Второй аспект — влияние корпоративной культуры на отношение к вопросам безопасности.
Актуальность развития культуры безопасности на российских ТЭС
| "Влияние корпоративной культуры на безопасность организации" | Тем не менее нередко оказывается, что культура безопасности, выстроенная в компании, в своей основе противоречит внедряемым инициативам. |
| Культура производственной безопасности – надёжный проводник | Минимизировать риски случайных и намеренных утечек можно, если HR-отдел совместно со службой безопасности и IT-командой будут формировать культуру работы с корпоративной информацией. |
| Как формируется культура безопасности у сотрудников, какие вопросы она решает | Внедрение поведенческих аудитов безопасности в организации позволяет достичь следующих целей. |
"Влияние корпоративной культуры на безопасность организации"
Начнем с того, что культура безопасности — это нормы и правила, а также принятые способы их выполнения, которые влияют на поведение и отношение работников к обеспечению собственной безопасности и безопасности других людей на производстве. Именно работодатель должен сформулировать нормы и правила, которые будут регулировать поведение работников. Работники смогут сделать свой труд безопасным только путем осознания личной ответственности за жизнь и здоровье себя и коллег, путём принятия производственных и управленческих решений. С высоким уровнем культуры безопасности правила выполняет все работники даже в тот момент, когда за ним никто не наблюдает. Большинство несчастных случаев связаны с некорректными действиями работников. Почему такое происходит? Потому что работники совершают ошибки. Однако эта причина не является коренной.
Если мы заглянем внутрь организации, понаблюдаем за сотрудниками, мы быстро поймем, что ошибки происходят из-за того, что не выстроены рабочие процессы. Вы возразите: «А как же ситуации, когда рабочий сознательно не надевает каску? Такое сплошь и рядом».
Чтобы поддерживать высокий уровень культуры безопасности, компании важно не только работать с сотрудниками, но еще и держать баланс между техническими средствами, которые защитят людей от их ошибок. Это поможет избежать ситуаций, когда человек пришел на работу не в том состоянии и не смог разобраться, пришло ли ему фишинговое письмо на почту. Поэтому лучшая стратегия — это балансировать между техникой и работой над культурой. Но, к сожалению, одной культурой невозможно ничего решить, потому что люди не идеальны. Что такое безопасная разработка и как ее придерживаться Безопасная разработка — это культура безопасности плюс страховка программистов от ошибок. И дело не в том, что разработчики такие безответственные люди, а как раз в обратном.
Обычно код пишут люди с серьезным уровнем полномочий, а помогают обслуживать всю инфраструктуру DevOps-специалисты и сисадмины. У них есть высокий уровень доступа и большая ответственность за итоговый результат. То, что они пишут, может увидеть весь мир — или хотя бы компании, которые покупают этот софт. Поэтому ошибки здесь очень критичны, а значит, именно с безопасной разработки начинается вся культура кибербезопасности. Чтобы развить культуру, сначала нужно обучить разработчиков писать безопасный код: рассказать, как нужно делать правильно, на что обращать внимание, показать, какие уязвимости существуют. Например, почему не нужно держать токены в коде и почему их нужно выносить куда-то в сторону — в идеале в систему специального хранения, чтобы даже на тесте они неожиданно не попали во внешние источники. Задача компании — объяснить разработчикам, почему это важно. И при этом построить систему контроля, которая будет говорить о том, что нужно исправить. Самое важное — воспринимать ее не как «надсмотрщика», а как помощника, который будет подсвечивать ошибки.
Не нужно говорить программистам, как следует писать код, — они сами знают, как делать свою работу. Нужно только показать, что вот здесь уязвимость, вот тут небезопасный метод, а здесь небезопасная работа с данными. Или что ты забыл убрать то, чего тут быть не должно. Безопасная разработка — это, по сути, страховка для разработчиков и бизнеса. Мы внедряем средства, которые указывают на потенциальные проблемы, а затем, когда все замечания будут отработаны, передаем код на постобработку, в продакшен и так далее. При этом обычному программисту не обязательно знать всю специфику безопасной разработки, достаточно только понимать, какие типы уязвимостей существуют в его сфере и зоне ответственности. Этих уязвимостей много, но совершенно новые появляются не так часто. Поэтому нужно один раз разобраться во всех типах, чтобы было базовое понимание, а дальше будут тонкости, разбираться в которых разработчику совершенно не обязательно — этим уже займутся специалисты по кибербезопасности. Отдельно хочется еще упомянуть про работу со сторонними библиотеками.
Сейчас очень популярна тема безопасности с внешними пакетами — теми, что разработчики используют в своей работе, чтобы не писать функционал с нуля. Ожидаемо, эти библиотеки не всегда безопасны. Когда компания выстраивает безопасную разработку, она зачастую делает безопасное хранилище, или репозиторий. Всё, что попадает в этот репозиторий, нужно тщательно проверять на уязвимости и убеждаться, что с пакетами всё в порядке. Для разработчиков это часто очень неудобно, потому что нужно ждать, пока закончится проверка. Но это важный элемент защиты. Крупные компании поступают следующим образом: дают разработчикам полную свободу действий в тестовой среде, а затем проверяют все нужные библиотеки перед выпуском в продакшен. Так программисты могут использовать вообще всё что угодно, потому что среда изолирована. Там нет настоящих данных клиентов, и оттуда нельзя попасть в полноценную внутреннюю сеть компании.
Не всегда очевидно, кто должен вести социальные сети в компании — направление работы над HR-брендом, внутренние или внешние коммуникации. В любом случае метрик для оценки работы, как и в любом digital-канале, здесь множество: от количества подписчиков, просмотров и лайков до привлечённых с помощью соцсетей кандидатов. Важно на первом этапе определиться, сколько людей хочется привлечь к исследованию, какие каналы для этого использовать, какой результат считать победным. Сюда же входит опрос удовлетворённости внутренними коммуникациями, чтобы специалисты понимали, чего сотрудникам не хватает, что необходимо подтянуть. В целом менеджер по внутренним коммуникациям, как и HR-менеджер, это не только про людей, но и про деньги. Любая компания должна знать, сколько средств она тратит на сотрудника за год. В зависимости от потребностей и возможностей одни вкладываются в электронные библиотеки и программы обучения, другие — в строительство целых городов для сотрудников. Несмотря на разность подходов и бюджетов, внутриком из всего имеющегося арсенала старается извлечь максимальную пользу для людей и бизнеса, и на этом пути, как и на любом другом, есть свои камни преткновения. Ошибки в работе внутренних коммуникаций Лидеру направления внутренних коммуникаций должен быть выдан карт-бланш на принятие решений. Если у него нет влияния в компании, тогда его роль сводится к нулю.
Согласование каждого шага с руководством говорит либо о некомпетентности специалиста, либо о недоверии со стороны СЕО. И в том, и в другом случае об эффективной работе не может быть и речи. Вторая распространённая ошибка — расслоение каналов коммуникации. Собрания проходят в Zoom, новости публикуют на корпоративном портале, рабочие переписки ведутся в трёх разных мессенджерах — знакомая картина, не правда ли? Задача внутрикома — по возможности перенести все активности в один канал и объяснять коллегам, которые пытаются создать очередной чат с полезной информацией, что такая рассредоточенность в лучшем случае превратит всю коммуникацию в белый шум, в худшем — приведёт к ошибкам в восприятии информации. Следующая ошибка внутрикома, которая грозит компании обернуться репутационными потерями, — неумение хранить тайны. Учитывая, что этот специалист очень тесно взаимодействует с топ-менеджментом и одним из первых узнает обо всех грядущих событиях, может быть велик соблазн выдать информацию коллегам или друзьям. Внутриком — хранитель секретов, а слишком общительные представители профессии становятся источниками слухов. Ещё одни возможные грабли на пути к эффективным внутренним коммуникациям — не считать результаты работы и никак не освещать их в компании. Хороший внутриком точно знает, как рассказать о проекте, человеке, событии так, чтобы это заинтересовало многих.
Даже слабый проект можно подать как возможность для развития. Многие боятся пиара своей работы, однако это отличный шанс поделиться эмоциями, получить обратную связь и заручиться поддержкой коллег. Что делать сейчас Сейчас сотрудникам всё сложнее фокусироваться на задачах и работать с полной самоотдачей, многих парализует страх будущего. Мы собрали рекомендации от Ксении Степановой, которые могут стать «подорожником» в условиях нынешней экономической и эмоциональной нестабильности. Даже если в компании нет внутрикома, эти задачи на время может подхватить HRD. Проводить регулярные встречи с топ-менеджментом и руководителями. Сотрудникам нужно дать возможность задавать прямые вопросы СЕО и получать на них честные ответы. Важно заранее проговорить с топ-менеджером, что люди сейчас как никогда нуждаются в искренности. Стоит связаться и с лидерами команд, чтобы узнать, какие настроения и запросы в коллективе, как можно помочь участникам команд справиться с проблемами. Организовывать встречи экспертами: финансистами, психологами и т.
Подобные мероприятия были актуальны и до потрясений, учитывая, что в России уровень финансовой грамотности остаётся на критически низком уровне. Сейчас же, на фоне экономических сложностей, мошенники особенно активизировались. Чаще всего они пользуются замутнённым от обилия негативной информации сознанием людей, поэтому важно рассказывать сотрудникам о безопасности, о том, что делать с деньгами, чтобы работники чувствовали себя более спокойно. Создавать полезные чек-листы. Можно собрать и оформить в небольшие памятки всё, что может пригодиться сотрудникам и руководителям в стрессовых ситуациях: что делать при панических атаках, куда обращаться в случае беды, как спланировать рабочий день, как справиться с тревогой и т. Подключать сервисы психологической помощи. Ряд компаний, включая hh.
Подразделение, у которого по итогам месяца оказался наименьший показатель эффективности, выбывает из соревнования и остается без премии. На подразделение ежемесячно выделяется зафиксированная сумма премии.
Культура корпоративной безопасности. Слагаемые успеха в новой реальности
Подразделение, у которого по итогам месяца оказался наименьший показатель эффективности, выбывает из соревнования и остается без премии. На подразделение ежемесячно выделяется зафиксированная сумма премии.
Это происходит благодаря внедрению риск-ориентированного подхода к безопасности и использованию разных инструментов вовлечения в осознанную культуру безопасности. Вместо избитых методов мотивации, таких как штрафы или лишение премий, компании переходят на более осознанный подход, в котором сотрудники сами становятся сторонниками правил безопасности на рабочем месте. Это здорово, потому что безопасность на работе — это не только законодательный требование, но и важная составляющая успешного и продуктивного бизнеса! Происходит это потому, что сотрудники осознанно не нарушают требования безопасности, а не принудительно из-за страха наказания.
Еще в 2017 году наша страна присоединилась к международной концепции «нулевого травматизма».
Во главу угла здесь ставится профилактика травматизма и профессиональных заболеваний. Приоритеты концепции - повышение безопасности, гигиены труда и общих условий работы в компаниях. Концепция также предполагает стимулирование заинтересованности в соблюдении правил безопасности всех участников процесса: от собственника до работников. Первые результаты уже есть, число травм на производстве в целом по стране снижается. Традиционно самыми рискованными отраслями остаются строительство, обрабатывающие производства, транспорт, сельское хозяйство и добыча полезных ископаемых. Правительством России также принят комплекс мер по решению этого вопроса.
Он предусматривает модернизацию системы управления охраной труда и системы обязательного социального страхования, своевременное выявление ранних признаков профессиональных заболеваний и их профилактику.
В действующую инфраструктуру интегрируются и новые рычаги рычаги управления и развития проактивного подхода, в частности, Отраслевой координационный совет по развитию культуры безопасного поведения КБП. Кроме того, стартовал отраслевой Проект по развитию КБП, сейчас в нем участвуют 10 предприятий Росатома. Культуру безопасного поведения невозможно развивать без доверия работников к руководству. Доверие в работе — это уверенность в порядочности человека или организации, которым работник сообщает какую-либо информацию, надежда, что это ему не навредит и приведет к положительным изменениям. Опыт развития доверия в Росатоме основан на открытом общении, которое строится по следующему принципу.
Руководство поощряет открытый разговор, сотрудники рассказывают о «слабых местах» в обеспечении безопасности, руководство адекватно реагирует на информацию, то есть слышит, берет на себя свою долю ответственности и предпринимает разумные действия для решения проблемы. Если проблемы решаются, у работников увеличивается «кредит доверия» к руководству. В подавляющем большинстве случаев причиной происшествий на производстве становится человеческий фактор. Чтобы существенно снизить травматизм и полностью искоренить случаи тяжелого и смертельного травматизма, нужно добиваться, чтобы ежедневные действия работников отрасли были осознанными и безопасными.
В «Росатоме» обсудили культуру безопасного поведения
Поэтому развитая культура безопасности самая выгодная модель организации труда для работодателя: экономия на постоянном контроле и потерях от производственного травматизма. Это когда руководитель компании своим собственным примером демонстрирует культуру безопасности во всем». Этот факт сильно влияет на повышение безопасности на производстве. В этой статье расскажу, как компаниям взращивать культуру безопасности и чему обучать сотрудников. Отражены цели процесса внедрения культуры безопасности на предприятиях, в числе которых: обеспечение здоровой, системной работы сотрудников; обеспечение непрерывности производственных процессов; организация непрерывных информационных потоков. Главная» Новости» Кто в компании является носителями культуры безопасности.
Специалистов по охране труда познакомили с концепцией культуры безопасности «Газпрома»
| Корпоративная культура безопасности – главная задача | Поскольку и до пандемии компания активно поддерживала ценности корпоративной культуры, в текущий период она не подверглась сильной модификации. |
| «Мы работаем над тем, чтобы культуру безопасности сделать модной» | Главная Новости Безопасность Корпоративная культура безопасности – главная задача. |
| Актуальность развития культуры безопасности на российских ТЭС | О важности проекта «Культура безопасности» рассказывает генеральный директор ПАО «Иркутскэнерго» Олег ПРИЧКО. |
| Актуальность развития культуры безопасности на российских ТЭС | Статья в журнале «Молодой ученый» | Поэтому развитая культура безопасности самая выгодная модель организации труда для работодателя: экономия на постоянном контроле и потерях от производственного травматизма. |
| Что такое культура безопасного поведения и как ее повысить | Например, чтобы в организации была позитивная культура безопасности, руководители должны четко заявлять о недопустимости компромиссов между безопасностью и производительностью. |
Проект «Развитие культуры безопасности»
Главная» Новости» Как вам кажется кто в компании является носителями культуры безопасности. Внедрение поведенческих аудитов безопасности в организации позволяет достичь следующих целей. В студии "ЭТАЛОН-ТВ" мы поговорили с Литвиновой Еленой Владимировной, Директором департамента ОТ, ПБ и ОСС компании "Бейкер Хьюз". Отражены цели процесса внедрения культуры безопасности на предприятиях, в числе которых: обеспечение здоровой, системной работы сотрудников; обеспечение непрерывности производственных процессов; организация непрерывных информационных потоков.
Культура производственной безопасности – надёжный проводник
А может, перед работой он поругался с женой. В таком состоянии он вообще не думает ни о какой безопасности — ему бы пережить этот момент и справиться с проблемами. Чтобы поддерживать высокий уровень культуры безопасности, компании важно не только работать с сотрудниками, но еще и держать баланс между техническими средствами, которые защитят людей от их ошибок. Это поможет избежать ситуаций, когда человек пришел на работу не в том состоянии и не смог разобраться, пришло ли ему фишинговое письмо на почту. Поэтому лучшая стратегия — это балансировать между техникой и работой над культурой. Но, к сожалению, одной культурой невозможно ничего решить, потому что люди не идеальны. Что такое безопасная разработка и как ее придерживаться Безопасная разработка — это культура безопасности плюс страховка программистов от ошибок. И дело не в том, что разработчики такие безответственные люди, а как раз в обратном. Обычно код пишут люди с серьезным уровнем полномочий, а помогают обслуживать всю инфраструктуру DevOps-специалисты и сисадмины. У них есть высокий уровень доступа и большая ответственность за итоговый результат.
То, что они пишут, может увидеть весь мир — или хотя бы компании, которые покупают этот софт. Поэтому ошибки здесь очень критичны, а значит, именно с безопасной разработки начинается вся культура кибербезопасности. Чтобы развить культуру, сначала нужно обучить разработчиков писать безопасный код: рассказать, как нужно делать правильно, на что обращать внимание, показать, какие уязвимости существуют. Например, почему не нужно держать токены в коде и почему их нужно выносить куда-то в сторону — в идеале в систему специального хранения, чтобы даже на тесте они неожиданно не попали во внешние источники. Задача компании — объяснить разработчикам, почему это важно. И при этом построить систему контроля, которая будет говорить о том, что нужно исправить. Самое важное — воспринимать ее не как «надсмотрщика», а как помощника, который будет подсвечивать ошибки. Не нужно говорить программистам, как следует писать код, — они сами знают, как делать свою работу. Нужно только показать, что вот здесь уязвимость, вот тут небезопасный метод, а здесь небезопасная работа с данными.
Или что ты забыл убрать то, чего тут быть не должно. Безопасная разработка — это, по сути, страховка для разработчиков и бизнеса. Мы внедряем средства, которые указывают на потенциальные проблемы, а затем, когда все замечания будут отработаны, передаем код на постобработку, в продакшен и так далее. При этом обычному программисту не обязательно знать всю специфику безопасной разработки, достаточно только понимать, какие типы уязвимостей существуют в его сфере и зоне ответственности. Этих уязвимостей много, но совершенно новые появляются не так часто. Поэтому нужно один раз разобраться во всех типах, чтобы было базовое понимание, а дальше будут тонкости, разбираться в которых разработчику совершенно не обязательно — этим уже займутся специалисты по кибербезопасности. Отдельно хочется еще упомянуть про работу со сторонними библиотеками. Сейчас очень популярна тема безопасности с внешними пакетами — теми, что разработчики используют в своей работе, чтобы не писать функционал с нуля. Ожидаемо, эти библиотеки не всегда безопасны.
Когда компания выстраивает безопасную разработку, она зачастую делает безопасное хранилище, или репозиторий. Всё, что попадает в этот репозиторий, нужно тщательно проверять на уязвимости и убеждаться, что с пакетами всё в порядке. Для разработчиков это часто очень неудобно, потому что нужно ждать, пока закончится проверка. Но это важный элемент защиты. Крупные компании поступают следующим образом: дают разработчикам полную свободу действий в тестовой среде, а затем проверяют все нужные библиотеки перед выпуском в продакшен.
Что происходит после происшествия? Кто проверяет ОТПБ на ежедневной основе? Каковы впечатления участников совещаний по ОТПБ? Сопоставительный анализ, сбор статистики, выявление тенденций. Устойчивая, позитивная культура состоит из нескольких разделов: Информированная культура — организация собирает и анализирует нужную информацию, чтобы знать, каковы контрольные показатели охраны труда. Культура, в которой не боятся сообщать о происшествиях — люди уверены, что могут рассказать о проблемах, связанных с безопасностью производства, без боязни упреков. Обучающаяся Культура - естественное продолжение культуры охраны труда. Ведь сообщения о происшествиях будут эффективны только в том случае, если организация сможет извлечь из них верные уроки. Культура извлечения уроков — компания умеет делать выводы из допущенных ошибок и исправлять условия, угрожающие охране труда. Гибкая культура — организация способна перестраиваться, если нужно, из-за растущих требований изменяющейся рабочей среды. Справедливая культура — работники четко видят границу между допустимым и недопустимым поведением. В последнем случае принимаются последовательные, справедливые и обоснованные меры. Положительная культура безопасности труда также строится на доверии, репутации и поведении высшего руководства, либо лидеров безопасности, которыми могут быть не только топ-менеджмент, а любой сотрудник организации. По мнению T. Krause 2005 r. Степень доверия — слова руководителей не расходятся с делом. Ориентированность на практические действия — руководители решают проблемы, связанные с отсутствием охраны труда. Видение — совершенная картина охраны труда, которую представляют руководители. Ответственность — руководители обеспечивают условия, при которых сотрудники принимают на себя ответственность за работу, связанную с критически важными вопросами охраны труда.
И успех связан с мотивацией и компетентностью, умением! С нашей точки зрения, культура охраны труда включает в себя систему практических процедур и поведенческих шаблонов, которые не только разделяются работниками, но и выступают в качестве первоисточника мотивированной и координированной деятельности в сфере охраны труда. Высшее руководство является ключевым звеном в обеспечении «культуры безопасности» всей системы управления производством, и именно принципы и действия представителей высшего менеджмента сильно влияют на становление корпоративной культуры безопасности труда. Анализ показывает, что там, где руководители высшего звена уделяют внимание охране труда и лидерству, это незамедлительно сказывается на качестве работы и безопасности. Более того, основная часть исследований свидетельствует: в компаниях с низкими показателями травматизма, личное участие высшего руководства в охране труда, по меньшей мере, так же существенно, как и деятельность руководства по структурированию системы охраны труда подразделения, предусматривающие использование финансовых и профессиональных ресурсов, создание политики и программ охраны труда и т. Активное вовлечение руководителей высшего звена воздействует как мотивирующая сила на остальные уровни управления, стимулируя заинтересованность менеджеров, и одновременно служит демонстрацией заботы администрации о благополучии рабочих. Результаты многочисленных исследований показывают, что заинтересованное участие руководителей высшего звена в проверках качества охраны труда на рабочих местах и встречи с рабочими, умение говорить с ними, снимает огромное количество проблем. Вот почему для эффективной организации работ по охране труда в организации необходима однозначно выраженная решимость высшего руководства организации в отношении повышения культуры охраны труда и создания современной системы управления охраной труда при сотрудничестве, по возможности, с командой профессионалов консультантов на всех этапах организации работ по охране труда в организации. Иными словами, культура безопасности должна быть комбинацией лидерства и поддержки со стороны руководителей высшего звена, участия в деле линейных менеджеров и вовлечения исполнителей в неприменное соблюдение мер безопасности. Применительно к одному «производственному участку» внедрение «культуры» предполает: Обучение и воспитание руководителей исключение нарушений технологии по незнанию, научение лидерству в охране труда, научению методам инструктирования и обучения рабочих, способам безопасного ведения работ, общим принципам безопасного производства и безопасного труда. Обучение и воспитание рабочих исключение нарушений технологии по незнанию, исключение нарушений безопасных приемов труда, технологических регламентов, карт рабочих операций, вовлечение рабочих в процесс управления охраной их труда. Внедрение реальных, а не формальных, действительно работающих технологических инструкций и карт. Изменение системы оплаты труда дифференциация в зависимости от соблюдения технологической дисциплины и правил безопасности Разработка и внедрение процедур контроля качества технологических процессов, включая автоматизированные системы мониторинга. Исключение сознательных нарушений рабочими технологической дисциплины и правил безопасности Но это только ядро «культуры безопасности». При этом культуру производства, а особенно культуру безопасности в одночасье изменить достаточно сложно. Она складывается из множества факторов. Наиболее значимым фактором, ухудшающим качество и эффективность труда является предыдущий опыт работника. Очень сложно переучить человека, привыкшего делать все «кое-как», а требования безопасности по сути - игнорировать. Культуру производства надо внедрять, как новую технологию производственной жизни. Помнить о прекрасной фразе, «каков поп, таков и приход». Это о руководителях. В реальности очень много зависит от уровня подготовки нижнего эшелона управленческого аппарата - мастеров, бригадиров. Они определяют культуру реального производства и ее контролируют. Если они заинтересованы в результате, то и проблем станет намного меньше. Культура производства начинается с безопасного нормального обустройства рабочих мест. Например, в строительстве, одном из сложнейших по организации безопасного выполнения работ, сегменте производственной деятельности это нормальные леса, нормальные лестницы, нормальный инструмент. И всегда и всюду, это нормальные взаимоотношения всего линейного персонала. И отвечать за налаживание этих отношений должен прежде всего тот, у кого есть реальная власть — начальник участка, цеха. При этом нужно вводить не систему штрафов, а систему поощрений за культуру производства, возрождать традиции «соцсоревнований», конкурсы «лучший специалист» и т. И вкладывать средства в культуру производства, покупая и обеспечивая рабочих качественными спецодеждой, спецобувью, инструментом. Известно, что предприятия, которые ввели не систему штрафов как это принято во многих организациях , а систему поощрений, процветают, ибо это дает им преимущество на рынке труда, так как квалифицированные работники отдают предпочтения этим предприятиям не в последнюю очередь благодаря этой системе. Есть такое понятие как саморегуляция социальных групп, и это не так заметно в коллективе служащих, но очень четко работает рабочем коллективе, особенно при соревновательной системе лучшая бригада по итогам квартала материально вознаграждается. Если человек попадет в сильную бригаду, имеющую костяк, он или дотянетесь до их уровня, или будет вынужден расстаться с этим коллективом. Это как «дворовая» команда, если Вы отличаетесь от ее уровня, Вас просто выдавят из этого двора. Поэтому нужно умело создать костяк, а это зависит от неформального и формального лидеров группы. Лучше, если их роли совпадают. Известно, что каждый руководитель выбирает для себя стратегию работы с персоналом. Я считаю, что искусство менеджера - это не категоричные решения, а разумное чередование кнута и пряника.
Личный пример, живые истории, беседа помогают руководителям доступным путем обеспечить лучшее понимание и соблюдение командой правил безопасности. Обеспечив развитие руководителей как лидеров и наставников, заручившись их поддержкой, переходите к следующему этапу - диалогу со всеми сотрудниками. Если ранее подобный формат не практиковался, могут возникнуть трудности с тем, чтобы вдохновить их на открытое обсуждение темы безопасности. Нивелировать сложности помогут такие форматы, как, например, система кратких пульс-опросов, которая позволяет сотрудникам экологично оценить в общем виде свои знания по теме безопасности, а также анонимно высказаться, какие темы важно рассмотреть более подробно. Интерактивные семинары по психологии безопасности через привычный формат мягко погружают в тему безопасности с новой стороны, готовят почву для диалога - совместного обсуждения проблем, идей, вопросов, обмена опытом. Доверительный формат общения в диалоге снижает и тревожность самих руководителей, они осознают, что есть взаимная поддержка, что все прозрачно и согласовано, и появляется больше аргументов и примеров для сотрудников. Испытав психологически «целительные» свойства диалога на себе, лидеры стремятся поскорее начать и развить его со своими сотрудниками.
Как привить сотрудникам культуру кибербезопасности
Культура безопасности определяется как последовательно проводимый руководителем организации принцип приоритета безопасности во всех без исключения ситуациях конфликта интересов. Невозможно улучшать безопасность на предприятии с низкой производственной культурой в целом. В статье рассматриваются вопросы влияния человеческого фактора на безопасность труда в организации.
Актуальность развития культуры безопасности на российских ТЭС
Формат «Одна команда» нацелен на обсуждение проблем между подразделениями. И наконец, в рамках формата «Прямой разговор» руководители разных уровней обсуждают со специалистами их работу с точки зрения культуры безопасного поведения. В 2021—2022 годы работа концерна будет нацелена на развитие лидерства руководителей в целях безопасности, добавил Андрей Петров. Они управляют процессами развития культуры безопасного поведения, внедряют лучшие практики. Есть еще координаторы в структурных подразделениях, которые сфокусированы на коммуникациях с коллегами. И наконец, уполномоченные по охране труда проводят независимый аудит, сообщают о выявленных отклонениях и дают рекомендации, как их устранить. В эту работу вовлечены более 1 тыс.
Стратегия ТВЭЛ заключается в том, чтобы помимо соблюдения регламентов и правил в сфере безопасности влиять на изменение поведения персонала, содействовать развитию неравнодушного отношения специалистов. Наталья Никипелова подчеркнула, что за последние пять лет у ТВЭЛ не было ни одного замечания от иностранных заказчиков по культуре безопасности. В 2020 году сотрудники предприятий подали более 18 тыс. Более 6 тыс. В итоге на совещании было принято решение рекомендовать всем руководителям дивизионов рассмотреть возможность внедрения института уполномоченных менеджеров по культуре безопасности. Клуб лучших практик Глава «Росатома» в заключительном слове подчеркнул, как важно при развитии культуры безопасного поведения поощрять неформальный подход, вести поиск самых разных методов вовлечения людей.
Он предложил создать неформальное объединение предприятий отрасли, которые будут заниматься развитием культуры безопасного поведения.
Удалением бессмысленных постов мы только привлекли их внимание. А когда они увидели, как мы закрываем доступ администраторам, они стали работать на опережение. Нам повезло, что Гэвин оказался на взломанной странице в пасхальное воскресенье. В противном случае мы могли бы не узнать об атаке так быстро. Теперь у нас есть инструмент, который использует средства машинного обучения для обнаружения необычных изображений, ненормативной лексики, оскорблений и других аномальных материалов на страницах социальных сетей. Он немедленно предупреждает нескольких членов нашей команды о такой необычной активности. Я не буду называть конкретный инструмент по двум причинам.
Во-первых, программы приходят и уходят, у каждой из них свой уровень эффективности и каждой из них — свое время. Иными словами, в период запуска инструмент может быть очень эффективным — до тех пор пока хакеры не найдут способ его обойти. Я не знаю, когда вы будете читать эту книгу, а потому не стану хвалить то, что, возможно, больше не использую. Вторая причина, по которой я скрою название этого инструмента, заключается в том, что McAfee является важной мишенью для хакеров по всему миру. Оставляя их теряться в догадках, какие именно средства мы используем, мы помогаем снижать угрозу. Поискав описания инструментов в сети, вы быстро найдете то, что можно опробовать. Вернемся к урокам, которые мы вынесли. Мы не были знакомы с протоколом действий службы поддержки соцсети в подобных ситуациях.
И очень зря. Только постфактум мы узнали о том, что их политика требует блокировки аккаунта на много часов, вне зависимости от того, насколько велики изменения на странице. Теперь мы узнаем о подобных процедурах заранее — до размещения корпоративных страниц на других сайтах. Мы на собственном горьком опыте убедились, как много значат деньги. Поскольку мы тратили приличную сумму на продвижение в социальной сети через агентства, самой платформе мы казались менее значимым аккаунтом, чем были на самом деле. Это могло повлиять на быстроту реакции. Теперь мы оплачиваем продвижение напрямую на платформах социальных сетей — чтобы наши инвестиции были на виду и приносили нам уровень сервиса, которого мы заслуживаем. Кроме того, мы узнали, что сторонние компании, с которыми мы ведем бизнес, могут не иметь надежных методов обеспечения безопасности.
Это особенно важно, если это ваши филиалы или у них есть доступ к вашим системам. В частности, у небольших сторонних компаний, с которыми вы поддерживаете отношения, может не быть подразделений ИТ и безопасности, не говоря уже о строгой политике киберзащиты. И наконец, последний удар под дых. Как показало вскрытие, McAfee даже не был изначальной целью атаки. Когда хакер получил доступ к личным данным Джули, он понятия не имел о том, что она администратор корпоративной страницы компании. Он не знал, кто такая Джули: ему было все равно. Он просто охотился за паролями, стремился определить, к чему они откроют доступ, — к личному банковскому счету, сети компании или чему-то еще. Как только он нашел тот, который случайно подошел к странице McAfee в этой социальной сети, он вывалил на всех, кого мог, целый ушат оскорблений, унизив при этом компанию.
Даже для хакеров удача иногда важнее мастерства. Еще несколько важных уроков Составьте список людей, с которыми вы можете связаться в такой ситуации. Держите их контакты под рукой — там, где вы и ваша команда легко сможете их найти. Эти списки должны быть не только у ваших людей, но и у сотрудников, обслуживающих сайт компании, ее социальные сети, облачное хранилище и так далее. В чьи-то рабочие обязанности должна быть включена регулярная проверка доступа к аккаунту, а помимо этого — удаление из списка администраторов людей, чья работа больше не связана с текущими проектами. Используйте многофакторную аутентификацию. Некоторые наши системы автоматически определяют, когда пользователи входят в них, а когда выходят — даже если выключение произошло всего на несколько минут, например, для смены компьютера. При работе в системах с меньшим уровнем прямого контроля — таких как облачные сервисы, например, — мы просим сотрудников присылать скриншоты, показывающие, что многофакторная аутентификация включена.
Можете себе представить, как тщательно мы теперь изучаем социальные сети, прежде чем разместить там свою страницу. На основе ответов мы проводим оценку уязвимости. Чья это вина? Безусловно, провайдер социальной сети сможет доказать, что мы сами не сделали несколько очевидных шагов — не свели к минимуму количество администраторов, регулярно проверяя их список, не настояли на использовании уникальных надежных паролей и так далее. Но решению проблемы не способствовала и его жесткая политика, в рамках которой очевидно взломанная грубейшим образом страница должна была оставаться неизменной до окончания проверки. И, конечно, сотруднице агентства не стоило использовать одинаковый пароль для нескольких учетных записей. Но обратите внимание: главу я назвала «Как я испортила Пасху». Нет, я не взламывала корпоративную страницу McAfee.
Не я предоставила такую возможность злоумышленнику. И в то пасхальное воскресенье я меньше всего хотела разбираться с ситуацией, возникшей в результате цепи нелепых ошибок. С учетом всего сказанного я могу лишь взять на себя ответственность за все произошедшее. Ведь, в конце концов, эта корпоративная страница находилась в ведении моей команды. И мы не выполнили свой долг — не приняли разумных мер для ее сохранности. Личная ответственность — вещь неприятная. Немногим из нас доставляет удовольствие обдумывать, что можно было сделать лучше или иначе для предотвращения несчастного случая. Уклонение — гораздо более нормальная человеческая реакция.
Тем не менее именно наша тяга к отказу от личной ответственности остается ключевым оружием в арсенале хакерского сообщества. Слишком долго кибербезопасность была «чьей-то там» проблемой. Слишком многие считают кибербезопасность мутной темой, не заслуживающей их личного времени, не говоря уже об ответственности. Эта книга ставит целью изменить данную парадигму, хотя бы помочь сделать скромный шаг к признанию ответственности, которую мы все разделяем как сотрудники — и, в конечном итоге, защитники — наших организаций. Если наша компания не может рассчитывать, что мы примем разумные меры предосторожности, чтобы уберечь ее драгоценные цифровые активы, то кому она вообще может доверять? Однако позвольте мне отвлечься от своей «мелодрамы» и обозначить настоящую проблему. Дело не в том, что сотрудники в большинстве своем не хотят поступать правильно. Гораздо чаще они просто не знают, как это делать.
Кибербезопасность — это командный спорт, в котором каждый должен играть на своей позиции в любую минуту. Дополнительные инструменты могут быть чрезвычайно полезными; но только когда люди, программы, процедуры, регулярные проверки и другие факторы работают вместе, они образуют эффективную защиту. Помните о важном факторе Еще один важный элемент, позволяющий минимизировать киберугрозу, — честность. Я определенно выхожу из зоны комфорта, начиная книгу со своим именем на обложке с описания досадного сбоя в системе безопасности, произошедшего у меня под носом. Могло ли быть хуже? Этого никогда не должно было произойти? Могли ли вы оказаться на моем месте? И снова — конечно.
Рассказывая эту историю, я хочу задать тон честности, который необходим и в вашем бизнесе, нацеленном на сопротивление плохим парням. Вам необходимо развить культуру безопасности, которая позволит людям не только помогать друг другу, но и быть взаимно честными при обнаружении подозрительных действий. И честность эта — без гнева, обвинений или возмездия — позволит культуре работать. Кроме того, я описываю взлом нашей страницы, чтобы вы сразу учли наши уроки и применили полученные знания, чтобы устранить щели в броне вашей безопасности. Почему я? На рынке не наблюдается недостатка в книгах по кибербезопасности от заслуживающих доверия талантливых авторов с самым разным опытом. Вы можете прочитать расследования журналистов, проанализировавших самые знаменитые взломы в истории. Можете ознакомиться с авторитетным мнением корифеев — основателей отрасли.
После регистрации на сайте Вам в Личном кабинете будет предоставлен бесплатный доступ к скачиванию любых 5 статей на выбор. Статьи приобретаются навсегда и будут доступны в Вашем Личном кабинете. В дальнейшем Вы можете приобретать доступ к другим статьям оформляя счет-оферты в Личном кабинете. С полными текстами всех статей вы можете ознакомиться на страницах журнала.
Также он обозначил основные проблемы, с которыми сталкиваются российские компании при проведении обучения сотрудников. По словам модератора, в сфере охраны труда проблема вовлечения персонала в образовательный процесс стоит наиболее остро. Модератор отметил и другие проблемы: трудности с бюджетированием, недостаток времени у сотрудников и интеграция различных программных комплексов в один корпоративный университет. В частности, последняя из перечисленных напрямую относится к предприятиям крупного бизнеса. Далее слово перешло Альберту Лясковскому. В рамках своего выступления он поделился проблемами, выявленными на производстве, и рассказал об этапах трансформации процессов управления безопасностью. По словам эксперта, большое внимание уделяется развитию компетенций сотрудников. Спикер представил несколько кейсов. Один из них — внедрение оценочных сессий в образовательный процесс. Далее выступил Александр Чеботкевич.