На предприятиях Топливной компании Росатома «ТВЭЛ» регулярно проводятся внешние независимые оценки уровня культуры безопасности. Кроме того, культура безопасности влияет на репутацию компании. Изменения в общей культуре безопасности компании, похоже, требуют личной веры и ответственности со стороны высшего руководства, а не одной лишь логики. Как культура безопасности влияет на финансовое состояние компании.
Почему компаниям выгодно внедрять культуру безопасности
ять на восприятие безопасности работником организации. Культура безопасности – это такой набор характеристик и особенностей деятельности организаций и поведения отдельных лиц, который устанавливает, что проблемам безопасности АС, как обладающим высшим приоритетом, уделяется внимание. Культура безопасности, в контексте управления организациями, рассматривается как универсальный индикатор эффективности и управляемости. Ежегодно в группе компаний ИНК проводится оценка уровня культуры безопасности по международной методике «Сердца и. ять на восприятие безопасности работником организации.
Почему компаниям выгодно внедрять культуру безопасности
Прежде всего оцените, какой стиль характерен для руководителей в вашей организации, какого стиля придерживаетесь вы сами? Если руководители в большей степени — контролеры, то спутниками сотрудников чаще всего становятся страхи и сомнения: как поступить правильно, безопасно ли вообще задать вопрос, если что-то осталось непонятным. Часто сами руководители испытывают сложности в управлении командой, когда инструкции остаются лишь информацией на бумаге. Что меняется, когда руководители выступают для своих подчиненных в роли коучей, наставников? Сотрудники становятся более открытыми и уверенными в своем поведении. Личный пример, живые истории, беседа помогают руководителям доступным путем обеспечить лучшее понимание и соблюдение командой правил безопасности.
Обеспечив развитие руководителей как лидеров и наставников, заручившись их поддержкой, переходите к следующему этапу - диалогу со всеми сотрудниками.
Как показало вскрытие, McAfee даже не был изначальной целью атаки. Когда хакер получил доступ к личным данным Джули, он понятия не имел о том, что она администратор корпоративной страницы компании. Он не знал, кто такая Джули: ему было все равно. Он просто охотился за паролями, стремился определить, к чему они откроют доступ, — к личному банковскому счету, сети компании или чему-то еще. Как только он нашел тот, который случайно подошел к странице McAfee в этой социальной сети, он вывалил на всех, кого мог, целый ушат оскорблений, унизив при этом компанию. Даже для хакеров удача иногда важнее мастерства.
Еще несколько важных уроков Составьте список людей, с которыми вы можете связаться в такой ситуации. Держите их контакты под рукой — там, где вы и ваша команда легко сможете их найти. Эти списки должны быть не только у ваших людей, но и у сотрудников, обслуживающих сайт компании, ее социальные сети, облачное хранилище и так далее. В чьи-то рабочие обязанности должна быть включена регулярная проверка доступа к аккаунту, а помимо этого — удаление из списка администраторов людей, чья работа больше не связана с текущими проектами. Используйте многофакторную аутентификацию. Некоторые наши системы автоматически определяют, когда пользователи входят в них, а когда выходят — даже если выключение произошло всего на несколько минут, например, для смены компьютера. При работе в системах с меньшим уровнем прямого контроля — таких как облачные сервисы, например, — мы просим сотрудников присылать скриншоты, показывающие, что многофакторная аутентификация включена.
Можете себе представить, как тщательно мы теперь изучаем социальные сети, прежде чем разместить там свою страницу. На основе ответов мы проводим оценку уязвимости. Чья это вина? Безусловно, провайдер социальной сети сможет доказать, что мы сами не сделали несколько очевидных шагов — не свели к минимуму количество администраторов, регулярно проверяя их список, не настояли на использовании уникальных надежных паролей и так далее. Но решению проблемы не способствовала и его жесткая политика, в рамках которой очевидно взломанная грубейшим образом страница должна была оставаться неизменной до окончания проверки. И, конечно, сотруднице агентства не стоило использовать одинаковый пароль для нескольких учетных записей. Но обратите внимание: главу я назвала «Как я испортила Пасху».
Нет, я не взламывала корпоративную страницу McAfee. Не я предоставила такую возможность злоумышленнику. И в то пасхальное воскресенье я меньше всего хотела разбираться с ситуацией, возникшей в результате цепи нелепых ошибок. С учетом всего сказанного я могу лишь взять на себя ответственность за все произошедшее. Ведь, в конце концов, эта корпоративная страница находилась в ведении моей команды. И мы не выполнили свой долг — не приняли разумных мер для ее сохранности. Личная ответственность — вещь неприятная.
Немногим из нас доставляет удовольствие обдумывать, что можно было сделать лучше или иначе для предотвращения несчастного случая. Уклонение — гораздо более нормальная человеческая реакция. Тем не менее именно наша тяга к отказу от личной ответственности остается ключевым оружием в арсенале хакерского сообщества. Слишком долго кибербезопасность была «чьей-то там» проблемой. Слишком многие считают кибербезопасность мутной темой, не заслуживающей их личного времени, не говоря уже об ответственности. Эта книга ставит целью изменить данную парадигму, хотя бы помочь сделать скромный шаг к признанию ответственности, которую мы все разделяем как сотрудники — и, в конечном итоге, защитники — наших организаций. Если наша компания не может рассчитывать, что мы примем разумные меры предосторожности, чтобы уберечь ее драгоценные цифровые активы, то кому она вообще может доверять?
Однако позвольте мне отвлечься от своей «мелодрамы» и обозначить настоящую проблему. Дело не в том, что сотрудники в большинстве своем не хотят поступать правильно. Гораздо чаще они просто не знают, как это делать. Кибербезопасность — это командный спорт, в котором каждый должен играть на своей позиции в любую минуту. Дополнительные инструменты могут быть чрезвычайно полезными; но только когда люди, программы, процедуры, регулярные проверки и другие факторы работают вместе, они образуют эффективную защиту. Помните о важном факторе Еще один важный элемент, позволяющий минимизировать киберугрозу, — честность. Я определенно выхожу из зоны комфорта, начиная книгу со своим именем на обложке с описания досадного сбоя в системе безопасности, произошедшего у меня под носом.
Могло ли быть хуже? Этого никогда не должно было произойти? Могли ли вы оказаться на моем месте? И снова — конечно. Рассказывая эту историю, я хочу задать тон честности, который необходим и в вашем бизнесе, нацеленном на сопротивление плохим парням. Вам необходимо развить культуру безопасности, которая позволит людям не только помогать друг другу, но и быть взаимно честными при обнаружении подозрительных действий. И честность эта — без гнева, обвинений или возмездия — позволит культуре работать.
Кроме того, я описываю взлом нашей страницы, чтобы вы сразу учли наши уроки и применили полученные знания, чтобы устранить щели в броне вашей безопасности. Почему я? На рынке не наблюдается недостатка в книгах по кибербезопасности от заслуживающих доверия талантливых авторов с самым разным опытом. Вы можете прочитать расследования журналистов, проанализировавших самые знаменитые взломы в истории. Можете ознакомиться с авторитетным мнением корифеев — основателей отрасли. Еще больше информации вы найдете у технических экспертов, которые весьма подробно разбирают сложные элементы кибербезопасности. Однако же в то время, когда я это печатаю, найдется крайне мало книг по кибербезопасности, написанных маркетологами.
А уж маркетологами, проработавшими в сфере всего несколько лет, — и того меньше. Так зачем доверять такому автору в столь серьезном вопросе? Считайте мою книгу чем-то вроде гибрида маркетинга и технологий. Всю свою карьеру я переводила технические концепции на обычный язык. Я изучала взаимодействие работы и технологий, чтобы понять, как меняется корпоративная культура. Так что если вы в целом не разбираетесь в технологиях, будьте уверены: моя цель — дать вам достаточно знаний для понимания нюансов этой сложной темы, не загружая техническими деталями. Но если вы технологически подкованнее меня, уверяю: я не собираюсь все упрощать.
Просто предложу рецепты, которые каждый сотрудник — как технический, так и любой другой — может применить для защиты своей организации. И, наконец, если вы один из моих собратьев по кибербезопасности, надеюсь, вы с удовольствием прочитаете эту книгу, восприняв ее как возможность дать другим заглянуть в наш мир. А после — передадите коллегам, не связанным с киберзащитой, чтобы они тоже вступили в наши ряды борцов за безопасность. Почему вы? Вы можете считать себя человеком, которому нечего привнести в сферу киберзащиты. В конце концов, как могут сотрудники, менеджеры, руководители и члены совета директоров, работа которых не связана с данной сферой, сыграть значимую роль в игре, правил которой, возможно, даже не понимают? И здесь я обращусь за вдохновением к миру профессионального спорта — он дает нам много примеров успеха командной работы.
Я не фанат спорта, но питаю слабость к американскому футболу. У меня остались очень теплые воспоминания из раннего детства: мы с отцом сидим на диване в гостиной и смотрим игру его любимой команды Dallas Cowboys. Как и миллионы других болельщиков, в мире профессионального спорта я всего лишь зритель. Просмотр игры — это самое короткое расстояние, на которое большинство из нас может к ней приблизиться. Зрители практически не влияют на исход игры. Эта роль возложена на гораздо более важные персоны — спортсменов и тренеров, — чьи талант, упорство и командная работа в конечном счете определяют, одержат ли они победу. Раньше я верила в это.
Но потом узнала о 12-м игроке Seattle Seahawks — американской профессиональной футбольной команды. Во время любого матча на поле выходят по 11 футболистов от каждой команды. Но Seahawks признают 12-го игрока — не менее важную толпу зрителей.
Например, что было на Чернобыльской АЭС? Главной причиной, которая привела к трагедии мирового масштаба, стали в конечном счете расхлябанность и цепочка неправильно принятых решений, то, что мы называем человеческим фактором. Но ведь на любом предприятии есть начальники, которые контролируют в том числе и соблюдение техники безопасности. Петр Тищенко: Одного контроля со стороны руководства часто оказывается недостаточно. Проведем аналогию: можно ли считать культурным того человека, у которого дома собрана большая библиотека? Можем, но только при условии, что он эти книги читает. То же самое и с безопасностью.
Много раз мы в комитете сталкивались с ситуациями, когда приходишь на предприятие, оборудованное по последнему слову техники, знакомишься с работниками, опытными, передовиками производства, ими все гордятся. А при этом из пяти обязательных средств индивидуальной защиты эти сотрудники используют только два, а остальные висят на крюке у рабочего места. Предприятие может закупить самые современные средства защиты, использовать самое прогрессивное оборудование, но если сотрудники не будут в обязательном порядке всем этим пользоваться, то усилия руководства пойдут насмарку. Культура безопасности - это высшая степень охраны труда, когда вся организация пронизана идей безопасности, начиная от собственников и высшего руководства и заканчивая работниками рабочих профессий и служащими. Все 100 процентов работников должны быть привержены этой идее и вовлечены в выполнение требований на уровне привычного поведения и автоматизма. Как добиться такого вовлечения, работодатель же не может заставить работника думать по-другому? Петр Тищенко: Этот вопрос пытаются решить сейчас в компаниях по всему миру. Мне кажется, что проблема в том, что о таких вопросах, как следование инструкциям на производстве, мы задумываемся слишком поздно, когда человек уже идет на работу. Думаю, что о культуре безопасности нужно начинать говорить еще с детского сада и со школьной скамьи. Изучаются же детьми, например, правила дорожного движения.
Мы даже обращались в Министерство труда с предложением инициировать введение небольшого курса об охране труда в рамках уроков ОБЖ. На мой взгляд, это очень важно. Пока же на предприятиях нередко происходит так: пришел человек после колледжа на завод, смотрит на коллег, а они для галочки расписываются в журналах по охране труда, игнорируют средства индивидуальной защиты.
В «Газпром добыча Надым» проводят целый комплекс плановых мероприятий Характеру такого послания созвучно и неукоснительное соблюдение требований охраны труда при использовании инструмента и оборудования, проведении огневых, газоопасных, а также работ на высоте. Специалисты «Газпром добыча Надым», ответственные за охрану труда, промышленную и пожарную безопасность, дорожное движение, проводят целый комплекс плановых мероприятий.
Грамотный подход необходим для организации соответствующих условий труда. Для повышения уровня знаний персонала они организуют профессиональное обучение, медицинские осмотры, обеспечение средствами индивидуальной защиты, оценку вредных и опасных производственных факторов, проводят семинары, тренинги, разъяснения и консультации, в том числе с представителями надзорных органов. При этом каждый сотрудник может внести свои предложения по улучшению рабочей среды и сообщить о нарушениях посредством обратной связи или горячей линии. Соблюдение ключевых правил позволяет избежать нежелательных последствий Руководство компании подчёркивает: культуру производственной безопасности важно осознавать как внутреннюю потребность каждого человека, чтобы сделать рывок к достижению нулевого травматизма.
Культура безопасности
На предприятиях Топливной компании Росатома «ТВЭЛ» регулярно проводятся внешние независимые оценки уровня культуры безопасности. Собравшиеся обсудили различные аспекты влияния изменений климата на организацию охраны труда, рабочих мест на предприятиях и возникающие профессиональные риски. 28 сентября в рамках ВНОТ состоялась конференция «Культура безопасности как инструмент ESG-трансформация бизнеса».
Формирование культуры безопасности у сотрудников с помощью DLP-системы
И при этом построить систему контроля, которая будет говорить о том, что нужно исправить. Самое важное — воспринимать ее не как «надсмотрщика», а как помощника, который будет подсвечивать ошибки. Не нужно говорить программистам, как следует писать код, — они сами знают, как делать свою работу. Нужно только показать, что вот здесь уязвимость, вот тут небезопасный метод, а здесь небезопасная работа с данными. Или что ты забыл убрать то, чего тут быть не должно. Безопасная разработка — это, по сути, страховка для разработчиков и бизнеса. Мы внедряем средства, которые указывают на потенциальные проблемы, а затем, когда все замечания будут отработаны, передаем код на постобработку, в продакшен и так далее. При этом обычному программисту не обязательно знать всю специфику безопасной разработки, достаточно только понимать, какие типы уязвимостей существуют в его сфере и зоне ответственности. Этих уязвимостей много, но совершенно новые появляются не так часто. Поэтому нужно один раз разобраться во всех типах, чтобы было базовое понимание, а дальше будут тонкости, разбираться в которых разработчику совершенно не обязательно — этим уже займутся специалисты по кибербезопасности. Отдельно хочется еще упомянуть про работу со сторонними библиотеками.
Сейчас очень популярна тема безопасности с внешними пакетами — теми, что разработчики используют в своей работе, чтобы не писать функционал с нуля. Ожидаемо, эти библиотеки не всегда безопасны. Когда компания выстраивает безопасную разработку, она зачастую делает безопасное хранилище, или репозиторий. Всё, что попадает в этот репозиторий, нужно тщательно проверять на уязвимости и убеждаться, что с пакетами всё в порядке. Для разработчиков это часто очень неудобно, потому что нужно ждать, пока закончится проверка. Но это важный элемент защиты. Крупные компании поступают следующим образом: дают разработчикам полную свободу действий в тестовой среде, а затем проверяют все нужные библиотеки перед выпуском в продакшен. Так программисты могут использовать вообще всё что угодно, потому что среда изолирована. Там нет настоящих данных клиентов, и оттуда нельзя попасть в полноценную внутреннюю сеть компании. Но когда нужно будет перейти в продуктовую среду, начнутся проверки на безопасность.
На этом этапе разработчикам говорят: «Ты использовал эту библиотеку, теперь нам нужно время ее проверить». И если проверка пройдет успешно, то можно загружать обновления в продакшен. Так создается баланс между свободой и защитой. Как обучить сотрудников безопасно работать с данными Культура безопасности строится не только на технических специалистах, но и на всех остальных сотрудниках — бухгалтерах, менеджерах, охранниках. Поэтому обучать нужно каждого, или это всё будет бессмысленно. Но тут есть свои нюансы. Технические специалисты. Это обычно разработчики, администраторы и другие. Их обучить проще всего — достаточно подобрать хорошие курсы. Многие компании по кибербезопасности проводят обучение.
Например, я работаю в такой компании: мы часто делимся знаниями с заказчиками. Обучение можно устроить и самим — это тоже не проблема.
Так и при покупке завода в Челябинске 2011г. Материальная база — исходное условие. А самое главное и самое трудное — это поменять поведение работников, сломать опасные привычки и стереотипы, измененить сам образ мыслей. От принудительного исполнения стандартов под жестким контролем перейти к искреннему принятию людьми новых ценностей в сфере их же собственной безопасности. Лишь отчасти.
Евгений Прокопьев сам работал прежде на другом предприятии данной отрасли, типичном для нашей производственной практики — со сдельной оплатой труда, с минимальными условиями быта и с «авось» вместо безопасности. Раньше это казалось удобным, привыкать к новым строгим нормам было трудно. Но со временем огромная польза такой жёсткой системы стала очевидной, появилось искреннее желание передавать такой подход новым работникам. Позднее, благодаря такому стремлению, накопленным компетенциям и успехам, Евгений был назначен на должность менеджера EHS. Алгоритм формирования культуры максимальной безопасности на производстве приблизительно следующий: 1 Формирование ведущей лидерской позиции руководителей. Каждый должен являть собой безупречный пример соблюдения стандартов безопасности и быть внимательным наставником для остальных. Все начинается с подбора и перевоспитания команды топ-менеджмента, затем управленцы среднего звена и так далее.
Эта книга ставит целью изменить данную парадигму, хотя бы помочь сделать скромный шаг к признанию ответственности, которую мы все разделяем как сотрудники — и, в конечном итоге, защитники — наших организаций. Если наша компания не может рассчитывать, что мы примем разумные меры предосторожности, чтобы уберечь ее драгоценные цифровые активы, то кому она вообще может доверять? Однако позвольте мне отвлечься от своей «мелодрамы» и обозначить настоящую проблему. Дело не в том, что сотрудники в большинстве своем не хотят поступать правильно.
Гораздо чаще они просто не знают, как это делать. Кибербезопасность — это командный спорт, в котором каждый должен играть на своей позиции в любую минуту. Дополнительные инструменты могут быть чрезвычайно полезными; но только когда люди, программы, процедуры, регулярные проверки и другие факторы работают вместе, они образуют эффективную защиту. Помните о важном факторе Еще один важный элемент, позволяющий минимизировать киберугрозу, — честность.
Я определенно выхожу из зоны комфорта, начиная книгу со своим именем на обложке с описания досадного сбоя в системе безопасности, произошедшего у меня под носом. Могло ли быть хуже? Этого никогда не должно было произойти? Могли ли вы оказаться на моем месте?
И снова — конечно. Рассказывая эту историю, я хочу задать тон честности, который необходим и в вашем бизнесе, нацеленном на сопротивление плохим парням. Вам необходимо развить культуру безопасности, которая позволит людям не только помогать друг другу, но и быть взаимно честными при обнаружении подозрительных действий. И честность эта — без гнева, обвинений или возмездия — позволит культуре работать.
Кроме того, я описываю взлом нашей страницы, чтобы вы сразу учли наши уроки и применили полученные знания, чтобы устранить щели в броне вашей безопасности. Почему я? На рынке не наблюдается недостатка в книгах по кибербезопасности от заслуживающих доверия талантливых авторов с самым разным опытом. Вы можете прочитать расследования журналистов, проанализировавших самые знаменитые взломы в истории.
Можете ознакомиться с авторитетным мнением корифеев — основателей отрасли. Еще больше информации вы найдете у технических экспертов, которые весьма подробно разбирают сложные элементы кибербезопасности. Однако же в то время, когда я это печатаю, найдется крайне мало книг по кибербезопасности, написанных маркетологами. А уж маркетологами, проработавшими в сфере всего несколько лет, — и того меньше.
Так зачем доверять такому автору в столь серьезном вопросе? Считайте мою книгу чем-то вроде гибрида маркетинга и технологий. Всю свою карьеру я переводила технические концепции на обычный язык. Я изучала взаимодействие работы и технологий, чтобы понять, как меняется корпоративная культура.
Так что если вы в целом не разбираетесь в технологиях, будьте уверены: моя цель — дать вам достаточно знаний для понимания нюансов этой сложной темы, не загружая техническими деталями. Но если вы технологически подкованнее меня, уверяю: я не собираюсь все упрощать. Просто предложу рецепты, которые каждый сотрудник — как технический, так и любой другой — может применить для защиты своей организации. И, наконец, если вы один из моих собратьев по кибербезопасности, надеюсь, вы с удовольствием прочитаете эту книгу, восприняв ее как возможность дать другим заглянуть в наш мир.
А после — передадите коллегам, не связанным с киберзащитой, чтобы они тоже вступили в наши ряды борцов за безопасность. Почему вы? Вы можете считать себя человеком, которому нечего привнести в сферу киберзащиты. В конце концов, как могут сотрудники, менеджеры, руководители и члены совета директоров, работа которых не связана с данной сферой, сыграть значимую роль в игре, правил которой, возможно, даже не понимают?
И здесь я обращусь за вдохновением к миру профессионального спорта — он дает нам много примеров успеха командной работы. Я не фанат спорта, но питаю слабость к американскому футболу. У меня остались очень теплые воспоминания из раннего детства: мы с отцом сидим на диване в гостиной и смотрим игру его любимой команды Dallas Cowboys. Как и миллионы других болельщиков, в мире профессионального спорта я всего лишь зритель.
Просмотр игры — это самое короткое расстояние, на которое большинство из нас может к ней приблизиться. Зрители практически не влияют на исход игры. Эта роль возложена на гораздо более важные персоны — спортсменов и тренеров, — чьи талант, упорство и командная работа в конечном счете определяют, одержат ли они победу. Раньше я верила в это.
Но потом узнала о 12-м игроке Seattle Seahawks — американской профессиональной футбольной команды. Во время любого матча на поле выходят по 11 футболистов от каждой команды. Но Seahawks признают 12-го игрока — не менее важную толпу зрителей. Со временем я поняла, что мы с папой не желали встречи наших «ковбоев» с Seattle Seahawks на их поле.
На их стадионе соперников не ожидает теплый прием. Уровень шума, создаваемый «двенадцатым игроком» команды, всего на пару децибел ниже, чем на летной палубе авианосца. И, как оказалось, поддержка зрителей существенно повлияла на исход нескольких игр. За три сезона Seahawks на своем поле одержали 26 побед против двух поражений.
Эта заслуженная футбольная команда знает, насколько важны зрители. Гигантский флагшток с цифрой 12 гордо реет над их стадионом. А когда команда вышла на поле перед игрой в Супербоуле, шествие возглавлял человек с флагом — также с изображением заветного числа. Неужели «12» как называют фанатов Seahawks действительно такие громкие?
В целом — да. Но оказалось, что их стадион был специально спроектирован так, чтобы усиливать шум. В отличие от других полей под открытым небом, где шум рассеивается естественным образом, на стадионе Seahawks есть своего рода вторая палуба и навес, которые направляют шум вниз, создавая какофонию, когда болельщики кричат [1]. Руководство команды приложило немало усилий, чтобы сделать «двенадцатого игрока» полноправным участником матчей и прибавить его коллективную мощь к своей.
История о двенадцатом игроке учит нас тому, что зрители могут влиять на исход. Но для этого их нужно вовлекать. Они должны быть полноправными участниками происходящего. И вот теперь — ваш выход.
Я написала эту книгу, чтобы каждый осознал важность собственного участия в непрекращающемся соревновании за кибербезопасность. Никто не обвинит вас в том, что вы не надели форму раньше. Но после прочтения этой книги никто не сможет оправдать вашего отказа от ответственности. В этой книге я хочу продолжить диалог с того места, на котором заканчивалось так много других текстов: дать новичкам в сфере бизнеса план действий, который они могут немедленно воплотить в жизнь, чтобы стать частью борьбы за кибербезопасность.
Если вы все еще сомневаетесь, стоит ли вступать в битву, знайте: вы уже в ней. Киберпреступники надеются на равнодушие и отстраненность сотрудников — так им будет проще наносить удары. Если вы не активный игрок, выступающий за свою компанию, вероятно, вы пешка в руках врага. Если вы цените онлайн-свободу, если вам важно, чтобы данные, которые вы используете для принятия решений, не были скомпрометированы, если хотите, чтобы ваши девайсы использовались во благо, а не во вред, то вы уже разделяете миссию профессионалов сферы кибербезопасности.
У вас больше общего с нами, чем вы могли себе представить. Руководство McAfee серьезно относится к развитию. Каждый квартал мы собираемся вместе, чтобы снова и снова превращать просто «работу» в «командную работу». Мы учимся у коллег, делимся личными историями о наших профессиональных буднях и даем обещание быть более искренними друг с другом и с нашими сотрудниками.
В конце этих встреч мы практикуем инструмент W. Каждый из нас берет на себя обязательство проработать одну из ключевых областей развития, которые мы обсудили. Позвольте мне и вас вооружить такой же «мудростью».
Группы успели проработать в течение одного тренинг-дня четыре сложных кейса, основу которых составляли реальные ситуации трудовых будней. В ходе совместного обсуждения из решений команд были выделены некоторые общие закономерности, которые войдут в дальнейшую работу по совершенствованию культуры безопасности в компании. Формула успеха По итогам совместной работы участники неожиданно для себя открыли формулу успеха для совершенствования культуры безопасности. То, что транслирует и реализует руководитель, влияет на убеждения работников компании, меняет поведение и воздействует на систему ценностей. Это способствует совершенствованию культуры безопасности и повышает ее показатели.
Можно сказать, что кейс-клуб показал себя не только площадкой для получения новых знаний и обмена опытом. Это была возможность разобрать реальные и потенциальные проблемы, подсветить участникам зоны роста, наладить неформальное общение и создать профессиональное сообщество, в котором каждому небезразличен как личный прогресс, так и развитие своей команды и компании в целом. Анна Титиевская, начальник управления по работе с персоналом ООО «Газпром газификация» Инсайты Вот какими впечатлениями в пользу проведенного кейс-клуба поделились участники встречи. Цель — оптимизация и повышение качества бизнес-процессов для достижения стратегических целей организации». Планируем продолжить работу в этом направлении, а также вовлекать руководителей подрядных организаций, осуществляющих строительство объектов газификации».
Культура корпоративной безопасности. Слагаемые успеха в новой реальности
Роль культуры безопасности в многопрофильных компаниях Во-первых, наличие культуры безопасности позволяет создать осведомленную и ответственную рабочую среду. Главная Новости Безопасность Корпоративная культура безопасности – главная задача. Выведите свое обучение технике безопасности за пределы традиционных методов и развивайте процветающую культуру безопасности на своем рабочем месте!
Формирование культуры безопасности у сотрудников с помощью DLP-системы
Но есть маленький нюанс: это не сработает. Сама по себе информация не очень эффективна. Исследователи Schultz 1998, Staats et al. Осведомлённость о проблеме увеличились, а вот поведение никак не изменилось. Это исследование показывает, что просто информировать людей об экологических проблемах неэффективно, это не вовлекает в экоповестку. В психологии окружающей среды environmental psychology существует теория запланированного поведения. Она говорит о том, что успех изменения поведения зависит не от известности блогера, которого вы позвали провести эколекцию для сотрудников, а определяется тремя факторами: Отношение к проблеме Возможность выполнять это действие Отношение к проблеме: что я думаю? Первое, над чем стоит работать, — это отношение к проблеме: считает человек то или иное действие хорошим или плохим. Например, в одной крупной компании, которая обратилась к нам за устойчивым развитием, в результате глубинных интервью с руководителями выяснилось, что все без исключения считают раздельный сбор отходов бессмысленным — «всё равно всё в одну кучу сваливают». В целом, ничего необычного. Здесь нужно методично менять отношение, начиная с руководителей.
Рассказывать и показывать, как действительно всё устроено. Вместе посчитать, сколько можно сэкономить, превратив отходы в доходы. Свозить на полигон и станцию сортировки или хотя бы в музей мусора , провести мастер-классы по обращению с отходами. Отработать возражения, показать личную выгоду. Субъективная норма: что принято думать? Второе, что влияет на изменение поведения: будет ли человек испытывать социальное давление со стороны других людей и чувство вины. Если удалось изменить отношение, и топ-менеджмент признает важность устойчивости, необходимо интегрировать её подходы в процессы и процедуры компании. Сотрудников не вдохновляют амбициозные цели, даже если это цели по спасению мира. Сотрудников вдохновляют цели понятные: что конкретно я на своём рабочем месте должен делать, чтобы быть более бережным к природе? Обеспечить такое понимание, а затем поддержку исполнения — задача руководителей.
Как говорится, «хорошо делай — хорошо будет». Этичность и экологичность необходимо последовательно интегрировать в нормативный уровень компании, вшить в KPI и декомпозировать до производственных операций каждого сотрудника. И далее классический performance management, управление по ценностям и работа в короткой петле обратной связи. Всё это создаёт среду для необходимого уровня социального давления. Нельзя обойти вниманием необходимость обратной связи. Похвала всегда приветствуется, но становится гораздо более значимой, когда она связана с конкретными примерами и точно указывает, как чей-то вклад работает на пользу устойчивого развития. То же самое относится и к предоставлению корректирующей обратной связи по областям улучшения: держите эту обратную связь персонализированной и действенной. Важно, чтобы экологичное поведение стало нормой, а отступления от него порицались. Так, в той же компании с руководителями «всё в одну кучу», тем не менее, наблюдается очень ответственное отношение к батарейкам. Их стыдно выбрасывать в помойку.
К тому же не так сложно сдать в переработку. И тут наступает время третьего и решающего аспекта. Возможности: насколько трудно это делать? Как бы ни тревожили нас вопросы глобального изменения климата и тихоокеанского мусорного пятна, как бы стыдно нам ни было выбрасывать стаканчик из-под йогурта в мусорное ведро, мы будем это делать, если возможности передать в переработку просто нет. Поэтому, когда речь идёт о повышении устойчивости в компании, технические меры — это третий шаг после глубокой работы с отношением. Устойчивое развитие — это прежде всего адаптивный, а не технологический вызов.
Можно ли на это повлиять? Исследования показывают, что большая часть причин подобных нарушений обусловлена средой, в которой находятся работники. Подавать "плохой" пример или даже настаивать на нарушении могут коллеги, например, те, чье мнение ценно для конкретного работника по тем или иным причинам.
Таким образом, важно работать не только на уровне знаний конкретного сотрудника, а шире - на уровне среды, культуры, в которой он находится. Заботясь о снижении уровня травматизма и роста операционной эффективности, компаниям следует подвести своих сотрудников к тому, чтобы своим поведением они предотвращали даже саму возможность возникновения опасности в работе и окружающем пространстве. С чего начать внедрение культуры безопасного поведения? Наш опыт реализации подхода Manpower Inspirational Safety, применяемого одновременно на всех уровнях организации, показывает, что работу с культурой безопасности важно начинать с лидеров, на которых сотрудники ориентируются в своём поведении.
Корпоративный автобус не сдвинется с места, да и коллеги тут же пристыдят нарушителя. Новое руководство мало заботилось о безопасности на производстве, а потому водитель, докучавший требованием пристегнуться, был показательно уволен. Что дальше? Конечно, после этого сотрудники стали бояться выполнять полезные инструкции, а там, где нарушение правил допускается, и травм будет больше. Вот почему, по мнению экспертов, правильное отношение к безопасности в компании начинается с правильных установок среди представителей топ-менеджмента.
Самый простой и надежный путь внедрения чего-либо нового — трансляция сверху. К счастью, в Краснодарском крае есть позитивные примеры этого правила. Так, в АО «Черномортранснефть» стандарты безопасности производства — это первое, с чем знакомят новичков и будущих работников предприятия. На очередной экскурсии для студентов Кубанского государственного технологического университета, побывавших на нефтеперекачивающей станции «Нововеличковская», ребятам продемонстрировали виды спецодежды и рассказали о применении средств индивидуальной защиты, а затем показали документальный фильм о реальных несчастных случаях. Плохая реклама для привлечения свежих кадров, скажете вы? Да ведь тут не о рекламе речь: предприятию с определенными факторами риска необходимы работники ответственные и серьезные. С теми, кому море по колено, потом проблем не оберешься! Пусть лучше испугаются, зато будут знать, с чем реально столкнутся на рабочем месте. Вторая часть фильма, к слову, была посвящена способам предотвращения возможных ЧП.
Она оказалась настолько перспективной, что разошлась по странам мира. В России ее опробовали сначала в Ростовской и Самарской областях, а с 2019 года внедряют и в Краснодарском крае.
Спикер представил несколько кейсов. Один из них — внедрение оценочных сессий в образовательный процесс. Далее выступил Александр Чеботкевич. Эксперт подчеркнул, что культура безопасности зависит от поведенческих моделей людей, которые работают в компании. При оценке использовались такие методы, как анализ документации по охране труда, структурированные интервью с высшим руководством предприятий, рабочими и линейными руководителями, а также дистанционная диагностика сотрудников с целью определения уровня развития культуры безопасности и индивидуальных факторов риска HALP. Спикер также отметил, что по итогам оценки культуры безопасности формируется план развития, включающий развитие safety skills у всего персонала, управление высоко-рискованным персоналом, развитие навыков управления персоналом у линейных руководителей и другие аспекты. Дмитрий Смирнов продолжил тему культуры безопасности и развития персонала. В своем докладе он подчеркнул, что целью обучения сотрудников обязательным программам является конечный результат действия — выполнение рабочей операции безопасно.
Однако, по мнению спикера, существует риск, что знания, полученные сотрудником в ходе обучения, могут иначе им интерпретироваться из-за личностных особенностей — в итоге работодатель получит не те навыки и умения, на которые рассчитывал, отправляя работника на обучение приемам безопасного выполнения работ. Дмитрий Смирнов также поделился опытом внедрения в компанию SRG-ECO системы комплексного смарт-обучения сотрудников на основании анализа основной группы их профессиональных и надпрофессиональных навыков soft skills и hard skills , которая называется Академия Safety Skills.