A biztonság akkor működik jól, ha „nem történik semmi”. Ez az egyszerű mondat remekül leírja azt a jelenséget, amelyet a láthatatlanság paradoxonának nevezünk. „A biztonsági funkció egyik legnagyobb kihívása éppen az, hogy a jól végzett munka eredményeinek kommunikációja nehezebb, mint egy direkt eredményt produkáló részlegé”.
A láthatatlanság paradoxona
A fizikai biztonság természetéből fakadóan jellemzően preventív jellegű. Nem az a feladata, hogy látványos eredményeket produkáljon, hanem az, hogy megelőzzön olyan eseményeket, amelyek súlyos anyagi vagy erkölcsi kárt okoznának a szervezetnek. Paradox módon pont a sikeres működés az, ami miatt sokszor szinte láthatatlanná válik. Hiszen, ha nem történt semmi, miért is lenne rá szükség? Ezzel a problémával a szakmabeliek többsége valószínűleg már találkozott.
Bár a nemzetközi gazdasági fejlődéssel és innovációval foglalkozó svájci Horasis hasábjain ezt egészen más kontextusban vizsgálták, mégis a megállapításaik nagyon pontosak a vagyonvédelemre vonatkoztatva is: „Minél sikeresebb vagy a megelőzésben, annál inkább feleslegesnek tűnnek az erőfeszítéseid.” Abiztonsági funkció egyik legnagyobb kihívása éppen az, hogy a jól végzett munka eredményeinek kommunikációja nehezebb, mint egy direkt eredményt produkáló részlegé. Egy sikeres marketingkampány után nőnek az eladások, egy jól tárgyalt beszerzési szerződés után csökken a beszerzési költség, arról nem is beszélve, hogy az adott szervezet elsőszámú jövedelemtermelő funkciója (pl. termelés egy gyártóvállalatnál) mennyire könnyű helyzetben van, amikor érdekérvényesítésről van szó. Egy sikeres biztonsági rendszer bevezetése és üzemeltetése után viszont „nem történik semmi”.
Ez a semmi a biztonsági funkció egyik legnagyobb ellensége, különösen, ha kezeletlen marad.
Forrás: Piac és Profit
A biztonsági funkció versenye a látható eredményekkel
Az üzleti környezetben sokszor csak azokat a funkciókat tekintik értékteremtőnek, amelyek vagy bevételt hoznak, vagy közvetlenül hozzájárulnak a kézzelfogható és mérhető eredményekhez. Ennek megfelelően a legnagyobb figyelem a sales- és termelési osztályokat illeti (illetve azokat, amelyek az elsődleges felelősei a jövedelemtermelésnek az adott vállalatnál), őket követik a marketing, logisztika, funkciók, ahol általában közvetlenebb a kapcsolat a jövedelemtermelő osztályokkal. A biztonság – akár fizikai, akár cyber – jellemzően ezek után következik.
Ez nem véletlen. Mivel a biztonság költségként jelenik meg, és eredménye sokszor nem látható, így a figyelemért, elismerésért és erőforrásokért folytatott belső versenyben is hátrányból indul. Gyakran nehézségként jelentkezik a belső érdekérvényesítés, a költségvetési harcok évente ismétlődő problémája, hogy hogyan tudja egy biztonsági vezető érthetően, és lehetőleg számokkal alátámasztva megindokolni, miért szükséges pénzt ölni valamibe, amiből „nem lett baj”.
A válasz sokszor nem egyértelmű. Ez vezet el a következő ponthoz: megtérül-e egyáltalán a biztonság?
A megtérülés dilemmája: ROI mítosz vagy valóság?
A megtérülés számítása a biztonság területén mindig is problematikus volt. Persze itt is vannak kivételek, pl. a kiskereskedelem területén a vagyonvédelmi szakemberek (loss prevention) egyéb iparágakban tevékenykedőkhöz viszonyítva nagyon könnyen tudják érvényesíteni az érdekeiket, hiszen a kiskereskedelmi veszteségek nagyon komoly hatással tudnak lenni ezeknek a vállalatoknak a profitabilitására (sokszor nem is vagyonvédelemként, hanem profitvédelemként hivatkoznak ezekre a funkciókra). De nem ez az általános. Jellemzően felmerül a kérdés, hogyan lehet értelmezni egy olyan befektetés megtérülését, amelynek legsikeresebb kimenetele az, hogy semmi nem történt, legalábbis látszólag, mert nyilván nagyon sok minden történik annak érdekében, hogy „ne történjen semmi”.
A klasszikus ROI-számítás helyett érdemes lehet valamilyen alternatív megközelítést keresni erre a problémára. Az egyik ilyen irány az, hogy megpróbálunk kilépni a mindenki által ismert, fix költségtervezési metódusból, amikor az éves budgetünket forintról forintra, sorról sorra előre betervezzük. Ha be tudunk vezetni egy rugalmas költségvetésmenedzsmentet és képezhetünk a saját költségvetésünkben tartalékokat a kockázatok kezelésére, akkor kialakíthatunk egy sokkal rugalmasabb modellt, ahol az alapfeladatok költségei mellett képességekben gondolkozhatunk. Itt az kell legyen a cél, hogy a szervezet kockázatainak kezelésére úgy alakítsunk ki képességeket, hogy a redundáns erőforrások a lehető leghatékonyabb módon kerüljenek kialakításra. Pl. a vagyonőri létszámot úgy alakítsuk ki, hogy az alapfeladatokat tudják magas szinten ellátni, de nem feltétlenül szolgálja a szervezetünk biztonságának érdekeit (és az üzleti érdekeit sem) az, ha a rendkívüli események kezelésére plusz létszámot tartunk fenn, persze van amikor ez elkerülhetetlen, de nagyon sokszor találkoztam olyannal, hogy a vészhelyzeti tervezés során meg sem vizsgálták annak a lehetőségét, hogy ne állandó személyzettel készüljenek, hanem mondjuk egy rugalmasabb és költséghatékonyabb megoldást válasszanak, mondjuk valamilyen technológiai vagy készenléti megoldás formájában. Ez sokszor oda szokott vezetni, hogy a mindennapokban „dugdosni” kell az őröket és mindenkit járőröztetni kell, hogy az ügyvezető ne azt lássa minden reggel, hogy az őrök a portán 3-asával, 5-ösével beszélgetnek. Ráadásul, ha elmozdulunk a rugalmas kapacitástervezés irányába, akkor azt fogjuk tapasztalni, hogy azonos költségvetésből sokkal magasabb színvonalú rendszert tudunk kialakítani.
Ahhoz, hogy a fentieket meg lehessen valósítani, legalább az alábbiakra van szükség:
- Egy biztonsági kockázatértékelésre, lehetőleg kvantitatív megközelítésben, hogy minden pontos számokkal legyen alátámasztva. Ez teszi majd lehetővé, hogy objektívek legyünk a tervezés során és pontosan tudjunk kalkulálni azokkal a képességekkel, illetve kapacitásokkal, amikre szükség van.
- Stratégiai tervezési szemléletre, amely lehetővé teszi, hogy a szokásostól eltérő koncepciót dolgozzunk ki és képesek legyünk egy már meglévő rendszert átalakítani is.
- Rugalmas működési modellre, amelyben lehetőség van tartalékok képzésére, külső erőforrások bevonására, és az erőforrások átcsoportosítására is szükség esetén.
- Szervezeti támogatásra, hiszen a felsővezetés támogatása nélkül ilyen jellegű átalakításokról álmodozni sem érdemes.
De, nagyon fontos, hogy ez azért messze nem egy csodafegyver, hiszen a siker továbbra sem lesz látványos. Viszont ezáltal átalakíthatjuk a biztonsági funkció percepcióját, már nem egy hatalmas, évről évre növekvő fix költségről lesz szó, hanem egy alacsonyabb költségről, amiket a kvantitatív kockázatértékelés révén számszerűsített védelmi képességek költségei egészítenek ki, ez pedig egy teljesen új típusú párbeszédet tesz lehetővé a pénzügyi és üzleti döntéshozókkal.
A társrészlegek, mint valódi partnerek
A modern biztonsági rendszerek már nem csak biztonságos működési környezetet teremtenek (vagyis védenek), hanem adatot is szolgáltatnak. Ez pedig kapcsolódási pontokat jelenthet azokhoz a vállalaton belüli társosztályokhoz, akik a pénzt termelik, vagy az általuk előállított értékek jobban mérhetőek és kommunikálhatóak. Ha ezeknek a részlegeknek az értékteremtő folyamataihoz adatot tudunk szolgáltatni, vagy a biztonsági folyamatokat hozzá tudjuk kapcsolni az ő értékteremtő folyamataikhoz, akkor olyan szövetségesekre tehetünk szert, akiknek komolyabb hatásuk is lehet a költségvetések tervezésére a szervezeten belül, ami aztán így természetszerűen juttathatja a biztonságot is egy jobb „alkupozícióba”.
Ráadásul az, ha hozzá tudunk kapcsolódni a szervezet egyéb, nem biztonsági folyamataihoz, akkor azok kialakítására is az eddiginél több hatásunk lehet és sokkal könnyebbé válik a biztonságtudatosság terjesztése a szervezeti kultúrában. Egy ilyen jellegű szemléletváltásnak talán a legnagyobb hozadéka pedig az lehet, hogy az informális befolyásunk is nőni fog, ami további lehetőségeket tud számunkra a biztonság fontosságának megértetésében és elfogadtatásában.
Ezáltal egy komoly incidens sikeres kezelése nélkül is válhat a biztonsági funkció megbízható és értékes partnerré a szervezeten belül.
Értsük meg és beszéljük is az üzlet nyelvét
Ahhoz, hogy a fentiek megvalósuljanak, elengedhetetlen, hogy a biztonsági vezető megértse a döntéshozók és a társrészlegek gondolkodási kereteit. Persze mondhatjuk, hogy ennyi erővel ők is vehetnék a fáradtságot, hogy megértsék a biztonság nyelvét, fontosságát és igényeit, de ebből a szempontból én egyértelműen a proaktivitás híve vagyok.
Az első lépés itt az, hogy megértjük a szervezetnek, aminek dolgozunk, a céljait, problémáit, prioritásait és értékeit is. Ha ezeket megértettük, akkor válhatunk képessé arra, hogy arra fókuszáljunk, ami nemcsak nekünk fontos vagyonvédelmi szakemberként, hanem a cégnek is és a pénzügyi döntéshozónak is.
Ezáltal elkerülhetjük azokat a jeleneteket, amikbe a szakmánk képviselői lépten nyomon belefutnak, hogy kidolgoznak egy remek szakmai koncepciót, amit bemutatnak a döntéshozónak, aki értetlenül néz vissza rájuk, hogy igen érti miről van szó, de miért érné meg ezt az összeget elkölteni arra, hogy megfelezzük az incidensek számát, hiszen az most is alacsony, a hatásuk pedig gyakorlatilag kimutathatatlan a könyvelésben.
A láthatatlan érték láthatóvá tétele
A jó biztonság diszkrét, csendes és megelőző. De ettől még nem értéktelen.
A mai biztonsági vezetőnek nemcsak incidenseket kell megelőznie és a bekövetkező incidenseket kezelnie, hanem képesnek kell lennie üzletemberként gondolkoznia. Ehhez üzleti tudásra és szemléletváltásra van szükség. Aki erre képes, az nemcsak a kockázatokat kezeli, hanem hozzájárul a szervezet értéktermeléséhez is és önmagát és a szakmát is sokkal inkább megbecsülté teheti a szervezeten belül.
Akkor is, ha a végén azt mondhatjuk: „nem történt semmi”.
Nyéki Dávid
Nyéki Security Consulting
Felhasznált irodalom:
- Alec Wang: How Should We Look At Invisible Success (Horasis, 2023)
- Felix P Nater: A Risk Mitigation Strategy in Preventing Workplace Violence (Security Magazin, 2011)
- Rafael De Queiroz Batista, Eduardo de Rezende Francisco: Information security: the dilemma of the effectiveness of investments when the expected result is that nothing happens (Information & Computer Security, 2025)
Forrás: Detektor Security
