Chyba każdy menedżer zdaje sobie sprawę, jak niebezpieczne dla firmy są błędy i wycieki danych. Mogą przynieść poważne straty, a w skrajnych wypadkach skończyć się nawet upadłością przedsiębiorstwa. Warto więc zaimplementować procedury ograniczające w znacznym stopniu ryzyko, choć trzeba pamiętać, że całkowite jego wyeliminowanie nie jest w praktyce możliwe. Stosując poniższe zasady, trzeba oczywiście unikać zbiurokratyzowania wszystkiego – to niełatwa sztuka.
Już sama struktura firmy to miejsce na niezbędne zabezpieczenia. Wszelkie najważniejsze procesy w firmie powinny być jasno zdefiniowane i przestrzegane. W firmie powinny pracować osoby, których obowiązki obejmują wyłącznie albo między innymi stałe śledzenie zagadnień bezpieczeństwa, zarówno tych, które należy wprowadzić, jak i tych, które wprowadzić można. Nie do pomyślenia jest sytuacja, w której za bezpieczeństwo w firmie nikt konkretny nie odpowiada. Osoby te powinny wypracować i przedstawić zarządowi plany działania na wypadek zaistnienia sytuacji nadzwyczajnych.
Bezpieczeństwo finansowe wymaga rozdzielenia księgowości i kasy. Dokumenty finansowe powinny być starannie przechowywane, a te z nich, które umożliwiają obrót finansowy, wręcz trzymane pod kluczem. Tamże powinny znajdować się wzory podpisów osób odpowiedzialnych za transakcje finansowe. Finanse, w tym obieg pieniądza, powinny być regularnie kontrolowane.
Niemałe ryzyko tkwi w zakupach i sprzedaży. Za udzielanie zleceń, rejestrację kupowanych towarów i usług oraz udzielanie zgody na zapłatę za nie powinny być odpowiedzialne różne osoby (nie jedna). To wiąże się z „zasadą czterech oczu” (ang. two-man rule), która polega na tym, że wszelkie istotne decyzje powinny być podejmowane przez co najmniej dwie osoby. Tym sposobem nie ma dowolności: każde ważne rozstrzygnięcie jest przez kogoś weryfikowane i dopiero jego zgoda pozwala na realizację.
Kolejnym słabym punktem w firmie może być jej system informatyczny. Podstawową zasadą jego bezpieczeństwa jest wypracowanie i konsekwentne stosowanie zabezpieczeń. Tu nic nie może odbywać się czysto spontanicznie. Dane znajdujące się w posiadaniu firmy powinny być klasyfikowane według stopnia ważności i stosownie do niego zabezpieczane. System powinien być efektywnie chroniony przed atakami z zewnątrz. Niezbędna jest regularna zmiana wszystkich haseł. W firmie nie powinno być punktów dostępu do Internetu bez wymaganych zabezpieczeń, zwłaszcza ochrony antywirusowej. Specjalnej ochrony wymagają połączenia z bankiem obsługującym przedsiębiorstwo.
Niemałą część zagrożeń dla bezpieczeństwa firmy stanowią sami zatrudniani w niej ludzie. Konieczna jest więc stosowna ostrożność przy przyjmowaniu nowych pracowników. Eksperci zalecają więc na przykład uważne przyglądanie się kandydatom, którzy często zmieniają pracę – tu warto uważnie zbadać przyczynę. Kandydaci na kluczowe stanowiska powinni być sprawdzani szczególnie drobiazgowo, przy czym istotne są m.in. ich referencje z poprzednich miejsc pracy.
Rzecz jasna, wszyscy pracownicy powinni być pisemnie zobowiązani do utrzymywania w tajemnicy informacji istotnych dla przedsiębiorstwa. W firmie powinien też zostać przygotowany plan działania na wypadek wycieku danych lub tajemnic handlowych.
W średnich i dużych firmach konieczny jest ponadto dział zajmujący się audytami. Należy mu zapewnić niezależność niezbędną do efektywnego przeprowadzania kontroli.
Wszystko to może sprawiać wrażenie gęstwiny biurokratycznych reguł, ale dobro firmy wymaga podjęcia już na początku jej działalności kroków zwiększających bezpieczeństwo i zapobiegających problemom.
