Например, чтобы в организации была позитивная культура безопасности, руководители должны четко заявлять о недопустимости компромиссов между безопасностью и производительностью. В ходе сессии «Культура безопасности на производстве в условиях изменения законодательства.
Как привить сотрудникам культуру кибербезопасности
Для определения уровня развития культуры безопасности предприятия используют кривую Брэдли. Культура безопасности – это нормы и правила, а также принятые способы их выполнения, которые влияют на поведение и отношение работников к обеспечению собственной безопасности и безопасности других людей на производстве. Культура пищевой безопасности – это общие ценности, убеждения и нормы, влияющие на мышление и поведение людей в отношении безопасности пищевых продуктов во всех подразделениях организации.
БМЗ стал лучшим предприятием в Брянске по охране труда
Ответ прост: многие руководители считают, что её формальное наличие как-то сможет обезопасить работника. Однако просто провести поведенческий аудит безопасности недостаточно для того, что реально сформировать целую культуру. Культура безопасности — это система, которую нужно долго и кропотливо выстраивать. Чтобы начать внедрение культуры безопасности, нужно: Определить мероприятия по повышению культуры безопасности Найти способ их выполнения Найти инструменты, с помощью которых возможно выполнение мероприятий Сформулировать показатели, по которым можно планировать и контролировать работы по повышению уровня культуры безопасности. Как приступить к действию? Система управления охраной труда и культура безопасности Система управления охраной труда СУОТ состоит из 20 процессов, два из которых, оценка профрисков и спецоценка влияют на формирование культуры безопасности. Сама по себе культура безопасности — это, можно сказать, уважительное отношение к работнику. Если мы хотим внедрить культуру безопасности, необходимо использовать культуру проведения, например, специальной оценки условий труда СОУТ. Работнику необходимо показывать процесс проведения СОУТ, проводить оценку так, чтобы работник понял, чтобы была налажена коммуникация. Культура процессов специальной оценки условий труда Культура проведения специальной оценки условий труда отражает отношение организации к процессу выявления и оценки воздействия рабочих условий на здоровье и безопасность работников.
Этот процесс является ключевым элементом обеспечения здоровых и безопасных рабочих мест.
Группы, сформированные по 6 человек, приступили к обсуждению. Для начала разобрали учебные и заранее продуманные ситуации, затем анализировали случаи из личной практики. Разная осведомленность в вопросах производственной безопасности позволила участникам посмотреть на ситуации с разных сторон. Это помогло получить прямой доступ к опыту и знаниям коллег в формате «peer-to-peer» обучение по принципу «равный — равному». Группы успели проработать в течение одного тренинг-дня четыре сложных кейса, основу которых составляли реальные ситуации трудовых будней. В ходе совместного обсуждения из решений команд были выделены некоторые общие закономерности, которые войдут в дальнейшую работу по совершенствованию культуры безопасности в компании.
Формула успеха По итогам совместной работы участники неожиданно для себя открыли формулу успеха для совершенствования культуры безопасности. То, что транслирует и реализует руководитель, влияет на убеждения работников компании, меняет поведение и воздействует на систему ценностей. Это способствует совершенствованию культуры безопасности и повышает ее показатели. Можно сказать, что кейс-клуб показал себя не только площадкой для получения новых знаний и обмена опытом.
Эволюция культуры безопасности Проанализировав культуру безопасности в АО «ОДК», можно сказать, что на сегодняшний день Корпорация уже ушла от реактивного уровня, на котором управление безопасностью заключается только в обеспечении минимальных законодательных требований, и скорее, находится на зависимом уровне см.
Однако нулевой уровень травматизма, при котором безопасность является задачей каждого работника, по-прежнему остается недостижим. Развитие культуры безопасности на уровне Корпорации началось в 2017 году с реорганизации подходов в области безопасности на производстве. Первым шагом стало издание первого базового стандарта СТО ОДК 055 «Порядок реализации информационно-профилактических мер по предупреждению производственного травматизма». Данный документ был разработан с целью установления единых требований к порядку оперативного информирования о происшествиях, форм отчетов, а также разработки планов корректирующих мероприятий. Целью любого расследования происшествия является предотвращение подобных происшествий в будущем путем выявления и исправления недостатков в системе управления безопасностью на производстве.
Расследование должно показать, какие положения, правила, процедуры необходимо пересмотреть или изменить, какие методы управления безопасностью необходимо улучшить и какие опасные условия необходимо устранить или исправить. Для этого была представлена методика выявления корневых причин происшествий. Удобной формой для визуализации отчета была выбрана форма формата А3, которая позволяет проследить причинно-следственные связи несчастного случая и мероприятия по их устранению. Для оперативного информирования о несчастных случаях на производстве с тяжелым или смертельным исходом в АО «ОДК» была разработана форма информационного листка «Молния». Отчет по методике выявления корневых причин происшествий Вторым шагом стала организация процесса идентификации и оценки профессиональных рисков на предприятиях ОДК.
Этот аспект очень важен, так как для обеспечения безопасности своих работников компания должна знать все риски, которые она создает.
И самое главное, каким образом поддерживать и развивать культуру безопасности среди сотрудников в нынешних условиях? Спасибо за проявленный интерес к нашему журналу! Для получения доступа к статьям Вам необходимо зарегистрироваться у нас на сайте или выполнить вход.
Если у Вас оформлена подписка в текущем периоде, то Вы автоматически получите доступ ко всем материалам нашего журнала с начала его издания. Если Вы не являетесь подписчиком, но хотите ознакомиться с материалами издания, Вы можете воспользоваться ДЕМО-доступом в личном кабинете активен 24 часа с момента запуска , который даст возможность полноценного ознакомления с шестью номерами журнала. Это позволит Вам оценить качество наших материалов.
Культура безопасности на производстве
Культура пищевой безопасности – это общие ценности, убеждения и нормы, влияющие на мышление и поведение людей в отношении безопасности пищевых продуктов во всех подразделениях организации. Как культура безопасности влияет на финансовое состояние компании. К тому же следование предприятием культуре безопасности становится огромным репутационным плюсом компании в глазах потенциальных инвесторов и партнеров.
Культ безопасности: как обучить людей сознательности
Как это повлияет на безопасность? Что компании собираются делать для обеспечения лояльности, должного уровня осмотрительности и осведомленности? Этот факт сильно влияет на повышение безопасности на производстве. Этот факт сильно влияет на повышение безопасности на производстве.
На ВНОТ обсудили влияние культуры безопасности на ESG-трансформацию бизнеса
Формирование культуры безопасности у сотрудников с помощью DLP-системы Получить консультацию по Solar Dozor ФИО Email Телефон Я даю согласие на обработку персональных данных , на условия Политики по обработке персональных данных , а также на получение информационных материалов и рассылок Оставить заявку Если сотрудники компании знают и соблюдают основы безопасности при работе с данными и информационными системами, значительно снижаются риски утечки информации из-за невнимательности или халатности при выполнении ими служебных обязанностей. К сожалению, в некоторых организациях пренебрегают обучением персонала, поскольку руководство не знает, в каком формате лучше донести сведения или просто уверено, что достаточно выстроить базовую защиту ИТ-инфраструктуры. На самом деле, культура информационной безопасности у сотрудников тоже является частью защиты, поэтому в этой статье подробно осветим ее важность для компаний и расскажем, как она формируется. Что такое культура информационной безопасности сотрудников Под этим понятием в первую очередь подразумеваются принципы взаимодействия с конфиденциальными данными, с которыми имеет дело каждая компания вне зависимости от масштабов и сферы деятельности. Многочисленные исследования в области кибербезопасности показывают, что причиной утечки информации, ее несанкционированного изменения и удаления чаще всего становятся не злоумышленники из глобальной сети, а сотрудники организации. В этом случае имеют место намеренные и ненамеренные утечки данных.
Рассмотрим примеры: Работник может отправить приватные, конфиденциальные данные по ошибке на неправильный адрес электронной почты. Ценные данные могут быть скопированы на USB-накопители, которые впоследствии могут быть утрачены или украдены. Работник может передать данные своей учетной записи другому коллеге. Конфиденциальные данные могут быть распечатаны и забыты на принтере. Это только самые типичные примеры ситуаций, которые могут произойти из-за недостаточно развитой культуры безопасности у сотрудников.
В частности, последняя из перечисленных напрямую относится к предприятиям крупного бизнеса. Далее слово перешло Альберту Лясковскому. В рамках своего выступления он поделился проблемами, выявленными на производстве, и рассказал об этапах трансформации процессов управления безопасностью. По словам эксперта, большое внимание уделяется развитию компетенций сотрудников. Спикер представил несколько кейсов. Один из них — внедрение оценочных сессий в образовательный процесс. Далее выступил Александр Чеботкевич. Эксперт подчеркнул, что культура безопасности зависит от поведенческих моделей людей, которые работают в компании.
При оценке использовались такие методы, как анализ документации по охране труда, структурированные интервью с высшим руководством предприятий, рабочими и линейными руководителями, а также дистанционная диагностика сотрудников с целью определения уровня развития культуры безопасности и индивидуальных факторов риска HALP. Спикер также отметил, что по итогам оценки культуры безопасности формируется план развития, включающий развитие safety skills у всего персонала, управление высоко-рискованным персоналом, развитие навыков управления персоналом у линейных руководителей и другие аспекты.
В конце выступления Иван резюмировал: «Культура — вещь неосознанная, очень сложно работать с правилами и стандартами, поэтому важен очень чуткий подход. Не надо отвечать на этот вопрос, но, когда поедете сегодня вечером домой — посмотрите, пристегнулись ли вы?
Это и есть культура». Завершающим стало выступление Артема Крылова, главного редактора EcoStandard. В своем выступлении спикер поделился практиками по выстраиванию культуры безопасности. Также он отметил необходимость самостоятельности сотрудника в регулировании безопасности своего труда.
Например, ответив самому себе на вопросы, как он будет выполнять работу, какие существуют риски, все ли есть инструменты для безопасного выполнения работ и что делать в экстренной ситуации. Если мы говорим про организационно-технические моменты в охране труда, да, может, и можно согласиться. Но культура безопасности — это не про деньги», — отметил Артем Крылов. В ходе конференции завязалась активная дискуссия по теме выстраивания культуры безопасности и содержания блока S, подтверждая важность повестки ESG для российского бизнеса.
Николай Кривозерцев завершил мероприятие мыслью о том, что тематика ESG-трансформации проходит серьезное переосмысление. Сегодня мы наблюдаем, как теория концепции перекладывается в конкретную практику специалистов по охране труда.
К сожалению, в некоторых организациях пренебрегают обучением персонала, поскольку руководство не знает, в каком формате лучше донести сведения или просто уверено, что достаточно выстроить базовую защиту ИТ-инфраструктуры.
На самом деле, культура информационной безопасности у сотрудников тоже является частью защиты, поэтому в этой статье подробно осветим ее важность для компаний и расскажем, как она формируется. Что такое культура информационной безопасности сотрудников Под этим понятием в первую очередь подразумеваются принципы взаимодействия с конфиденциальными данными, с которыми имеет дело каждая компания вне зависимости от масштабов и сферы деятельности. Многочисленные исследования в области кибербезопасности показывают, что причиной утечки информации, ее несанкционированного изменения и удаления чаще всего становятся не злоумышленники из глобальной сети, а сотрудники организации. В этом случае имеют место намеренные и ненамеренные утечки данных.
Рассмотрим примеры: Работник может отправить приватные, конфиденциальные данные по ошибке на неправильный адрес электронной почты. Ценные данные могут быть скопированы на USB-накопители, которые впоследствии могут быть утрачены или украдены. Работник может передать данные своей учетной записи другому коллеге. Конфиденциальные данные могут быть распечатаны и забыты на принтере.
Это только самые типичные примеры ситуаций, которые могут произойти из-за недостаточно развитой культуры безопасности у сотрудников. Поэтому задача руководства каждой организации — донести до работников, насколько опасна халатность, и чем она может обернуться.
Корпоративная культура безопасности – главная задача
| Как начать внедрять культуру безопасности на рабочем месте | Поэтому развитая культура безопасности самая выгодная модель организации труда для работодателя: экономия на постоянном контроле и потерях от производственного травматизма. |
| Культура безопасности: особенности и практики развития. Исследование ДРТ (ex-Deloitte) | В студии "ЭТАЛОН-ТВ" мы поговорили с Литвиновой Еленой Владимировной, Директором департамента ОТ, ПБ и ОСС компании "Бейкер Хьюз". |
| Достичь позитивной Культуры ОТ – возможно ли это? | К тому же следование предприятием культуре безопасности становится огромным репутационным плюсом компании в глазах потенциальных инвесторов и партнеров. |
В «Росатоме» обсудили культуру безопасного поведения
Неформальное общение и пульс-опросы — его главные инструменты. Безусловно, есть примеры, когда специалист по внутренним коммуникациям может работать удалённо и успешно решать поставленные задачи, но в этом случае также необходима регулярная обратная связь от руководителей и сотрудников, генерация гипотез и их проверка. Внутриком должен держать руку на пульсе вне зависимости от того, где он находится. Важный вопрос, который рано или поздно встаёт перед каждым собственником бизнеса, — в какой момент в компании должен появиться менеджер по внутренним коммуникациям. Многие СЕО, чьи стартапы с успехом перекочевали в категорию среднего бизнеса, пребывают в уверенности, что они, как это было на старте, могут «дотянуться» до каждого сотрудника. Однако, если численность компании перевалила за 50 человек, сделать это уже невозможно. Тогда требуется привлечение внутрикома. Как правило, это специалисты, вышедшие из PR-среды, бывшие журналисты, социологи. Если речь идёт о построении технобренда, то у внутрикома должны быть уже более специфические компетенции. Например, точно пригодятся знания project-менеджера как строится команда, организуются процессы и технический бэкграунд. Ксения Степанова, руководитель направления корпоративной культуры и внутренних коммуникаций hh.
Простой пример: в hh. Это большой процесс, который напрямую влияет на мою работу. Сначала мы вместе с директором по операционному развитию и с HR-бизнес-партнёром выстраиваем модель коммуникации с сотрудниками. Иначе говоря, мы формируем план, с которым приходим к людям: что, когда и каким образом будем им рассказывать. Мы должны найти правильные, честные и убедительные аргументы. Потом я иду к топ-менеджеру и прошу его рассказать новым сотрудникам о том или ином процессе, держа в голове ключевые моменты. Это всегда совместная работа. Причём речь идет не столько о подчинённых, сколько о людях из разных департаментов и отделов, которые каждый день помогают внутрикому решать бизнес-задачи. Одни рассказывают о новых проектах и продуктах, вторые делятся информацией о происходящем в командах, третьи готовы поддерживать инициативы и быть амбассадорами изменений внутри компании. На примере совместной работы PR-службы и внутренних коммуникаций hh.
Один из наших больших проектов — это пиар спикеров компании. Пресс-служба взаимодействует с коммуникационным агентством, оно, в свою очередь, делится информационным поводом со СМИ, а наша задача состоит в том, чтобы найти людей внутри компании, готовых делиться экспертизой. Мы их обучаем, вдохновляем, поддерживаем. Это наши звёзды! Только благодаря кросс-функциональному взаимодействию внутрикому удаётся решать десятки задач разной сложности. Задачи, навыки и компетенции Направление внутренних коммуникаций в большинстве компаний причисляют к HR-департаменту, где точно подскажут, как ведётся подбор, насколько продуктивна работа над брендом работодателя. Находясь в структуре HR, менеджер по коммуникациям будет лучше понимать портрет целевой аудитории, ориентируясь не только на базовые параметры — пол, возраст, количество детей, — но и на культурные особенности, ценности людей. Бывает и так, что роль внутреннего коммуникатора выделяют в маркетинге или в digital-направлении, поскольку, во-первых, в работе используются цифровые каналы, во-вторых, специалист должен уметь пользоваться современными маркетинговыми инструментами и оценивать эффективность своей работы. В каком бы направлении ни мыслила компания, работа любого менеджера по коммуникациям начинается с погружения в организационную структуру, знакомства с топ-менеджерами и лидерами функций и далее — с сотрудниками. Специалисту важно понимать, кого ищет и нанимает компания, про кого он должен писать, с кем делиться информацией.
Только так можно сформировать целостную картину происходящего — к кому с какими вопросами обращаться, кто за что отвечает, — поэтому внутрикому пригодятся не только коммуникативные навыки, но и аналитические. Вторая важная составляющая в работе внутрикома, о которой уже упоминалось, — стратегия. Любые новости, мероприятия, инфосессии должны перекликаться с целями бизнеса, миссией и ценностями компании. Хаотичные активности не приведут к желаемому результату. Ключевую идею необходимо вести сквозь каждую коммуникацию. Если человек приходит в компанию и не понимает, куда она движется, если у бизнеса нет долгосрочного планирования на 5—10 лет, значит, и у самого сотрудника не будет целей на будущее.
Для специалистов по охране труда также провели обзорную экскурсию по компрессорной станции «Березанская», которая находится в самом центре Краснодарского края и обеспечивает транспорт газа потребителям не только в 17 районов Краснодарского края, но и в республику Адыгею. Желаем вам профессиональных взлетов и успехов, процветания вашей организации и сотрудничества на долгие годы», — говорит главный специалист отдела трудовых отношений, охраны труда и взаимодействия с работодателями Татьяна Лихачёва. Встреча состоялась в рамках мероприятий, посвящённых Всемирному дню охраны труда.
На совете были представлены результаты развития культуры безопасного поведения в отрасли. Глава «Атоммаша» Ровшан Аббасов рассказал об итогах диагностики на предприятии. Для решения этой проблемы создали шесть рабочих групп по отдельным направлениям, в основном из тех сотрудников, кто проявлял наибольший пессимизм. За два года все рабочие группы в корне изменили свое представление о культуре безопасного поведения, подчеркнул Ровшан Аббасов. Он также обратил внимание на проблему снабжения более удобными и качественными СИЗ. Координационный совет принял решение создать рабочие группы, которые разберут, где возникают проблемы в закупке, дадут рекомендации по изменению ситуации и выстроят систему управления подрядными организациями. Концерн в 2017 году начал внедрение новых подходов в сфере охраны труда: был создан совет по культуре безопасности, появились уполномоченные по безопасности, начали системно вести учет и расследование микротравм, рассказал глава «Росэнергоатома» Андрей Петров. В 2019 году стартовал очередной этап, нацеленный на развитие атмосферы открытости и доверия, вовлечение подрядчиков в работу над культурой безопасности, выявление и расследование опасных действий. Концерн стремится внедрить проактивный подход в сфере безопасности, который в системе КПЭ выражен в показателе профилактики тяжести травматизма. Это сделано для того, чтобы упростить выявление легких травм, микротравм, а также опасных действий без негативного влияния на выполнение КПЭ. Кроме того, «Росэнергоатом» регулярно проводит диалоги по безопасности. В рамках формата «Честный диалог» идет обсуждение выявленных проблем, улучшения рабочих процессов и охраны труда. Формат «Одна команда» нацелен на обсуждение проблем между подразделениями. И наконец, в рамках формата «Прямой разговор» руководители разных уровней обсуждают со специалистами их работу с точки зрения культуры безопасного поведения.
Вторая важная часть - стимулирование работодателей и работников к улучшению условий труда. Третья - повышение интереса среди россиян к здоровому образу жизни в целом. Продолжается также обязательная специальная оценка условий труда на рабочих местах. К концу 2019 года она была проведена в 764,5 тысячах компаний по всей стране, проверено 32,5 миллионов рабочих мест. Система постонно совершенствуется: с января 2020 года ужесточен контроль за внесением результатов спецоценки в Федеральную государственную информационную систему. А как дополнительно простимулировать людей соблюдать все нормы и правила охраны труда на производстве? Ответ нашли на предприятиях Металлоинвеста. Это один из крупнейших горно-металлургических холдингов России, мировой лидер в производстве товарного горячебрикетированного железа, ведущий производитель и поставщик железорудной и метализованной продукции.
Культура безопасности
Развитие культуры безопасности в Инжиниринговом дивизионе строится на принципах личной ответственности и повышения профессионализма. Главная Новости Безопасность Корпоративная культура безопасности – главная задача. Цели и задачи внедрения культуры безопасности заложены в самой сути культуры безопасности — добиться снижения происшествий, аварий, травматизма до нуля.
К сотрудникам с любовью: как в компаниях заботятся о команде
Как руководители и сотрудники влияют на культуру безопасности в компании. Поэтому развитая культура безопасности самая выгодная модель организации труда для работодателя: экономия на постоянном контроле и потерях от производственного травматизма. Эксперт рассказал об основных этапах, которые проходит компания в ходе развития культуры безопасности, о ключевых методах ее оценки и важности приверженности руководства в данном процессе. Это когда руководитель компании своим собственным примером демонстрирует культуру безопасности во всем». В организациях дивизиона на ежемесячной основе реализуются несколько полезных практик, которые проводят уполномоченные по культуре безопасности. Тем не менее нередко оказывается, что культура безопасности, выстроенная в компании, в своей основе противоречит внедряемым инициативам.
БМЗ стал лучшим предприятием в Брянске по охране труда
Без работы со всеми ключевыми категориями эффект будет неполным. Причем, задачи, которые мы решаем для каждой категории, различаются. Рассмотрим каждую группу персонала и подходы к ее обучению отдельно. Научить ученого, или обучение специалистов по ОТ и ПБ Цель работы с сотрудниками самой функции ОТ и ПБ — сформировать у них понимание важности непосредственной работы с людьми в области безопасности. Поэтому с ними мы много говорим про то, как перестать быть просто контролером и инструктором — и стать внутренним лидером и консультантом по безопасности. Для этого необходимо развивать компетенции работы с людьми, навыки влияния, учиться доносить до людей важность безопасности, выстраивать эту работу системно и знать, какие меры воздействия на сотрудников и на их отношение лучше всего им помогут.
В процессе работы с данной категорией мы пришли к выводу, что, даже зная все стандарты, правила и инструкции в области безопасности на производстве, специалисты по ОТ и ПБ не всегда обладают необходимым ресурсом влияния — некоторые стремятся избегать общения с производственным персоналом, скучно и неинтересно проводят инструктажи, ограничиваясь формальным сбором подписей, а при проведении поведенческих аудитов не всегда могут повлиять на сотрудников, чтобы они изменили свое поведение и сделали выводы на будущее. В ходе тренинга мы рассматриваем именно такие сложные ситуации, учимся вырабатывать правильную позицию при взаимодействии с сотрудниками, ищем эффективные способы коммуникации с разными типами людей. Важной возможностью для этой категории также является площадка для обмена опытом решения различных конфликтных ситуаций или организации просветительской работы для производственных коллективов в области безопасности. Без запевалы и песня не поется, или почему важно обучение руководства Обучая руководителей производственных подразделений, мы делаем фокус на то, как управлять сотрудниками с разными установками и разной склонностью к риску, как руководитель может формировать в своем подразделении культуру безопасности. Для каждого руководителя производственным коллективом важно осознать, что человеческий фактор сам по себе редко бывает основной причиной инцидента или происшествия, хотя некоторые руководители очень часто имеют именно такую позицию.
Во время обучения, разбирая те или иные происшествия, мы просим руководителей увидеть более глубокие — системные и организационные причины недочеты по части организации рабочего места и процесса труда, в информировании, не реагирование на определенные сигналы, и т. Этими факторами руководитель может во многом управлять, если не будет от них отмахиваться и захочет их увидеть. Также мы просим обратить внимание руководителей на то, какое поведение они на самом деле сами поощряют со стороны своих сотрудников — насколько они приветствуют инициативу и борются с формальным отношением подчиненных.
Ни один консультант или внешний модератор не раскроет тему лучше практикующего корпоративного эксперта. Выбор темы за участниками. День 3. Тематические круглые столы от экспертов 21.
Иными словами, в период запуска инструмент может быть очень эффективным — до тех пор пока хакеры не найдут способ его обойти. Я не знаю, когда вы будете читать эту книгу, а потому не стану хвалить то, что, возможно, больше не использую. Вторая причина, по которой я скрою название этого инструмента, заключается в том, что McAfee является важной мишенью для хакеров по всему миру. Оставляя их теряться в догадках, какие именно средства мы используем, мы помогаем снижать угрозу.
Поискав описания инструментов в сети, вы быстро найдете то, что можно опробовать. Вернемся к урокам, которые мы вынесли. Мы не были знакомы с протоколом действий службы поддержки соцсети в подобных ситуациях. И очень зря. Только постфактум мы узнали о том, что их политика требует блокировки аккаунта на много часов, вне зависимости от того, насколько велики изменения на странице.
Теперь мы узнаем о подобных процедурах заранее — до размещения корпоративных страниц на других сайтах. Мы на собственном горьком опыте убедились, как много значат деньги. Поскольку мы тратили приличную сумму на продвижение в социальной сети через агентства, самой платформе мы казались менее значимым аккаунтом, чем были на самом деле. Это могло повлиять на быстроту реакции. Теперь мы оплачиваем продвижение напрямую на платформах социальных сетей — чтобы наши инвестиции были на виду и приносили нам уровень сервиса, которого мы заслуживаем.
Кроме того, мы узнали, что сторонние компании, с которыми мы ведем бизнес, могут не иметь надежных методов обеспечения безопасности. Это особенно важно, если это ваши филиалы или у них есть доступ к вашим системам. В частности, у небольших сторонних компаний, с которыми вы поддерживаете отношения, может не быть подразделений ИТ и безопасности, не говоря уже о строгой политике киберзащиты. И наконец, последний удар под дых. Как показало вскрытие, McAfee даже не был изначальной целью атаки.
Когда хакер получил доступ к личным данным Джули, он понятия не имел о том, что она администратор корпоративной страницы компании. Он не знал, кто такая Джули: ему было все равно. Он просто охотился за паролями, стремился определить, к чему они откроют доступ, — к личному банковскому счету, сети компании или чему-то еще. Как только он нашел тот, который случайно подошел к странице McAfee в этой социальной сети, он вывалил на всех, кого мог, целый ушат оскорблений, унизив при этом компанию. Даже для хакеров удача иногда важнее мастерства.
Еще несколько важных уроков Составьте список людей, с которыми вы можете связаться в такой ситуации. Держите их контакты под рукой — там, где вы и ваша команда легко сможете их найти. Эти списки должны быть не только у ваших людей, но и у сотрудников, обслуживающих сайт компании, ее социальные сети, облачное хранилище и так далее. В чьи-то рабочие обязанности должна быть включена регулярная проверка доступа к аккаунту, а помимо этого — удаление из списка администраторов людей, чья работа больше не связана с текущими проектами. Используйте многофакторную аутентификацию.
Некоторые наши системы автоматически определяют, когда пользователи входят в них, а когда выходят — даже если выключение произошло всего на несколько минут, например, для смены компьютера. При работе в системах с меньшим уровнем прямого контроля — таких как облачные сервисы, например, — мы просим сотрудников присылать скриншоты, показывающие, что многофакторная аутентификация включена. Можете себе представить, как тщательно мы теперь изучаем социальные сети, прежде чем разместить там свою страницу. На основе ответов мы проводим оценку уязвимости. Чья это вина?
Безусловно, провайдер социальной сети сможет доказать, что мы сами не сделали несколько очевидных шагов — не свели к минимуму количество администраторов, регулярно проверяя их список, не настояли на использовании уникальных надежных паролей и так далее. Но решению проблемы не способствовала и его жесткая политика, в рамках которой очевидно взломанная грубейшим образом страница должна была оставаться неизменной до окончания проверки. И, конечно, сотруднице агентства не стоило использовать одинаковый пароль для нескольких учетных записей. Но обратите внимание: главу я назвала «Как я испортила Пасху». Нет, я не взламывала корпоративную страницу McAfee.
Не я предоставила такую возможность злоумышленнику. И в то пасхальное воскресенье я меньше всего хотела разбираться с ситуацией, возникшей в результате цепи нелепых ошибок. С учетом всего сказанного я могу лишь взять на себя ответственность за все произошедшее. Ведь, в конце концов, эта корпоративная страница находилась в ведении моей команды. И мы не выполнили свой долг — не приняли разумных мер для ее сохранности.
Личная ответственность — вещь неприятная. Немногим из нас доставляет удовольствие обдумывать, что можно было сделать лучше или иначе для предотвращения несчастного случая. Уклонение — гораздо более нормальная человеческая реакция. Тем не менее именно наша тяга к отказу от личной ответственности остается ключевым оружием в арсенале хакерского сообщества. Слишком долго кибербезопасность была «чьей-то там» проблемой.
Слишком многие считают кибербезопасность мутной темой, не заслуживающей их личного времени, не говоря уже об ответственности. Эта книга ставит целью изменить данную парадигму, хотя бы помочь сделать скромный шаг к признанию ответственности, которую мы все разделяем как сотрудники — и, в конечном итоге, защитники — наших организаций. Если наша компания не может рассчитывать, что мы примем разумные меры предосторожности, чтобы уберечь ее драгоценные цифровые активы, то кому она вообще может доверять? Однако позвольте мне отвлечься от своей «мелодрамы» и обозначить настоящую проблему. Дело не в том, что сотрудники в большинстве своем не хотят поступать правильно.
Гораздо чаще они просто не знают, как это делать. Кибербезопасность — это командный спорт, в котором каждый должен играть на своей позиции в любую минуту. Дополнительные инструменты могут быть чрезвычайно полезными; но только когда люди, программы, процедуры, регулярные проверки и другие факторы работают вместе, они образуют эффективную защиту. Помните о важном факторе Еще один важный элемент, позволяющий минимизировать киберугрозу, — честность. Я определенно выхожу из зоны комфорта, начиная книгу со своим именем на обложке с описания досадного сбоя в системе безопасности, произошедшего у меня под носом.
Могло ли быть хуже? Этого никогда не должно было произойти? Могли ли вы оказаться на моем месте? И снова — конечно. Рассказывая эту историю, я хочу задать тон честности, который необходим и в вашем бизнесе, нацеленном на сопротивление плохим парням.
Вам необходимо развить культуру безопасности, которая позволит людям не только помогать друг другу, но и быть взаимно честными при обнаружении подозрительных действий. И честность эта — без гнева, обвинений или возмездия — позволит культуре работать. Кроме того, я описываю взлом нашей страницы, чтобы вы сразу учли наши уроки и применили полученные знания, чтобы устранить щели в броне вашей безопасности. Почему я? На рынке не наблюдается недостатка в книгах по кибербезопасности от заслуживающих доверия талантливых авторов с самым разным опытом.
Вы можете прочитать расследования журналистов, проанализировавших самые знаменитые взломы в истории. Можете ознакомиться с авторитетным мнением корифеев — основателей отрасли. Еще больше информации вы найдете у технических экспертов, которые весьма подробно разбирают сложные элементы кибербезопасности. Однако же в то время, когда я это печатаю, найдется крайне мало книг по кибербезопасности, написанных маркетологами. А уж маркетологами, проработавшими в сфере всего несколько лет, — и того меньше.
Так зачем доверять такому автору в столь серьезном вопросе? Считайте мою книгу чем-то вроде гибрида маркетинга и технологий. Всю свою карьеру я переводила технические концепции на обычный язык. Я изучала взаимодействие работы и технологий, чтобы понять, как меняется корпоративная культура. Так что если вы в целом не разбираетесь в технологиях, будьте уверены: моя цель — дать вам достаточно знаний для понимания нюансов этой сложной темы, не загружая техническими деталями.
Таким образом, важно работать не только на уровне знаний конкретного сотрудника, а шире - на уровне среды, культуры, в которой он находится. Заботясь о снижении уровня травматизма и роста операционной эффективности, компаниям следует подвести своих сотрудников к тому, чтобы своим поведением они предотвращали даже саму возможность возникновения опасности в работе и окружающем пространстве. С чего начать внедрение культуры безопасного поведения? Наш опыт реализации подхода Manpower Inspirational Safety, применяемого одновременно на всех уровнях организации, показывает, что работу с культурой безопасности важно начинать с лидеров, на которых сотрудники ориентируются в своём поведении. В силу опыта, компетентности и положения руководители быстрее адаптируются к любым изменениям в компании. Это часть их роли. Прежде всего оцените, какой стиль характерен для руководителей в вашей организации, какого стиля придерживаетесь вы сами?