно доказали: отсутствие зрелой системы BCM (Business Continuity Management/Управление непрерывностью бизнеса) приводит к катастрофическим потерям капитализации.

Ключевые компоненты современной системы BCM (ISO 22301, BCI Good Practice Guidelines/Рекомендации надлежащей практики от Института непрерывности бизнеса):

  • Business Impact Analysis (BIA/Анализ влияния на бизнес) – фундаментальный процесс определения критичности бизнес-процессов, их зависимостей и максимально допустимого времени простоя (RTO, Recovery Time Objective/Целевое время восстановления) и потери данных (RPO, Recovery Point Objective/Целевая точка восстановления). Результат BIA – приоритезированный список Tier (уровень) 0–Tier 3 процессов с точными финансовыми, репутационными и регуляторными оценками ущерба за каждый час/день простоя.
  • Risk Assessment (Оценка рисков) и сценарирование – построение матрицы «Вероятность × Воздействие» по всем типам угроз (кибер, природные, техногенные, геополитические, санкционные и т.д.). Особое внимание уделяется «черным лебедям» и каскадным эффектам (например, одновременный выход из строя облачного провайдера и резервного дата-центра).
  • Стратегии восстановления и резервирования – географически распределенные резервные площадки, мульти облачные архитектуры, контракты с «теплыми» и «горячими» резервными офисами, заранее заключенные соглашения с критическими поставщиками (SLA, Service Level Agreement/Соглашение об уровне обслуживания с фиксированными RTO/RPO).
  • Тестирование и упражнения – обязательные ежегодные full-scale simulation (полномасштабное моделирование, включая отключение головного офиса и переход на резервные центры), tabletop exercises (настольные учения) с участием Совета директоров и крупнейших акционеров.
  • Интеграция с ERM (Enterprise Risk Management, Корпоративное управление рисками) и страхованием – BCM становится частью единого корпоративного риск-аппетита(приемлемый уровень риска).

Давайте рассмотрим пример из авиационной отрасли, который наглядно демонстрирует, как зрелая система BCM позволяет справляться не с единичным катастрофическим событием, а с продолжительным глобальным кризисом. Речь пойдет об авиакомпании Emirates и ее реакции на пандемию COVID-19.

Пандемия стала для мировой авиации “черным лебедем” — событием с низкой вероятностью (в рамках планирования) и катастрофическими последствиями. В начале 2020 года закрытие границ, локдауны и падение спроса на перевозки привели к практически полной остановке международного авиасообщения. Для Emirates, чья бизнес-модель построена исключительно на международных дальнемагистральных рейсах через хаб в Дубае, ситуация была близка к экзистенциальной угрозе.

 кн.png

Реализация принципов BCM в действии: 

Вместо хаотичных действий, компания без промедления активировала свои протоколы управления кризисом и обеспечения непрерывности бизнеса, которые охватывали все аспекты ее деятельности.

1. Business Impact Analysis (BIA/Анализ влияния на бизнес) и сценарное планирование: Emirates, как и любая крупная авиакомпания, имеет заранее проработанные планы на случай различных сбоев (вулканический пепел, геополитические конфликты, технические отказы). Хотя пандемия такого масштаба не была прямым сценарием, наличие BIA позволило мгновенно определить критически важные функции, которые необходимо поддерживать даже при нулевой пассажирской активности. К ним относились:

  •  Сохранность и техническое обслуживание авиапарка.
  • Поддержание летной годности и квалификации экипажей.
  • Функционирование грузового подразделения (Emirates SkyCargo).
  • Коммуникации с клиентами и управление возвратами билетов.

2. Адаптация стратегии и использование активов: Вместо того, чтобы просто “законсервировать” флот, компания быстро переориентировалась. Понимая, что спрос на грузовые перевозки резко возрастает (для доставки медикаментов, СИЗ (Средства индивидуальной защиты), продуктов питания), Emirates оперативно трансформировала часть своих пассажирских самолетов Boeing 777-300ER во временные грузовые (так называемые “preighters” — passenger freighters/пассажирско-грузовые самолеты). Для этого из салонов были демонтированы кресла, что позволило перевозить грузы не только в багажных отсеках, но и в основной кабине. Это решение позволило не только сохранить часть денежного потока, но и сыграть ключевую роль в поддержании глобальных цепочек поставок.

3. Управление персоналом и ресурсами: Были активированы планы по управлению персоналом в кризисной ситуации. Компания приняла сложные, но крайне необходимые меры для сокращения издержек, включая отправку части персонала в неоплачиваемый отпуск и временное сокращение зарплат, что позволило сохранить ядро квалифицированных специалистов (пилотов, инженеров, диспетчеров) для быстрого возобновления операций, как только это станет возможным.

4. Коммуникации и управление репутацией: Emirates вела проактивную и прозрачную коммуникацию с клиентами, предложив гибкие условия возврата и перебронирования билетов. Это помогло сохранить лояльность клиентов в долгосрочной перспективе. Одновременно компания стала одной из первых, кто внедрил комплексные меры биобезопасности на борту и в аэропорту, позиционируя себя как одного из самых безопасных перевозчиков в новую эпоху.

Выводы для BCM:

Кейс Emirates во время пандемии — это пример не столько восстановления после сбоя (Disaster Recovery/Аварийное восстановление), сколько обеспечения устойчивости и адаптивности бизнеса (Business Resilience/Устойчивость бизнеса) в условиях тяжелого, затяжного кризиса. Он демонстрирует, что:

  • BCM — это не только про IT (Информационные технологии): Зрелая система непрерывности охватывает операционные процессы, управление персоналом, финансы и стратегию.
  • Гибкость важнее жесткого плана: Способность быстро адаптировать бизнес-модель и перепрофилировать активы (самолеты) под новые реалии оказалась ключевым фактором выживания.
  • Анализ BIA позволяет принимать верные решения: Понимание того, какие части бизнеса являются критическими, а какие могут быть трансформированы, лежит в основе успешной антикризисной стратегии.

Таким образом, реакция Emirates на пандемию демонстрирует высший уровень зрелости BCM, когда компания не просто следует заранее подготовленному плану, а использует его принципы для стратегической адаптации к фундаментально изменившейся среде.

6. Комплексное управление рисками и корпоративное страхование (Enterprise Risk Management & Risk Transfer)

Шестой столп объединяет все предыдущие в единую систему принятия обоснованных рисков и обеспечивает финансовую защиту акционерной стоимости от катастрофических сценариев. Зрелая ERM (Enterprise Risk Management/Корпоративное управление рисками)-программа превращает безопасность из «центра затрат» в quantifiable (поддающийся количественной оценке) драйвер роста капитализации.

Ключевые элементы:

  • Единый реестр рисков и риск-аппетит, утвержденный Советом директоров – количественно выраженные лимиты (например, «максимально допустимое снижение EBITDA (Earnings Before Interest, Taxes, Depreciation and Amortization/Прибыль до вычета процентов, налогов, износа и амортизации) в год стресс-сценария – 12 %», «максимальный единовременный убыток – 4 % рыночной капитализации»).
  • Квантитативное моделирование – использование Monte-Carlo (метод Монте-Карло/математическое моделирование событий), VaR (Value at Risk/Стоимость под риском), стресс-тестирование по сценариям «хвостовых рисков» (кибер-мегаатака, глобальные санкции, климатические катастрофы).
  • Risk Transfer (Передача риска) и альтернативные инструменты – программы глобального страхования Property/Cyber/D&O (Имущество/Кибер/Страхование ответственности руководителей) и т.д..
  • Интеграция безопасности в стратегию и M&A (Mergers & Acquisitions/Слияния и поглощения) – каждый крупный проект и сделка проходят обязательный Integrated Risk Review (Комплексный обзор рисков) с расчетом влияния на TSR (Total Shareholder Return/Общая доходность акционера) и WACC (Weighted Average Cost of Capital/Средневзвешенная стоимость капитала).
  • Прозрачная отчетность перед акционерами – раздел «Principal Risks» (Ключевые риски) в годовом отчёте с динамикой топ-10 остаточных рисков, KRIs (Key Risk Indicators/Ключевые индикаторы риска).

   

Заключение

Безопасность как конкурентное преимущество и фактор роста капитализации

Помимо экономического эффекта от предотвращения потерь, зрелая система КБ (Корпоративная безопасность) создает значительную косвенную, но не менее важную, добавленную стоимость. В долгосрочной перспективе именно эта стоимость становится мощным фактором роста и фундаментальным конкурентным преимуществом. Если экономическое обоснование из предыдущих разделов отвечали на вопрос “как не потерять?”, то данный раздел отвечает на вопрос “как приумножить?”.

Безопасность трансформируется в конкурентное преимущество в следующих ключевых областях:

  • Доверие клиентов и партнеров. В B2B (Business-to-Business/бизнес для бизнеса)-секторе надежность защиты данных партнера все чаще становится одним из ключевых критериев при выборе поставщика. Крупные корпорации, выстраивая свои цепочки поставок, проводят строгий аудит безопасности контрагентов. Компания, способная продемонстрировать высокий уровень зрелости своей системы защиты (например, пройдя сертификацию по стандартам ISO 27001), получает весомое преимущество в тендерах и переговорах. В B2C (Business-to-Consumer/бизнес для потребителя)-секторе, особенно в финансах, ритейле и здравоохранении, клиенты все более чувствительны к тому, как компания обращается с их персональными данными. Надежная защита — это прямой вклад в лояльность клиентов.
  • Стабильность и предсказуемость операционных процессов. Компания, защищенная от внешних и внутренних шоков, может гарантировать своим клиентам и партнёрам бесперебойность сервиса. В отличие от конкурентов, чья деятельность может быть парализована кибератакой или внутренним сбоем, устойчивая компания выполняет свои обязательства в срок, что укрепляет ее репутацию как надежного партнера. Эта стабильность напрямую влияет на операционную прибыль и снижает издержки, связанные с авральным восстановлением после инцидентов.
  • Положительное влияние на репутацию бренда и инвестиционную привлекательность. В современном информационном поле новости о крупных утечках данных или остановке производства из-за кибератак распространяются мгновенно и приводят к падению котировок акций. И наоборот, компания, известная на рынке своей надежностью и устойчивостью, воспринимается инвесторами как менее рискованный актив. Рейтинговые агентства и инвестиционные фонды все чаще включают в свою оценку компаний так называемые ESG-факторы (Environmental, Social, and Governance/Экологические, социальные и управленческие аспекты), где аспект корпоративного управления (Governance) напрямую включает в себя и киберустойчивость. Таким образом, эшелонированная, грамотно откалиброванная система корпоративной безопасности напрямую способствует росту инвестиционной привлекательности и, как следствие, рыночной капитализации компании/корпорации.

Уважаемые читатели, акционеры, коллеги, пора признать, КБ перестала быть “невидимой, едва заметной”, второстепенной функцией в нынешних корпоративных реалиях. Она, вне всяких сомнений, является частью глобального корпоративного актива, который Можно и Нужно демонстрировать рынку, в том числе даже с точки зрения маркетинга. Это сигнал стейкхолдерам: «Мы — стабильная, предсказуемая и ответственная компания, нам можно доверять, с нами безопасно вести бизнес и зарабатывать!»