Как оценивать и контролировать уровень культуры безопасности в компании? Культура пищевой безопасности – это общие ценности, убеждения и нормы, влияющие на мышление и поведение людей в отношении безопасности пищевых продуктов во всех подразделениях организации. Цели и задачи внедрения культуры безопасности заложены в самой сути культуры безопасности — добиться снижения происшествий, аварий, травматизма до нуля. Эксперт рассказал об основных этапах, которые проходит компания в ходе развития культуры безопасности, о ключевых методах ее оценки и важности приверженности руководства в данном процессе. Культура безопасности – это такой набор характеристик и особенностей деятельности организаций и поведения отдельных лиц, который устанавливает, что проблемам безопасности АС, как обладающим высшим приоритетом, уделяется внимание.
Достичь позитивной Культуры ОТ – возможно ли это?
Такой подход сильно влияет на бизнес-процессы. Чем больше вы следите за каждым шагом сотрудников и добавляете новые системы контроля, тем сложнее людям работать. Это банально неудобно, поэтому люди хуже выполняют задачи и пытаются создать более комфортные условия. Некоторые сотрудники даже пытаются обойти средства защиты — особенно технические специалисты. Они могут думать: «Я же не дурак, повешу-ка здесь какой-нибудь скрытый VPN, чтобы удобнее работалось, а тут хитрым образом упрощу себе жизнь».
При этом они могут случайно нанести вред компании и создать дыру в безопасности. Массово гонять людей через полиграф — тоже не выход, особенно если это делают на этапе отбора сотрудников. Многие грамотные специалисты просто не доходят до финального офера и предпочитают избегать таких компаний, которые сильно перебарщивают. Мне кажется, что полиграф уместно использовать, когда вы исследуете какой-нибудь инцидент — например, кражу или слив данных.
Тогда это действительно поможет найти человека, но проводить через него всех сотрудников кажется какой-то паранойей. Вы только создадите атмосферу недоверия в команде и настроите людей против вас. Гарантирует ли это полную безопасность с точки зрения сотрудников? На самом деле нет.
Этот процент не зависит от уровня осознанности, обучения и самоконтроля. Я даже лично проверял это. Мы с коллегами делали тестовые рассылки, чтобы проверить, насколько сотрудники способны противостоять фейк-фишинговым письмам. Но каждый раз результаты показывали, что количество обученных сотрудников, игнорирующих простые инструкции, остается приблизительно на одном уровне.
Всё потому, что эти люди в момент открытия письма оказывались не в том состоянии, чтобы оценить свои действия и вспомнить те вещи, которым их учили. Например, у человека утром дома мог заболеть ребенок или собака. А может, перед работой он поругался с женой. В таком состоянии он вообще не думает ни о какой безопасности — ему бы пережить этот момент и справиться с проблемами.
Чтобы поддерживать высокий уровень культуры безопасности, компании важно не только работать с сотрудниками, но еще и держать баланс между техническими средствами, которые защитят людей от их ошибок. Это поможет избежать ситуаций, когда человек пришел на работу не в том состоянии и не смог разобраться, пришло ли ему фишинговое письмо на почту. Поэтому лучшая стратегия — это балансировать между техникой и работой над культурой. Но, к сожалению, одной культурой невозможно ничего решить, потому что люди не идеальны.
Что такое безопасная разработка и как ее придерживаться Безопасная разработка — это культура безопасности плюс страховка программистов от ошибок. И дело не в том, что разработчики такие безответственные люди, а как раз в обратном. Обычно код пишут люди с серьезным уровнем полномочий, а помогают обслуживать всю инфраструктуру DevOps-специалисты и сисадмины. У них есть высокий уровень доступа и большая ответственность за итоговый результат.
То, что они пишут, может увидеть весь мир — или хотя бы компании, которые покупают этот софт. Поэтому ошибки здесь очень критичны, а значит, именно с безопасной разработки начинается вся культура кибербезопасности. Чтобы развить культуру, сначала нужно обучить разработчиков писать безопасный код: рассказать, как нужно делать правильно, на что обращать внимание, показать, какие уязвимости существуют. Например, почему не нужно держать токены в коде и почему их нужно выносить куда-то в сторону — в идеале в систему специального хранения, чтобы даже на тесте они неожиданно не попали во внешние источники.
Не приведёт ли это к разрыву более глубинных связей и разделению общества, которым теперь станет управлять ещё проще, поскольку мы теперь все всегда «онлайн» и «на связи». С сожалением приходится признать, что к предыдущему образу жизни и работы мы скорее всего уже не вернемся никогда. Как это повлияет на безопасность? Что компании собираются делать для обеспечения лояльности, должного уровня осмотрительности и осведомленности? И самое главное, каким образом поддерживать и развивать культуру безопасности среди сотрудников в нынешних условиях?
Спасибо за проявленный интерес к нашему журналу!
Тем не менее, если еще несколько лет назад только единичные российские компании всерьез говорили о потребности в формировании культуры безопасности, сейчас мы все чаще обсуждаем подобные запросы. Формирование культуры безопасности: какой вклад может внести обучение персонала в решение этой задачи Для того чтобы такая культура безопасности в компании развивалась, сотрудники должны во многом изменить свои ценности и установки, ведь у нас до последнего времени было принято бравировать несоблюдением стандартов, это считалось признаком «крутости», было привилегией опытных работников. Один из наших клиентов рассказывал, что именно среди опытных работников происходят несчастные случаи со смертельным исходом, вследствие пренебрежения и даже демонстративного несоблюдения правил безопасности. Как может функция обучения персонала помочь в решении этой задачи? Есть два подхода, и оба они могут использоваться для изменения отношения персонала к вопросам безопасности: с одной стороны, можно использовать методы «устрашения» — демонстрировать фотографии с мест аварий, последствия несоблюдения правил и инструкций, рассказывать о нанесенном вреде здоровью и жизни, организовывать встречи с пострадавшими и их семьями. Эти методы воздействуют, прежде всего, на эмоциональную сферу, с их помощью можно придать значимость правилам и стандартам поведения, мотивировать людей более серьезно к ним относиться.
Есть также второй подход, о котором мы подробнее расскажем, его задача — повысить осознанность поведения в рискованных или потенциально рискованных ситуациях за счет просвещения и образования сотрудников с точки зрения психологии рискованного поведения. В рамках этого подхода мы передаем сотрудникам знания и навыки, позволяющие им более объективно оценивать конкретные рабочие ситуации на предмет степени риска, понимать причины недооценки рисков, уметь определять факторы, влияющие на их поведение в ситуациях, связанных с риском, и работать с ними. Три точки приложения силы Исходя из опыта «ЭКОПСИ» в области обучения культуре безопасности, важным фактором успеха является правильный охват всех категорий персонала, которые являются носителями определенной производственной культуры и формируют отношение к безопасности на предприятии: специалисты по ОТ и ПБ, которые являются методологами и контролируют на предприятии данный процесс; линейные руководители на производстве начальники смен и бригадиры, начальники участков, начальники цехов ; основные производственные работники, рабочие и ИТР. Без работы со всеми ключевыми категориями эффект будет неполным. Причем, задачи, которые мы решаем для каждой категории, различаются. Рассмотрим каждую группу персонала и подходы к ее обучению отдельно. Научить ученого, или обучение специалистов по ОТ и ПБ Цель работы с сотрудниками самой функции ОТ и ПБ — сформировать у них понимание важности непосредственной работы с людьми в области безопасности.
Поэтому с ними мы много говорим про то, как перестать быть просто контролером и инструктором — и стать внутренним лидером и консультантом по безопасности.
В частности, это тиражирование проекта на семь атомных станций и крупнейшие дочерние компании Концерна «Росэнергоатом». От честного диалога к единой команде В организациях дивизиона на ежемесячной основе реализуются несколько полезных практик, которые проводят уполномоченные по культуре безопасности. Первая практика — «Честный диалог». Ее суть состоит в обсуждении с сотрудниками выполненной работы с целью анализа сделанного и улучшения рабочих процессов и охраны труда. Ключевой показатель при проведении диалога — количество сложностей, о которых рассказали сотрудники.
В целом проведено 130 встреч с сотрудниками и рассмотрено 223 проблемных вопроса. Вторая практика — «Одна команда». Ее цель заключается в обсуждении проблем и возможностей улучшения взаимодействия между подразделениями с целью повышения безопасности и охраны труда, улучшения взаимосвязанных процессов. Эффективность практики оценивается по количеству проблем и ожиданий, высказанных в ходе встреч. На сегодняшний день проведено 105 встреч и рассмотрено 157 проблемных вопросов. И, наконец, практика «Прямой разговор»: после проведения наблюдений руководитель беседует с сотрудниками, за работой которых проводилось наблюдение, обсуждая безопасность выполняемой работы в свете безопасности подразделения и всей станции, включая вопросы охраны труда.
Встречи проводят директор, главный инспектор, главный инженер, заместители главного инженера, руководители основных подразделений. Во время беседы также обсуждаются возможности для улучшения рабочих процессов. На данный момент в организациях проведено 112 таких встреч. Преемственность на практике 24 марта 2021 года в формате онлайн-конференции состоялся научно-практический семинар, посвященный 75-летию со дня рождения выдающегося руководителя Концерна «Росэнергоатом», его технического директора Бориса Васильевича Антонова. Мероприятие открыли выступления первого заместителя генерального директора по эксплуатации АЭС Александра Шутикова и заместителя генерального директора — генерального инспектора Николая Сорокина, которые рассказали о жизненном пути и достижениях Б. В рамках семинара состоялась интереснейшая панельная дискуссия на тему развития культуры безопасности в электроэнергетическом дивизионе, в которой приняли участие топ-руководители Концерна «Росэнергоатом» Андрей Дементьев, Дмитрий Гастен, Николай Сорокин и Николай Давиденко.
Семинар по праву можно считать самым «цифровым» мероприятием: живую дискуссию сопровождали электронные схемы и карты, а телестудию виртуально «посетил» сам Борис Васильевич, как будто участвуя в беседе спикеров. В ходе трансляции настоящими подарками для зрителей стали видеоролики, посвященные открытию памятного барельефа Б. Антонова в Кризисном центре, личным впечатлениям о периоде работы с Б. Антоновым, а также его последнее интервью для СМИ из Кризисного центра. Тогда было принято решение об организации дополнительных структур безопасности, способных в случае кризисной ситуации оказать помощь и поддержку действующим АЭС. К 1989 году в группу входили представители 27 государственных структур.
Чтобы наладить работу службы, способной в любой момент оказать экстренную помощь АЭС, организаторы проанализировали опыт чернобыльской трагедии. Они опрашивали свидетелей, ликвидаторов, выясняли, чего недоставало в тот момент тем, кто принимал решения по ликвидации аварии. Был изучен весь открытый международный опыт по созданию аналогичных центров. С 1995 года атомщики несколько лет тесно сотрудничали с ЦУПом Центр управления полетами. Кроме того, для детального изучения опыта противоаварийного планирования и аварийного реагирования они посетили все ведущие мировые центры атомной энергетики. Сегодня в группу ОПАС входят 145 сотрудников оперативного состава и 240 экспертов.
Они являются специалистами высочайшей квалификации, представляют 19 государственных министерств и ведомств.
Что такое культура безопасного поведения и как ее повысить
В частности, с тяжелыми последствиями — 11 несчастных случаев НС , с легкими — 106, а для одного человека НС на производстве закончился гибелью. Несчастный случай ведет не только к снижению производительности и потере объема производимой продукции, но и к дополнительным затратам, таким как: медицинская помощь, госпитализация и лечение пострадавшего работника; расследование несчастного случая; возможное нанесение ущерба оборудованию, инвентарю, сырью или готовой продукции предприятия, ущерб третьим лицам; повышение страхового взноса; возможное наложение штрафов. Можно сказать, что эти причины являются следствием отсутствия культуры безопасности или ее низким уровнем. Говоря о культуре безопасности, мы подразумеваем набор правил, стереотипов и норм поведения в отношении безопасности, отношения людей к собственной безопасности и безопасности окружающих. От ее уровня напрямую зависит уровень травматизма. Для определения уровня развития культуры безопасности предприятия используют кривую Брэдли. Исходя из этой кривой, можно понять, что нулевой травматизм достигается только при совместных усилиях, приложенных к обеспечению безопасных условий труда, обучению персонала, изменению мышления каждого сотрудника. Безопасное поведение должно быть основано на общих целях и ценностях, заботе о других членах команды.
Кривая Брэдли. Эволюция культуры безопасности Проанализировав культуру безопасности в АО «ОДК», можно сказать, что на сегодняшний день Корпорация уже ушла от реактивного уровня, на котором управление безопасностью заключается только в обеспечении минимальных законодательных требований, и скорее, находится на зависимом уровне см. Однако нулевой уровень травматизма, при котором безопасность является задачей каждого работника, по-прежнему остается недостижим. Развитие культуры безопасности на уровне Корпорации началось в 2017 году с реорганизации подходов в области безопасности на производстве.
Второй источник — изучение происшествий в других организациях группы компаний и отрасли.
Третий — обмен опытом и знаниями с организациями из других отраслей. Сбор и анализ информации из разных источников позволяет извлекать и применять в работе компании важные данные и выученные уроки. Однако для эффективного обучения и повышения уровня культуры безопасности недостаточно составить список хороших тренингов и отправить на них сотрудников. Вся организация должна стать самообучающейся. Это значит, что руководители на всех уровнях управления начиная с самих себя должны создавать в компании такие условия, чтобы люди осознанно накапливали знания и делились ими.
Эта картина кажется идеальной, но как к ней приблизиться в реальной жизни? В целях формирования благоприятной среды для развития сотрудников в области культуры безопасности, а также для обучения сотрудников быстро ориентироваться в сложных ситуациях, связанных с вопросами безопасности, при помощи быстрого переноса теоретических знаний на практику, в Едином операторе газификации был опробован формат кейс-клуба, получившего название «Лидерские практики в формировании культуры безопасности». Как свидетельствовали инсайты, полученные от участников мероприятия, его реализация прошла успешно. Развитие культуры безопасности Дебютное заседание кейс-клуба было организовано экспертами Управления по работе с персоналом совместно с Управлением производственной безопасности.
Количество погибших на производстве сократилось на 22 процента: 1711 человек в 2017 году против 1338 в 2021 году. Предприятия начали уделять внимание оценке потенциальных рисков, которые могут привести к несчастному случаю, а не только анализировать последствия уже реальных травм и смертей. Крупные предприятия и раньше серьезно занимались оценкой производственных рисков, но благодаря требованиям к процедуре в Трудовом кодексе, оценивать риски начали большинство российский компаний, что серьезно повлияло на уровень культуры безопасности. Кроме того, выросла производственная грамотность и вовлеченность работников.
В рамках профилактических визитов на предприятиях все чаще сталкиваешься с тем, что работники знают о вредных производственных факторах на их рабочих места, о рисках травмирования, о мероприятиях, которые работодатель проводит для снижения уровня потенциальной опасности. Такие тенденции сильно облегчают работу специалистов по охране труда», — рассказывает Бородихин. Для некоторых организаций сумма всех расходов, вызванных несчастными случаями, может быть соизмерима с годовым доходом. Организация несет как прямые экономические потери: оказание медицинской помощи; зарплата пострадавшего в день несчастного случая; оплата работы комиссии по расследованию и пр. На практике видно, что работодатели это понимают и стремятся предотвращать: уделяют большое внимание обучению, обновляют оборудование и инструменты, разрабатывают грамотные технологические процессы и обеспечивают работников СИЗ с лучшими защитными свойствами.
Это один из крупнейших горно-металлургических холдингов России, мировой лидер в производстве товарного горячебрикетированного железа, ведущий производитель и поставщик железорудной и метализованной продукции.
Теме охраны труда на предприятиях Металлоинвеста уделяется большое внимание: постоянно совершенствуется система управления промышленной безопасностью, идет работа по повышению профессионального уровня работников в этой сфере. С осени 2019 года Металлоинвест ввел новую практику - работники предприятий получают дополнительную ежеквартальную премию за соблюдение требований охраны труда и промышленной безопасности. Очередную премию сотрудники получили в январе - общая сумма выплат по итогам четвертого квартала 2019 года составила около 253 миллионов рублей. Путь к достижению этой цели лежит через укрепление культуры производственной безопасности, соблюдение лучших мировых стандартов в сфере охраны труда, высочайшую внутреннюю дисциплину каждого сотрудника, - подчеркнул генеральный директор УК «Металлоинвест» Андрей Варичев. Это масштабный ежегодный форум на площадке Главного Медиацентра в Сочи. Неделя проводится по инициативе Минтруда России, оргкомитет возглавляет вице-премьер Татьяна Голикова.
На форуме представители бизнеса и профсоюзов, чиновники и эксперты обсудят вопросы улучшения системы охраны и безопасности труда, экологии и сохранения здоровья, проанализируют лучшие практики разработки и внедрения систем управления охраной труда, профилактики несчастных случаев и профессиональных заболеваний.
Культ безопасности: как обучить людей сознательности
Тем не менее нередко оказывается, что культура безопасности, выстроенная в компании, в своей основе противоречит внедряемым инициативам. Второй аспект — влияние корпоративной культуры на отношение к вопросам безопасности. Форум «Культура безопасности» завершился ещё одним круглым столом, во время которого участники обменялись мнениями и получили рекомендации по повышению культуры безопасности на своих предприятиях.
Культура корпоративной безопасности. Слагаемые успеха в новой реальности
Один из выводов: управление подрядчиками — важный фактор культуры безопасности, на который предприятиям сложно влиять, на это в своем выступлении указал гендиректор НЗХК Алексей Жиганин. Как руководители и сотрудники влияют на культуру безопасности в компании. «Культура безопасности организации есть результат индивидуальных и групповых ценностей, восприятий, способностей и моделей поведения, которые определяются обязательствами, стилем и способностями менеджмента по здоровью и безопасности в организации. Эксперт рассказал об основных этапах, которые проходит компания в ходе развития культуры безопасности, о ключевых методах ее оценки и важности приверженности руководства в данном процессе. Эксперт рассказал об основных этапах, которые проходит компания в ходе развития культуры безопасности, о ключевых методах ее оценки и важности приверженности руководства в данном процессе.
В Росатоме обсудили культуру безопасного поведения
Внедрение поведенческих аудитов безопасности в организации позволяет достичь следующих целей. В студии "ЭТАЛОН-ТВ" мы поговорили с Литвиновой Еленой Владимировной, Директором департамента ОТ, ПБ и ОСС компании "Бейкер Хьюз". Запуск на предприятиях инструментов проективной культуры безопасности всегда вызывает волну обсуждения у сотрудников предприятий, и не всегда внедрение этих инструментов заканчивается успехом. Культура пищевой безопасности – это общие ценности, убеждения и нормы, влияющие на мышление и поведение людей в отношении безопасности пищевых продуктов во всех подразделениях организации.
Вы точно человек?
На подразделение ежемесячно выделяется зафиксированная сумма премии.
Сначала контроль осуществлялся ежедневно, но количество проверок и степень контроля постепенно снижались. Такое внедрение довольно быстро дало свои результаты: на предприятии произошли качественные изменения и в разы снижен травматизм. Работодатели больше склонны приглашать сторонних экспертов и платить им большие деньги, чтобы понять, что не так происходит в компании, вместо того, чтобы использовать свои внутренние ресурсы и ориентироваться на работников. А ведь именно они знают лучше других, что происходит в цехе». Все это лишний раз доказывает, что необходимо более активно привлекать рабочих в решение вопросов безопасности на рабочих местах. Но в российской действительности существуют «подводные камни», считают российские эксперты. Задача менеджмента - найти «ключики», чтобы рабочему стало не все равно, а важно рассказать, предупредить, предотвратить что-то опасное, если он эту опасность видит и чувствует». Но реально ли в условиях российской ментальности?
Да, уверяет руководитель направления «Промышленная безопасность» Департамента дополнительного профессионального образования Клинского института охраны и условий труда Ирина Журавлева. Но при условии, когда топ-менеджмент предприятия сам вовлечен в этот процесс ответственности, демонстрируют эту вовлеченность, а все его действия пронизаны философией личной ответственности и заботы о людях. В каждом цехе предприятия должен быть создан такой микроклимат, когда лучше предупредить руководство о возможной рисковой ситуации, чем скрыть ее. В качестве наглядного примера того, как обстановка и культура конкретного места, законы и принципы этого места, действуют на поведение людей, Ирина Журавлева привела московское метро. Вернее поведение трудовых мигрантов, которые приезжая в Москву, в первое время уступают места в общественном транспорте женщинам, старикам и детям. Тем самым они демонстрируют те устойчивые модели поведения, принятые в их странах. Но проходит несколько месяцев, и эти люди начинают демонстрировать совсем иное поведение. Они начинают подчиняться культуре и нормам поведения того коллектива, в котором живут в эту конкретную минуту. Ханс-Хорст Конколевски также привел пример Сингапура, где в последние 10-15 лет сложилась эффективная система управления охраной труда за счет стимулирования работников.
Так, на одной из судоверфи есть телефон, по которому работник, если видит риск опасной ситуации, может напрямую связаться с министерством труда или производственной инспекцией. Тем самым человек не воспринимается как «предатель», а наоборот, он мотивирован. И такое «предупредительное» поведение воспринимается как общественное благо, которое всячески публично поощряется. У каждого менеджера есть своя система планируемых результатов, даже у первых лиц государства. В эту систему встроены показатели снижения или отсутствия травматизма.
Это могло повлиять на быстроту реакции. Теперь мы оплачиваем продвижение напрямую на платформах социальных сетей — чтобы наши инвестиции были на виду и приносили нам уровень сервиса, которого мы заслуживаем. Кроме того, мы узнали, что сторонние компании, с которыми мы ведем бизнес, могут не иметь надежных методов обеспечения безопасности. Это особенно важно, если это ваши филиалы или у них есть доступ к вашим системам. В частности, у небольших сторонних компаний, с которыми вы поддерживаете отношения, может не быть подразделений ИТ и безопасности, не говоря уже о строгой политике киберзащиты.
И наконец, последний удар под дых. Как показало вскрытие, McAfee даже не был изначальной целью атаки. Когда хакер получил доступ к личным данным Джули, он понятия не имел о том, что она администратор корпоративной страницы компании. Он не знал, кто такая Джули: ему было все равно. Он просто охотился за паролями, стремился определить, к чему они откроют доступ, — к личному банковскому счету, сети компании или чему-то еще. Как только он нашел тот, который случайно подошел к странице McAfee в этой социальной сети, он вывалил на всех, кого мог, целый ушат оскорблений, унизив при этом компанию. Даже для хакеров удача иногда важнее мастерства. Еще несколько важных уроков Составьте список людей, с которыми вы можете связаться в такой ситуации. Держите их контакты под рукой — там, где вы и ваша команда легко сможете их найти. Эти списки должны быть не только у ваших людей, но и у сотрудников, обслуживающих сайт компании, ее социальные сети, облачное хранилище и так далее.
В чьи-то рабочие обязанности должна быть включена регулярная проверка доступа к аккаунту, а помимо этого — удаление из списка администраторов людей, чья работа больше не связана с текущими проектами. Используйте многофакторную аутентификацию. Некоторые наши системы автоматически определяют, когда пользователи входят в них, а когда выходят — даже если выключение произошло всего на несколько минут, например, для смены компьютера. При работе в системах с меньшим уровнем прямого контроля — таких как облачные сервисы, например, — мы просим сотрудников присылать скриншоты, показывающие, что многофакторная аутентификация включена. Можете себе представить, как тщательно мы теперь изучаем социальные сети, прежде чем разместить там свою страницу. На основе ответов мы проводим оценку уязвимости. Чья это вина? Безусловно, провайдер социальной сети сможет доказать, что мы сами не сделали несколько очевидных шагов — не свели к минимуму количество администраторов, регулярно проверяя их список, не настояли на использовании уникальных надежных паролей и так далее. Но решению проблемы не способствовала и его жесткая политика, в рамках которой очевидно взломанная грубейшим образом страница должна была оставаться неизменной до окончания проверки. И, конечно, сотруднице агентства не стоило использовать одинаковый пароль для нескольких учетных записей.
Но обратите внимание: главу я назвала «Как я испортила Пасху». Нет, я не взламывала корпоративную страницу McAfee. Не я предоставила такую возможность злоумышленнику. И в то пасхальное воскресенье я меньше всего хотела разбираться с ситуацией, возникшей в результате цепи нелепых ошибок. С учетом всего сказанного я могу лишь взять на себя ответственность за все произошедшее. Ведь, в конце концов, эта корпоративная страница находилась в ведении моей команды. И мы не выполнили свой долг — не приняли разумных мер для ее сохранности. Личная ответственность — вещь неприятная. Немногим из нас доставляет удовольствие обдумывать, что можно было сделать лучше или иначе для предотвращения несчастного случая. Уклонение — гораздо более нормальная человеческая реакция.
Тем не менее именно наша тяга к отказу от личной ответственности остается ключевым оружием в арсенале хакерского сообщества. Слишком долго кибербезопасность была «чьей-то там» проблемой. Слишком многие считают кибербезопасность мутной темой, не заслуживающей их личного времени, не говоря уже об ответственности. Эта книга ставит целью изменить данную парадигму, хотя бы помочь сделать скромный шаг к признанию ответственности, которую мы все разделяем как сотрудники — и, в конечном итоге, защитники — наших организаций. Если наша компания не может рассчитывать, что мы примем разумные меры предосторожности, чтобы уберечь ее драгоценные цифровые активы, то кому она вообще может доверять? Однако позвольте мне отвлечься от своей «мелодрамы» и обозначить настоящую проблему. Дело не в том, что сотрудники в большинстве своем не хотят поступать правильно. Гораздо чаще они просто не знают, как это делать. Кибербезопасность — это командный спорт, в котором каждый должен играть на своей позиции в любую минуту. Дополнительные инструменты могут быть чрезвычайно полезными; но только когда люди, программы, процедуры, регулярные проверки и другие факторы работают вместе, они образуют эффективную защиту.
Помните о важном факторе Еще один важный элемент, позволяющий минимизировать киберугрозу, — честность. Я определенно выхожу из зоны комфорта, начиная книгу со своим именем на обложке с описания досадного сбоя в системе безопасности, произошедшего у меня под носом. Могло ли быть хуже? Этого никогда не должно было произойти? Могли ли вы оказаться на моем месте? И снова — конечно. Рассказывая эту историю, я хочу задать тон честности, который необходим и в вашем бизнесе, нацеленном на сопротивление плохим парням. Вам необходимо развить культуру безопасности, которая позволит людям не только помогать друг другу, но и быть взаимно честными при обнаружении подозрительных действий. И честность эта — без гнева, обвинений или возмездия — позволит культуре работать. Кроме того, я описываю взлом нашей страницы, чтобы вы сразу учли наши уроки и применили полученные знания, чтобы устранить щели в броне вашей безопасности.
Почему я? На рынке не наблюдается недостатка в книгах по кибербезопасности от заслуживающих доверия талантливых авторов с самым разным опытом. Вы можете прочитать расследования журналистов, проанализировавших самые знаменитые взломы в истории. Можете ознакомиться с авторитетным мнением корифеев — основателей отрасли. Еще больше информации вы найдете у технических экспертов, которые весьма подробно разбирают сложные элементы кибербезопасности. Однако же в то время, когда я это печатаю, найдется крайне мало книг по кибербезопасности, написанных маркетологами. А уж маркетологами, проработавшими в сфере всего несколько лет, — и того меньше. Так зачем доверять такому автору в столь серьезном вопросе? Считайте мою книгу чем-то вроде гибрида маркетинга и технологий. Всю свою карьеру я переводила технические концепции на обычный язык.
Я изучала взаимодействие работы и технологий, чтобы понять, как меняется корпоративная культура. Так что если вы в целом не разбираетесь в технологиях, будьте уверены: моя цель — дать вам достаточно знаний для понимания нюансов этой сложной темы, не загружая техническими деталями. Но если вы технологически подкованнее меня, уверяю: я не собираюсь все упрощать. Просто предложу рецепты, которые каждый сотрудник — как технический, так и любой другой — может применить для защиты своей организации. И, наконец, если вы один из моих собратьев по кибербезопасности, надеюсь, вы с удовольствием прочитаете эту книгу, восприняв ее как возможность дать другим заглянуть в наш мир. А после — передадите коллегам, не связанным с киберзащитой, чтобы они тоже вступили в наши ряды борцов за безопасность. Почему вы? Вы можете считать себя человеком, которому нечего привнести в сферу киберзащиты. В конце концов, как могут сотрудники, менеджеры, руководители и члены совета директоров, работа которых не связана с данной сферой, сыграть значимую роль в игре, правил которой, возможно, даже не понимают? И здесь я обращусь за вдохновением к миру профессионального спорта — он дает нам много примеров успеха командной работы.
Я не фанат спорта, но питаю слабость к американскому футболу. У меня остались очень теплые воспоминания из раннего детства: мы с отцом сидим на диване в гостиной и смотрим игру его любимой команды Dallas Cowboys. Как и миллионы других болельщиков, в мире профессионального спорта я всего лишь зритель. Просмотр игры — это самое короткое расстояние, на которое большинство из нас может к ней приблизиться.
Фактически она занималась поиском и наказанием виновных, а не устранением системных причин. Сотрудники не были вовлечены в систему и процессы безопасности, инструктажи проводились формально. После того как в компании реорганизовали службу охраны труда и перевели эти вопросы в ведение HR-подразделения, начались изменения. Как перейти от реактивной культуры безопасности к вовлекающей? Вместе с компанией Itella мы разработали комплексную программу обучения и вовлечения сотрудников. Все люди выполнили тест, оценивающий склонность к рисковому поведению, а затем прошли тренинг «Развитие культуры безопасного поведения».
Инструктаж стали проводить в формате деловой игры с отработкой навыков например, сотрудников спрашивали, какие риски они видят в рабочей зоне и что можно сделать для предотвращения этих рисков. Для начальников складов провели групповые сессии с целью обмена опытом и поиска решения конкретных проблем. Всех менеджеров при выходе в опасную зону обязали надевать СИЗ средства индивидуальной защиты — спецодежда, специальная обувь , чтобы подавать пример рядовым сотрудникам. Новый руководитель службы охраны труда наладил учет всех инцидентов, а не только несчастных случаев, факты нарушения техники безопасности стали учитываться в КПЭ руководителей. Наконец, вопросы безопасности труда в компании вошли в повестку заседаний совета директоров. Кейс 4. Как повысить осознанность в вопросах охраны труда с помощью обучения на примере энергетической компании Менеджеров энергетической компании не устраивала ситуация с безопасностью на производстве: отдел HSE не справлялся с контрольными функциями. Нужно было обучить весь персонал безопасному поведению, повысить осознанность поведения людей в опасных или потенциально опасных ситуациях. Для этого мы разработали масштабную программу для разных групп сотрудников. Первая группа — это методологи, которые контролируют выполнение правил безопасности.
Им требуется в первую очередь развивать навыки работы с людьми и умение влиять на других. Очень важно, чтобы «контролеры» и «инструкторы» как их всегда воспринимали в коллективе стали внутренними лидерами и консультантами по безопасности. Руководителям производственных коллективов важно показать, что факторами, которые приводят к несчастным случаям, реально можно управлять, если не отмахиваться от них. А с рабочими полезно разговаривать о том, почему люди часто недооценивают риски, научить их критически оценивать свою склонность к рискованному поведению, осознавать мотивы собственных поступков. На страже безопасности Одним из ключевых факторов в формировании культуры безопасности являются действия и поступки самих сотрудников отделов HSE: то, как они себя позиционируют, выступают ли носителями правильного отношения к безопасности, умеют ли быть лидерами изменений. Бизнес хочет видеть в сотрудниках службы охраны труда и безопасности партнеров, которые могут обучить подрядчиков и новичков и найти выход из сложных ситуаций, связанных с соблюдением стандартов безопасности. По сути, их роль в компании — просветительская: они — носители целевой культуры, которые способны донести ценности безопасного производства до всех остальных. Их задача — добиться, чтобы каждый, кто видит опасное действие, немедленно реагировал на него — независимо от должности и сферы деятельности. Кейс 5. Как реформировать функцию HSE на примере крупного металлургического предприятия Компания отвечала высоким стандартам безопасности — на уровне лучших мировых практик, показатель LTIFR суммарное рабочее время, потерянное в результате полученных травм был ниже, чем в среднем по отрасли, — однако существенно снизить количество несчастных случаев никак не удавалось.
Коллеги видели в сотрудниках службы HSE исключительно контролеров. Нам предстояло выявить зоны роста в службе HSE и предложить программу действий по формированию культуры безопасности. Для начала мы разработали профессиональные компетенции и тесты и оценили на их основе 90 работников службы HSE. Кроме того, мы организовали дистанционный анонимный опрос сотрудников 1851 респондент и провели интервью с топ-менеджерами. По итогам исследования сотрудники HSE получили рекомендации о том, как упрочить свое влияние в коллективе, — в частности, мы предложили им совместно с рабочими проводить рейды в цехах. В итоге руководители перестали скрывать инциденты на производстве. Сотрудников HSE стали чаще воспринимать как партнеров в общем деле заботы о безопасности персонала. Компания рассчитывает, что за отчетный период на предприятии не пострадает ни один работник. Нам часто приходится сталкиваться с убеждением, что нарушение правил, неоправданный риск и пренебрежение собственной жизнью — это национальные черты российских работников, изменить которые практически невозможно. Однако мы видели множество примеров того, как те же самые российские работники переходили от полного пренебрежения мерами безопасности к осознанному поведению и высокому уровню ответственности за свои действия.
Опыт наших клиентов показывает, что построить прогрессивную культуру безопасности в наших производственных компаниях — реалистичная задача. Это не делается быстро, это требует большой системной работы, но приложенные усилия совершенно точно приведут к зримым и измеримым результатам.
Актуальность развития культуры безопасности на российских ТЭС
| Влияние культуры безопасности на производительность труда | Развитие культуры безопасности в Инжиниринговом дивизионе строится на принципах личной ответственности и повышения профессионализма. |
| Вы точно человек? | Как это повлияет на безопасность? Что компании собираются делать для обеспечения лояльности, должного уровня осмотрительности и осведомленности? |
| IV ПРАКТИЧЕСКАЯ КОНФЕРЕНЦИЯ ПО КУЛЬТУРЕ БЕЗОПАСНОСТИ | Более 500 специалистов и руководителей из различных отраслей, таких как строительство, ЖКХ, нефтяная промышленность и сельское хозяйство, поделились своим опытом и мнением о культуре безопасности в своих компаниях. |
| БМЗ стал лучшим предприятием в Брянске по охране труда | Слайд 1, Развитие культуры безопасности в организации. |
В «Росатоме» обсудили культуру безопасного поведения
В этой статье расскажу, как компаниям взращивать культуру безопасности и чему обучать сотрудников. Как культура безопасности влияет на финансовое состояние компании. Как это повлияет на безопасность? Что компании собираются делать для обеспечения лояльности, должного уровня осмотрительности и осведомленности? Руководство любого предприятия играет ключевую роль в формировании корпоративной культуры, в том числе и в аспекте безопасности. Алгоритм формирования культуры максимальной безопасности на производстве приблизительно следующий. Изменения в общей культуре безопасности компании, похоже, требуют личной веры и ответственности со стороны высшего руководства, а не одной лишь логики.
Специалистов по охране труда познакомили с концепцией культуры безопасности «Газпрома»
Многие компании в России и СНГ уже прошли значительный путь развития культуры безопасности, и сегодня перед нами открывается новый горизонт развития. Невозможно улучшать безопасность на предприятии с низкой производственной культурой в целом. Кроме ключевых показателей проанализированы фоновые условия, которые напрямую или косвенно влияют на развитие культуры безопасности компании. Особую роль в области безопасности в организациях играет феномен культуры безопасности (safety culture), ставший популярным после аварии на ЧАЭС в 1986 году. В организации определяющим фактором являетсякорпоративная культура, поскольку она носит воспитательную функцию.