Руководство любого предприятия играет ключевую роль в формировании корпоративной культуры, в том числе и в аспекте безопасности. Мы поднимаем вопрос о культуре безопасности, о готовности оказать помощь. Особую роль в области безопасности в организациях играет феномен культуры безопасности (safety culture), ставший популярным после аварии на ЧАЭС в 1986 году.
Почему компаниям выгодно внедрять культуру безопасности
В ходе сессии «Культура безопасности на производстве в условиях изменения законодательства. Культура безопасности определяется как последовательно проводимый руководителем организации принцип приоритета безопасности во всех без исключения ситуациях конфликта интересов. Сегодня широко распространено мнение, что культура безопасности в компании оказывает решающее влияние на показатели соблюдения безопасности в тех или иных условиях. «Под культурой безопасности подразумевается, что все сотрудники осознают и соблюдают правила и нормы безопасности и следят за тем, чтобы другие поступали так же», – объясняет эксперт. Тем не менее нередко оказывается, что культура безопасности, выстроенная в компании, в своей основе противоречит внедряемым инициативам. Минимизировать риски случайных и намеренных утечек можно, если HR-отдел совместно со службой безопасности и IT-командой будут формировать культуру работы с корпоративной информацией.
В «Росатоме» обсудили культуру безопасного поведения
Копирование, воспроизведение и иное использование электронной книги, ее частей, фрагментов и элементов, выходящее за пределы частного использования в личных некоммерческих целях, без согласия правообладателя является незаконным и влечет уголовную, административную и гражданскую ответственность. Спасибо, что любишь меня и поддерживаешь. Глава 1 Как я испортила Пасху Бывали у меня воскресенья и получше. Мы с мужем сидели дома, только закончили ужинать. Настало долгожданное время насладиться покоем и нашим новым увлечением — запойным просмотром Netflix. Знала бы я тогда, что вот-вот сыграю главную роль в собственной драме, заслуживающей гораздо большего внимания… Загорелся экран моего телефона — пришло сообщение от Шатель, руководителя нашего отдела по подбору персонала.
Мы с ней тесно общались. Всего 12 дней назад мы помогли McAfee отделиться от Intel в качестве одной из крупнейших независимых компаний в области кибербезопасности. Я не удивилась ее сообщению на Пасху — думала, она просто прислала мне поздравления с праздником. Но речь там шла не об этом. Дело плохо».
Я открыла страницу McAfee в очень известной социальной сети, название которой не буду здесь упоминать, — и пришла в ужас. Кто-то взломал профиль нашей новорожденной компании, которой едва исполнилось 12 дней, и исписал страницу самыми грязными и непристойными выражениями, какие только могут прийти в голову. Такое не лучшим образом сказалось бы на любой фирме. Но стоит объяснить, насколько плохо, бесконечно плохо это было для нас. Оскорбительные надписи резко противоречили всему, что представляла наша организация.
Мы только что перезапустили бренд с новым слоганом «Вместе — сила», отражавшим нашу веру в то, что для защиты мира от киберугроз нужно использовать все возможные средства. Мы только что представили сотрудникам новые ценности компании, одна из которых — всеобъемлющая открытость и прозрачность. И мы были лидерами в области кибербезопасности. Что подумают клиенты о нашей способности сохранить их самые ценные цифровые активы, если мы не можем защитить даже собственный профиль в одной из крупнейших соцсетей? И вдобавок ко всему, именно моя команда — маркетинговая организация — отвечала за управление профилями компании во всех социальных медиа, включая этот, «опороченный» прямо у меня под носом.
Я начала действовать. Нужно было связаться с главой нашей диджитал-команды, чтобы понять, что происходит. Я сразу дозвонилась ей, и мне не пришлось объяснять, что звонок никак не связан с Пасхой. Мы разбираемся. Наш аккаунт взломали.
Мы на связи с [социальной сетью], решаем проблему. Я начала думать о худшем. Взломанный аккаунт — это одно. Но что если это скоординированная атака на McAfee? Вдруг хакеры нацелились на добычу покрупнее и отвлекли наше внимание этой «пожарной тревогой», чтобы параллельно проникнуть в систему компании?
Руководитель диджитал-команды тут же уверила меня, что наш директор по информационной безопасности уже все проверил и подтвердил: все системы в порядке. На миг я испытала облегчение, но тут же осознала, что нужно сделать еще один звонок. Генеральный директор должен быть в курсе происходящего. И лучше бы мне сообщить ему новости лично. Итак, я набрала его номер, собираясь испортить и ему пасхальное воскресенье.
Он взял трубку почти мгновенно. Взломана страница компании на сайте социальной сети. Я объяснила ему, что случилось. Первым проблему обнаружил Гэвин, наш SMM-специалист. Он был дома и занимался тем же, чем и многие фанаты социальных сетей на выходных, — сидел в сети.
Около пяти часов вечера он увидел, что статус на странице компании поменялся на произвольный набор букв. Гэвин предположил, что сообщение случайно написал кто-то из его команды, — и удалил пост. Затем он связался с сотрудниками, чтобы выяснить, чьих это рук дело. Об обновлении никто ничего не знал. Вскоре появился новый бессмысленный пост.
И теперь он был неслучайным. Гэвин залогинился в социальной сети и перешел в настройки аккаунта. Имена всех людей, имеющих доступ к управлению страницей, были ему знакомы. Но чтобы перестраховаться, он начал закрывать доступ другим администраторам из списка. Пока он делал это, страница в браузере обновилась — и его «выкинуло» из аккаунта.
Теперь сомнений в злонамеренности действий не осталось. За секунду Гэвин сообразил, что удаление поста сообщило хакеру: в McAfee знают о взломе. Началась классическая гонка из криминальных фильмов о технологиях: пальцы летали по клавиатуре, появлялись и скрывались значки программ, всплывали сообщения — все в лучших традициях Голливуда. Гэвин и злоумышленник на всех парах в режиме онлайн неслись к одной цели. Даже отсутствие напряженного саундтрека не снижало накала страстей.
Гэвин рассказал: «Я старался удалить всех остальных администраторов, и хакер делал то же самое. Он сработал быстрее». Прежде чем закончить разговор с генеральным директором, мне пришлось поделиться с ним еще одной неутешительной новостью. Это вовсе не птица. Это… кхм… это части тела.
Распространенная вещь в хакерском сообществе — «украшать» взломанные сайты непристойными рисунками, чтобы пометить тех, кто был, как говорят на сленге, «унижен», кого «хакнули». Хакер уже знал, что мы заблокированы и ситуация под его контролем; он повесил пошлую картинку вместо нашего нового логотипа просто так, на всякий случай. Моя команда максимально вовлекла службу поддержки социальной сети в решение проблемы. Но… в праздники все происходит дольше. Поскольку был уже поздний вечер, нас перевели на сотрудников группы, работающей в Азиатско-Тихоокеанском регионе.
Создавалось впечатление, что время физически преодолевало океан, разделяющий нас и службу поддержки. Минуты ползли со скоростью улитки. Казалось, ожидание длилось целую вечность. Взломали не наши сервера, и у меня не было возможности подключить команду специалистов из McAfee к решению сторонней проблемы. Мы могли лишь каждые несколько минут связываться со службой поддержки, чтобы снова получать ответ: «Мы работаем над этим».
Примерно через полчаса они сообщили, что заблокировали всех администраторов нашей корпоративной страницы, и доступ к ней остался только у них. Это были хорошие новости: по крайней мере, большего вреда нанесено не будет. А что насчет плохих новостей? Они не могли просто откатить страницу до версии 30-минутной давности. Согласно протоколу, страницу заблокировали, чтобы никто больше не мог изменять ее, а затем должны были последовать процедуры проверки и анализа.
В ходе первой они должны были удостовериться, что мы действительно те, за кого себя выдаем, а не хакер, только притворяющийся McAfee какая ирония! Анализ же призван был определить степень взлома — и только затем можно было предпринимать дальнейшие действия. Но как быть с непристойным аватаром?
Этого никогда не должно было произойти? Могли ли вы оказаться на моем месте?
И снова — конечно. Рассказывая эту историю, я хочу задать тон честности, который необходим и в вашем бизнесе, нацеленном на сопротивление плохим парням. Вам необходимо развить культуру безопасности, которая позволит людям не только помогать друг другу, но и быть взаимно честными при обнаружении подозрительных действий. И честность эта — без гнева, обвинений или возмездия — позволит культуре работать. Кроме того, я описываю взлом нашей страницы, чтобы вы сразу учли наши уроки и применили полученные знания, чтобы устранить щели в броне вашей безопасности.
Почему я? На рынке не наблюдается недостатка в книгах по кибербезопасности от заслуживающих доверия талантливых авторов с самым разным опытом. Вы можете прочитать расследования журналистов, проанализировавших самые знаменитые взломы в истории. Можете ознакомиться с авторитетным мнением корифеев — основателей отрасли. Еще больше информации вы найдете у технических экспертов, которые весьма подробно разбирают сложные элементы кибербезопасности.
Однако же в то время, когда я это печатаю, найдется крайне мало книг по кибербезопасности, написанных маркетологами. А уж маркетологами, проработавшими в сфере всего несколько лет, — и того меньше. Так зачем доверять такому автору в столь серьезном вопросе? Считайте мою книгу чем-то вроде гибрида маркетинга и технологий. Всю свою карьеру я переводила технические концепции на обычный язык.
Я изучала взаимодействие работы и технологий, чтобы понять, как меняется корпоративная культура. Так что если вы в целом не разбираетесь в технологиях, будьте уверены: моя цель — дать вам достаточно знаний для понимания нюансов этой сложной темы, не загружая техническими деталями. Но если вы технологически подкованнее меня, уверяю: я не собираюсь все упрощать. Просто предложу рецепты, которые каждый сотрудник — как технический, так и любой другой — может применить для защиты своей организации. И, наконец, если вы один из моих собратьев по кибербезопасности, надеюсь, вы с удовольствием прочитаете эту книгу, восприняв ее как возможность дать другим заглянуть в наш мир.
А после — передадите коллегам, не связанным с киберзащитой, чтобы они тоже вступили в наши ряды борцов за безопасность. Почему вы? Вы можете считать себя человеком, которому нечего привнести в сферу киберзащиты. В конце концов, как могут сотрудники, менеджеры, руководители и члены совета директоров, работа которых не связана с данной сферой, сыграть значимую роль в игре, правил которой, возможно, даже не понимают? И здесь я обращусь за вдохновением к миру профессионального спорта — он дает нам много примеров успеха командной работы.
Я не фанат спорта, но питаю слабость к американскому футболу. У меня остались очень теплые воспоминания из раннего детства: мы с отцом сидим на диване в гостиной и смотрим игру его любимой команды Dallas Cowboys. Как и миллионы других болельщиков, в мире профессионального спорта я всего лишь зритель. Просмотр игры — это самое короткое расстояние, на которое большинство из нас может к ней приблизиться. Зрители практически не влияют на исход игры.
Эта роль возложена на гораздо более важные персоны — спортсменов и тренеров, — чьи талант, упорство и командная работа в конечном счете определяют, одержат ли они победу. Раньше я верила в это. Но потом узнала о 12-м игроке Seattle Seahawks — американской профессиональной футбольной команды. Во время любого матча на поле выходят по 11 футболистов от каждой команды. Но Seahawks признают 12-го игрока — не менее важную толпу зрителей.
Со временем я поняла, что мы с папой не желали встречи наших «ковбоев» с Seattle Seahawks на их поле. На их стадионе соперников не ожидает теплый прием. Уровень шума, создаваемый «двенадцатым игроком» команды, всего на пару децибел ниже, чем на летной палубе авианосца. И, как оказалось, поддержка зрителей существенно повлияла на исход нескольких игр. За три сезона Seahawks на своем поле одержали 26 побед против двух поражений.
Эта заслуженная футбольная команда знает, насколько важны зрители. Гигантский флагшток с цифрой 12 гордо реет над их стадионом. А когда команда вышла на поле перед игрой в Супербоуле, шествие возглавлял человек с флагом — также с изображением заветного числа. Неужели «12» как называют фанатов Seahawks действительно такие громкие? В целом — да.
Но оказалось, что их стадион был специально спроектирован так, чтобы усиливать шум. В отличие от других полей под открытым небом, где шум рассеивается естественным образом, на стадионе Seahawks есть своего рода вторая палуба и навес, которые направляют шум вниз, создавая какофонию, когда болельщики кричат [1]. Руководство команды приложило немало усилий, чтобы сделать «двенадцатого игрока» полноправным участником матчей и прибавить его коллективную мощь к своей. История о двенадцатом игроке учит нас тому, что зрители могут влиять на исход. Но для этого их нужно вовлекать.
Они должны быть полноправными участниками происходящего. И вот теперь — ваш выход. Я написала эту книгу, чтобы каждый осознал важность собственного участия в непрекращающемся соревновании за кибербезопасность. Никто не обвинит вас в том, что вы не надели форму раньше. Но после прочтения этой книги никто не сможет оправдать вашего отказа от ответственности.
В этой книге я хочу продолжить диалог с того места, на котором заканчивалось так много других текстов: дать новичкам в сфере бизнеса план действий, который они могут немедленно воплотить в жизнь, чтобы стать частью борьбы за кибербезопасность. Если вы все еще сомневаетесь, стоит ли вступать в битву, знайте: вы уже в ней. Киберпреступники надеются на равнодушие и отстраненность сотрудников — так им будет проще наносить удары. Если вы не активный игрок, выступающий за свою компанию, вероятно, вы пешка в руках врага. Если вы цените онлайн-свободу, если вам важно, чтобы данные, которые вы используете для принятия решений, не были скомпрометированы, если хотите, чтобы ваши девайсы использовались во благо, а не во вред, то вы уже разделяете миссию профессионалов сферы кибербезопасности.
У вас больше общего с нами, чем вы могли себе представить. Руководство McAfee серьезно относится к развитию. Каждый квартал мы собираемся вместе, чтобы снова и снова превращать просто «работу» в «командную работу». Мы учимся у коллег, делимся личными историями о наших профессиональных буднях и даем обещание быть более искренними друг с другом и с нашими сотрудниками. В конце этих встреч мы практикуем инструмент W.
Каждый из нас берет на себя обязательство проработать одну из ключевых областей развития, которые мы обсудили. Позвольте мне и вас вооружить такой же «мудростью». В конце каждой главы вы найдете советы о том, что можете сделать в понедельник для повышения уровня кибербезопасности вашей организации. Некоторые из них на первый взгляд очевидны, но могут существенно повлиять на ваш успех. Другие потребуют больше работы, но, скажем так: вид стоит того, чтобы забраться на гору.
Рекомендации, которые вы найдете на этих страницах, можно применить на очень широком спектре предприятий. McAfee обслуживает сотни миллионов потребителей по всему миру. Мы работаем с крупнейшими правительственными и корпоративными организациями. Наши решения защищают и задние дворы, и залы заседаний. Мы действительно вас понимаем.
Использовать советы смогут люди, занимающие различные позиции, — от членов совета директоров крупных компаний до рядовых сотрудников. Кибербезопасность слишком важна, чтобы оставлять ее в ведении специалистов узкого технического профиля.
Удаленную работу, как еще один формат работы, компания начала активно внедрять за год до пандемии, и к 2020 году у нас уже сформировался единый подход и правила. Наша компания имеет несколько офисов в России и один в Сербии г.
Белград , мы активно работаем с зарубежными заказчиками, в связи с этим онлайн коммуникации для нас — вполне привычный инструмент. Но реальность распорядилась иначе. Так как эпидемиологическая ситуация остается нестабильной, бОльшая часть сотрудников продолжает работать удаленно. Не думаю, что это глобально изменило или изменит основные ценности нашей корпоративной культуры.
Но некоторые изменения в том, как сейчас эти ценности проявляются на практике, как изменилось наше поведение и правила работы, уже можно наблюдать. Несмотря на то, что прошло достаточно времени, чтобы адаптироваться к удаленной работе, есть те, кто ощущают на себе скорее негативное влияние такого формата. В привычной культуре управления руководитель регулярно общается со своими сотрудниками в формате «один на один».
Определена ответственность руководителей, функциональные направления работы и конкретные задачи. Результатом внедрения Проекта станет создание в Обществе эффективной системы вовлечения работников и формирования у них стиля безопасного поведения в производственном процессе и вне его; внедрение ключевых элементов культуры безопасности, направленных на сохранение жизни и здоровья работников всех подразделений Общества; внедрение элементов культуры предупреждения происшествий, направленной на повышение уровня безопасности производственных процессов.
Внедрение культуры безопасности в ООО «Газпром добыча Оренбург» направлено на достижение главной цели — выработку нетерпимости к рискам и нарушениям в области охраны труда и промышленной безопасности, и, как следствие, снижение травматизма. Основная цель АСУПП — обеспечение регистрации сообщений работников Общества о потенциальных происшествиях и контроль своевременности осуществления корректирующих и предупреждающих действий, предпринятых для предотвращения потенциальных происшествий. Службой информационно-управляющих систем Общества была разработана и запущена в опытно-промышленную эксплуатацию АСУПП, а также разработаны операционные инструкции для всех участников процесса. В настоящее время каждый работник Общества при обнаружении потенциального происшествия имеет возможность внести информацию об указанном событии в АСУПП как самостоятельно, так и через уполномоченного по охране труда в своем коллективе. Система позволяет регистрировать и оперативно реагировать на все потенциальные происшествия, выявленные работниками, тем самым способствует усилению вовлечения работников в систему управления производственной безопасностью.
Обучение персонала Прямой способ приобретения новых компетенций — это обучение персонала по вопросам культуры безопасности. Оно проводится по специальным программам, разработанным Учебно-производственным центром Общества.
«Мы работаем над тем, чтобы культуру безопасности сделать модной»
Именно лидерство необходимо для изменения мышления работников, являющегося основной преградой для развития культуры безопасности. Для дальнейшего совершенствования культуры безопасности компании должны сосредоточиться на усилении роли своих руководителей в формировании приверженного отношения работников к вопросам безопасности. При этом ключевым моментом является демонстрация лидерства не только высшим руководством, но и руководителями линейного уровня ежедневно и повсеместно. В каждой организации руководители несут ответственность за разработку и реализацию политик и стратегий в области безопасности, установление целевых показателей эффективности и распределение ресурсов. Таким образом руководство контролирует практические механизмы формирования климата в области ОТиПБ. Это означает, что лидеры обладают способностью влиять на восприятие работниками вопросов безопасности, которое, в свою очередь, создает почву для реализации изменений.
Однако еще более важным является факт, что вне зависимости от того, осознают ли это руководители, они постоянно влияют на атмосферу безопасности путем принятия управленческих решений как в области ОТиПБ, так и в общепроизводственной сфере. Джон Шерри Партнер Deloitte Австралия , лидер практики в области охраны труда и промышленной безопасности Инициативный подход к вовлечению работников Согласно ответам респондентов, низкий уровень осознанности и недостаточное вовлечение работников в решение вопросов безопасности является распространенной ситуацией, характерной для множества компаний. Эксперты сходятся во мнении, что уровень вовлечения персонала играет существенную роль в построении зрелой культуры безопасности. Например, исследование SHRM Foundation на заводе крупного производителя напитков Molson Coors показало, что у вовлеченных работников в пять раз меньше шансов стать жертвой происшествия. Для перехода к более зрелой культуре безопасности работодателям необходимо внедрять практики, направленные на повышение приверженности и ответственности персонала в вопросах безопасности.
Хорошими примерами могут служить включение работников в комитеты по безопасности, запрос обратной связи, наделение работников возможностями для реализации собственных предложений. Внесение инициатив через систему Кайдзен как инструмент вовлечения работников Истоки системы Кайдзен непрерывного совершенствования производственных процессов лежат в области методик бережливого производства. Однако сегодня разнообразные практики Кайдзен к примеру, стандартизация рабочего места на основе принципов 5S находят применение и в области производственной безопасности. Инструмент предполагает, что каждый работник может внести предложение, направленное на повышение безопасности условий труда, получить материальное вознаграждение и обратную связь, а также принимать участие в реализации своей инициативы или следить за ходом этого процесса. Подобный инструмент способен значительно повысить вовлеченность работников в решение вопросов безопасности, так как, с одной стороны, дает реальную возможность повлиять на процессы ОТиПБ в компании, а с другой — позволяет демонстрировать работникам ценность вопросов безопасности с помощью материальной денежное вознаграждение и нематериальной обратная связь, участие в реализации инициативы мотивации.
Переход от культуры обвинения к культуре справедливости Культура обвинения, по мнению большинства респондентов, препятствует выявлению корневых причин происшествий и недостатков в системе управления ОТиПБ. Наличие такой культуры значительно сдерживает внедрение инноваций и изменений в организациях, вместо этого акцентируя внимание на поиске виновных.
Оцифровка процессов социальной устойчивости. Последний этап предполагает использование цифровой платформы по управлению культурой безопасности, в которой есть такие функции, как управление рисками и условиями труда, сбор, хранение и обработка всех исходных данных, автоматизация обучения и формирование цифровых процессов по модулям здоровье персонала, управление безопасностью работ, управление подрядчиками, расследование инцидентов, внутренние аудиты и контроль, бюджетирование. По словам Максима, внедрение данного цифрового решения позволило повысить производительность труда, снизить потери от нетрудоспособности, увеличить фонд рабочего времени и значительно сократить текучесть кадров.
Культура извлечения уроков — компания умеет делать выводы из допущенных ошибок и исправлять условия, угрожающие охране труда. Гибкая культура — организация способна перестраиваться, если нужно, из-за растущих требований изменяющейся рабочей среды. Справедливая культура — работники четко видят границу между допустимым и недопустимым поведением. В последнем случае принимаются последовательные, справедливые и обоснованные меры. Положительная культура безопасности труда также строится на доверии, репутации и поведении высшего руководства, либо лидеров безопасности, которыми могут быть не только топ-менеджмент, а любой сотрудник организации. По мнению T. Krause 2005 r. Степень доверия — слова руководителей не расходятся с делом. Ориентированность на практические действия — руководители решают проблемы, связанные с отсутствием охраны труда. Видение — совершенная картина охраны труда, которую представляют руководители. Ответственность — руководители обеспечивают условия, при которых сотрудники принимают на себя ответственность за работу, связанную с критически важными вопросами охраны труда. Коммуникация — способ сообщения и передачи информации об охране труда руководителями, который помогает формировать и поддерживать культуры охраны труда. Сотрудничество — руководители одобряют заинтересованность сотрудников в решении вопросов охраны труда и активно вовлекают их в это решение. Реакция и признание — поощрение моделей поведения, направленных на поддержание охраны труда, с помощью оперативного, справедливого и конструктивного признания. Немаловажным является вопрос мотивации сотрудников в вопросы безопасности труда. Как правило, мы переоцениваем роль системы оплаты труда в осознанной безопасности, считая ее волшебной палочкой и единственным методом воздействия, даже забавно называем ее «мотивацией». И забываем, что без остальных инструментов общие цели, обучение и наставничество, поддержка, вовлечение и т. Ваши успехи и необходимые действия по улучшению ситуации в области осознанной безопасности зависят только от вас. Честность, доверие, забота - основа как корпоративной производственной культуры, так и культуры безопасности труда!
По его мнению, уровень развития КБ напрямую влияет не только на операционные показатели организации, но и на корпоративную культуру: HR-процессы и лояльность сотрудников. Эксперт рассказал об основных этапах, которые проходит компания в ходе развития культуры безопасности, о ключевых методах ее оценки и важности приверженности руководства в данном процессе. Кроме того, Максим описал модель эффективной культуры безопасности, при которой ценности работника интегрируются с ценностями компании. Спикер продемонстрировал результаты проекта трансформации охраны труда в культуру безопасности, состоявшего из трех этапов: 1.
Корпоративная культура безопасности – главная задача
Многие компании в России и СНГ уже прошли значительный путь развития культуры безопасности, и сегодня перед нами открывается новый горизонт развития. Выведите свое обучение технике безопасности за пределы традиционных методов и развивайте процветающую культуру безопасности на своем рабочем месте! ять на восприятие безопасности работником организации.
Вы точно человек?
Проанализируем путь развития, чтобы увидеть базу, на которую стоит опираться Посмотрим, где находимся и как ощущаем себя в настоящем Спроектируем образ будущего, к которому стремимся В программе вас ожидает Формат представляет собой уникальную возможность посетить производственную площадку одной из заявленных компаний, поучаствовать в экскурсии на производственную площадку и обсудить применяемые подходы и инструменты в области культуры безопасности. День 1. Визиты на производства Санкт-Петербурга и ЛО 19. Методология работы позволит участникам за короткий срок максимально погрузиться в контекст, собрать важные данные и поучаствовать создании образа культуры будущего.
День 2.
Уязвимость номер два: мы должны были требовать двухфакторной аутентификации в социальных сетях от всех администраторов. Это означает, что для входа в систему им понадобилось бы ввести не только правильный пароль, но и одноразовый код, отправленный, например, на телефон. Если не ввести код в течение нескольких секунд или минут после попытки входа, вы не попадете в систему.
Существует несколько версий этого типа аутентификации, и я, конечно, все упрощаю — но в целом все понятно. Это наша вина. Уязвимость номер три: мы проводили проверку аккаунта недостаточно часто и не поняли вовремя, кому больше не нужен доступ. Джули работала на нас, но мы должны были исключить ее из списка администраторов после окончания проекта.
Нас могли взломать и пока она активно сотрудничала с нами, но отсутствие «гигиены» только усугубило ситуацию. Это точно на нашей совести. Все эти действия могли значительно снизить вероятность взлома. Но, допустим, каким-то невероятным образом достаточно мотивированный, везучий и даровитый хакер смог проникнуть в нашу учетную запись в соцсети.
Давайте разберемся, как превентивные меры помогли бы нам после обнаружения взлома. Мы могли разработать процедуру блокировки действий всех администраторов страницы, не позволяющую хакерам узнать, что мы в курсе атаки. Удалением бессмысленных постов мы только привлекли их внимание. А когда они увидели, как мы закрываем доступ администраторам, они стали работать на опережение.
Нам повезло, что Гэвин оказался на взломанной странице в пасхальное воскресенье. В противном случае мы могли бы не узнать об атаке так быстро. Теперь у нас есть инструмент, который использует средства машинного обучения для обнаружения необычных изображений, ненормативной лексики, оскорблений и других аномальных материалов на страницах социальных сетей. Он немедленно предупреждает нескольких членов нашей команды о такой необычной активности.
Я не буду называть конкретный инструмент по двум причинам. Во-первых, программы приходят и уходят, у каждой из них свой уровень эффективности и каждой из них — свое время. Иными словами, в период запуска инструмент может быть очень эффективным — до тех пор пока хакеры не найдут способ его обойти. Я не знаю, когда вы будете читать эту книгу, а потому не стану хвалить то, что, возможно, больше не использую.
Вторая причина, по которой я скрою название этого инструмента, заключается в том, что McAfee является важной мишенью для хакеров по всему миру. Оставляя их теряться в догадках, какие именно средства мы используем, мы помогаем снижать угрозу. Поискав описания инструментов в сети, вы быстро найдете то, что можно опробовать. Вернемся к урокам, которые мы вынесли.
Мы не были знакомы с протоколом действий службы поддержки соцсети в подобных ситуациях. И очень зря. Только постфактум мы узнали о том, что их политика требует блокировки аккаунта на много часов, вне зависимости от того, насколько велики изменения на странице. Теперь мы узнаем о подобных процедурах заранее — до размещения корпоративных страниц на других сайтах.
Мы на собственном горьком опыте убедились, как много значат деньги. Поскольку мы тратили приличную сумму на продвижение в социальной сети через агентства, самой платформе мы казались менее значимым аккаунтом, чем были на самом деле. Это могло повлиять на быстроту реакции. Теперь мы оплачиваем продвижение напрямую на платформах социальных сетей — чтобы наши инвестиции были на виду и приносили нам уровень сервиса, которого мы заслуживаем.
Кроме того, мы узнали, что сторонние компании, с которыми мы ведем бизнес, могут не иметь надежных методов обеспечения безопасности. Это особенно важно, если это ваши филиалы или у них есть доступ к вашим системам. В частности, у небольших сторонних компаний, с которыми вы поддерживаете отношения, может не быть подразделений ИТ и безопасности, не говоря уже о строгой политике киберзащиты. И наконец, последний удар под дых.
Как показало вскрытие, McAfee даже не был изначальной целью атаки. Когда хакер получил доступ к личным данным Джули, он понятия не имел о том, что она администратор корпоративной страницы компании. Он не знал, кто такая Джули: ему было все равно. Он просто охотился за паролями, стремился определить, к чему они откроют доступ, — к личному банковскому счету, сети компании или чему-то еще.
Как только он нашел тот, который случайно подошел к странице McAfee в этой социальной сети, он вывалил на всех, кого мог, целый ушат оскорблений, унизив при этом компанию. Даже для хакеров удача иногда важнее мастерства. Еще несколько важных уроков Составьте список людей, с которыми вы можете связаться в такой ситуации. Держите их контакты под рукой — там, где вы и ваша команда легко сможете их найти.
Эти списки должны быть не только у ваших людей, но и у сотрудников, обслуживающих сайт компании, ее социальные сети, облачное хранилище и так далее. В чьи-то рабочие обязанности должна быть включена регулярная проверка доступа к аккаунту, а помимо этого — удаление из списка администраторов людей, чья работа больше не связана с текущими проектами. Используйте многофакторную аутентификацию. Некоторые наши системы автоматически определяют, когда пользователи входят в них, а когда выходят — даже если выключение произошло всего на несколько минут, например, для смены компьютера.
При работе в системах с меньшим уровнем прямого контроля — таких как облачные сервисы, например, — мы просим сотрудников присылать скриншоты, показывающие, что многофакторная аутентификация включена. Можете себе представить, как тщательно мы теперь изучаем социальные сети, прежде чем разместить там свою страницу. На основе ответов мы проводим оценку уязвимости. Чья это вина?
Безусловно, провайдер социальной сети сможет доказать, что мы сами не сделали несколько очевидных шагов — не свели к минимуму количество администраторов, регулярно проверяя их список, не настояли на использовании уникальных надежных паролей и так далее. Но решению проблемы не способствовала и его жесткая политика, в рамках которой очевидно взломанная грубейшим образом страница должна была оставаться неизменной до окончания проверки. И, конечно, сотруднице агентства не стоило использовать одинаковый пароль для нескольких учетных записей. Но обратите внимание: главу я назвала «Как я испортила Пасху».
Нет, я не взламывала корпоративную страницу McAfee. Не я предоставила такую возможность злоумышленнику. И в то пасхальное воскресенье я меньше всего хотела разбираться с ситуацией, возникшей в результате цепи нелепых ошибок. С учетом всего сказанного я могу лишь взять на себя ответственность за все произошедшее.
Ведь, в конце концов, эта корпоративная страница находилась в ведении моей команды. И мы не выполнили свой долг — не приняли разумных мер для ее сохранности. Личная ответственность — вещь неприятная. Немногим из нас доставляет удовольствие обдумывать, что можно было сделать лучше или иначе для предотвращения несчастного случая.
Уклонение — гораздо более нормальная человеческая реакция. Тем не менее именно наша тяга к отказу от личной ответственности остается ключевым оружием в арсенале хакерского сообщества. Слишком долго кибербезопасность была «чьей-то там» проблемой. Слишком многие считают кибербезопасность мутной темой, не заслуживающей их личного времени, не говоря уже об ответственности.
Эта книга ставит целью изменить данную парадигму, хотя бы помочь сделать скромный шаг к признанию ответственности, которую мы все разделяем как сотрудники — и, в конечном итоге, защитники — наших организаций. Если наша компания не может рассчитывать, что мы примем разумные меры предосторожности, чтобы уберечь ее драгоценные цифровые активы, то кому она вообще может доверять? Однако позвольте мне отвлечься от своей «мелодрамы» и обозначить настоящую проблему. Дело не в том, что сотрудники в большинстве своем не хотят поступать правильно.
Гораздо чаще они просто не знают, как это делать. Кибербезопасность — это командный спорт, в котором каждый должен играть на своей позиции в любую минуту. Дополнительные инструменты могут быть чрезвычайно полезными; но только когда люди, программы, процедуры, регулярные проверки и другие факторы работают вместе, они образуют эффективную защиту. Помните о важном факторе Еще один важный элемент, позволяющий минимизировать киберугрозу, — честность.
Это значит, что руководители на всех уровнях управления начиная с самих себя должны создавать в компании такие условия, чтобы люди осознанно накапливали знания и делились ими. Эта картина кажется идеальной, но как к ней приблизиться в реальной жизни? В целях формирования благоприятной среды для развития сотрудников в области культуры безопасности, а также для обучения сотрудников быстро ориентироваться в сложных ситуациях, связанных с вопросами безопасности, при помощи быстрого переноса теоретических знаний на практику, в Едином операторе газификации был опробован формат кейс-клуба, получившего название «Лидерские практики в формировании культуры безопасности». Как свидетельствовали инсайты, полученные от участников мероприятия, его реализация прошла успешно. Развитие культуры безопасности Дебютное заседание кейс-клуба было организовано экспертами Управления по работе с персоналом совместно с Управлением производственной безопасности. Модерировал встречу сертифицированный бизнес-тренер, автор статей, семинаров и тренингов в области развития культуры безопасности. Кейс-клуб объединил управленцев разных функций для обмена опытом и решения сложных рабочих ситуаций в области охраны труда, промышленной и пожарной безопасности, а также безопасности дорожного движения. Основу кейсов составили статистические и отчетные данные, информация по наблюдению за поведением работников компании, коренные причины по результатам расследования происшествий, а также наработанный опыт других организаций отрасли. В формате живого диалога участники: познакомились с интересными фактами из мировой истории развития культуры безопасности; определили причинно-следственные отношения между производственной деятельностью и несчастными случаями; рассмотрели поведенческие аспекты и мотивацию работников. После короткого теоретического модуля руководители получили необходимые инструменты для разбора кейса в формате «причины — последствия — решения».
Маркаряна, З. Файнбурга и других в конце 70-х годов прошлого века и характеризует культуру как «универсальное свойство» жизни общества [1-4]. Именно потому этим универсальным свойством обладают и «культура производства» и «культура безопасности», без которых нет и не может быть успешной производственной и трудовой деятельности.
В этом смысле культура безопасности и культура производства — это технологии успеха! Итак, есть несколько разных смыслов термина «культура», одно из которых несет явную деятельностную смысловую окраску, и «культура» рассматривается как некий способ, некая технология успешной деятельности. Именно с этой точки зрения термин культура применим к безопасности производства.
Другими словами, культура безопасности означает некоторый стиль поведения, выполнения работ, их организации, который обеспечивает безопасность. Культура безопасности применительно к организациям и физическим лицам означает совокупность характеристик и отношений, которые устанавливают такой порядок, что вопросам защиты и безопасности уделяется внимание, соответствующее их реальной значимости. Поскольку культура безопасности и культура производства с позиции деятельностной теории неразрывно связаны с поведением людей для производства — с поведением персонала, работающих по найму, работников , то главным в культуре производства и культуре безопасности является внутренняя мотивация и внутренняя компетентность персонала.
Ее не купить на стороне и даже не взять в лизинг. Ее можно только создать. Но как?
Именно поэтому, мы, имея достаточно богатый опыт по построению систем управления охраной труда и промышленной безопасностью, попытаемся ниже систематически изложить основные принципы и моменты создания и поддержания «культуры безопасности», требуемые для эффективного достижения и более широкой «культуры производства». Общие принципы культуры безопасности Основные черты высокой «культуры безопасности», имеющей существенное значение для системы управления охраной труда и предотвращения профессиональных рисков, состоит в «автоматическом», «привычном», «незаметном» для исполнителя выполнении всех мер и требований безопасности в процессе любой производственной и трудовой деятельности, при принятии решений выработке мероприятий и их выполнении. Это и естественная способность «подать руку», «открыть дверь», «пропустить вперед» и т.
И в этом отношении «культура безопасности», «культура производства» ничем не выделяются из «культуры» вообще. Но это не означает, что у них нет специфики, что они аморфны и неизменно и чрезмерно общи. Они тесно связаны с производственной деятельностью, ее характером и спецификой, со спецификой организации управления выполнением работ.
Они — элементы реальной деятельности и ее специфичности на каждом конкретной предприятии. И они конкретны для каждого предприятия. Заметим, что культура безопасности и культура производства легко вписываются в концепции систем качества и безопасности.
При этом культура, как технология успеха, должна пронизывать каждое действие, каждое событие, каждое мероприятие, присутствовать везде и всюду. Поэтому «зону бескультурья» нужно окружать красными флажками со всех сторон. В оболочке «безопасности» воздушного шара «производства» в его полете к успеху не должно быть дыр, даже залатанных.
Мы можем иметь великолепные технологии и оборудование, но плохую организацию труда — и в итоге ничего хорошего. Мы можем иметь великолепные технологические регламенты, но плохой контроль за их соблюдением… И вновь ничего хорошего. Мы можем иметь прекрасные документы системы управления охраной труда, но не выполнять их … И вновь ничего хорошего.
Причем, культура производства и культура безопасности на конкретном предприятии вытекают из общей культуры деятельности в стране, принятых не только умом, но сердцем норм и правил. Такая культура воспитываются у людей с детства. Однако и на предприятии можно подправить те внутренние нормы, которыми руководствуется человек в повседневной жизни, хотя бы в целях и рамках успешной производственной деятельности.
Системный подход к культуре безопасности и культуре производства был выработан давно и заключается в подборе персонала, помощи в адаптации применительно к конкретному рабочему месту и конкретному предприятию, развитию компетентности через различные формы обучения, включая проверку компетентности через механизмы аттестации персонала, и, наконец, самое главное, развитие внутренней мотивации персонала на безопасный, производительный и качественный труд через позитивное преимущественно и негативное по мере неизбежности стимулирование персонала. Наиболее часто термин «культура безопасности» употребляется именно в той сфере, где он и возник - в атомной энергетике, однако это не означает, что культура безопасности не нужна на предприятиях других отраслей. Рассматривая различные аспекты культуры безопасности, основной упор следует сделать на квалификационную и психологическую подготовленность всех работников, при которой обеспечение безопасности является в чем-то их приоритетной целью и внутренней потребностью.
Культуру охраны труда следует рассматривать как широкое понятие, включающее в себя отношение к охране труда, поведение в данной производственной системе, а также организацию труда на рабочем месте с точки зрения безопасности. Закоренелые производственники частенько задают вопрос, является ли культура безопасности труда лишь новым словосочетанием для обозначения старых понятий или оно несет в себе новое содержание, которое может улучшить наше понимание того, как должна функционировать охрана труда на предприятии? Ответ состоит в том, что это новое содержание связано не столько с формализмом СУОТ и СУПБ, сколько с внутренним отношением к этим проблемам со стороны и простых работников и топ-менеджеров.
Есть такое выражение, мастерство не пропьешь… Так вот, культура безопасности в чем-то похожа на мастерство, дополняет его, входит в него… Она — внутреннее богатство человека, его неотъемлемая часть… Хотя концепция культуры безопасности труда не является на сегодняшний день в России четко сформулированной и рассматривает широкий спектр различных явлений в обеспечении безопасности, она, несомненно, затрагивает самое существенное в обеспечении безопасности — человеческий фактор. Вот почему внедрение и поддержание культуры безопасности — наилучший метод управления человеческим фактором, поведением персонала.
Вы точно человек?
Культура безопасности в многопрофильных компаниях способствует развитию и применению передовых технологий и методов работы, что повышает эффективность бизнеса и делает компанию более конкурентоспособной. Культура безопасности, в контексте управления организациями, рассматривается как универсальный индикатор эффективности и управляемости. Ежегодно в группе компаний ИНК проводится оценка уровня культуры безопасности по международной методике «Сердца и. Поскольку и до пандемии компания активно поддерживала ценности корпоративной культуры, в текущий период она не подверглась сильной модификации. Для продвижения культуры безопасной разработки и улучшения понимания проблем безопасности разработчиками, мы внедрили следующие практики. повышение безопасности, гигиены труда и общих условий работы в компаниях.
«Мы работаем над тем, чтобы культуру безопасности сделать модной»
На основе ответов мы проводим оценку уязвимости. Чья это вина? Безусловно, провайдер социальной сети сможет доказать, что мы сами не сделали несколько очевидных шагов — не свели к минимуму количество администраторов, регулярно проверяя их список, не настояли на использовании уникальных надежных паролей и так далее. Но решению проблемы не способствовала и его жесткая политика, в рамках которой очевидно взломанная грубейшим образом страница должна была оставаться неизменной до окончания проверки. И, конечно, сотруднице агентства не стоило использовать одинаковый пароль для нескольких учетных записей. Но обратите внимание: главу я назвала «Как я испортила Пасху».
Нет, я не взламывала корпоративную страницу McAfee. Не я предоставила такую возможность злоумышленнику. И в то пасхальное воскресенье я меньше всего хотела разбираться с ситуацией, возникшей в результате цепи нелепых ошибок. С учетом всего сказанного я могу лишь взять на себя ответственность за все произошедшее. Ведь, в конце концов, эта корпоративная страница находилась в ведении моей команды.
И мы не выполнили свой долг — не приняли разумных мер для ее сохранности. Личная ответственность — вещь неприятная. Немногим из нас доставляет удовольствие обдумывать, что можно было сделать лучше или иначе для предотвращения несчастного случая. Уклонение — гораздо более нормальная человеческая реакция. Тем не менее именно наша тяга к отказу от личной ответственности остается ключевым оружием в арсенале хакерского сообщества.
Слишком долго кибербезопасность была «чьей-то там» проблемой. Слишком многие считают кибербезопасность мутной темой, не заслуживающей их личного времени, не говоря уже об ответственности. Эта книга ставит целью изменить данную парадигму, хотя бы помочь сделать скромный шаг к признанию ответственности, которую мы все разделяем как сотрудники — и, в конечном итоге, защитники — наших организаций. Если наша компания не может рассчитывать, что мы примем разумные меры предосторожности, чтобы уберечь ее драгоценные цифровые активы, то кому она вообще может доверять? Однако позвольте мне отвлечься от своей «мелодрамы» и обозначить настоящую проблему.
Дело не в том, что сотрудники в большинстве своем не хотят поступать правильно. Гораздо чаще они просто не знают, как это делать. Кибербезопасность — это командный спорт, в котором каждый должен играть на своей позиции в любую минуту. Дополнительные инструменты могут быть чрезвычайно полезными; но только когда люди, программы, процедуры, регулярные проверки и другие факторы работают вместе, они образуют эффективную защиту. Помните о важном факторе Еще один важный элемент, позволяющий минимизировать киберугрозу, — честность.
Я определенно выхожу из зоны комфорта, начиная книгу со своим именем на обложке с описания досадного сбоя в системе безопасности, произошедшего у меня под носом. Могло ли быть хуже? Этого никогда не должно было произойти? Могли ли вы оказаться на моем месте? И снова — конечно.
Рассказывая эту историю, я хочу задать тон честности, который необходим и в вашем бизнесе, нацеленном на сопротивление плохим парням. Вам необходимо развить культуру безопасности, которая позволит людям не только помогать друг другу, но и быть взаимно честными при обнаружении подозрительных действий. И честность эта — без гнева, обвинений или возмездия — позволит культуре работать. Кроме того, я описываю взлом нашей страницы, чтобы вы сразу учли наши уроки и применили полученные знания, чтобы устранить щели в броне вашей безопасности. Почему я?
На рынке не наблюдается недостатка в книгах по кибербезопасности от заслуживающих доверия талантливых авторов с самым разным опытом. Вы можете прочитать расследования журналистов, проанализировавших самые знаменитые взломы в истории. Можете ознакомиться с авторитетным мнением корифеев — основателей отрасли. Еще больше информации вы найдете у технических экспертов, которые весьма подробно разбирают сложные элементы кибербезопасности. Однако же в то время, когда я это печатаю, найдется крайне мало книг по кибербезопасности, написанных маркетологами.
А уж маркетологами, проработавшими в сфере всего несколько лет, — и того меньше. Так зачем доверять такому автору в столь серьезном вопросе? Считайте мою книгу чем-то вроде гибрида маркетинга и технологий. Всю свою карьеру я переводила технические концепции на обычный язык. Я изучала взаимодействие работы и технологий, чтобы понять, как меняется корпоративная культура.
Так что если вы в целом не разбираетесь в технологиях, будьте уверены: моя цель — дать вам достаточно знаний для понимания нюансов этой сложной темы, не загружая техническими деталями. Но если вы технологически подкованнее меня, уверяю: я не собираюсь все упрощать. Просто предложу рецепты, которые каждый сотрудник — как технический, так и любой другой — может применить для защиты своей организации. И, наконец, если вы один из моих собратьев по кибербезопасности, надеюсь, вы с удовольствием прочитаете эту книгу, восприняв ее как возможность дать другим заглянуть в наш мир. А после — передадите коллегам, не связанным с киберзащитой, чтобы они тоже вступили в наши ряды борцов за безопасность.
Почему вы? Вы можете считать себя человеком, которому нечего привнести в сферу киберзащиты. В конце концов, как могут сотрудники, менеджеры, руководители и члены совета директоров, работа которых не связана с данной сферой, сыграть значимую роль в игре, правил которой, возможно, даже не понимают? И здесь я обращусь за вдохновением к миру профессионального спорта — он дает нам много примеров успеха командной работы. Я не фанат спорта, но питаю слабость к американскому футболу.
У меня остались очень теплые воспоминания из раннего детства: мы с отцом сидим на диване в гостиной и смотрим игру его любимой команды Dallas Cowboys. Как и миллионы других болельщиков, в мире профессионального спорта я всего лишь зритель. Просмотр игры — это самое короткое расстояние, на которое большинство из нас может к ней приблизиться. Зрители практически не влияют на исход игры. Эта роль возложена на гораздо более важные персоны — спортсменов и тренеров, — чьи талант, упорство и командная работа в конечном счете определяют, одержат ли они победу.
Раньше я верила в это. Но потом узнала о 12-м игроке Seattle Seahawks — американской профессиональной футбольной команды. Во время любого матча на поле выходят по 11 футболистов от каждой команды. Но Seahawks признают 12-го игрока — не менее важную толпу зрителей. Со временем я поняла, что мы с папой не желали встречи наших «ковбоев» с Seattle Seahawks на их поле.
На их стадионе соперников не ожидает теплый прием. Уровень шума, создаваемый «двенадцатым игроком» команды, всего на пару децибел ниже, чем на летной палубе авианосца. И, как оказалось, поддержка зрителей существенно повлияла на исход нескольких игр. За три сезона Seahawks на своем поле одержали 26 побед против двух поражений. Эта заслуженная футбольная команда знает, насколько важны зрители.
Гигантский флагшток с цифрой 12 гордо реет над их стадионом. А когда команда вышла на поле перед игрой в Супербоуле, шествие возглавлял человек с флагом — также с изображением заветного числа. Неужели «12» как называют фанатов Seahawks действительно такие громкие? В целом — да. Но оказалось, что их стадион был специально спроектирован так, чтобы усиливать шум.
В отличие от других полей под открытым небом, где шум рассеивается естественным образом, на стадионе Seahawks есть своего рода вторая палуба и навес, которые направляют шум вниз, создавая какофонию, когда болельщики кричат [1]. Руководство команды приложило немало усилий, чтобы сделать «двенадцатого игрока» полноправным участником матчей и прибавить его коллективную мощь к своей. История о двенадцатом игроке учит нас тому, что зрители могут влиять на исход.
Последовательный и всесторонний подход к обеспечению безопасных условий труда должен реализовываться на всех уровнях в организации» — отметил заместитель главного инженера по охране труда, промышленной и пожарной безопасности Березанского ЛПУМГ Евгений Кривуля. Участники встречи говорили о необходимости развития безопасного поведения работников, при которой работник должен понять, что никто не сбережёт лучше его здоровье, чем он сам. А для этого у него должно быть развито естественное безопасное поведение. Все что он делает, он должен делать максимально безопасно.
Удаленную работу, как еще один формат работы, компания начала активно внедрять за год до пандемии, и к 2020 году у нас уже сформировался единый подход и правила. Наша компания имеет несколько офисов в России и один в Сербии г. Белград , мы активно работаем с зарубежными заказчиками, в связи с этим онлайн коммуникации для нас — вполне привычный инструмент. Но реальность распорядилась иначе. Так как эпидемиологическая ситуация остается нестабильной, бОльшая часть сотрудников продолжает работать удаленно. Не думаю, что это глобально изменило или изменит основные ценности нашей корпоративной культуры. Но некоторые изменения в том, как сейчас эти ценности проявляются на практике, как изменилось наше поведение и правила работы, уже можно наблюдать. Несмотря на то, что прошло достаточно времени, чтобы адаптироваться к удаленной работе, есть те, кто ощущают на себе скорее негативное влияние такого формата. В привычной культуре управления руководитель регулярно общается со своими сотрудниками в формате «один на один».
Обучение и воспитание рабочих исключение нарушений технологии по незнанию, исключение нарушений безопасных приемов труда, технологических регламентов, карт рабочих операций, вовлечение рабочих в процесс управления охраной их труда. Внедрение реальных, а не формальных, действительно работающих технологических инструкций и карт. Изменение системы оплаты труда дифференциация в зависимости от соблюдения технологической дисциплины и правил безопасности Разработка и внедрение процедур контроля качества технологических процессов, включая автоматизированные системы мониторинга. Исключение сознательных нарушений рабочими технологической дисциплины и правил безопасности Но это только ядро «культуры безопасности». При этом культуру производства, а особенно культуру безопасности в одночасье изменить достаточно сложно. Она складывается из множества факторов. Наиболее значимым фактором, ухудшающим качество и эффективность труда является предыдущий опыт работника. Очень сложно переучить человека, привыкшего делать все «кое-как», а требования безопасности по сути - игнорировать. Культуру производства надо внедрять, как новую технологию производственной жизни. Помнить о прекрасной фразе, «каков поп, таков и приход». Это о руководителях. В реальности очень много зависит от уровня подготовки нижнего эшелона управленческого аппарата - мастеров, бригадиров. Они определяют культуру реального производства и ее контролируют. Если они заинтересованы в результате, то и проблем станет намного меньше. Культура производства начинается с безопасного нормального обустройства рабочих мест. Например, в строительстве, одном из сложнейших по организации безопасного выполнения работ, сегменте производственной деятельности это нормальные леса, нормальные лестницы, нормальный инструмент. И всегда и всюду, это нормальные взаимоотношения всего линейного персонала. И отвечать за налаживание этих отношений должен прежде всего тот, у кого есть реальная власть — начальник участка, цеха. При этом нужно вводить не систему штрафов, а систему поощрений за культуру производства, возрождать традиции «соцсоревнований», конкурсы «лучший специалист» и т. И вкладывать средства в культуру производства, покупая и обеспечивая рабочих качественными спецодеждой, спецобувью, инструментом. Известно, что предприятия, которые ввели не систему штрафов как это принято во многих организациях , а систему поощрений, процветают, ибо это дает им преимущество на рынке труда, так как квалифицированные работники отдают предпочтения этим предприятиям не в последнюю очередь благодаря этой системе. Есть такое понятие как саморегуляция социальных групп, и это не так заметно в коллективе служащих, но очень четко работает рабочем коллективе, особенно при соревновательной системе лучшая бригада по итогам квартала материально вознаграждается. Если человек попадет в сильную бригаду, имеющую костяк, он или дотянетесь до их уровня, или будет вынужден расстаться с этим коллективом. Это как «дворовая» команда, если Вы отличаетесь от ее уровня, Вас просто выдавят из этого двора. Поэтому нужно умело создать костяк, а это зависит от неформального и формального лидеров группы. Лучше, если их роли совпадают. Известно, что каждый руководитель выбирает для себя стратегию работы с персоналом. Я считаю, что искусство менеджера - это не категоричные решения, а разумное чередование кнута и пряника. Вот и получается, что в США есть хорошая продукция и низкий травматизм, а в России — есть высокий травматизм и нет хорошей продукции экспорт сырья и вооружений не в счет. Это печально. Всем известно, что люди должны работать правильно, руководители должны руководить правильно, должны организовать безопасность. Людей надо учить, чтобы они умели безопасно работать и автоматически соблюдать правила. Но пока этого нет, есть желание жить по принципу «авось» пронесет. Вот почему, критерии организации культуры безопасности должны соответствовать современным идеям системного управления. Обязательно должны быть в организации люди, которые этим бы занимались профессионально. Среди высшего руководства должен быть человек, на которого можно было возложить обязанности организации соблюдения культуры безопасности. Надо учитывать, что безопасность производства состоит нескольких аспектов: защита собственности о кражи, от пожара, защита от аварий, защита качества продукции, защита окружающей среды, защита труда работников охрана труда и многие другие виды безопасности. Каждый руководитель должен знать, что он должен делать и что он отвечает, каждый рабочий также должен это знать.
Влияние культуры безопасности на производительность труда
Как свидетельствовали инсайты, полученные от участников мероприятия, его реализация прошла успешно. Развитие культуры безопасности Дебютное заседание кейс-клуба было организовано экспертами Управления по работе с персоналом совместно с Управлением производственной безопасности. Модерировал встречу сертифицированный бизнес-тренер, автор статей, семинаров и тренингов в области развития культуры безопасности. Кейс-клуб объединил управленцев разных функций для обмена опытом и решения сложных рабочих ситуаций в области охраны труда, промышленной и пожарной безопасности, а также безопасности дорожного движения. Основу кейсов составили статистические и отчетные данные, информация по наблюдению за поведением работников компании, коренные причины по результатам расследования происшествий, а также наработанный опыт других организаций отрасли. В формате живого диалога участники: познакомились с интересными фактами из мировой истории развития культуры безопасности; определили причинно-следственные отношения между производственной деятельностью и несчастными случаями; рассмотрели поведенческие аспекты и мотивацию работников.
После короткого теоретического модуля руководители получили необходимые инструменты для разбора кейса в формате «причины — последствия — решения». Группы, сформированные по 6 человек, приступили к обсуждению. Для начала разобрали учебные и заранее продуманные ситуации, затем анализировали случаи из личной практики. Разная осведомленность в вопросах производственной безопасности позволила участникам посмотреть на ситуации с разных сторон.
Но некоторые изменения в том, как сейчас эти ценности проявляются на практике, как изменилось наше поведение и правила работы, уже можно наблюдать. Несмотря на то, что прошло достаточно времени, чтобы адаптироваться к удаленной работе, есть те, кто ощущают на себе скорее негативное влияние такого формата. В привычной культуре управления руководитель регулярно общается со своими сотрудниками в формате «один на один». По отзывам сотрудников, с переходом на удаленку, с одной стороны, стало проще, исчезло какое-то напряжение, на проблемные темы теперь легче высказываться, а возможно — это «легче», потому что ты дома и «чувствуешь себя в безопасности». С другой стороны, руководители отмечают, что необходимо усилие и дисциплина, чтобы не «съехать» с регулярного общения, что в условиях удаленки достаточно легко происходит.
С сокращением общения руководители отмечают «потерю контакта», вследствие чего возникают «недопонимания по зонам ответственности» и т. Также сотрудники отмечают пусть небольшое, но все же увеличение некоторой напряженности и раздраженности во время общения. Сначала все были рады тому, что нет необходимости тратить время на дорогу, сейчас же сотрудники отмечают, что границы рабочего дня размылись не нужно вставать с рабочего места, одеваться и выходить из офиса , и это фактически «съедает» весь плюс от экономии времени на дорогу. Уверена, что это следствия еще недостаточной адаптации к удаленному формату.
Я направляю коллег: подтянуть компетенции — сюда, обучиться новому — туда.
Это одна из самых трудоёмких и важных задач в работе менеджера по внутренним коммуникациям, она отнимает много времени, зато любой сотрудник знает, что найдет здесь ответ. Это упрощает жизнь и работу всем. Его задача — подтолкнуть работника к принятию решения или к действиям. Вместе с тем это всегда незаметная коммуникация, которая не про лобовую атаку, а про витающие в воздухе идеи, лёгкие и прозрачные смыслы. В последнее время мы делаем рассылки, в которых говорим об экономических показателях компании.
Всё из-за усложняющейся ситуации на рынке. Мы пошли на это сознательно, чтобы сотрудники понимали, как они влияют на бизнес-результат. Если всё идет хорошо — могли увидеть в этом часть своего вложенного труда, если вдруг начинается стагнация платежей, обращений — делали всё возможное, чтобы помочь. Хотя не каждый СЕО готов признать, что сила слова может повлиять как на настроения в компании, так и на финансовые результаты. Влияние на бизнес Внутренние коммуникации — это всегда игра вдолгую, нельзя провести единичный опрос или сессию вопросов и ответов с топ-менеджментом компании и разрешить все противоречия.
После стадии анализа, как правило, и начинается основная работа как отдела коммуникаций, так и HR. Напрямую оценить влияние внутрикома на бизнес-показатели довольно сложно, это понимают все. Как и то, что наём высококвалифицированных специалистов с каждым годом становится всё дороже, конкуренция за звёзд — всё выше, а высокая текучесть негативно сказывается не только на прибыли компании, но и на людях. Именно поэтому многие, несмотря на кризис, направляют фокус внимания на удержание. Откуда такие цифры?
Достаточно взглянуть на путь сотрудника в компании — сначала он адаптируется, понимает направление движения компании, начинает развиваться, строит планы и реализует их. На протяжении всего этого маршрута его сопровождают внутренние коммуникации. То, на что ещё влияет внутриком и что сложно поддаётся оценке, — корпоративная культура. В одних компаниях она буквально насаждается, и в офисах зачастую можно увидеть плакаты с ценностями а-ля «Мы любим клиентов», но большинству сотрудников не всегда ясно, как это проявляется на практике. В других есть внутренний tone of voice от англ.
Иначе говоря — определены простые правила, которым все безоговорочно следуют. Один из отличных примеров, как можно оценить корпоративную культуру — определить культурный код компании. И это тоже одна из задач внутрикома. Мы запустили опрос о культурных особенностях нашей компании. В нём было два ключевых вопроса.
Смысл в том, чтобы сотрудник выбрал из перечисленных культурных особенностей наиболее близкие ему самому, а потом — близкие компании. Сравнивая эти параметры, мы находим культурные базисы, которые выделяют hh. Так мы понимаем, что люди видят и что хотят видеть в нашей компании. Другое дело — по каким параметрам их оценивать. Онлайн- и офлайн-мероприятия.
По итогам мероприятий следует проводить опросы удовлетворённости, из которых можно узнать, насколько они важны сотрудникам, чем полезны, что нового узнали люди. Новости и информационные дайджесты. Измерять не только количество выпускаемых материалов, но и уровень вовлечённости читателей — сколько сотрудников прочли новость, из каких подразделений, какова динамика, на какие инфоповоды люди реагируют лучше. В работе внутрикома очень важна структура и системность. Например, в hh.
Это больше чем традиция, это уже часть информационной политики компании.
Это происходит благодаря внедрению риск-ориентированного подхода к безопасности и использованию разных инструментов вовлечения в осознанную культуру безопасности. Вместо избитых методов мотивации, таких как штрафы или лишение премий, компании переходят на более осознанный подход, в котором сотрудники сами становятся сторонниками правил безопасности на рабочем месте. Это здорово, потому что безопасность на работе — это не только законодательный требование, но и важная составляющая успешного и продуктивного бизнеса! Происходит это потому, что сотрудники осознанно не нарушают требования безопасности, а не принудительно из-за страха наказания.