Зачем развивать культуру безопасности труда в организации? То, на что ещё влияет внутриком и что сложно поддаётся оценке, — корпоративная культура. Минимизировать риски случайных и намеренных утечек можно, если HR-отдел совместно со службой безопасности и IT-командой будут формировать культуру работы с корпоративной информацией. Мы поднимаем вопрос о культуре безопасности, о готовности оказать помощь.
Как развивается культура безопасности на предприятиях: взгляд ГИТ и сотен специалистов по ОТ
В ходе совместного обсуждения из решений команд были выделены некоторые общие закономерности, которые войдут в дальнейшую работу по совершенствованию культуры безопасности в компании. Формула успеха По итогам совместной работы участники неожиданно для себя открыли формулу успеха для совершенствования культуры безопасности. То, что транслирует и реализует руководитель, влияет на убеждения работников компании, меняет поведение и воздействует на систему ценностей. Это способствует совершенствованию культуры безопасности и повышает ее показатели. Можно сказать, что кейс-клуб показал себя не только площадкой для получения новых знаний и обмена опытом. Это была возможность разобрать реальные и потенциальные проблемы, подсветить участникам зоны роста, наладить неформальное общение и создать профессиональное сообщество, в котором каждому небезразличен как личный прогресс, так и развитие своей команды и компании в целом. Анна Титиевская, начальник управления по работе с персоналом ООО «Газпром газификация» Инсайты Вот какими впечатлениями в пользу проведенного кейс-клуба поделились участники встречи. Цель — оптимизация и повышение качества бизнес-процессов для достижения стратегических целей организации». Планируем продолжить работу в этом направлении, а также вовлекать руководителей подрядных организаций, осуществляющих строительство объектов газификации».
Это дает возможность научиться и научить других».
Почему такое происходит? Потому что работники совершают ошибки. Однако эта причина не является коренной. Если мы заглянем внутрь организации, понаблюдаем за сотрудниками, мы быстро поймем, что ошибки происходят из-за того, что не выстроены рабочие процессы. Вы возразите: «А как же ситуации, когда рабочий сознательно не надевает каску? Такое сплошь и рядом». Вы абсолютно правы.
Однако для полноты картины стоит задать вопрос: «Выдали мы ему удобные средства защиты? Вовремя ли мы их заменяем? Обеспечиваем ли условия, когда СИЗ комфортно пользоваться? Руководство недостаточно четко дало понять, какие санкции ждут работника за нарушение субординации.
Изучить понятие «культура безопасности», в том числе влияние национальной культуры на культуру безопасности на предприя- тии; 2. Проанализировать статистику производственного травматизма на предприятии, в том числе выявить причины опасных действий ра- ботников; 3. Провести обзор существующих инструментов по развитию куль- туры безопасности и выявить инструменты, применяющиеся на предприятии для снижения опасных действий работников; 4. Разработать инструмент по обучению работников с помощью VR- технологий.
Таким образом, стремление к безопасности — это коллективная работа с участием каждого. Она должна начаться с четкого осознания каждым работни- ком, вне зависимости от его положения, как его действия и решения могут по- влиять на безопасность всего коллектива. В ходе написания работы было изучено понятие «культура безопасно- сти», в том числе рассмотрены этапы развития культуры безопасности. Изучено влияние национальной культуры на культуру безопасности предприятия, а именно, как национальные ценности и убеждения могут непосредственно вли- ять на восприятие безопасности работником организации.
Тем самым они демонстрируют те устойчивые модели поведения, принятые в их странах. Но проходит несколько месяцев, и эти люди начинают демонстрировать совсем иное поведение. Они начинают подчиняться культуре и нормам поведения того коллектива, в котором живут в эту конкретную минуту. Ханс-Хорст Конколевски также привел пример Сингапура, где в последние 10-15 лет сложилась эффективная система управления охраной труда за счет стимулирования работников. Так, на одной судоверфи есть телефон, по которому работник, если видит риск опасной ситуации, может напрямую связаться с министерством труда или производственной инспекцией.
Тем самым человек не воспринимается как «предатель», а наоборот, он мотивирован. И такое «предупредительное» поведение воспринимается как общественное благо, которое всячески публично поощряется. У каждого менеджера есть своя система планируемых результатов, даже у первых лиц государства. В эту систему встроены показатели снижения или отсутствия травматизма. Таким образом, в вопросы безопасности на рабочих местах вовлечены все, от простого рабочего до высших должностных чинов. Участники бизнес-встречи много говорили о важном социальном диалоге работодателей, представителей власти и простых работников. О том, как донести до топов российских компаний важность личного вовлечения в решение вопросов охраны труда. Много говорили о необходимости воспитания безопасного поведения с самого младшего возраста. Все эти вопросы обязательно будут рассмотрены еще раз в ходе дискуссий на Всероссийской неделе охраны труда.
Для этого у нас есть различные инструменты и приемы. Я уверен, технологии помогут нам в будущем. Я верю в цифровую экономику, которая даст нам такие технологии, которые при угрозе и малейшем риске возникновения опасной ситуации, могут автоматически останавливать производственную линию. Таким образом, люди будут более защищены. В сфере охраны труда много трудностей. И эти трудности встречаются во всех странах, не только в России. Но нужно всем нам стать членами одной большой команды по достижению нулевого травматизма. Нам нужно всем стремиться к этому, потому что это выгодно и социально, и экономически».
Как развивается культура безопасности на предприятиях: взгляд ГИТ и сотен специалистов по ОТ
Мы их обучаем, вдохновляем, поддерживаем. Это наши звёзды! Только благодаря кросс-функциональному взаимодействию внутрикому удаётся решать десятки задач разной сложности. Задачи, навыки и компетенции Направление внутренних коммуникаций в большинстве компаний причисляют к HR-департаменту, где точно подскажут, как ведётся подбор, насколько продуктивна работа над брендом работодателя. Находясь в структуре HR, менеджер по коммуникациям будет лучше понимать портрет целевой аудитории, ориентируясь не только на базовые параметры — пол, возраст, количество детей, — но и на культурные особенности, ценности людей.
Бывает и так, что роль внутреннего коммуникатора выделяют в маркетинге или в digital-направлении, поскольку, во-первых, в работе используются цифровые каналы, во-вторых, специалист должен уметь пользоваться современными маркетинговыми инструментами и оценивать эффективность своей работы. В каком бы направлении ни мыслила компания, работа любого менеджера по коммуникациям начинается с погружения в организационную структуру, знакомства с топ-менеджерами и лидерами функций и далее — с сотрудниками. Специалисту важно понимать, кого ищет и нанимает компания, про кого он должен писать, с кем делиться информацией. Только так можно сформировать целостную картину происходящего — к кому с какими вопросами обращаться, кто за что отвечает, — поэтому внутрикому пригодятся не только коммуникативные навыки, но и аналитические.
Вторая важная составляющая в работе внутрикома, о которой уже упоминалось, — стратегия. Любые новости, мероприятия, инфосессии должны перекликаться с целями бизнеса, миссией и ценностями компании. Хаотичные активности не приведут к желаемому результату. Ключевую идею необходимо вести сквозь каждую коммуникацию.
Если человек приходит в компанию и не понимает, куда она движется, если у бизнеса нет долгосрочного планирования на 5—10 лет, значит, и у самого сотрудника не будет целей на будущее. Он не будет задумываться, как ему развиваться, не станет строить амбициозных планов. Скорее всего, скоро он захочет сменить работодателя. Понимание миссии на всех уровнях — от линейного специалиста до топ-менеджера — позволяет задавать нужный вектор развития бизнеса.
Третий фактор, влияющий на то, какой человек будет занимать позицию внутрикома, — открытость. Помимо того, что специалист транслирует идеи, ценности, миссию компании, делится важными корпоративными событиями, он является «единым окном» для всех сотрудников, своего рода «справочником», в котором, возможно, нет ответов на все вопросы, но он обязательно подскажет, к кому и куда обратиться. Внутренние коммуникации — тот самый отдел, который первым должен знакомиться с новичками и активно их поддерживать информационно, развивать программы адаптации, не ограничиваясь пересмотром приветственных боксов — приятных бонусов при приёме на работу. В компании может быть множество информационных сервисов, при этом сотрудники должны знать, что они в любой момент могут обратиться к внутрикому и получить помощь.
Ксения Степанова справедливо отмечает, что лидер этой функции является неким буфером между топ-менеджментом и людьми. Я очень часто рассказываю коллегам, какие возможности есть в компании. Ко мне приходят с разными запросами. Кто-то хочет перейти в другую команду и не понимает, что для этого нужно сделать, кто-то стремится получать новые знания.
Я направляю коллег: подтянуть компетенции — сюда, обучиться новому — туда. Это одна из самых трудоёмких и важных задач в работе менеджера по внутренним коммуникациям, она отнимает много времени, зато любой сотрудник знает, что найдет здесь ответ. Это упрощает жизнь и работу всем. Его задача — подтолкнуть работника к принятию решения или к действиям.
Вместе с тем это всегда незаметная коммуникация, которая не про лобовую атаку, а про витающие в воздухе идеи, лёгкие и прозрачные смыслы. В последнее время мы делаем рассылки, в которых говорим об экономических показателях компании. Всё из-за усложняющейся ситуации на рынке. Мы пошли на это сознательно, чтобы сотрудники понимали, как они влияют на бизнес-результат.
Если всё идет хорошо — могли увидеть в этом часть своего вложенного труда, если вдруг начинается стагнация платежей, обращений — делали всё возможное, чтобы помочь. Хотя не каждый СЕО готов признать, что сила слова может повлиять как на настроения в компании, так и на финансовые результаты. Влияние на бизнес Внутренние коммуникации — это всегда игра вдолгую, нельзя провести единичный опрос или сессию вопросов и ответов с топ-менеджментом компании и разрешить все противоречия. После стадии анализа, как правило, и начинается основная работа как отдела коммуникаций, так и HR.
Мы работаем с сервисом поддержания благополучия «Понимаю». Программа направлена на решение различных вопросов, которые могут возникать у сотрудников в повседневной рабочей и личной жизни. Можно не только ходить на встречи с психологами или получать консультации, но и работать над собой самостоятельно. Для этого мы записали специальные курсы. Мы всегда сохраняем записи вебинаров, чтобы их смогли посмотреть новые сотрудники, а нынешние — пересмотреть и открыть для себя что-нибудь новое. Например, у нас есть несколько записанных лекций о медитациях, личной эффективности, борьбе с тревожностью и другие. Медицина По данным компании Анкор, социальный пакет стоит на одной ступени с заработной платой в качестве критерия при поиске работы. Подобные бонусы никогда не бывают лишними: они делают компанию привлекательнее и помогают удерживать талантливые кадры. У нас в Авито сотрудники могут получить ДМС бесплатная медицинская помощь в частных клиниках, в том числе на дому с первого дня работы, в некоторых случаях — после испытательного срока, то есть через 3 месяца. Также команда может пройти CHECK-UP комплексная проверка здоровья за один день , воспользоваться телемедициной и услугами врача-терапевта и массажиста в офисе.
Спорт Согласно исследованиям Бостонского университета, постоянные занятия спортом улучшают память, увеличивают концентрацию внимания и, главное, борются с депрессией. Мы в Авито считаем, что постоянная физическая активность — один из лучших способов отвлечься и отдохнуть, поэтому уделяем большое внимание спорту: в офисах Москвы и Петербурга у нас есть спортзалы. Также мы предлагаем сотрудникам скидки в фитнес-клубы, проводим занятия йогой и организуем командные игры, например, волейбол. Дети Мы стараемся окружить сотрудников заботой и хотим, чтобы они сделали то же самое и для своих детей. Мы предлагаем курсы и консультации, которые повышают уверенность, дают набор необходимых знаний и навыков. Например: Курс первой помощи детям. Это авторский курс Анны Левадной о первой помощи детям от 0 до 18 лет.
Практики с высокой популярностью, но низкой эффективностью Сюда вошли, как не странно, комитеты по культуре безопасности и охране труда, на которых топ-менеджмент и высшее руководство предприятия совещается и разбирает различные ситуации. На наш взгляд, респонденты присваивают этой практике низкую эффективность, так как считают, что наиболее эффективно работает лишь открытая коммуникация между всеми уровнями - от рабочего до топ-менеджера. На границе по эффективности практик находится «Поведенческий аудит безопасности», который в целом широко применим. На наш взгляд, в тех компаниях, где он внедрен формально и проводится лишь с целью заполнения бумаг, которые затем складируются на полку, эта практика признается слабо эффективной. В других же компаниях, в которых нормы на количество поведенческого аудита безопасности не установлены, и каждый руководитель понимает, для чего он это делает. Данные мероприятия проводятся неформально, в виде беседы: топ-менеджеры выходят в цеха, разговаривают с сотрудниками, обсуждают проблемы безопасности. В таком формате поведенческий аудит безопасности уже показывает свою эффективность, что и отметили участники исследования. Мало популярные, но эффективные практики, или «Клад» Мы решили назвать эту зону «Клад», так как мало кто применяет и не знает об этих практиках, а те, кто узнал и применил, отмечают их высокую эффективность. Итак, что же попало в «Клад»? Первое — это оценка склонности людей к рискованному поведению. Например, при устройстве в компанию установлен барьер в виде теста, который отмечает склонность к риску у каждого сотрудника. И на опасное производство «рискованных» людей не допускают. Этот факт сильно влияет на повышение безопасности на производстве. Или другое применение, когда в компании уже работает несколько сотен или тысяч человек и их всех протестировали на склонность к рискам таким образом выявив тех, к кому требуется особое внимание. В таком случае если линейный руководитель уже знает, какие люди работают у него в подчинении, может правильно формировать состав бригад, звеньев, рабочих команд, комбинируя в них в равном количестве людей, склонных к риску или тех, которые крайне внимательно относятся к вопросам безопасности. Вторая практика — это практика реальной остановки опасных работ, когда у каждого сотрудника есть право остановить работу. Почему она попала сюда, в мало популярные практики? Потому, что многие компании признали, что на самом деле такого права у простого рабочего на самом деле нет. Формально существует документ, в котором описана подобная возможность, но реально в опасной ситуации рядовой сотрудник бесправен. В тех компаниях, где рабочий на самом деле может остановить любые работы, увидев, что они не безопасны, риски намного ниже.
Его задача — подтолкнуть работника к принятию решения или к действиям. Вместе с тем это всегда незаметная коммуникация, которая не про лобовую атаку, а про витающие в воздухе идеи, лёгкие и прозрачные смыслы. В последнее время мы делаем рассылки, в которых говорим об экономических показателях компании. Всё из-за усложняющейся ситуации на рынке. Мы пошли на это сознательно, чтобы сотрудники понимали, как они влияют на бизнес-результат. Если всё идет хорошо — могли увидеть в этом часть своего вложенного труда, если вдруг начинается стагнация платежей, обращений — делали всё возможное, чтобы помочь. Хотя не каждый СЕО готов признать, что сила слова может повлиять как на настроения в компании, так и на финансовые результаты. Влияние на бизнес Внутренние коммуникации — это всегда игра вдолгую, нельзя провести единичный опрос или сессию вопросов и ответов с топ-менеджментом компании и разрешить все противоречия. После стадии анализа, как правило, и начинается основная работа как отдела коммуникаций, так и HR. Напрямую оценить влияние внутрикома на бизнес-показатели довольно сложно, это понимают все. Как и то, что наём высококвалифицированных специалистов с каждым годом становится всё дороже, конкуренция за звёзд — всё выше, а высокая текучесть негативно сказывается не только на прибыли компании, но и на людях. Именно поэтому многие, несмотря на кризис, направляют фокус внимания на удержание. Откуда такие цифры? Достаточно взглянуть на путь сотрудника в компании — сначала он адаптируется, понимает направление движения компании, начинает развиваться, строит планы и реализует их. На протяжении всего этого маршрута его сопровождают внутренние коммуникации. То, на что ещё влияет внутриком и что сложно поддаётся оценке, — корпоративная культура. В одних компаниях она буквально насаждается, и в офисах зачастую можно увидеть плакаты с ценностями а-ля «Мы любим клиентов», но большинству сотрудников не всегда ясно, как это проявляется на практике. В других есть внутренний tone of voice от англ. Иначе говоря — определены простые правила, которым все безоговорочно следуют. Один из отличных примеров, как можно оценить корпоративную культуру — определить культурный код компании. И это тоже одна из задач внутрикома. Мы запустили опрос о культурных особенностях нашей компании. В нём было два ключевых вопроса. Смысл в том, чтобы сотрудник выбрал из перечисленных культурных особенностей наиболее близкие ему самому, а потом — близкие компании. Сравнивая эти параметры, мы находим культурные базисы, которые выделяют hh. Так мы понимаем, что люди видят и что хотят видеть в нашей компании. Другое дело — по каким параметрам их оценивать. Онлайн- и офлайн-мероприятия. По итогам мероприятий следует проводить опросы удовлетворённости, из которых можно узнать, насколько они важны сотрудникам, чем полезны, что нового узнали люди. Новости и информационные дайджесты. Измерять не только количество выпускаемых материалов, но и уровень вовлечённости читателей — сколько сотрудников прочли новость, из каких подразделений, какова динамика, на какие инфоповоды люди реагируют лучше. В работе внутрикома очень важна структура и системность. Например, в hh. Это больше чем традиция, это уже часть информационной политики компании. Рассылки о «плюшках» в компании. Стоит сделать календарь на весь год, где будут расписаны коммуникации на всех сотрудников о возможностях, которые даёт компания. Это и поэтапный рассказ о ДМС что в него входит, как воспользоваться, какие есть дополнительные опции , о спортивных активностях, познавательных вебинарах и многом другом.
Культура безопасности
Как оценивать и контролировать уровень культуры безопасности в компании? Светлана рассказала, как развивает культуру безопасности в своей компании, кого привлекает к внедрению изменений и без каких компонентов эта инициатива не «полетит». Запуск на предприятиях инструментов проективной культуры безопасности всегда вызывает волну обсуждения у сотрудников предприятий, и не всегда внедрение этих инструментов заканчивается успехом. Кроме того, создание культуры информационной безопасности, кибергигиена на рабочих местах становятся задачами руководителей, которые теперь несут ответственность за киберустойчивость организаций. Руководство компании подчёркивает: культуру производственной безопасности важно осознавать как внутреннюю потребность каждого человека, чтобы сделать рывок к достижению нулевого травматизма.
Актуальность развития культуры безопасности на российских ТЭС
Удобной формой для визуализации отчета была выбрана форма формата А3, которая позволяет проследить причинно-следственные связи несчастного случая и мероприятия по их устранению. Для оперативного информирования о несчастных случаях на производстве с тяжелым или смертельным исходом в АО «ОДК» была разработана форма информационного листка «Молния». Отчет по методике выявления корневых причин происшествий Вторым шагом стала организация процесса идентификации и оценки профессиональных рисков на предприятиях ОДК. Этот аспект очень важен, так как для обеспечения безопасности своих работников компания должна знать все риски, которые она создает. Статистика по несчастным случаям показывает, что не всегда соблюдения трудового законодательства достаточно, чтобы обеспечить безопасность работников, и зачастую большое количество факторов скрыто в зоне неявной опасности, которые можно определить, только проводя оценку опасностей на каждом рабочем месте. Ну и, наконец, оценка рисков — это хороший инструмент.
В первую очередь она может лечь в основу процессов обучения. Сейчас существует проблема, что зачастую инструктажи — это не столько процесс обучения, сколько процесс перекладывания ответственности с работодателя на работника. Как показывает практика, отсутствие надлежащего обучения — эта та сфера, формализм в которой напрямую приводит к травмам и авариям. Оценка рисков также практически применима и в других процессах. Это могут быть маркировки рабочих зон с визуальным отображением опасности.
Составление планов мероприятий, направленных на снижение конкретного риска.
Методология работы позволит участникам за короткий срок максимально погрузиться в контекст, собрать важные данные и поучаствовать создании образа культуры будущего. День 2. Стратегическая сессия 20. Его секрет в том, что модерируют круглые столы профессиональные эксперты из компании-партнера. Ни один консультант или внешний модератор не раскроет тему лучше практикующего корпоративного эксперта.
Как вовлечь в формирование культуры безопасности подрядчиков «Росатома»? Эти и другие вопросы руководители госкорпорации обсудили 14 июля на заседании отраслевого координационного совета по развитию культуры безопасного поведения в «Росатоме».
Системное развитие культуры безопасного поведения в госкорпорации началось в 2017 году, напомнила заместитель главы «Росатома» по персоналу Татьяна Терентьева. Более 4,5 тыс. Правда, пока не удается в полной мере вовлечь в эту работу линейных руководителей и рядовых сотрудников предприятий. Также регулярно возникают сложности с обеспечением безопасности у подрядных организаций. Работники часто жалуются на качество средств индивидуальной защиты. Например, защитные очки, необходимые для безопасной работы у станка, часто запотевают. Или не имеют диоптрий, и если у работника плохое зрение, он вынужден снимать очки, что существенно повышает риск получения травмы. На совете были представлены результаты развития культуры безопасного поведения в отрасли.
Глава «Атоммаша» Ровшан Аббасов рассказал об итогах диагностики на предприятии. Для решения этой проблемы создали шесть рабочих групп по отдельным направлениям, в основном из тех сотрудников, кто проявлял наибольший пессимизм. За два года все рабочие группы в корне изменили свое представление о культуре безопасного поведения, подчеркнул Ровшан Аббасов. Он также обратил внимание на проблему снабжения более удобными и качественными СИЗ.
Исторически сложилось, что методиками занимаются военные. Центр тактической медицины существует несколько лет, но информация стала доступнее с появлением Российского университета спецназа два года назад. Тогда ориентировались на протокол НАТО, потому что у нас его не было. Рекомендации опираются на статистику, на Западе она открытая, у нас — закрытая. Пока я не получил аттестацию Военно-медицинской академии, сам этого не знал. Военные медики собирают статистику, на ней строятся новые алгоритмы, новые методы. Работа идет колоссальная, и за год мы шагнули очень далеко вперед. Идет подготовка специалистов. Но она не афишируется. N: — Дефицит расходников для первой помощи в прошлом году сказался на вас? Сейчас намного проще и по цене, и по наличию. Люди научились выбирать, проверять качество. На эти навыки тоже был запрос, мы делали разъяснения, например, как отличить хороший турникет приспособление для остановки кровотечения. Логистика перестроилась. Сейчас в Ростове можно купить все, в крайнем случае, заказать из другого региона. N: — Где проводятся занятия? Курсы выживания проводятся непосредственно в дикой природе. Позже, когда закончится СВО, планируется создать собственный удобный полигон. Первое время мы работали в городе, но однажды был курс для офицеров Росгвардии, очень хорошо проходил, увлеклись. Утром из новостей узнали, что ростовчане беспокоились, с тех пор в черте города больше не шумим, уезжаем подальше. N: — Со стороны правоохранительных органов нет излишнего внимания? Мы участвуем в социально значимых проектах, в патриотической работе. Сотрудники у нас проходят обучение. Не единожды получали от правоохранительных органов и военных благодарственные письма. Сейчас в тренировочной деятельности используем охолощенное оружие, а на специализированных полигонах работаем только с сотрудниками МО, МВД, Росгвардии.
Достичь позитивной Культуры ОТ – возможно ли это?
Руководство компании подчёркивает: культуру производственной безопасности важно осознавать как внутреннюю потребность каждого человека, чтобы сделать рывок к достижению нулевого травматизма. Для продвижения культуры безопасной разработки и улучшения понимания проблем безопасности разработчиками, мы внедрили следующие практики. Влияние на создание культуры безопасности Создание и развитие культуры безопасности в РЖД зависит от многих факторов. Второй аспект — влияние корпоративной культуры на отношение к вопросам безопасности.
Культура безопасности
| Каков уровень культуры безопасности в российских компаниях? | Особую роль в области безопасности в организациях играет феномен культуры безопасности (safety culture), ставший популярным после аварии на ЧАЭС в 1986 году. |
| Влияние корпоративной культуры на безопасность труда | Эксперты обсудили развитие культуры безопасности на российских предприятиях в рамках Всероссийской Недели Охраны Труда-2022 (ВНОТ-2022). |
Формирование культуры безопасности у сотрудников с помощью DLP-системы
Слайд 1, Развитие культуры безопасности в организации. Эксперт рассказал об основных этапах, которые проходит компания в ходе развития культуры безопасности, о ключевых методах ее оценки и важности приверженности руководства в данном процессе. Светлана рассказала, как развивает культуру безопасности в своей компании, кого привлекает к внедрению изменений и без каких компонентов эта инициатива не «полетит». Минимизировать риски случайных и намеренных утечек можно, если HR-отдел совместно со службой безопасности и IT-командой будут формировать культуру работы с корпоративной информацией. ять на восприятие безопасности работником организации. Мы поднимаем вопрос о культуре безопасности, о готовности оказать помощь.
Влияние культуры безопасности на производительность труда
Safeology 2024 предлагает вам в формате стратегической сессии увидеть, обсудить и осознать что у нас уже есть и куда мы хотим идти дальше. Проанализируем путь развития, чтобы увидеть базу, на которую стоит опираться Посмотрим, где находимся и как ощущаем себя в настоящем Спроектируем образ будущего, к которому стремимся В программе вас ожидает Формат представляет собой уникальную возможность посетить производственную площадку одной из заявленных компаний, поучаствовать в экскурсии на производственную площадку и обсудить применяемые подходы и инструменты в области культуры безопасности. День 1. Визиты на производства Санкт-Петербурга и ЛО 19. Методология работы позволит участникам за короткий срок максимально погрузиться в контекст, собрать важные данные и поучаствовать создании образа культуры будущего.
Обычно код пишут люди с серьезным уровнем полномочий, а помогают обслуживать всю инфраструктуру DevOps-специалисты и сисадмины. У них есть высокий уровень доступа и большая ответственность за итоговый результат. То, что они пишут, может увидеть весь мир — или хотя бы компании, которые покупают этот софт.
Поэтому ошибки здесь очень критичны, а значит, именно с безопасной разработки начинается вся культура кибербезопасности. Чтобы развить культуру, сначала нужно обучить разработчиков писать безопасный код: рассказать, как нужно делать правильно, на что обращать внимание, показать, какие уязвимости существуют. Например, почему не нужно держать токены в коде и почему их нужно выносить куда-то в сторону — в идеале в систему специального хранения, чтобы даже на тесте они неожиданно не попали во внешние источники. Задача компании — объяснить разработчикам, почему это важно. И при этом построить систему контроля, которая будет говорить о том, что нужно исправить. Самое важное — воспринимать ее не как «надсмотрщика», а как помощника, который будет подсвечивать ошибки. Не нужно говорить программистам, как следует писать код, — они сами знают, как делать свою работу.
Нужно только показать, что вот здесь уязвимость, вот тут небезопасный метод, а здесь небезопасная работа с данными. Или что ты забыл убрать то, чего тут быть не должно. Безопасная разработка — это, по сути, страховка для разработчиков и бизнеса. Мы внедряем средства, которые указывают на потенциальные проблемы, а затем, когда все замечания будут отработаны, передаем код на постобработку, в продакшен и так далее. При этом обычному программисту не обязательно знать всю специфику безопасной разработки, достаточно только понимать, какие типы уязвимостей существуют в его сфере и зоне ответственности. Этих уязвимостей много, но совершенно новые появляются не так часто. Поэтому нужно один раз разобраться во всех типах, чтобы было базовое понимание, а дальше будут тонкости, разбираться в которых разработчику совершенно не обязательно — этим уже займутся специалисты по кибербезопасности.
Отдельно хочется еще упомянуть про работу со сторонними библиотеками. Сейчас очень популярна тема безопасности с внешними пакетами — теми, что разработчики используют в своей работе, чтобы не писать функционал с нуля. Ожидаемо, эти библиотеки не всегда безопасны. Когда компания выстраивает безопасную разработку, она зачастую делает безопасное хранилище, или репозиторий. Всё, что попадает в этот репозиторий, нужно тщательно проверять на уязвимости и убеждаться, что с пакетами всё в порядке. Для разработчиков это часто очень неудобно, потому что нужно ждать, пока закончится проверка. Но это важный элемент защиты.
Крупные компании поступают следующим образом: дают разработчикам полную свободу действий в тестовой среде, а затем проверяют все нужные библиотеки перед выпуском в продакшен. Так программисты могут использовать вообще всё что угодно, потому что среда изолирована. Там нет настоящих данных клиентов, и оттуда нельзя попасть в полноценную внутреннюю сеть компании. Но когда нужно будет перейти в продуктовую среду, начнутся проверки на безопасность. На этом этапе разработчикам говорят: «Ты использовал эту библиотеку, теперь нам нужно время ее проверить». И если проверка пройдет успешно, то можно загружать обновления в продакшен. Так создается баланс между свободой и защитой.
Как обучить сотрудников безопасно работать с данными Культура безопасности строится не только на технических специалистах, но и на всех остальных сотрудниках — бухгалтерах, менеджерах, охранниках. Поэтому обучать нужно каждого, или это всё будет бессмысленно.
Не думаю, что это глобально изменило или изменит основные ценности нашей корпоративной культуры. Но некоторые изменения в том, как сейчас эти ценности проявляются на практике, как изменилось наше поведение и правила работы, уже можно наблюдать. Несмотря на то, что прошло достаточно времени, чтобы адаптироваться к удаленной работе, есть те, кто ощущают на себе скорее негативное влияние такого формата. В привычной культуре управления руководитель регулярно общается со своими сотрудниками в формате «один на один». По отзывам сотрудников, с переходом на удаленку, с одной стороны, стало проще, исчезло какое-то напряжение, на проблемные темы теперь легче высказываться, а возможно — это «легче», потому что ты дома и «чувствуешь себя в безопасности».
С другой стороны, руководители отмечают, что необходимо усилие и дисциплина, чтобы не «съехать» с регулярного общения, что в условиях удаленки достаточно легко происходит. С сокращением общения руководители отмечают «потерю контакта», вследствие чего возникают «недопонимания по зонам ответственности» и т. Также сотрудники отмечают пусть небольшое, но все же увеличение некоторой напряженности и раздраженности во время общения. Сначала все были рады тому, что нет необходимости тратить время на дорогу, сейчас же сотрудники отмечают, что границы рабочего дня размылись не нужно вставать с рабочего места, одеваться и выходить из офиса , и это фактически «съедает» весь плюс от экономии времени на дорогу.
Но яркие примеры достойной системы промышленной безопасности и охраны труда — редкость даже сегодня.
По крайней мере, такого количества плакатов и наклеек с призывом держаться за поручни базовая норма безопасности в группе «Сен-Гобен» на каждом лестничном пролёте я точно не видел нигде. И даже гости здесь попадают в действующий цех только после видеоинструктажа по технике безопасности, переодевшись в спецодежду и обувь. Принцип «safety first» в «Сен-Гобен» реализован не на словах, а на деле — с него начинается каждое предприятие группы. Так и при покупке завода в Челябинске 2011г. Материальная база — исходное условие.
А самое главное и самое трудное — это поменять поведение работников, сломать опасные привычки и стереотипы, измененить сам образ мыслей. От принудительного исполнения стандартов под жестким контролем перейти к искреннему принятию людьми новых ценностей в сфере их же собственной безопасности. Лишь отчасти. Евгений Прокопьев сам работал прежде на другом предприятии данной отрасли, типичном для нашей производственной практики — со сдельной оплатой труда, с минимальными условиями быта и с «авось» вместо безопасности. Раньше это казалось удобным, привыкать к новым строгим нормам было трудно.
Но со временем огромная польза такой жёсткой системы стала очевидной, появилось искреннее желание передавать такой подход новым работникам.