IT для бизнеса: Как выбрать систему контроля и управления доступом

Стремление к безопасности относится практически ко всем областям человеческой деятельности. Мы ставим заборы и двери, изобретаем все более сложные замки и системы наблюдения, разрабатываем методологии предотвращения проникновений на свою территорию, составляем служебные распорядки и графики посещений, используем средства для отслеживания кибер-атак, поиска и преследования нарушителей офлайн и онлайн.

За последние десятилетия на первый план вышла проблема защиты данных, но суть вопроса осталась прежней, как в самые древние времена – цена обеспечения безопасности должна быть ниже стоимости того, что мы защищаем. Собственно, это универсальная формула, на которой построена вся эволюция жизни на планете.

Безопасность – одна из фундаментальных потребностей любого живого организма. Важнейшая, но не единственная потребность. И точно так же, как черепаха может себе позволить панцирь определенной толщины, не более – бизнес ограничен в ресурсах, которые разумно инвестировать в системы безопасности.

Итак, выбор решений для защиты – это вопрос баланса. Давайте рассмотрим этот тезис на примере СКУД – систем контроля и управления доступом.

Виды СКУД

Позвольте напомнить, какие задачи решает СКУД.

Физический доступ и идентификация лиц, имеющих право доступа:

  • ограничение доступа на территорию предприятия, в кабинеты, служебные помещения и т.д.;
  • контроль нахождения и перемещения сотрудников или посетителей по зданию;
  • контроль передвижения персонала (и транспорта) по маршрутам;
  • ограничение доступа к информации (персональной, секретной, архивной).

Информационная безопасность:

  • защита, разграничение доступа, передача, шифрование и хранение данных;
  • контроль за перепиской и разговорами по различным каналам связи.

Дополнительные задачи, связанные с интеграционными решениями:

  • учет рабочего времени сотрудников;
  • выдача ценностей или подотчетных предметов сотрудникам и посетителям;
  • оповещение сотрудника о нарушениях или событиях, требующих внимания (SMS, email);
  • интеграция с системами безопасности (видеонаблюдение, охранная и пожарная сигнализация).

У каждой сферы бизнеса в любой отрасли существуют задачи по обеспечению безопасности, которые можно решить, применив соответствующую сетевую или автономную систему СКУД.

Автономные системы не требуют серьезных финансовых затрат, и они просты в применении. Такие СКУД не нужно подключать к компьютерам, локальным сетям или интернету. Разумеется, это накладывает серьезные ограничения на функциональные возможности. Например, при выборе автономных СКУД не приходится ожидать информации для учета рабочего времени.

Сетевые системы контроля и управления доступом на сегодняшний день являются самыми эффективными, за счет того, что позволяют управлять большим числом удаленных устройств. Сетевые СКУД могут предоставлять кадровым службам и руководителям компании широкий набор отчетов об опозданиях, ранних уходах, текущем присутствии сотрудника на рабочем месте. Даже если компания имеет филиальную структуру, сетевые IT-решения позволяют обеспечить сбор и аккумуляцию всех данных, необходимых для анализа.

Кроме того, сетевая система необходима в тех случаях, когда контроль должен осуществляться в режиме реального времени. Например, посетитель поднес электронный пропуск к считывателю – и вахтер тут же видит на своем мониторе фото визитера. При этом разрешение на доступ могло быть подписано в одном офисе, фото и данные внесены в другом офисе, а за актуализацией этих сведений следят сотрудники в третьей локации. Разумеется, интеграция с системами видеонаблюдения и/или оповещения также предполагает сетевой характер СКУД.

Как обеспечивается управление доступом

Физически СКУД начинается с преграждающих устройств. К их числу относятся:

1) ворота и шлагбаумы на въездах на территорию;

2) турникеты на проходных и общественных объектах для контролируемого прохода большого количества людей;

3) на особо охраняемых объектах с повышенными требованиями к безопасности – шлюзовые кабины;

4) электромагнитные, электромеханические замки с ключами различных технологий (так называемые «идентификаторы»).

Идентификатор – это, фактически, ключ. В зависимости от вида запирающего устройства, идентификатор можно вводить с клавиатуры либо использовать для получения доступа брелоки, карточки с чипами, магнитной полосой, бесконтактные карты или карты с RFID метками. Также ключом может быть биометрический признак человека — отпечаток пальца, руки, рисунок сетчатки или радужной оболочки глаза, полное трехмерное изображение лица.

Соответственно, выбирая ключ и технологию, мы выбираем уровень защищенности объекта. Цена идентификаторов сильно варьируется. Карточки или брелоки стоят от 50 рублей за штуку, отпечаток пальца вообще бесплатный. Основная ценовая нагрузка ложится на считыватель. Цена простых моделей колеблется в диапазоне от 2 до 10 тыс. рублей. Более сложные устройства стоят от $500.

Варианты считывателей зависят от типа ключа. Например, для считывания рисунка радужной оболочки глаза необходима видеокамера. Также имеет значение место установки считывателя, автономность, климатические условия, угроза вандализма, дальность идентификации (в частности: номера машины на парковках, платных проездах, камерах контроля скорости) и некоторые другие факторы.

Итак, информация с ключа считана и попала в контроллер. Именно там происходит сравнение кода с кодами, записанными в базе СКУД. На основании сравнения устройство получает команду – как правило, пропустить или нет. Но возможны и варианты (например, пропустить и отправить оповещение об этом, или не пропустить и вызвать полицию). Контроллер - это основная часть СКУД, поэтому обычно он оснащается автономным источником электропитания.

Примеры применения СКУД

Владельцы и руководители заведений общественного питания крайне заинтересованы в том, чтобы клиенты были довольны обслуживанием. Конечно, это очень универсальное пожелание, но специфика общепита заключается, помимо прочего, в том, что даже несколько минут простоя приведут к убыткам, не говоря о часах. Определенное количество сотрудников должно быть на рабочих местах строго вовремя.

Соответственно, необходима актуальная информация о персонале. В случае отсутствия или нехватки человеческих ресурсов на объекте руководство может перебросить персонал с другого объекта или воспользоваться резервом. Особенно остро кадровый вопрос стоит в пиковое время работы заведения. Выяснять, уточнять и перезваниваться некогда. Необходима полная и свежая информация обо всех сотрудниках «здесь и сейчас». Кстати, эти данные пригодятся потом при расчете заработных плат и начисления премий (или штрафов). Если накопление данных не автоматизировано, это создаст проблемы, потому что «задним числом» определить достоверную картину гораздо сложнее и не всегда возможно.

Схожие проблемы, пусть и немного в другом ракурсе, могут возникать также в других сферах деятельности. Например, в ритейле. В сети магазинов, разбросанных по городу (области, стране, миру), директор каждой торговой точки контролирует ее работу, в том числе персонал. Во всяком случае, так должно быть. Но есть ли уверенность в том, что все сотрудники ходят на работу согласно штатному расписанию, исполняют свои должностные инструкции и получают заработную плату по заслугам? Внезапно посетив удаленный объект, можно вместо десяти человек на рабочих местах застать всего пять, причем двое из них курят или сидят «в интернете». Между тем, в ФОТ денежные средства перечисляются полностью, по ведомости на всех сотрудников. Если так, то вас попросту обкрадывают. Значит, реальные доходы этого магазина могли быть выше, и должны быть выше – но «человеческий фактор» оказался сильнее мониторинга собственных бизнес-процессов.

Еще один пример, немного в другом ракурсе. Оптовые сделки, неважно в каком секторе. Полный порядок с соблюдением рабочего графика, все сотрудники трудятся в поте лица и даже остаются сверхурочно. Никаких проколов с антивирусными программами, физический доступ тоже налажен, как положено. В общем, идеальный порядок, эффективно функционирующая СКУД. Один из сотрудников решил «слевачить». Договорился об откате за сделку. Переговоры вел по личному сотовому, причем на время таких разговоров выходил в коридор. Разумеется, никаких передач чего бы то ни было из рук в руки в офисе. Контракт по бумагам «чистый». Идеальное преступление? Могло бы стать таким. Но служба безопасности прислала нарушителю письмо с предложением вернуть «сэкономленные» деньги в бухгалтерию или написать заявление об увольнении.

Чтобы отследить попытку воровства и даже записать разговор в качестве доказательства, потребовался программно-технический комплекс, действующий в интеграции с системами наблюдения, а также отслеживанием электронной переписки по списку ключевых слов. Звучит как сюжет для детектива, однако случай реальный.

Современные системы контроля и управления доступом ориентированы на приоритетную защиту информации

Технических возможностей для пресечения злоупотреблений и прямых угроз безопасности бизнесу сейчас очень много. Вопрос в том, как подойти к их выбору и как конкретно применять на практике.

Как внедрять СКУД?

Большинство рекомендаций звучат универсально. Уверен, специалисты многих направлений IT узнают этот алгоритм по собственным процедурам и регламентам.

1) Прежде чем принять решение о внедрении СКУД или любой другой системы безопасности на предприятии, определите основную цель внедрения. Оцените слабые места. Проанализируйте ситуацию, организуйте проверки, самостоятельно или с привлечением сторонних лиц – это необходимо для формирования четких задач. Затраты на анализ позволят оптимизировать затраты на внедрение.

2) Если вы уже определились с задачами, найдите специалистов в данной области. Обратите внимание на принцип работы систем как программного комплекса, так и оборудования. О сборе рекомендаций и изучении списка завершенных проектов партнера по автоматизации безопасности даже упоминать неловко – все это и так понятно.

3) Требуйте от будущих поставщиков или интеграторов демонстрацию функционала и всех возможностей системы. Лучше всего выбирать популярные системы, сопровождение которых можно выполнять самостоятельно или с привлечением другой IT-компании. Также нежелательно внедрять систему, в которой разбирается один единственный человек из команды.

4) Выбирайте решение, наиболее полно удовлетворяющее потребности бизнеса сегодня, чтобы не составило труда адаптировать его под решение различных задач в будущем. Стоит учесть, что не все описанное в документации к системе будет работать так, как вам хочется. Зачастую при написании программных частей системы используются определенные подходы, которые в вашем случае могут оказаться неудобными. Если так и есть – попросите разработчика или интегратора системы оптимизировать ее под потребности компании. Оптимизация займет некоторое время и будет иметь свою цену, зато в итоге вы получите то, что нужно.

5) Внедрение лучше всего проводить поэтапно. Вначале рекомендую внедрить управленческую часть. Научите сотрудников пользоваться основным функционалом системы, добейтесь первых результатов. При необходимости интегрируйте данные, полученные от системы, с уже имеющимися программными инструментами, это приблизит всех участников к цели. Итогом первого этапа внедрения СКУД должен быть отчет, в котором показано влияние различных показателей деятельности компании на индексы эффективности работы каждого объекта, участка и предприятия в целом.

6) На следующем этапе проведите внедрение исполнительной части системы на одном или нескольких объектах. Полученных данных будет достаточно для первоначального анализа. Кроме того, уже на данном этапе вы решите большинство возможных вопросов по внедрению, а полученный опыт ускорит автоматизацию управления безопасностью.

7) Затем, после первого успешно завершенного внедрения, можно с минимальными рисками автоматизировать остальные участки. Заранее спланировать и заложить в бюджет более точную стоимость внедрения не составит труда, потому что вы будете опираться на собственный опыт.

8) Не следует забывать о поддержке системы. Своими силами или силами интеграторов, но обязательно нужно обеспечить бесперебойную работу СКУД. В противном случае эффект от внедрения будет крайне незначителен.

9) Хочу обратить ваше внимание на биометрические системы. Это уже не будущее из кинофильмов, а вполне ощутимое настоящее. Производителей таких устройств много, и они выводят на рынок все более зрелищные устройства и программы по все более приемлемым ценам. Конечно, биометрика дороже, чем простые системы с чипами и картами – но она и значительно надежнее. Карточку или чип можно передать, забыть, потерять, подделать. Отпечаток пальца или руки, рисунок сетчатки глаза или карта кровеносных сосудов на лице всегда с владельцем.

Здесь мы возвращаемся к исходному тезису о целесообразности. Попробуйте оценить прямой фактический ущерб в случае прорыва контура безопасности злоумышленниками. Добавьте к этому вероятные косвенные убытки, включая упущенную прибыль, угрозу репутации в глазах клиентов и другие факторы. Насколько вероятны эти риски? Какое число людей внутри и снаружи организации вовлечены в рассматриваемые процессы?

На просторах интернета есть описания множества СКУД, решений для защиты информации и других инструментов. Поставщики IT-решений, консультанты, интеграторы будут рады помочь. Безусловно, сам выбор системы и потом выбор партнеров по ее внедрению и поддержке – отдельные риски. Но вы уже рискнули, когда основали или возглавили бизнес, и знаете, что такое оправданный риск.

Исходите из обычного критерия – прибыльности. Инвестиции в СКУД окупаются за счет предотвращения угроз, просчитанных заранее. Если система защиты недостаточно хороша, в ней будут «дыры», и это приведет к убыткам. Если СКУД слишком хороша, что «муха не пролетит», но это влетит в такую копеечку, что лучше бы обокрали. Нужен баланс, золотая середина.

Редактор рубрики «IT для бизнеса» – Сергей Соловьев

Источник изображения в анонсе: pixabay.com

Эта публикация была размещена на предыдущей версии сайта и перенесена на нынешнюю версию. После переноса некоторые элементы публикации могут отражаться некорректно. Если вы заметили погрешности верстки, сообщите, пожалуйста, по адресу correct@e-xecutive.ru
Комментарии
Директор по развитию, Москва

а какое отношение ... технология слежения за сотрудниками имеет к... тематике Бизнес-Менеджмент Портала?!

Глава филиала, регион. директор, Сочи

Добрый день, Татьяна!
Технология слежения, это такой же бизнес инструмент как и всё то многое что представлено на портале.

Нач. отдела, зам. руководителя, Москва
Дмитрий Ромаденков пишет: Добрый день, Татьяна! Технология слежения, это такой же бизнес инструмент как и всё то многое что представлено на портале.
Дмитрий, это статья не для портала. В ней нет ничего интересного и полезного, и представляет собой Вашу рекламу в чистом виде. Не более того.
Оставлять комментарии могут только зарегистрированные пользователи
Статью прочитали
Обсуждение статей
Все комментарии
Дискуссии
Все дискуссии