#баснибезопасника

Страховка для своих
В компании говорили просто у нас всё застраховано. Страховой агент был один и тот же много лет. Свой. Никто никогда не лез в его дела. Тарифы считались с запасом. Цена была выше рынка. Разницу никто не обсуждал и не считал.
Из этой разницы агент получал вознаграждение. А начальник отдела закупок получал бонусы и страховал личный автомобиль, дом и поездки на отдых по льготной программе. Всё было быстро и без лишней шумихи (kickback).
Рабочие машины при этом были застрахованы формально. По договору защита начиналась позже нужного момента (ретроактивный период).
После ДТП страховая отказала. Всё по бумагам. Агент заранее знал какие случаи заявлять можно а какие лучше не трогать.

Компания платила больше. Получала меньше. Зато у отдельных людей всё было отлично.

📌Вывод:

6️⃣ завышенные тарифы это почти всегда чей то личный интерес

2️⃣ не проверенный страховой агент это риск

3️⃣если страховка выгодна не бизнесу, значит она уже работает против него

Когда схему вскрыли, агент и начальник отдела закупок ушли с обидой, но без судимости. ☹️
А страховые случаи вдруг стали выплачиваться.💵

А как дела со страховками у Вас в компании❓

#ПДн #152ФЗ #длясобственника

🔴Отзывы, кейсы и фото на сайте часто воспринимаются как обычный маркетинг. Но если на странице размещены фамилия имя отчество, должность, фотография, видео, цитата отзыва или иные сведения, по которым человека можно идентифицировать, и доступ к странице открыт неопределённому кругу лиц, это может квалифицироваться как распространение персональных данных, разрешённых субъектом для распространения.

❗️Типичный риск возникает, когда публикуют отзыв сотрудника или клиента с ФИО и фото, а затем отношения портятся и появляется требование удалить данные. В этот момент наличие общего согласия на обработку персональных данных не всегда помогает, потому что для распространения требуется отдельное согласие, и молчание либо бездействие не считается согласием.

❗️ Что не должно быть на сайте без отдельного согласия на распространение
• фото сотрудников и клиентов с подписью, где указаны ФИО и должность
• страницы кейсов с упоминанием конкретных людей, их контактов и изображений
• видео и отзывы, в которых можно распознать человека и связать его с организацией
• публикации в формате до и после с идентификацией конкретного сотрудника или клиента

✔️ Что должно быть, чтобы снизить риск претензий и проверок

• отдельное согласие на распространение, где прописано что именно публикуется, на каких ресурсах, на какой срок, как можно отозвать
• возможность ограничений со стороны человека, например запрет использования для рекламы (таргетинг), запрет передачи третьим лицам, требование публиковать только вместе с исходным текстом
• рабочая процедура удаления по запросу, с понятным сроком исполнения и ответственным лицом
• актуальные документы на сайте, включая политику обработки персональных данных и контакты для обращений субъектов

📌 Мини действие: откройте сайт и презентации компании и составьте список страниц, где есть фото, ФИО или должности. Если отдельного согласия на распространение нет, это тихий источник конфликта и штрафных рисков.

#вопросответ

✉️К нам на канал поступил вопрос от нашего подписчика, из Приволжского Федерального округа.

🔈Добрый день! Подскажите как развить свой бизнес в сфере оказания услуг по комплексной безопасности малому бизнесу. На авито 3 месяца просмотров нет. Город с населением 700 000 т., не звонков не сообщений нет. Не ужели не кто не интересуется данными услугами ❓

✏️Мы подготовили краткий ответ:

На практике «служба безопасности» для малого бизнеса чаще всего сводится к трём прикладным задачам:
• кадровая безопасность: проверка кандидатов и ключевых сотрудников, профилактика внутренних хищений, конфликтов, утечек коммерческой тайны
• экономическая безопасность: проверка поставщиков и клиентов перед договором, выявление фирм однодневок, конфликтов интересов, рисков по 115 ФЗ
• внутренние проверки и расследования: разбор недостач, мошенничества, сговоров, откатов, сбор фактуры под претензионную работу и увольнения, помощь собственнику в кризисных ситуациях

🚩Рынок труда показывает, что функции СБ в регионах востребованы. Даже в городах не миллионниках регулярно появляются вакансии, связанные с внутренним контролем, предотвращением потерь и функциями СБ в торговле, логистике, распределительных центрах. Спрос есть, но его закрывают либо штатные сотрудники, либо «свои люди по рекомендации», либо подрядчики, которые заходят через понятный продукт.

✔️Почему ваше объявление на Авито «не взлетает» и что сделать без увеличения бюджета
• запрос сформулирован слишком широко: предприниматель не ищет «комплексную безопасность», он ищет «проверить сотрудника», «проверить поставщика», «разобрать недостачу», «уволить проблемного работника без рисков»
• нет привязки к отрасли: розница, склад, автосервис, стройка, общепит, медицина…
• нет «входного продукта» за небольшие деньги, который снижает недоверие

🔔Что мы рекомендуем сделать:
• вместо одного объявления сделайте 5 -7 объявлений под конкретные задачи: «проверка кандидатов», «проверка контрагентов», «разбор недостачи и внутреннее расследование», «аудит рисков хищений в торговой точке», «проверка руководителя филиала перед назначением»
• в каждом объявлении 3 элемента: для кого, какой результат, срок. Пример: «Проверка кандидата на материально ответственную должность. Отчёт за 12 часов. Риски: долги, банкротства, конфликты интересов, судебные истории»
• не ограничивайтесь «Авито», посмотрите «Профи.ру», «hh.ru», «superjob.ru», группы «Вконтакте», группы «Telegram»

Спрос на услуги «службы безопасности» в регионах есть, но он проявляется не как «интерес к комплексной безопасности», а как регулярные точечные задачи. Чтобы появились заявки, нужно упаковать услуги в понятные продукты, зайти через быстрый и недорогой первый шаг, и строить продажи через партнёров и прямой контакт с собственниками, расширяйте круг общения и получайте рекомендации.
Уверены, что наш ответ поможет Вам в последующих поисках.

Напоминаем что Вы можете присылать свои вопросы связанные с безопасностью бизнеса. Наши специалисты подготовят ответ в максимально быстрые сроки🤝

👑🔝🏃‍♀️‍➡️🏃‍♂️‍➡️➡️Кадровая безопасность: как снизить риск переманивания и утечки знаний ✋⛔️🚷

Переманивание ключевых сотрудников бьет по двум активам сразу: людям и критическим знаниям. Важно учитывать правовую реальность: в России запрет работать у конкурента после увольнения чаще всего не работает юридически, поэтому ставка делается не на запреты, а на систему удержания плюс защиту информации.

✔️Практический набор мер

1️⃣Кто в зоне риска
Составьте карту критичных ролей: дефицитные компетенции, доступ к ключевым данным, влияние на клиентов и выручку. Для каждой группы зафиксируйте причины ухода: деньги, рост, руководитель, нагрузка, конфликты. Это переводит удержание из реакции в профилактику.

2️⃣Предсказуемость и рост
Сильные сотрудники уходят не только из за денег, а из за неясной траектории. Настройте прозрачные критерии повышения, уровни компенсаций и регулярный пересмотр по рынку. Дайте видимое развитие: планы, наставничество, участие в ключевых проектах.

3️⃣Пульс разговоры (pulse)
Раз в 4–6 недель коротко обсуждайте: что мешает, что улучшить, куда человек хочет расти. Это ранняя диагностика риска ухода до активного общения с рекрутерами.

4️⃣Компенсация и признание
Для дефицитных ролей используйте пакет: фикс плюс премии за результат и вклад, долгосрочные стимулы. Добавьте нематериальные рычаги: признание, доступ к стратегическим задачам, гибкость формата работы.

5️⃣Меньше публичных “следов”
Охота за сотрудниками начинается с открытых данных о команде и проектах. Проведите ревизию публикаций и кейсов, уберите лишнюю конкретику про людей, роли и внутренние процессы.

6️⃣Правовые инструменты вместо запретов
Опирайтесь на режим коммерческой тайны и корректные обязательства по конфиденциальности. Дополнительно используйте обучение за счет работодателя с обязательством отработки и возможностью взыскания затрат при досрочном уходе, когда это уместно.

7️⃣Минимальная программа против инсайдерских рисков (insider risk)
Чтобы снизить риск выноса данных, внедрите: минимально необходимый доступ, контроль привилегированных учетных записей, журналирование действий в критичных системах и алерты на аномалии.

8️⃣Безопасный оффбординг
После согласования даты ухода запускайте чек лист: отзыв доступов, смена общих паролей, передача владения файлами, возврат оборудования, план передачи знаний. Проводите exit интервью, чтобы не повторять причины уходов.

9️⃣Контроффер (counteroffer) только по правилам
Он работает, если закрывает реальную причину ухода, а не только сумму. Если удержать нельзя, действуйте профессионально: быстро заберите знания и корректно закройте доступы.

1️⃣0️⃣Чего делать нельзя
Не вступайте в договоренности “не переманивать” сотрудников: в ряде стран это антимонопольный риск. Не пытайтесь удерживать запретами. Не оставляйте критические знания у одного человека.

⭕️Вывод
Кадровая безопасность против переманивания строится на трех опорах: ценность работы для сотрудника, управляемое удержание и защита информации. Когда эти элементы связаны в систему, конкуренты могут делать предложения, но вероятность потери “ядра” и критических данных становится существенно ниже.

#корпбез

🔍В отделе закупок сходятся деньги, доступ к поставщикам и влияние на выбор условий. Поэтому именно здесь чаще всего возникают потери, злоупотребления и прямые хищения. Ниже мы привели основные риски и то, что стоит проверить в работе подразделения в первую очередь.

✏️Ключевые схемы риска и хищений

Закупка по завышенной цене. Признаки: цена выше рынка без объяснимых причин, отсутствие сравнения предложений, регулярные закупки у одного и того же поставщика при наличии альтернатив. Часто сопровождается вознаграждением сотруднику за выбор поставщика (неформальное вознаграждение за решение в пользу конкретного контрагента).

Искусственное ограничение конкуренции. Техническое задание или требования пишутся под одного участника, сроки и условия делают неудобными для других, запросы предложений отправляются выборочно. Это может быть согласованная игра поставщиков между собой (сговор участников закупки, когда конкуренция имитируется).

Подмена объема, качества или состава поставки. Документы на приемку подписываются без фактической проверки, допускаются недопоставки, подменяется спецификация, принимается товар ниже качества. Затем излишек списывается или уходит на сторону (неофициальное присвоение материальных ценностей).

Дробление закупок и обход процедур. Закупку делят на несколько меньших, чтобы не проводить конкурс или не получать дополнительное согласование. Часто это выглядит как серия однотипных счетов с близкими датами и одинаковым предметом.

Фиктивные поставщики и фиктивные услуги. Создается контрагент без реальной деятельности, оплата проходит за консультации, маркетинг, посредничество, логистику без подтверждения результата. Иногда это компания, связанная с сотрудником или его окружением (скрытая личная заинтересованность, так называемый конфликт интересов).

Манипуляции с договором после выбора поставщика. Выигрывает контракт на одних условиях, затем через дополнительные соглашения меняются цена, сроки, состав работ. Это особенно рискованно в строительстве, ИТ и услугах (изменение условий после отбора поставщика).

❗️Что проверить в первую очередь

Разделение ролей и полномочий. Кто инициирует потребность, кто выбирает поставщика, кто согласует договор, кто подтверждает приемку, кто инициирует оплату. Если один человек контролирует несколько этапов, риск резко растет (разделение функций для снижения риска злоупотреблений).

Качество процедур выбора поставщика. Наличие понятных критериев оценки, протоколов, подтвержденной рассылки запросов, обоснования отклонения предложений. Важны следы принятия решения, а не только итог.

Справочник контрагентов и управление данными поставщиков. Кто и как заводит нового поставщика, какие проверки обязательны, есть ли контроль на дубли, совпадение реквизитов, общие адреса, телефоны, банковские счета. Это базовая защита от фиктивных и аффилированных контрагентов (проверка благонадежности и связей, так называемая due diligence).

Контроль цены и рыночные ориентиры. Должны быть источники сравнения, прайс листы, коммерческие предложения, результаты тендеров, аналитика по категориям. Для регулярных закупок полезны целевые коридоры цены и причины отклонений (сигналы риска).

Связка договор, поставка, счет. Оплата должна проходить только при наличии договора, подтвержденной приемки и корректного счета. Отдельно проверьте ручные платежи, авансы, корректировки, срочные оплаты в конце периода и платежи без полного пакета документов.

Приемка и складской контроль. Кто физически проверяет количество и качество, как фиксируются расхождения, как оформляются претензии, кто утверждает списания и возвраты. Самая частая зона потерь это приемка без проверки.

Корпоративная этика, подарки и коммуникации. Нужны правила по подаркам, представительским расходам и взаимодействию с поставщиками, а также канал для сообщений о нарушениях (безопасный канал для информирования о злоупотреблениях).

#экономическаябезопасность

Как не накапливать дебиторскую задолженность: профилактика начинается до договора

Значительная дебиторская задолженность чаще всего связана не с «плохими клиентами», а с пробелами в процессе управления рисками и документированием обязательств. Профилактика должна начинаться до заключения договора.

❗️Что рекомендуется сделать до сделки:

• Провести оценку кредитного риска клиента (scoring): срок работы на рынке, обороты, деловая репутация, наличие судебных споров и исполнительных производств, история расчетной дисциплины.
• Установить кредитный лимит (credit limit): максимальную сумму и срок, на которые допускается отсрочка платежа. Лимит фиксируется как правило, не пересматривается ситуативно и не зависит от эмоций.
• Определить условия оплаты с учетом риска: предоплата, оплата по этапам, частичная предоплата, аккредитив, банковская гарантия.
• Заранее согласовать документы и приемку: кто уполномочен принимать результат, как и в какие сроки подписываются акты, что признается надлежащим исполнением обязательств.

✍️Что следует закрепить в договоре:

• График платежей и этапность выполнения работ или поставок.
• Ответственность за просрочку: штрафы и пеня, а также право приостановить оказание услуг или отгрузку при нарушении сроков оплаты.
• Порядок обмена документами: электронный документооборот (ЭДО) или почта, сроки и правила подписания актов.
• Право зачета, удержания или оформления одностороннего акта в случаях, когда это допустимо применимым правом и условиями договора.

⚙️Операционные меры, чтобы процесс работал:

• Вести ежедневный или еженедельный реестр дебиторской задолженности с анализом возраста долга по диапазонам: 0-7 дней, 8-30 дней, 31-60 дней, более 60 дней.
• Закрепить правило: при отсутствии подписанных закрывающих документов следующая поставка или следующий этап работ не запускаются.
• Установить показатели эффективности для отдела продаж не только по выручке, но и по сроку оборачиваемости дебиторской задолженности в днях (DSO, Days Sales Outstanding) и фактическому сбору платежей.

#кадроваябезопасность

Соглашение о неразглашении конфиденциальной информации NDA👑 является документом, который устанавливает правила обращения с информацией, представляющей ценность для компании, и вводит обязательства сторон по сохранению такой информации в тайне. В рамках трудовых отношений и взаимодействия с подрядчиками этот документ фиксирует, какие сведения считаются конфиденциальными, в каких целях они могут использоваться, какие ограничения действуют при передаче и хранении, а также какую ответственность несет лицо, допустившее разглашение.

1️⃣Конфиденциальной информацией обычно признаются сведения о клиентах и партнерах, финансовые показатели, планы развития, условия договоров, внутренние регламенты, результаты исследований, технические решения, исходные материалы и иные данные, доступ к которым должен быть ограничен. Чтобы документ был применим на практике, важно не ограничиваться общей формулировкой о том, что конфиденциальной является любая информация компании, а описывать категории данных и примеры, а также указывать признаки, по которым сотрудник или подрядчик может однозначно определить режим конфиденциальности.

2️⃣Практическое применение соглашения начинается с встраивания его в процессы. На этапе начала работы рекомендуется выдавать доступы по принципу минимально необходимого объема, проводить краткий инструктаж о правилах работы с данными и фиксировать факт ознакомления. Для цифровых материалов следует заранее определить допустимые каналы обмена и хранения, требования к паролям, порядок использования личных устройств, а также правила обсуждения рабочих вопросов вне служебных коммуникаций. При завершении сотрудничества важно организовать управляемый выход, закрыть доступы, вернуть носители и оборудование, а также напомнить о продолжении обязательств по сохранению конфиденциальности после прекращения работы.

3️⃣Отдельное значение имеет описание ответственности и процедуры реагирования на инциденты. Документ должен содержать понятные последствия нарушения и порядок фиксации факта разглашения. При этом подход должен быть соразмерным и основанным на реальных механизмах контроля, так как формальные запреты без внутренних процессов и технических ограничений не обеспечивают защиту. Также рекомендуется определить исключения, например случаи, когда информация уже стала публичной или подлежит раскрытию по закону, чтобы избежать неопределенности и снизить риск споров.

4️⃣Соглашение эффективно тогда, когда оно не воспринимается как формальность, а является частью системы управления рисками. В этом случае оно помогает предотвратить утечки, дисциплинирует работу с данными, упрощает внутренние расследования и повышает доказуемость нарушений при необходимости защиты интересов компании в правовом поле.

🔴Кандидаты часто используют NDA , что бы скрыть свою прошлую жизнь и обмануть работодателя. Будьте бдительны при приёме на работу кандидатов с NDA❗️

#информационнаябезопасность

🔴Цифровой след: какие данные о нас остаются в сети и почему это важно

Цифровой след формируется каждый раз, когда мы пользуемся интернетом. Это совокупность сведений, которые прямо или косвенно описывают человека и его поведение в цифровой среде. Важно учитывать, что цифровой след появляется не только при публикации постов или комментариев. Он создается также при обычном просмотре сайтов и использовании приложений.

🔍Что относится к цифровому следу
1️⃣Действия в социальных сетях. Отметки нравится, комментарии, подписки, просмотры историй, сохранения, реакции, участие в опросах.
2️⃣Поведение на сайтах. Поисковые запросы, переходы по ссылкам, время просмотра страниц, взаимодействие с формами и кнопками.
3️⃣Геоданные. Фактическое местоположение и приблизительная геолокация по сети и настройкам устройства.
4️⃣Транзакции и покупки. Заказы в интернет магазинах, доставки, электронные чеки, участие в программах лояльности.
5️⃣Данные устройства и приложений. Модель телефона, операционная система, язык, часовой пояс, идентификаторы устройства, список разрешений приложений.
6️⃣Фотографии и медиа. Содержимое кадра, детали фона, лица, отражения, а также служебные данные файла, например метаданные снимка (metadata).
7️⃣Технологии отслеживания на сайтах. Файлы, которые помогают сайтам распознавать пользователя и сохранять его предпочтения, например файлы cookie (cookies) и элементы отслеживания (trackers).

❓Почему это важно

Собранные сведения используются для персонализации сервисов и рекламы. На их основе могут делаться выводы об интересах, привычках, маршрутах, типичных покупках и круге общения. При утечках данных цифровой след становится источником рисков, включая мошенничество, подмену личности и целевые атаки через манипуляции и сбор контекста, то есть социальную инженерию (social engineering).

✍️Практические шаги, которые снижают риски

1️⃣Проверьте разрешения приложений и ограничьте доступ к геолокации, камере и микрофону только тем сервисам, которым это действительно необходимо.

2️⃣Отключите персонализацию рекламы в настройках учетных записей и устройства.

3️⃣Регулярно очищайте данные браузера и файлы cookie, либо включите автоматическую очистку.

4️⃣Используйте уникальные пароли и менеджер паролей (password manager).

5️⃣Включите двухфакторную аутентификацию, предпочтительно через приложение генератор кодов (authenticator).

6️⃣Не публикуйте изображения и документы, по которым можно установить адрес, маршруты, номера билетов, номера документов и другие идентификаторы.

7️⃣Перед публикацией задайте себе вопрос, можно ли по этому материалу быстро восстановить личные сведения, местоположение или распорядок дня.

Ключевой вывод 🔖

Цифровая приватность не означает отказ от онлайн сервисов. Она означает управляемость и осознанность: понимание того, какие данные вы оставляете, где именно они накапливаются и как снизить вероятность нежелательных последствий.

#комплаенс

✔️В целях формирования прозрачной и добросовестной корпоративной среды в организации функционирует телефон доверия, также являющийся каналом комплаенс контроля, то есть системой обеспечения соответствия деятельности требованиям законодательства и внутренним нормативным документам компании (compliance system). Данный инструмент предназначен для приема сообщений о возможных нарушениях законодательства, корпоративной этики, внутренних регламентов, а также иных действиях, способных причинить репутационный или финансовый ущерб организации.

📲Телефон доверия представляет собой безопасное и конфиденциальное средство связи, обеспечивающее возможность информирования о фактах коррупции, злоупотребления должностными полномочиями, конфликта интересов, дискриминации, мошенничества и иных неправомерных действий. Передача информации может осуществляться как с указанием персональных данных заявителя, так и анонимно. Конфиденциальность обращения гарантируется, а все поступившие сообщения рассматриваются уполномоченными сотрудниками в установленном порядке.

💡Основная цель функционирования данного канала заключается в своевременном выявлении и предотвращении нарушений, минимизации рисков и поддержании принципов законности, добросовестности и деловой репутации организации. Каждый сотрудник и заинтересованное лицо вправе воспользоваться данным инструментом при наличии обоснованных сведений о возможных нарушениях.

❗️Ответственное отношение к вопросам соблюдения законодательства и корпоративных стандартов является неотъемлемой частью устойчивого развития организации. Использование телефона доверия способствует формированию культуры открытости, взаимного уважения и нулевой терпимости к противоправным действиям.

#кадроваябезопасность

💬Полиграф давно стал инструментом, вокруг которого сформировалось большое количество стереотипов. Массовая культура, художественные фильмы и непрофессиональные комментарии создают искажённое представление о его возможностях. Ниже представлены наиболее распространённые мифы и их разбор с точки зрения практики и методологии исследования.

6️⃣Миф первый. Если человек нервничает, значит он лжёт.
Полиграф не фиксирует ложь напрямую. Он регистрирует физиологические реакции организма, такие как частота сердечных сокращений, дыхание, электропроводность кожи и ряд других показателей. Нервозность может быть связана со стрессом, страхом самой процедуры, личной тревожностью или значимостью обсуждаемой темы. В рамках исследования применяется сравнительный анализ реакций на различные группы вопросов, что позволяет отделить общее волнение от реакции на значимую информацию. Иначе говоря, оценивается не сам факт волнения, а структура и динамика реакций.

2️⃣Миф второй. Полиграф невозможно обмануть.
Любая система, основанная на анализе физиологических процессов, теоретически может подвергаться попыткам противодействия. В открытых источниках описываются различные способы влияния на показатели, от физических приёмов до когнитивных техник контроля внимания и эмоционального состояния. Однако эффективность подобных методов значительно преувеличена. Современные методики включают контрольные вопросы, оценку поведенческих индикаторов и комплексный анализ данных. Попытки намеренного искажения результатов, как правило, выявляются в процессе исследования.

3️⃣Миф третий. Полиграф считывает мысли.
Полиграф не обладает возможностью доступа к мыслям человека. Он фиксирует исключительно физиологические изменения, возникающие в ответ на предъявляемые стимулы. Интерпретация данных осуществляется специалистом на основании методики тестирования и профессионального опыта. По своей сути это инструмент психофизиологической диагностики, а не средство чтения сознания.

4️⃣Миф четвёртый. Если молчать, прибор ничего не покажет.
Реакции организма возникают не только при произнесении ответа, но и в момент восприятия вопроса и внутренней оценки информации. Даже краткий ответ или формальное согласие сопровождаются физиологическими изменениями. Кроме того, процедура тестирования предполагает активное взаимодействие с обследуемым лицом и контроль корректности ответов. Простое уклонение от вербализации не исключает регистрации значимых реакций.

5️⃣Миф пятый. Под гипнозом полиграф бесполезен.
Гипноз представляет собой изменённое состояние сознания, однако он не устраняет физиологические реакции на значимую информацию. Более того, использование подобных состояний в рамках официальных проверок не применяется и противоречит профессиональным стандартам. Полиграфолог оценивает состояние человека до начала исследования и при наличии факторов, способных повлиять на достоверность результатов, процедура может быть перенесена или отменена.

💥Таким образом, полиграф является инструментом, эффективность которого зависит от соблюдения методики, квалификации специалиста и корректной постановки задач. Объективная оценка возможна только при комплексном подходе и понимании ограничений технологии.

#экономбез, #длясобственника

🛡Экономическая безопасность компании в 2026 году все чаще зависит не от разовых проверок, а от постоянного контроля финансовых рисков и контрагентов. Начните с трех практик.

6️⃣ внедрите ранние индикаторы, которые показывают отклонения по маржинальности, дебиторской задолженности, возвратам, списаниям и скидкам, с понятными порогами реагирования и ответственными.

2️⃣ настройте проверку контрагентов по единому стандарту, включая структуру собственников, деловую репутацию, налоговые и судебные риски, а также контроль изменений в течение всего срока сотрудничества, а не только при входе.

3️⃣ закрепите финансовые полномочия и контроль платежей, разделив роли инициатора, согласующего и исполнителя, плюс обязательную верификацию реквизитов перед оплатой.

💡Ключевой эффект: снижение потерь от ошибок, мошенничества и недобросовестных партнеров, рост прозрачности и управляемости.

#вопросответ

✉️К нам на канал поступил вопрос от нашего подписчика, из Тамбова.

🔈Здравствуйте! Расскажите пожалуйста о способах хищений в столовых, и в других точках общепита. 👩‍🍳👨🏻‍🍳

Мы подготовили ответ в виде небольшого документа, который назвали: "Способы выявления хищений в общественном питании: типовые схемы, доказательства и алгоритм внутренней проверки". Мы уверены, что Вы найдёте в нём все необходимые ответы и возникшие у Вас вопросы 🤝

Друзья, мы обращаемся к Вам с просьбой рекомендовать наш канал и сайт заинтересованным лицам и коллегам, а также сообщаем что Вы тоже можете обратиться к нам с интересующем Вас вопросом, мы постараемся подготовить качественный и профессиональный ответ. Оставайтесь в безопасности, оставайтесь с Антагорой 🦾

Дорогие девушки, мы поздравляем вас с 8 марта! 🌸

Пусть в жизни будет больше моментов, от которых тепло на душе:
утреннего солнца, искренних слов, неожиданных радостей и людей, которые ценят вас по-настоящему.

Оставайтесь вдохновением, силой и красотой этого мира.
Сегодня - ваш день. И пусть он будет прекрасным. 💐🥂🙂

#для собственника, #корпоративнаябезопасность

🔒⚙️✉️СКУД: зачем он нужен и почему важно правильно оформить его документально
Система контроля и управления доступом (СКУД) - это не просто турникеты, карточки и замки на дверях. В первую очередь это инструмент управления безопасностью, дисциплиной и прозрачностью процессов внутри компании.

⁉️Зачем компании нужен СКУД
СКУД решает сразу несколько задач:
• контролирует, кто и когда входит в здание или отдельные помещения
• ограничивает доступ в чувствительные зоны (серверные, архивы, склады)
• фиксирует события для последующего анализа
• помогает при внутренних расследованиях и проверках

Фактически СКУД формирует объективный журнал событий, который нельзя «дописать задним числом».

❗️Почему важно закрепить СКУД локальными актами
Одна из самых частых ошибок - внедрить систему технически, но не оформить её юридически. Без локальных нормативных актов данные СКУД могут оказаться бесполезными при служебных проверках.

✏️Чтобы использовать информацию из системы официально, необходимо:
• закрепить порядок работы СКУД в локальных актах
• определить правила выдачи и блокировки пропусков
• установить зоны доступа и категории сотрудников
• определить порядок хранения и использования журналов событий
• закрепить ответственность за администрирование системы

Если этого нет, результаты из системы могут быть оспорены как внутренне, так и в трудовых спорах.
Почему важно правильно распределить доступ
Нередко именно неправильная модель доступа создаёт риски.
Например:
- охрана может скрывать пробелы в своей работе, если имеет избыточные права в системе
- администраторы могут менять логи или доступы без контроля
- доступ к серверу СКУД может оказаться у слишком большого количества сотрудников

Поэтому необходимо разделять роли, и обязательно фиксировать, кто имеет доступ к серверу СКУД и журналам событий.

🔔СКУД - это не только техника, а элемент корпоративной безопасности. Его ценность появляется только тогда, когда система правильно настроена, роли распределены, а правила работы закреплены документально.
Иначе даже самая дорогая система превращается просто в турникет на входе.

#информационнаябезопасность

✉️Социальные сети это не только средство общения, но и полноценная поверхность атаки. Когда говорят о рисках для пользователя социальной сети, часто вспоминают только фишинг, однако на практике перечень угроз значительно шире.

👀Обычный пользователь может столкнуться с мошенниками, которые используют:
- фальшивые розыгрыши
- поддельные обращения якобы от службы поддержки
- срочные просьбы перевести деньги от имени знакомых
- фиктивные интернет магазины и схемы сбора платежных данных

🚨Дополнительную опасность представляют вредоносные ссылки и файлы, включая:
- вложения
- установочные пакеты для мобильных устройств
- архивы
- документы и изображения, которые могут привести к заражению устройства, краже учетных данных или компрометации аккаунта.

⚠️Существенную роль играет и раскрытие сведений:
- открытый профиль
- геолокация
- список контактов
- сведения о месте работы
- фотографии документов
- номер телефона и иные персональные данные помогают злоумышленникам проводить социальную инженерию, а также готовить более точечные атаки.

🚩Не менее значимы и репутационные риски, поскольку старые публикации, комментарии, подписки, утечки переписки или использование взломанного аккаунта способны нанести пользователю серьезный личный и профессиональный ущерб.

✏️Для бизнеса и сотрудников компании на таких площадках сохраняются базовые угрозы, среди которых компрометация корпоративных аккаунтов, сбор информации о компании через профили сотрудников, вакансии, фотографии из офиса и публичные обсуждения, создание поддельных аккаунтов бренда и работников, распространение вредоносных ссылок якобы от коллег, а также применение дипфейков и иных методов социальной инженерии.

🔈 Практический вывод заключается в том, что даже отечественная цифровая площадка не является автоматически безопасной только по факту своего происхождения. Безопасность начинается с соблюдения базовой цифровой гигиены: использования двухфакторной аутентификации (2FA), ограничения видимости профиля, осторожного отношения к ссылкам и вложениям, разделения личных и рабочих аккаунтов, а также понимания того, что любая социальная сеть представляет собой источник данных для потенциального атакующего.

#кадроваябезопасность, #персональныеданные

❓Нужно ли работодателю получать согласие работника на обработку персональных данных, если все действия осуществляются в рамках трудового законодательства

🚩При осуществлении кадрового учета и иных действий, непосредственно связанных с оформлением, изменением, исполнением и прекращением трудовых отношений, отдельное согласие работника на обработку его персональных данных, как правило, не требуется. Это связано с тем, что в указанных случаях обработка персональных данных необходима работодателю для исполнения обязанностей, возложенных на него трудовым законодательством и иными нормативными правовыми актами.

✔️К таким действиям относятся оформление трудового договора, ведение личных дел работников, издание кадровых приказов, расчет и выплата заработной платы, оформление отпусков, направление сведений в государственные органы и внебюджетные фонды, а также хранение документов в течение установленных сроков. Во всех перечисленных случаях работодатель действует не по собственному усмотрению, а в пределах требований закона.

👀Вместе с тем отсутствие необходимости в получении согласия не означает, что работодатель вправе обрабатывать любые сведения о работнике без ограничений. Обработка должна соответствовать конкретной и законной цели, быть соразмерной этой цели и не выходить за пределы объема сведений, действительно необходимых для исполнения трудовых обязанностей работодателя.

📎Если же персональные данные работника используются в целях, не вытекающих непосредственно из трудового законодательства или содержания трудовых отношений, согласие может потребоваться. Например, это возможно при размещении сведений о работнике в открытом доступе, передаче данных третьим лицам при отсутствии прямого указания закона, использовании фотографий, видеозаписей или иных данных для дополнительных корпоративных, рекламных или информационных целей.

✏️Таким образом, если кадровая служба обрабатывает персональные данные исключительно в рамках исполнения обязанностей работодателя, предусмотренных трудовым законодательством, отдельное согласие работника обычно не требуется. Однако в каждой ситуации необходимо оценивать цель обработки, состав передаваемых сведений и наличие законного основания для соответствующих действий.

#ИБпростымисловами #длясобственника

🚨Подрядчики и внешние системные администраторы как источник риска для бизнеса

Собственники часто считают, что главная угроза находится снаружи компании. На практике значительная часть рисков возникает там, где бизнес сам открыл доступ к своим данным, системам и процессам. Речь идет о подрядчиках, внешних технических специалистах, интеграторах, обслуживающих компаниях и системных администраторах, которые не состоят в штате.

⚠️Проблема начинается в тот момент, когда внешний специалист получает не только доступ к инфраструктуре, но и фактический контроль над критичной для бизнеса информацией. Он знает, где хранятся резервные копии, кто имеет права администратора, как устроены почта, CRM, серверы, каналы связи, учетные записи и ключевые настройки. Если такой доступ не ограничен и не контролируется, компания становится зависимой от человека, который формально не является частью ее структуры и не несет такой же ответственности, как внутренний сотрудник.

Риски в этой ситуации вполне прикладные.

1️⃣ Подрядчик может копировать клиентские базы, коммерческие документы, финансовую информацию, технические конфигурации и внутреннюю переписку. Иногда это делается для последующей продажи, иногда для давления на собственника, иногда для использования в интересах конкурентов.

2️⃣ Внешний специалист нередко накапливает уникальные знания о цифровой инфраструктуре компании и удерживает их у себя. В результате бизнес теряет управляемость. Доступы, пароли, учетные записи, схемы резервирования и журналы изменений оказываются в одних руках. Это уже не обслуживание, а скрытая монополия на управление критичной средой.

3️⃣ В случае конфликта или резкого прекращения сотрудничества внешний системный администратор может начать сжигать мосты. На практике это выражается в удалении учетных записей, отключении сервисов, изменении паролей, блокировке доступа к резервным копиям, уничтожении логов, остановке почты и нарушении работы серверов. Даже один человек с избыточными полномочиями способен парализовать операционную деятельность компании.

4️⃣ Утечка или компрометация данных у подрядчика автоматически становится проблемой заказчика. Если у внешней стороны украдены пароли, токены, архивы переписки или файлы конфигурации, последствия в первую очередь наступают для бизнеса, который этот доступ выдал.

✔️Контроль здесь должен быть не формальным, а управленческим.

Любой доступ выдается только под конкретную задачу и на ограниченный срок.
У каждого подрядчика должна быть персональная учетная запись. Общие аккаунты лишают компанию возможности понять, кто именно выполнял действия в системе.
Права доступа должны быть минимально необходимыми. Если специалисту не нужен доступ к клиентской базе, финансовым данным или административным разделам, он не должен его получать.
Критичные пароли, ключи, резервные копии и сведения о конфигурации должны храниться внутри компании и быть доступны не одному человеку, а уполномоченному руководителю или назначенному ответственному.
Все действия с привилегированным доступом должны фиксироваться в журналах событий. Компания обязана видеть, кто, когда и что менял.
При завершении работы необходимо сразу отзывать доступы, менять пароли, перевыпускать ключи, проверять резервные копии и подтверждать, что внешний специалист больше не контролирует ни один элемент инфраструктуры.
Не реже одного раза в месяц стоит проводить короткую проверку: кто именно имеет доступ к системам, какие права у него остались и зачем они ему нужны сейчас.

✏️Главный вывод для собственника прост. Внешний подрядчик и внештатный системный администратор могут быть полезны бизнесу, но только до тех пор, пока компания сама управляет доступом, информацией и правилами контроля. Если управление передано наружу, вопрос уже не в удобстве, а в риске потери данных, денег и устойчивости бизнеса.

🚩Подрядчик должен выполнять функцию сервиса, а не становиться теневым владельцем вашей инфраструктуры.

#Байкибезопасника

❗️В финансовый отдел пришло сообщение от бухгалтера. Смысл простой: директор ждет срочный платеж, вопрос нужно закрыть сегодня.

🔈Через несколько минут раздался звонок. Голос директора был узнаваемым, спокойным и уверенным. Он подтвердил, что платеж действительно важный и откладывать его нельзя.

✉️Почти сразу в рабочем чате появилось еще одно подтверждение. Для сотрудника этого оказалось достаточно. Письмо, звонок, сообщение. Все совпало, значит ситуация выглядит реальной.

👀Именно на это и рассчитана современная атака. Человека убеждает не один сигнал, а несколько каналов связи сразу. Когда одно и то же требование приходит последовательно из разных источников, оно воспринимается как проверенное. Даже если все эти источники контролирует злоумышленник.

💬Сегодня такие схемы усиливаются подделкой голоса с помощью технологий синтеза речи, которые часто называют дипфейком (deepfake). Поэтому опасность уже не в одном подозрительном письме, а в хорошо собранной иллюзии обычного рабочего процесса.

🚩Вывод для бизнеса простой. Срочный платеж, смена реквизитов или выдача доступа не должны подтверждаться голосом, сообщением в чате или одной цепочкой переписки. Для критичных действий нужен отдельный порядок проверки.

⚠️ правила, которые действительно работают

1️⃣Любой срочный платеж подтверждается через установленную процедуру с участием второго ответственного лица.

2️⃣Любая нестандартная просьба от имени руководителя перепроверяется по независимому каналу связи.

3️⃣Любое давление на срочность считается не основанием для ускорения, а поводом для дополнительной проверки.

4️⃣ Используйте кодовое слово, о котором договоритесь лично с сотрудником, мошенники не могут его знать. При малейшем сомнении, просите собеседника сказать кодовое слово, или уточнить известный только ему факт (какого цвета у него кружка в офисе или есть ли фотография семьи на его рабочем столе).

Сильная система безопасности начинается там, где процесс важнее спешки, должности и убедительного голоса. 🦾😎