Для продвижения культуры безопасной разработки и улучшения понимания проблем безопасности разработчиками, мы внедрили следующие практики. Второй аспект — влияние корпоративной культуры на отношение к вопросам безопасности. Эффективная культура безопасности Культура безопасности не может быть построена в компаниях, которые обращают внимание на вопросы безопасности только в рамках общего расследования инцидентов например, в компаниях. Минимизировать риски случайных и намеренных утечек можно, если HR-отдел совместно со службой безопасности и IT-командой будут формировать культуру работы с корпоративной информацией.
Формирование культуры безопасности у сотрудников с помощью DLP-системы
И тогда же оформилась идея курсов для всех, а не только для профессионалов и любителей экстрима. Академия в нынешнем виде появилась в этом году. Теперь это основная работа и именно то, в чем хочется развиваться. Несколько месяцев назад я закончил обучение в Военной медицинской академии, и сейчас мы на финише в получении лицензии дополнительного профессионального образования. Планируем расширять географию курсов по всей стране. Сейчас мы проводим курсы в Москве, Санкт-Петербурге и на юге России.
N: — Зачем люди приходят на курсы выживания? Каждый участник приходит за разным: кто-то за навыками, кто-то за эмоциями, кто-то за общением с единомышленниками. Скажем прямо: выживание — это эмоции, экстрим, драйв, а потом уже навыки. Мы занимаемся в условиях контролируемых экстремальных ситуаций. Все знания закрепляются на практике с использованием стресс-факторов.
Сидит группа в учебном классе, слушает лекцию, а тут граната или статист «раненый» — и пошла практика. Приходят компаниями, приходят семьями. Обычное дело — отцы с детьми. Это хороший повод побыть вместе, наладить контакт. Отец не может уже дать слабину, открывает в себе новые ресурсы, и дети стараются.
Есть запрос на корпоративные мероприятия — тут и работа в команде, и полезные знания, которые можно затем транслировать на предприятии, проводить первичные инструктажи. В прошлом году владелец очень крупной ростовской компании оплатил подготовку всем своим менеджерам. Чтобы в случае мобилизации люди выжили. По моему мнению, это настоящая забота о сотрудниках. Если работаем с профессионалами, то, конечно, без спецэффектов, им этого и без нас хватает.
Они сосредоточены на обучении, понимают, для чего и зачем пришли. По сарафанному радио приходят те, кому скоро ехать «за ленточку», и те, кто в отпуск пришел. Мы сами туда регулярно ездим, проводим курсы. N: — Планируются курсы для молодежи?
Уже сейчас в рамках международной специализированной выставки «Безопасность и охрана труда» БИОТ 2021 года крупные российские поставщики демонстрируют СИЗ из экологически чистых или переработанных материалов. Экологичность — важное направление работы современных компаний, тем более если в этих компаниях реализуются программы устойчивого развития. Когда подобные СИЗ появятся на российских предприятиях?
Об этом сказать пока сложно. На мой взгляд, это зависит от динамики внедрения на предприятиях принципов ESG, готовности российских производителей к переходу на производство СИЗ из переработанных материалов и в целом от темпов развития экономики в России. Стать лидером по охране труда — Компания Юнипро — один из лидеров по инновациям в охране и безопасности труда. Что еще нового удалось внедрить в области охраны труда на производственных предприятиях Юнипро в последнее время? Несколько примеров. Система позволяет в онлайн-режиме получать информацию о местонахождении работника, контролировать параметры его жизнедеятельности. Это информационно-справочный документ, который содержит информацию о личных данных владельца, отдельных требованиях охраны труда, включая информацию о жизненно важных правилах по охране труда, требованиях о допуске работников и организации работ в филиале, действиях в чрезвычайных ситуациях, а также раздел для регистрации благодарностей за безопасный труд и нарушений жизненно важных правил.
Паспорт безопасности выдается всем работникам филиала и подрядных организаций. Находясь на территории предприятия, работники должны иметь паспорт при себе. Паспорт безопасности внедрен для повышения личной ответственности и мотивации работников по охране труда, развития осведомленности работников, информирования работников о действиях в чрезвычайной ситуации. В 2022 году документ будет внедрен во всех филиалах компании. Еще одна важная инициатива: на всех станциях Юнипро проведены психологические исследования по охране труда. До начала внедрения материалов по охране труда лозунги, информационные стенды и другие визуальные материалы в компании проводятся проективное и фокус-групповое исследования в области охраны труда с привлечением специализированной организации. Цель исследования — повышение эффективности материалов по охране труда, направленных на развитие у сотрудников модели поведения и устойчивой привычки выполнения правил охраны труда, снижению рисков, стремлению к осторожности и безопасности.
Мы пошли на это сознательно, чтобы сотрудники понимали, как они влияют на бизнес-результат. Если всё идет хорошо — могли увидеть в этом часть своего вложенного труда, если вдруг начинается стагнация платежей, обращений — делали всё возможное, чтобы помочь. Хотя не каждый СЕО готов признать, что сила слова может повлиять как на настроения в компании, так и на финансовые результаты. Влияние на бизнес Внутренние коммуникации — это всегда игра вдолгую, нельзя провести единичный опрос или сессию вопросов и ответов с топ-менеджментом компании и разрешить все противоречия.
После стадии анализа, как правило, и начинается основная работа как отдела коммуникаций, так и HR. Напрямую оценить влияние внутрикома на бизнес-показатели довольно сложно, это понимают все. Как и то, что наём высококвалифицированных специалистов с каждым годом становится всё дороже, конкуренция за звёзд — всё выше, а высокая текучесть негативно сказывается не только на прибыли компании, но и на людях. Именно поэтому многие, несмотря на кризис, направляют фокус внимания на удержание.
Откуда такие цифры? Достаточно взглянуть на путь сотрудника в компании — сначала он адаптируется, понимает направление движения компании, начинает развиваться, строит планы и реализует их. На протяжении всего этого маршрута его сопровождают внутренние коммуникации. То, на что ещё влияет внутриком и что сложно поддаётся оценке, — корпоративная культура.
В одних компаниях она буквально насаждается, и в офисах зачастую можно увидеть плакаты с ценностями а-ля «Мы любим клиентов», но большинству сотрудников не всегда ясно, как это проявляется на практике. В других есть внутренний tone of voice от англ. Иначе говоря — определены простые правила, которым все безоговорочно следуют. Один из отличных примеров, как можно оценить корпоративную культуру — определить культурный код компании.
И это тоже одна из задач внутрикома. Мы запустили опрос о культурных особенностях нашей компании. В нём было два ключевых вопроса. Смысл в том, чтобы сотрудник выбрал из перечисленных культурных особенностей наиболее близкие ему самому, а потом — близкие компании.
Сравнивая эти параметры, мы находим культурные базисы, которые выделяют hh. Так мы понимаем, что люди видят и что хотят видеть в нашей компании. Другое дело — по каким параметрам их оценивать. Онлайн- и офлайн-мероприятия.
По итогам мероприятий следует проводить опросы удовлетворённости, из которых можно узнать, насколько они важны сотрудникам, чем полезны, что нового узнали люди. Новости и информационные дайджесты. Измерять не только количество выпускаемых материалов, но и уровень вовлечённости читателей — сколько сотрудников прочли новость, из каких подразделений, какова динамика, на какие инфоповоды люди реагируют лучше. В работе внутрикома очень важна структура и системность.
Например, в hh. Это больше чем традиция, это уже часть информационной политики компании. Рассылки о «плюшках» в компании. Стоит сделать календарь на весь год, где будут расписаны коммуникации на всех сотрудников о возможностях, которые даёт компания.
Это и поэтапный рассказ о ДМС что в него входит, как воспользоваться, какие есть дополнительные опции , о спортивных активностях, познавательных вебинарах и многом другом. Не стоит ограничиваться единственной новостью, выпущенной в январе, приходят новые сотрудники, и им важно знакомиться с компанией с разных сторон. При этом все материалы по теме должны храниться в одном месте и регулярно обновляться, чтобы у каждого работника был к ним доступ. Популяризация бренда.
Это всевозможные выступления на профессиональных конференциях, участие в премиях и конкурсах, а также PR-активности, направленные на привлечение внимания соискателей.
Новости Как корпоративная культура влияет на бизнес в пандемию Ценности ICL Services соответствуют духу времени и напрямую поддерживают миссию и стратегию компании. Главная ценность компании — это ее сотрудники. Для наиболее эффективных решений мы используем совместно накопленные знания и опыт, результат для нас — это всегда итог совместных усилий. И все это на фоне постоянного развития, совершенствования навыков, изучения и применения новых подходов и технологий. Удаленную работу, как еще один формат работы, компания начала активно внедрять за год до пандемии, и к 2020 году у нас уже сформировался единый подход и правила. Наша компания имеет несколько офисов в России и один в Сербии г. Белград , мы активно работаем с зарубежными заказчиками, в связи с этим онлайн коммуникации для нас — вполне привычный инструмент. Но реальность распорядилась иначе.
Так как эпидемиологическая ситуация остается нестабильной, бОльшая часть сотрудников продолжает работать удаленно.
Как изменить культуру безопасности в компании. Часть 2
Сегодня существует два основных подхода к управлению охраной труда — реактивный и проактивный. Реактивный предполагает реакцию на уже случившееся событие, а проактивный работает на выявление потенциальных проблем и их устранение еще до того, как они приведут к неприятным последствиям. Один из наиболее ярких визуальных образов, демонстрирующих необходимость проактивного подхода, — пирамида происшествий Герберта Хенриха. В ее основании лежат опасные условия труда и опасные действия работников. Далее по уменьшению частоты встречаемости следуют предпосылки происшествий, за ними — травмы регистрируемые и тяжелые и смертельные случаи. Именно о таком распределении говорит статистика причин происшествий, анализируемая на протяжении многих лет. Проактивный подход к охране труда — это работа с основанием пирамиды, то есть профилактика и предупреждение опасных условий и действий. Только за счет их исключения мы сможем искоренить травматизм. Чтобы профилактика была эффективной, в организации должна существовать подходящая идейная основа, инфраструктура и методология.
Почему она попала сюда, в мало популярные практики? Потому, что многие компании признали, что на самом деле такого права у простого рабочего на самом деле нет.
Формально существует документ, в котором описана подобная возможность, но реально в опасной ситуации рядовой сотрудник бесправен. В тех компаниях, где рабочий на самом деле может остановить любые работы, увидев, что они не безопасны, риски намного ниже. Популярные практики с доказанной эффективностью, или «Рабочие лошадки» Мы дали название этой зоне «Рабочие лошадки», так как очень много компаний применяют эти практики в своей работе и признают их действенность. Например, свод из ключевых, незыблемых и понятных правил, обязательных для выполнения всеми без исключения. Примеры таких правил: «При следовании в автотранспорте соблюдай скоростной режим и пристегивай ремни», «При работе на высоте больше 1. Еще одна практика «Проведение минуток безопасности», когда каждое совещание, даже если оно посвящено финансовым вопросам, начинается с актуальных вопросов безопасности. Практика «Инструменты анализа корневых причин происшествий и нарушений». Тут самый популярный инструмент сегодня — это метод «Пять почему». Данный метод должен строиться не в линейном, а в древовидном порядке, где из одной причины могут вырастать сразу несколько веток ответов на следующий вопрос «Почему? И из каждого последующего уровня ответов может также происходить ответвление.
После того, как мы задаем ветвление, согласно изначальной методологии, заложенной в инструмент, надо задать два вопроса каждой ветви и понять, какую ветку продолжать, а какую нет. На основе ответов мы строим дерево возможных причин, которое поможет выявить факт возникновения ошибки. Отлично себя зарекомендовала практика «Изоляция источников энергии при ремонте и техническом обслуживании оборудования» с использованием системы защитной блокировки Lockout — Tagout LoTo. Система состоит из нескольких основных элементов: матрица распределения ответственности за разные виды энергии на каждом узле агрегата, в которой распределены роли и ответственность; блокировочное устройство, предназначенное для надежной фиксации источника энергии в определенном положении; навесные замки, которые служат для запирания блокиратора или непосредственно источника энергии; ключи от замков, которые распределяются в соответствии с выстроенной системой: есть отдельные «ролевые ключи», а есть и «универсальный ключ» на случай срочной разблокировки всех агрегатов. При постановке узла агрегата в ремонт все основные источники энергии на нем блокируются не по старинке — табличкой «Не включать, работают люди», а физически, с помощью блокираторов и замков. Причем на один выключатель может быть размещено сразу несколько замков например, от бригады ремонтников, начальника цеха, от главного электрика и инженера по ОТиТБ. Такие меры безопасности необходимы для того, чтобы полностью исключить возможность несчастных случаев. Иногда, по неосторожности, можно подать энергию на ремонтируемый узел, и сотрудники, которые участвуют в процессе ремонта, могут пострадать.
Доверие в работе — это уверенность в порядочности человека или организации, которым работник сообщает какую-либо информацию, надежда, что это ему не навредит и приведет к положительным изменениям. Опыт развития доверия в Росатоме основан на открытом общении, которое строится по следующему принципу.
Руководство поощряет открытый разговор, сотрудники рассказывают о «слабых местах» в обеспечении безопасности, руководство адекватно реагирует на информацию, то есть слышит, берет на себя свою долю ответственности и предпринимает разумные действия для решения проблемы. Если проблемы решаются, у работников увеличивается «кредит доверия» к руководству. В подавляющем большинстве случаев причиной происшествий на производстве становится человеческий фактор. Чтобы существенно снизить травматизм и полностью искоренить случаи тяжелого и смертельного травматизма, нужно добиваться, чтобы ежедневные действия работников отрасли были осознанными и безопасными. Это работа с культурой, с внутренними установками. Один из прикладных инструментов для снижения травматизма — «Минутка безопасности», во время которой участники обсуждают какое-либо происшествие, реальное или гипотетическое, фотографию с нарушениями техники безопасности и прочие подобные материалы. Проводить «Минутку» можно в начале любого собрания или совещания.
Мы внедряем средства, которые указывают на потенциальные проблемы, а затем, когда все замечания будут отработаны, передаем код на постобработку, в продакшен и так далее. При этом обычному программисту не обязательно знать всю специфику безопасной разработки, достаточно только понимать, какие типы уязвимостей существуют в его сфере и зоне ответственности. Этих уязвимостей много, но совершенно новые появляются не так часто.
Поэтому нужно один раз разобраться во всех типах, чтобы было базовое понимание, а дальше будут тонкости, разбираться в которых разработчику совершенно не обязательно — этим уже займутся специалисты по кибербезопасности. Отдельно хочется еще упомянуть про работу со сторонними библиотеками. Сейчас очень популярна тема безопасности с внешними пакетами — теми, что разработчики используют в своей работе, чтобы не писать функционал с нуля. Ожидаемо, эти библиотеки не всегда безопасны. Когда компания выстраивает безопасную разработку, она зачастую делает безопасное хранилище, или репозиторий. Всё, что попадает в этот репозиторий, нужно тщательно проверять на уязвимости и убеждаться, что с пакетами всё в порядке. Для разработчиков это часто очень неудобно, потому что нужно ждать, пока закончится проверка. Но это важный элемент защиты. Крупные компании поступают следующим образом: дают разработчикам полную свободу действий в тестовой среде, а затем проверяют все нужные библиотеки перед выпуском в продакшен. Так программисты могут использовать вообще всё что угодно, потому что среда изолирована.
Там нет настоящих данных клиентов, и оттуда нельзя попасть в полноценную внутреннюю сеть компании. Но когда нужно будет перейти в продуктовую среду, начнутся проверки на безопасность. На этом этапе разработчикам говорят: «Ты использовал эту библиотеку, теперь нам нужно время ее проверить». И если проверка пройдет успешно, то можно загружать обновления в продакшен. Так создается баланс между свободой и защитой. Как обучить сотрудников безопасно работать с данными Культура безопасности строится не только на технических специалистах, но и на всех остальных сотрудниках — бухгалтерах, менеджерах, охранниках. Поэтому обучать нужно каждого, или это всё будет бессмысленно. Но тут есть свои нюансы. Технические специалисты. Это обычно разработчики, администраторы и другие.
Их обучить проще всего — достаточно подобрать хорошие курсы. Многие компании по кибербезопасности проводят обучение. Например, я работаю в такой компании: мы часто делимся знаниями с заказчиками. Обучение можно устроить и самим — это тоже не проблема. Нужно только оценить, насколько вам трудозатратно это организовать, и убедиться, что в команде есть специалист с подходящим опытом. Все остальные. Это все те, чья работа не связана с IT. С ними сложнее. Людям сначала нужно объяснить, что кибербезопасность — это так же важно, как и любая другая безопасность, например пожарная. Затем стоит показать сотрудникам, на что обращать внимание, где лежит их зона ответственности, какие бывают подозрительные действия, и обучить базовым темам по безопасности.
На ВНОТ обсудили влияние культуры безопасности на ESG-трансформацию бизнеса
Культура безопасности – это такой набор характеристик и особенностей деятельности организаций и поведения отдельных лиц, который устанавливает, что проблемам безопасности АС, как обладающим высшим приоритетом, уделяется внимание. Выведите свое обучение технике безопасности за пределы традиционных методов и развивайте процветающую культуру безопасности на своем рабочем месте! Общая культура организации развивается со временем и под влиянием различных факторов, таких как история организации, лидерство, ценности и предпочтения ее сотрудников. Культура безопасности определяется как последовательно проводимый руководителем организации принцип приоритета безопасности во всех без исключения ситуациях конфликта интересов. Форум «Культура безопасности» завершился ещё одним круглым столом, во время которого участники обменялись мнениями и получили рекомендации по повышению культуры безопасности на своих предприятиях.
Культура безопасности
Зачем развивать культуру безопасности труда в организации? Что такое пирамида происшествий, как поэтапно развивать в отрасли культуру доверия в вопросах безопасности и чем диалог о безопасности отличается от инспекции, рассказывает Алексей Прудников, руководитель проектов Центра развития культуры безопасности АНО. Второй аспект — влияние корпоративной культуры на отношение к вопросам безопасности. Для определения уровня развития культуры безопасности предприятия используют кривую Брэдли.
В Росатоме обсудили культуру безопасного поведения
Я бы стремился уменьшить уровни менеджмента внутри компании. Опыт подсказывает, что во многих российских компаниях существует слишком много уровней управления и слишком много контролирующих людей. Поэтому происходит аутсорсинг процесса ответственности. Важно воспитывать в людях их персональную ответственность». Штефан Хенш привел примеры японских компаний, где в последние 40 лет произошли кардинальные изменения в сфере передачи полномочий и повышении личной ответственности рабочего.
Обычный менеджер или рабочий, обнаруживший неполадку на конвейере и предугадывающий тем самым риски, в результате которых может произойти несчастный случай, наделен полномочиями остановить производственную линию. В японских компаниях такой уровень доверия является стимулом к росту специалистов. Воспитание личной ответственности Штефан Хенш сравнил с воспитанием ребенка. Никто и никогда не предоставляет родителям никаких стандартов и ГОСтов по воспитанию.
Если ребенок воспитывается в среде постоянного контроля и надзора, то из такого ребенка вряд ли получится ответственный лидер. Но если родители предоставляют ребенку больше личной ответственности и выбор, то тем самым они закладывают «зерна» более ответственного поведения. В качестве положительного примера реализации принципа «больше ответственности плюс осведомленность» г-н Хенш привел пивоваренную компанию Efes в Молдове, которая в свое время испытывала проблемы в сфере охраны труда. При реструктуризации системы управления компанией был полностью сокращен отдел контроля качества, а зона ответственности перераспределена на сотрудников.
Были выбраны 30 инструкторов, которые начали отвечать в том числе и за безопасность. Сначала контроль осуществлялся ежедневно, но количество проверок и степень контроля постепенно снижались. Такое внедрение довольно быстро дало свои результаты: на предприятии произошли качественные изменения и в разы снижен травматизм. Работодатели больше склонны приглашать сторонних экспертов и платить им большие деньги, чтобы понять, что не так происходит в компании, вместо того, чтобы использовать свои внутренние ресурсы и ориентироваться на работников.
А ведь именно они знают лучше других, что происходит в цехе». Все это лишний раз доказывает, что необходимо более активно привлекать рабочих в решение вопросов безопасности на рабочих местах. Но в российской действительности существуют «подводные камни», считают российские эксперты. Задача менеджмента - найти «ключики», чтобы рабочему стало не все равно, а важно рассказать, предупредить, предотвратить что-то опасное, если он эту опасность видит и чувствует».
Но реально ли в условиях российской ментальности?
Оставляя их теряться в догадках, какие именно средства мы используем, мы помогаем снижать угрозу. Поискав описания инструментов в сети, вы быстро найдете то, что можно опробовать. Вернемся к урокам, которые мы вынесли. Мы не были знакомы с протоколом действий службы поддержки соцсети в подобных ситуациях.
И очень зря. Только постфактум мы узнали о том, что их политика требует блокировки аккаунта на много часов, вне зависимости от того, насколько велики изменения на странице. Теперь мы узнаем о подобных процедурах заранее — до размещения корпоративных страниц на других сайтах. Мы на собственном горьком опыте убедились, как много значат деньги. Поскольку мы тратили приличную сумму на продвижение в социальной сети через агентства, самой платформе мы казались менее значимым аккаунтом, чем были на самом деле.
Это могло повлиять на быстроту реакции. Теперь мы оплачиваем продвижение напрямую на платформах социальных сетей — чтобы наши инвестиции были на виду и приносили нам уровень сервиса, которого мы заслуживаем. Кроме того, мы узнали, что сторонние компании, с которыми мы ведем бизнес, могут не иметь надежных методов обеспечения безопасности. Это особенно важно, если это ваши филиалы или у них есть доступ к вашим системам. В частности, у небольших сторонних компаний, с которыми вы поддерживаете отношения, может не быть подразделений ИТ и безопасности, не говоря уже о строгой политике киберзащиты.
И наконец, последний удар под дых. Как показало вскрытие, McAfee даже не был изначальной целью атаки. Когда хакер получил доступ к личным данным Джули, он понятия не имел о том, что она администратор корпоративной страницы компании. Он не знал, кто такая Джули: ему было все равно. Он просто охотился за паролями, стремился определить, к чему они откроют доступ, — к личному банковскому счету, сети компании или чему-то еще.
Как только он нашел тот, который случайно подошел к странице McAfee в этой социальной сети, он вывалил на всех, кого мог, целый ушат оскорблений, унизив при этом компанию. Даже для хакеров удача иногда важнее мастерства. Еще несколько важных уроков Составьте список людей, с которыми вы можете связаться в такой ситуации. Держите их контакты под рукой — там, где вы и ваша команда легко сможете их найти. Эти списки должны быть не только у ваших людей, но и у сотрудников, обслуживающих сайт компании, ее социальные сети, облачное хранилище и так далее.
В чьи-то рабочие обязанности должна быть включена регулярная проверка доступа к аккаунту, а помимо этого — удаление из списка администраторов людей, чья работа больше не связана с текущими проектами. Используйте многофакторную аутентификацию. Некоторые наши системы автоматически определяют, когда пользователи входят в них, а когда выходят — даже если выключение произошло всего на несколько минут, например, для смены компьютера. При работе в системах с меньшим уровнем прямого контроля — таких как облачные сервисы, например, — мы просим сотрудников присылать скриншоты, показывающие, что многофакторная аутентификация включена. Можете себе представить, как тщательно мы теперь изучаем социальные сети, прежде чем разместить там свою страницу.
На основе ответов мы проводим оценку уязвимости. Чья это вина? Безусловно, провайдер социальной сети сможет доказать, что мы сами не сделали несколько очевидных шагов — не свели к минимуму количество администраторов, регулярно проверяя их список, не настояли на использовании уникальных надежных паролей и так далее. Но решению проблемы не способствовала и его жесткая политика, в рамках которой очевидно взломанная грубейшим образом страница должна была оставаться неизменной до окончания проверки. И, конечно, сотруднице агентства не стоило использовать одинаковый пароль для нескольких учетных записей.
Но обратите внимание: главу я назвала «Как я испортила Пасху». Нет, я не взламывала корпоративную страницу McAfee. Не я предоставила такую возможность злоумышленнику. И в то пасхальное воскресенье я меньше всего хотела разбираться с ситуацией, возникшей в результате цепи нелепых ошибок. С учетом всего сказанного я могу лишь взять на себя ответственность за все произошедшее.
Ведь, в конце концов, эта корпоративная страница находилась в ведении моей команды. И мы не выполнили свой долг — не приняли разумных мер для ее сохранности. Личная ответственность — вещь неприятная. Немногим из нас доставляет удовольствие обдумывать, что можно было сделать лучше или иначе для предотвращения несчастного случая. Уклонение — гораздо более нормальная человеческая реакция.
Тем не менее именно наша тяга к отказу от личной ответственности остается ключевым оружием в арсенале хакерского сообщества. Слишком долго кибербезопасность была «чьей-то там» проблемой. Слишком многие считают кибербезопасность мутной темой, не заслуживающей их личного времени, не говоря уже об ответственности. Эта книга ставит целью изменить данную парадигму, хотя бы помочь сделать скромный шаг к признанию ответственности, которую мы все разделяем как сотрудники — и, в конечном итоге, защитники — наших организаций. Если наша компания не может рассчитывать, что мы примем разумные меры предосторожности, чтобы уберечь ее драгоценные цифровые активы, то кому она вообще может доверять?
Однако позвольте мне отвлечься от своей «мелодрамы» и обозначить настоящую проблему. Дело не в том, что сотрудники в большинстве своем не хотят поступать правильно. Гораздо чаще они просто не знают, как это делать. Кибербезопасность — это командный спорт, в котором каждый должен играть на своей позиции в любую минуту. Дополнительные инструменты могут быть чрезвычайно полезными; но только когда люди, программы, процедуры, регулярные проверки и другие факторы работают вместе, они образуют эффективную защиту.
Помните о важном факторе Еще один важный элемент, позволяющий минимизировать киберугрозу, — честность. Я определенно выхожу из зоны комфорта, начиная книгу со своим именем на обложке с описания досадного сбоя в системе безопасности, произошедшего у меня под носом. Могло ли быть хуже? Этого никогда не должно было произойти? Могли ли вы оказаться на моем месте?
И снова — конечно. Рассказывая эту историю, я хочу задать тон честности, который необходим и в вашем бизнесе, нацеленном на сопротивление плохим парням. Вам необходимо развить культуру безопасности, которая позволит людям не только помогать друг другу, но и быть взаимно честными при обнаружении подозрительных действий. И честность эта — без гнева, обвинений или возмездия — позволит культуре работать. Кроме того, я описываю взлом нашей страницы, чтобы вы сразу учли наши уроки и применили полученные знания, чтобы устранить щели в броне вашей безопасности.
Почему я? На рынке не наблюдается недостатка в книгах по кибербезопасности от заслуживающих доверия талантливых авторов с самым разным опытом. Вы можете прочитать расследования журналистов, проанализировавших самые знаменитые взломы в истории. Можете ознакомиться с авторитетным мнением корифеев — основателей отрасли. Еще больше информации вы найдете у технических экспертов, которые весьма подробно разбирают сложные элементы кибербезопасности.
Однако же в то время, когда я это печатаю, найдется крайне мало книг по кибербезопасности, написанных маркетологами. А уж маркетологами, проработавшими в сфере всего несколько лет, — и того меньше. Так зачем доверять такому автору в столь серьезном вопросе? Считайте мою книгу чем-то вроде гибрида маркетинга и технологий. Всю свою карьеру я переводила технические концепции на обычный язык.
Я изучала взаимодействие работы и технологий, чтобы понять, как меняется корпоративная культура. Так что если вы в целом не разбираетесь в технологиях, будьте уверены: моя цель — дать вам достаточно знаний для понимания нюансов этой сложной темы, не загружая техническими деталями. Но если вы технологически подкованнее меня, уверяю: я не собираюсь все упрощать. Просто предложу рецепты, которые каждый сотрудник — как технический, так и любой другой — может применить для защиты своей организации. И, наконец, если вы один из моих собратьев по кибербезопасности, надеюсь, вы с удовольствием прочитаете эту книгу, восприняв ее как возможность дать другим заглянуть в наш мир.
Участникам встречи представили концепцию культуры безопасности ПАО «Газпром» , основанной на вовлечении всего персонала в систему управления производственной безопасностью. Благодаря совместной работе всех сторон трудовых отношений и повышению правовой компетенции, сознательному отношению каждого к своей собственной безопасности, можно сохранить устойчивый тренд к снижению производственного травматизма и профессиональных заболеваний. Последовательный и всесторонний подход к обеспечению безопасных условий труда должен реализовываться на всех уровнях в организации» — отметил заместитель главного инженера по охране труда, промышленной и пожарной безопасности Березанского ЛПУМГ Евгений Кривуля.
Участники встречи говорили о необходимости развития безопасного поведения работников, при которой работник должен понять, что никто не сбережёт лучше его здоровье, чем он сам.
Также Лариса Курылева обратила внимание на то, как изменение климата влияет на бизнес: «Климат у нас меняется, это факт. И для каждой компании особенно важна адаптация к этим изменениям. Мы работаем только с предприятиями промышленного сектора, но очень важно смотреть и на финансовую отрасль, так как они несут большие риски при инвестициях. Например, экологические риски цепочек поставок: внимание инвесторов, кредиторов, рейтинговых агентств и т. И требования к поставщикам, и цепочки поставок имеют большое значение, чтобы нивелировать риски. У нас в России должна быть собственная стратегия в рамках изменения климата». Следующим выступил Александр Кручинин, вице-президент по охране труда, промышленной безопасности, экологии и устойчивому развитию золотодобывающей компании «Полюс». Спикер отметил необходимость создания рейтингов внутри страны, ориентируясь на перечень 17 глобальных целей ООН. При этом не обязательно брать за основу все цели — достаточно выбрать те, которые подходят в конкретном случае.
Но даже в текущем времени рейтинговые агентства запрашивают информацию без присвоения рейтингов. И вернуть это все потом будет несложно, но нужно, чтобы была подготовлена информация», — поделился Александр Кручинин. В завершение выступления он добавил, что блок S чаще направлен на все, что связано с HR, когда стоит сделать упор на культуру безопасности. Далее выступила Елена Компасенко, начальник управления по охране труда, промышленной безопасности и охране окружающей среды АО «Зарубежнефть».
Специалистов по охране труда познакомили с концепцией культуры безопасности «Газпрома»
Зачем развивать культуру безопасности труда в организации? Как руководители и сотрудники влияют на культуру безопасности в компании. Более 500 специалистов и руководителей из различных отраслей, таких как строительство, ЖКХ, нефтяная промышленность и сельское хозяйство, поделились своим опытом и мнением о культуре безопасности в своих компаниях.
Как начать внедрять культуру безопасности?
К неформальной норме можно отнести, например, традицию дляновичков накрывать стол для коллегпосле получения первой зарплаты. Илинеофициальное правило — продвигатьпо карьерной лестнице только тех, ктодолго работает в организации. Спасибо за проявленный интерес к нашему журналу! Для получения доступа к статьям Вам необходимо зарегистрироваться у нас на сайте или выполнить вход.
Одна из российских производственных компаний пыталась внедрить инструмент повышения видимой приверженности руководителей среднего и низшего звена. Инструмент предполагал, что лидер должен обладать определенными качествами, например, готовностью предоставлять обратную связь или проявлять открытость. Чтобы подтвердить наличие этих качеств, руководителям предлагалось, к примеру, проводить поведенческие аудиты безопасности. Вместо ожидаемого повышения уровня лидерства руководители формально собирали подтверждение реализованных аудитов. К причинам неудачи внедрения инструмента можно отнести текущий уровень зрелости культуры безопасности в организации. Ориентированная в первую очередь на формальные процедуры, компания при разработке очередной инициативы сосредоточила внимание на отчетности, упустив суть изменения — развитие приверженности руководителей повышению уровня безопасности. Выводы Проанализировав практики, применяемые российскими компаниями для повышения текущего уровня зрелости культуры безопасности, мы выделили нижеследующие наиболее распространенные решения.
Политики и процедуры Наиболее часто респонденты называли инициативы, направленные на соблюдение работниками требований в области ОТиПБ. Среди таких решений, например, внесение в должностные инструкции ответственных лиц обязанностей в области ОТиПБ, а также контроль соблюдения требований ОТиПБ на рабочих местах. Кроме того, среди респондентов из горнодобывающего и нефтегазового сектора, а также транспортной отрасли и машиностроения оказались актуальными более зрелые практики управления практики и процедуры, учитывающие человеческий фактор в области безопасности. Применение подобных инструментов свидетельствует о большей зрелости культуры безопасности в указанных секторах. Лидирующая роль руководителей, вовлечение работников Большинство респондентов отметили применение практик, направленных на повышение осведомленности работников в вопросах безопасности, к примеру, использование инструмента «Минутки безопасности» или наглядной визуализации отчетности о внедренных инициативах. В ответ на низкую значимость службы ОТиПБ в глазах работников компании внедряют инициативы, направленные на повышение ее авторитета, к примеру, привлекая в организацию квалифицированных экспертов в области ОТиПБ. Обучение и развитие персонала Среди всех практик по повышению зрелости культуры безопасности наиболее распространенной оказалось проведение обучения. Стоит отметить, что компании стремятся проводить обучение как для высшего руководства, так и для линейных руководителей и работников. Отраслевая специфика В части различий в практиках повышения зрелости культуры безопасности среди всех рассмотренных секторов следует выделить строительную отрасль. По сравнению с горнодобывающей отраслью, где большинство респондентов применяли схожие практики развития культуры безопасности, строительный сектор выделился отсутствием унифицированного подхода в этой сфере.
Причина таких различий может крыться в том, что в строительной отрасли внедрение лучших международных практик является повесткой последних лет, в то время как в горнодобывающей и нефтегазовой отраслях такие решения имеют продолжительную историю внедрения.
Визиты на производства Санкт-Петербурга и ЛО 19. Методология работы позволит участникам за короткий срок максимально погрузиться в контекст, собрать важные данные и поучаствовать создании образа культуры будущего. День 2. Стратегическая сессия 20. Его секрет в том, что модерируют круглые столы профессиональные эксперты из компании-партнера.
Все сотрудники понимают: если что-то загорелось, то нужно вызвать пожарных. А если коллега начнет зажигать в офисе фейерверки, то с этим стоит разобраться. Культура кибербезопасности — это фактически то же самое, что и культура пожарной безопасности, но для IT-технологий.
Каждый сотрудник должен понимать, какие данные можно пересылать, а какие — нельзя, по каким ссылкам можно переходить, а какие письма лучше сразу отправлять в спам и сообщать о них ответственным лицам. Такая культура в основном распространена в сфере информационной безопасности: у компаний есть собственная корпоративная культура и четкое понимание того, чего делать нельзя. Если компания не будет поддерживать высокий уровень собственной безопасности, она понесет колоссальный репутационный ущерб. Поэтому любая утечка, даже самый незначительный инцидент может серьезно ударить по бизнесу. В обычных IT-компаниях всё не так очевидно. Уровень культуры кибербезопасности меняется от места к месту — на это влияет много разных факторов. Например, то, насколько менеджмент понял важность управления ИБ-рисками. Фактически всё идет от руководства: как оно поставит задачи и насколько будет готово контролировать их выполнение. Отсутствие такой культуры может привести к плачевным последствиям.
И вот два аргумента. В IT-мире есть постоянная угроза киберкриминала, который зарабатывает хорошие деньги на жертвах. В США за 2022 год хакеры украли только у компаний из финансовой сферы 4 миллиарда долларов. А по всему миру компании потеряли 10 миллиардов. Рынок шифровальщиков и кибервымогателей тоже процветает. Сегодня хакеры наслаждаются тем, что страны не могут взаимодействовать друг с другом так же эффективно, как раньше, чтобы ловить преступников. И всё это приводит к денежным потерям. Хакеры внедряют вирусы в компании, шифруют данные и сливают их. Затем компанию начинают шантажировать, пока она не заплатит выкуп.
И тут всего два варианта: либо платить, либо смириться, потерять данные и понести репутационный ущерб, когда пользователи узнают о факте утечки. С недавнего времени даже появились политические хакеры, которые целенаправленно проводят акции против компаний и правительств. А еще есть случаи, когда некоторые сотрудники перед уходом решают нанести компании ущерб — например, слить какие-нибудь секретные данные или саботировать работу компании. Поэтому очень важно выстраивать кибербезопасность системно. Какие есть стратегии для повышения уровня безопасности Когда компании начинают думать о безопасности, они обычно скатываются к двум радикальным сценариям: закрутить все гайки или не закручивать их вообще. И на самом деле обе крайности опасны — они создают больше проблем, чем пользы. Компания решает, что нужно использовать по максимуму все способы: поставить средства защиты, контролировать всю коммуникацию, проверять работников на полиграфе. Менеджмент думает, что так закроется от рисков. Такой подход сильно влияет на бизнес-процессы.
Чем больше вы следите за каждым шагом сотрудников и добавляете новые системы контроля, тем сложнее людям работать. Это банально неудобно, поэтому люди хуже выполняют задачи и пытаются создать более комфортные условия. Некоторые сотрудники даже пытаются обойти средства защиты — особенно технические специалисты.
На ВНОТ обсудили влияние культуры безопасности на ESG-трансформацию бизнеса
Обычный менеджер или рабочий, обнаруживший неполадку на конвейере и предугадывающий тем самым риски, в результате которых может произойти несчастный случай, наделен полномочиями остановить производственную линию. В японских компаниях такой уровень доверия является стимулом к росту специалистов. Воспитание личной ответственности Штефан Хенш сравнил с воспитанием ребенка. Никто и никогда не предоставляет родителям никаких стандартов и ГОСтов по воспитанию. Если ребенок воспитывается в среде постоянного контроля и надзора, то из такого ребенка вряд ли получится ответственный лидер.
Но если родители предоставляют ребенку больше личной ответственности и выбор, то тем самым они закладывают «зерна» более ответственного поведения. В качестве положительного примера реализации принципа «больше ответственности плюс осведомленность» г-н Хенш привел пивоваренную компанию Efes в Молдове, которая в свое время испытывала проблемы в сфере охраны труда. При реструктуризации системы управления компанией был полностью сокращен отдел контроля качества, а зона ответственности перераспределена на сотрудников. Были выбраны 30 инструкторов, которые начали отвечать в том числе и за безопасность.
Сначала контроль осуществлялся ежедневно, но количество проверок и степень контроля постепенно снижались. Такое внедрение довольно быстро дало свои результаты: на предприятии произошли качественные изменения и в разы снижен травматизм. Работодатели больше склонны приглашать сторонних экспертов и платить им большие деньги, чтобы понять, что не так происходит в компании, вместо того, чтобы использовать свои внутренние ресурсы и ориентироваться на работников. А ведь именно они знают лучше других, что происходит в цехе».
Все это лишний раз доказывает, что необходимо более активно привлекать рабочих в решение вопросов безопасности на рабочих местах. Но в российской действительности существуют «подводные камни», считают российские эксперты. Задача менеджмента - найти «ключики», чтобы рабочему стало не все равно, а важно рассказать, предупредить, предотвратить что-то опасное, если он эту опасность видит и чувствует». Но реально ли в условиях российской ментальности?
Да, уверяет руководитель направления «Промышленная безопасность» Департамента дополнительного профессионального образования Клинского института охраны и условий труда Ирина Журавлева. Но при условии, когда топ-менеджмент предприятия сам вовлечен в этот процесс ответственности, демонстрируют эту вовлеченность, а все его действия пронизаны философией личной ответственности и заботы о людях. В каждом цехе предприятия должен быть создан такой микроклимат, когда лучше предупредить руководство о возможной рисковой ситуации, чем скрыть ее. В качестве наглядного примера того, как обстановка и культура конкретного места, законы и принципы этого места, действуют на поведение людей, Ирина Журавлева привела московское метро.
Вернее, поведение трудовых мигрантов, которые, приезжая в Москву, в первое время уступают места в общественном транспорте женщинам, старикам и детям.
Эксперт рассказал об основных этапах, которые проходит компания в ходе развития культуры безопасности, о ключевых методах ее оценки и важности приверженности руководства в данном процессе. Кроме того, Максим описал модель эффективной культуры безопасности, при которой ценности работника интегрируются с ценностями компании. Спикер продемонстрировал результаты проекта трансформации охраны труда в культуру безопасности, состоявшего из трех этапов: 1.
Проведение многофакторной диагностики персонала, включающей кластерный анализ поведения сотрудников, измерение индекса культуры безопасности, оценку уровня зрелости процессов и законодательной безопасности.
Основу кейсов составили статистические и отчетные данные, информация по наблюдению за поведением работников компании, коренные причины по результатам расследования происшествий, а также наработанный опыт других организаций отрасли. В формате живого диалога участники: познакомились с интересными фактами из мировой истории развития культуры безопасности; определили причинно-следственные отношения между производственной деятельностью и несчастными случаями; рассмотрели поведенческие аспекты и мотивацию работников. После короткого теоретического модуля руководители получили необходимые инструменты для разбора кейса в формате «причины — последствия — решения». Группы, сформированные по 6 человек, приступили к обсуждению. Для начала разобрали учебные и заранее продуманные ситуации, затем анализировали случаи из личной практики. Разная осведомленность в вопросах производственной безопасности позволила участникам посмотреть на ситуации с разных сторон. Это помогло получить прямой доступ к опыту и знаниям коллег в формате «peer-to-peer» обучение по принципу «равный — равному».
Группы успели проработать в течение одного тренинг-дня четыре сложных кейса, основу которых составляли реальные ситуации трудовых будней. В ходе совместного обсуждения из решений команд были выделены некоторые общие закономерности, которые войдут в дальнейшую работу по совершенствованию культуры безопасности в компании. Формула успеха По итогам совместной работы участники неожиданно для себя открыли формулу успеха для совершенствования культуры безопасности.
Тема культуры охраны труда и безопасного поведения людей на рабочих местах в программе Всероссийской недели охраны труда занимает одно из ключевых мест. Встреча проходила в формате живого диалога и обмена мнениями, опытом и практиками. Тут, брат, наше авось - дело великое! За 9 месяцев 2016 года в России на рабочих местах погиб 1 151 человек. Основная причина - неправильные или опасные действия самого человека. Еще Достоевский утверждал, что русское авось - дело великое! Так и видится, как немец Б. Вначале речь идет о терпении и мужестве, о необходимости бросить пить и не пренебрегать черной работой... Но завершает свою речь практичный немец чисто по-русски: в тебе мало смелости, но есть жар, есть чувство, иди на авось! Многие российские специалисты, в том числе и в сфере охраны труда, разводят руками: ничего сделать невозможно! Авось и «лезть на рожон» — национальная черта россиян и национальная модель поведения, некий внутренний «код» российского человека, передаваемый от поколения к поколению. Исторический опыт подсказывает, что, безусловно, национальный менталитет влияет на модели поведения человека на рабочем месте, но главное - это те нормы и стандарты поведения, культура, принятые на конкретном предприятии и конкретном производстве. И если работник хочет остаться на этом предприятии, то он рано или поздно начнет подчиняться этой системе установленных правил безопасного поведения, начнет принимать сердцем и душой эти принципы. Таким образом, национальные особенности не являются чем-то определяющим для человека при выборе той или иной модели поведения, особенно в ситуации опасности. К примеру, национальный состав рабочих на угольных карьерах и шахтах Германии самый разнообразный, от словаков до румын, и они работают, жестко придерживаясь правил охраны труда. Подобные ценности должны пронизывать все уровни управления, включая средний уровень, среднее звено. Я могу - и на этом получать прибыль, повышать производительность, сокращая травматизм - такова логика успешных работодателей. Я, конечно, могу выжать из людей все, а могу удержать людей на ближайшие 5-10 лет. В этом заключается стратегическая задача. Эта философия должна пронизывать всю систему управления и менеджмента». Культура — это не стандарты Как начать внедрять культуру безопасности? Есть ли конкретные инструменты, приемы и практики.