Развитие культуры безопасности в Инжиниринговом дивизионе строится на принципах личной ответственности и повышения профессионализма. То, на что ещё влияет внутриком и что сложно поддаётся оценке, — корпоративная культура. Внедрение поведенческих аудитов безопасности в организации позволяет достичь следующих целей. 28 сентября в рамках ВНОТ состоялась конференция «Культура безопасности как инструмент ESG-трансформация бизнеса». Кроме ключевых показателей проанализированы фоновые условия, которые напрямую или косвенно влияют на развитие культуры безопасности компании.
Корпоративная культура безопасности – главная задача
Главная» Новости» Как вам кажется кто в компании является носителями культуры безопасности. Культура безопасности – это нормы и правила, а также принятые способы их выполнения, которые влияют на поведение и отношение работников к обеспечению собственной безопасности и безопасности других людей на производстве. Сегодня широко распространено мнение, что культура безопасности в компании оказывает решающее влияние на показатели соблюдения безопасности в тех или иных условиях. Формирование позитивного уровня культуры безопасности является первоочередной задачей управления организации в рамках реализации концепции сохранения человеческих ресурсов. ять на восприятие безопасности работником организации. Как культура безопасности влияет на финансовое состояние компании.
Как корпоративная культура влияет на бизнес в пандемию
Реактивный предполагает реакцию на уже случившееся событие, а проактивный работает на выявление потенциальных проблем и их устранение еще до того, как они приведут к неприятным последствиям. Один из наиболее ярких визуальных образов, демонстрирующих необходимость проактивного подхода, — пирамида происшествий Герберта Хенриха. В ее основании лежат опасные условия труда и опасные действия работников. Далее по уменьшению частоты встречаемости следуют предпосылки происшествий, за ними — травмы регистрируемые и тяжелые и смертельные случаи. Именно о таком распределении говорит статистика причин происшествий, анализируемая на протяжении многих лет. Проактивный подход к охране труда — это работа с основанием пирамиды, то есть профилактика и предупреждение опасных условий и действий.
Только за счет их исключения мы сможем искоренить травматизм. Чтобы профилактика была эффективной, в организации должна существовать подходящая идейная основа, инфраструктура и методология. Идейной основой проактивного подхода к охране труда в Росатоме является международная концепция нулевого травматизма Vision Zero, к которой Госкорпорация присоединилась два года назад.
Например, в приказе Ростехнадзора, касающемся атомной отрасли, к культуре безопасности относят осознание работником личной ответственности и самоконтроль. Для ряда других смежных отраслей приводится другое определение, гласящее, что такая культура невозможна без уделения вопросам безопасности внимания, соответствующего их значимости. Но мне лично больше нравится простое определение, данное профессором Стэнли Дитсом: культура безопасности - это то, как мы работаем, когда за нами никто не наблюдает. Внимание, осознанность, самоконтроль - все это, безусловно, требует больших усилий. Когда культура безопасности сформирована, выработана и доведена до автоматизма привычка делать все правильно, следовать инструкции становится легко. Строгое следование инструкциям, техническим регламентам по безопасности, особенно на опасном предприятии, - это крайне важно. Если мы возьмем любое крупное происшествие на производстве, то выяснится, что в его основе лежит локальное событие, которое с большой вероятностью могли предотвратить, но этого не было сделано.
А дальше ситуация развивается по нарастающей и в какой-то момент выходит из-под контроля. Например, что было на Чернобыльской АЭС? Главной причиной, которая привела к трагедии мирового масштаба, стали в конечном счете расхлябанность и цепочка неправильно принятых решений, то, что мы называем человеческим фактором. Но ведь на любом предприятии есть начальники, которые контролируют в том числе и соблюдение техники безопасности. Петр Тищенко: Одного контроля со стороны руководства часто оказывается недостаточно. Проведем аналогию: можно ли считать культурным того человека, у которого дома собрана большая библиотека? Можем, но только при условии, что он эти книги читает. То же самое и с безопасностью. Много раз мы в комитете сталкивались с ситуациями, когда приходишь на предприятие, оборудованное по последнему слову техники, знакомишься с работниками, опытными, передовиками производства, ими все гордятся. А при этом из пяти обязательных средств индивидуальной защиты эти сотрудники используют только два, а остальные висят на крюке у рабочего места.
Предприятие может закупить самые современные средства защиты, использовать самое прогрессивное оборудование, но если сотрудники не будут в обязательном порядке всем этим пользоваться, то усилия руководства пойдут насмарку. Культура безопасности - это высшая степень охраны труда, когда вся организация пронизана идей безопасности, начиная от собственников и высшего руководства и заканчивая работниками рабочих профессий и служащими. Все 100 процентов работников должны быть привержены этой идее и вовлечены в выполнение требований на уровне привычного поведения и автоматизма.
Обычно код пишут люди с серьезным уровнем полномочий, а помогают обслуживать всю инфраструктуру DevOps-специалисты и сисадмины. У них есть высокий уровень доступа и большая ответственность за итоговый результат. То, что они пишут, может увидеть весь мир — или хотя бы компании, которые покупают этот софт.
Поэтому ошибки здесь очень критичны, а значит, именно с безопасной разработки начинается вся культура кибербезопасности. Чтобы развить культуру, сначала нужно обучить разработчиков писать безопасный код: рассказать, как нужно делать правильно, на что обращать внимание, показать, какие уязвимости существуют. Например, почему не нужно держать токены в коде и почему их нужно выносить куда-то в сторону — в идеале в систему специального хранения, чтобы даже на тесте они неожиданно не попали во внешние источники. Задача компании — объяснить разработчикам, почему это важно. И при этом построить систему контроля, которая будет говорить о том, что нужно исправить. Самое важное — воспринимать ее не как «надсмотрщика», а как помощника, который будет подсвечивать ошибки.
Не нужно говорить программистам, как следует писать код, — они сами знают, как делать свою работу. Нужно только показать, что вот здесь уязвимость, вот тут небезопасный метод, а здесь небезопасная работа с данными. Или что ты забыл убрать то, чего тут быть не должно. Безопасная разработка — это, по сути, страховка для разработчиков и бизнеса. Мы внедряем средства, которые указывают на потенциальные проблемы, а затем, когда все замечания будут отработаны, передаем код на постобработку, в продакшен и так далее. При этом обычному программисту не обязательно знать всю специфику безопасной разработки, достаточно только понимать, какие типы уязвимостей существуют в его сфере и зоне ответственности.
Этих уязвимостей много, но совершенно новые появляются не так часто. Поэтому нужно один раз разобраться во всех типах, чтобы было базовое понимание, а дальше будут тонкости, разбираться в которых разработчику совершенно не обязательно — этим уже займутся специалисты по кибербезопасности. Отдельно хочется еще упомянуть про работу со сторонними библиотеками. Сейчас очень популярна тема безопасности с внешними пакетами — теми, что разработчики используют в своей работе, чтобы не писать функционал с нуля. Ожидаемо, эти библиотеки не всегда безопасны. Когда компания выстраивает безопасную разработку, она зачастую делает безопасное хранилище, или репозиторий.
Всё, что попадает в этот репозиторий, нужно тщательно проверять на уязвимости и убеждаться, что с пакетами всё в порядке. Для разработчиков это часто очень неудобно, потому что нужно ждать, пока закончится проверка. Но это важный элемент защиты. Крупные компании поступают следующим образом: дают разработчикам полную свободу действий в тестовой среде, а затем проверяют все нужные библиотеки перед выпуском в продакшен. Так программисты могут использовать вообще всё что угодно, потому что среда изолирована. Там нет настоящих данных клиентов, и оттуда нельзя попасть в полноценную внутреннюю сеть компании.
Но когда нужно будет перейти в продуктовую среду, начнутся проверки на безопасность. На этом этапе разработчикам говорят: «Ты использовал эту библиотеку, теперь нам нужно время ее проверить». И если проверка пройдет успешно, то можно загружать обновления в продакшен. Так создается баланс между свободой и защитой. Как обучить сотрудников безопасно работать с данными Культура безопасности строится не только на технических специалистах, но и на всех остальных сотрудниках — бухгалтерах, менеджерах, охранниках. Поэтому обучать нужно каждого, или это всё будет бессмысленно.
Часто не хватает правильно составленных инструкций, и по рабочему месту, и по профессии, и по должностным обязанностям. К сожалению, только огромная эпоха капитализма, которую Россия ранее пропустила, может нас научить культуре безопасности. Если руководитель будет увольнять работников, которые не следуют правилам безопасности, нанося таким образом ущерб, культура безопасности начнет соблюдаться, но их нужно увольнять! Культура безопасности это часть корпоративной культуры. Корпоративная культура не может существовать без культуры безопасности.
Общество сегодня заинтересовано в сохранении безопасности. Общество в лице государства сегодня заставляет работодателя следовать определенным критериям. Законы пишут, чтобы их выполняли. Культура безопасности изнутри никогда не вырастет сама по себе. Ее надо прививать.
Работодатель формирует ее под угрозой увольнения, либо другого наказания работника, а государство под угрозой штрафов и наказания работодателя и его должностных лиц. Что касается распространения культуры безопасности за рамки корпорации, то на западе есть интересное правило, связанное с транспортной безопасностью. Соблюдение транспортной безопасности сотрудниками при всех поездках на личном транспорте и на работе и дома корпорация поощряет, например, практику пристегивания ремнями. И это очень важно. Некоторые говорят, а зачем это делать, это личное дело каждого.
Я уже дома, я не работе, что хочу, то и ворочу. Но это не так… Если что—то случится, погибнет гражданин, но для предприятии погибнет работник, специалист. В России было бы очень важно соблюдение такой безопасности, особенно для тех, кто часто в дороге. Эти меры общеизвестны. Главное это соблюдение инструкции, которое необходимо организовать.
Работодатель должен выполнять государственные требования охраны труда, а работник требования охраны труда предприятия. Система управления охраны труда или безопасности это своеобразная государственная структура, в которой есть свои правила игры и разные направления деятельности. Второе лицо в корпорации, отвечающее за безопасность должен иметь поддержку первого лица через определенную стратегию. У каждого руководителя должен быть ряд обязанностей, и каждый должен быть таким образом вовлечен в обеспечение культуры безопасности. Обязанности должны быть отражены в должностных обязанностях.
При этом необходимо расставить приоритеты в выполнении тех или иных задач, осуществлять контроль за выполнением. Проанализировав результаты, при необходимости можно скорректировать направление деятельности. Культура безопасности должна охватывать все звенья предприятия. Потому как одно дело, когда о культуре безопасности говорят только на уровне цеха, и совсем другое, когда культура безопасности обсуждается на совете директоров. Руководитель должен стимулировать развитие внутренней структуры управления безопасностью.
Абсолютной безопасности нет, но мы можем к ней существенно приблизиться, внедрив культуру безопасности и подняв тем самым культуру производства. Литература: Маркарян Э. Очерки теории культуры. Ереван, 1969, 228 стр. Файнбург З.
Общественные науки. Методологические аспекты. Хайруллина Л.
Мнение представителя ГИТ
- Развитие культуры безопасности
- Актуальность развития культуры безопасности на российских ТЭС
- Культура безопасности на производстве
- Можно ли изменить культуру безопасности на предприятии без участия высшего руководства?
- Один за всех и все за одного
Новые материалы
- Подход к внедрению практик развития культуры безопасности
- Культура корпоративной безопасности. Слагаемые успеха в новой реальности | ИД Советник
- В круглом столе приняли участие:
- Как корпоративная культура влияет на бизнес в пандемию
- Культура безопасности
Как изменить культуру безопасности в компании. Часть 2
Примерно через полчаса они сообщили, что заблокировали всех администраторов нашей корпоративной страницы, и доступ к ней остался только у них. Это были хорошие новости: по крайней мере, большего вреда нанесено не будет. А что насчет плохих новостей? Они не могли просто откатить страницу до версии 30-минутной давности. Согласно протоколу, страницу заблокировали, чтобы никто больше не мог изменять ее, а затем должны были последовать процедуры проверки и анализа. В ходе первой они должны были удостовериться, что мы действительно те, за кого себя выдаем, а не хакер, только притворяющийся McAfee какая ирония! Анализ же призван был определить степень взлома — и только затем можно было предпринимать дальнейшие действия. Но как быть с непристойным аватаром? Он все еще висел на нашей корпоративной странице. Хуже того: платформа работала таким образом, что в личных профилях всех сотрудников McAfee в социальной сети вместо логотипа компании также отображалась эта пошлая картинка.
И в моем тоже. Когда мы снова связались со службой поддержки, нам сообщили, что «процедуры» еще не закончены. Если следовать их логике, выходило, что единственный шанс откатить страницу — реактивировать, то есть разблокировать аккаунт, но они не сделают этого до тех пор, пока не закончат проверку безопасности. Как это вообще возможно? С нашей страницей ничего нельзя было сделать до окончания проверки. Мы были в полной их власти. Все, что могли предпринять наши сотрудники, — удалить любое упоминание о McAfee из собственных профилей. Те, кто был в курсе происходящего, так и сделали. Но этого было недостаточно.
Я продолжила портить другим пасхальное воскресенье — сообщила о происшествии команде руководителей. Мы позаботились о безопасности серверов компании, но это не означало, что McAfee не будет атакован в других социальных каналах. И, конечно, мы не знали, станут ли следующей мишенью злоумышленников наши руководители — или их профили в соцсетях. Я разослала руководителям письма и сообщения с просьбой немедленно включить в личных профилях всех социальных сетей многофакторную аутентификацию подробнее о ней — чуть позже. Последовав собственному совету, я начала судорожно укреплять безопасность в личных профилях — пока одна очень популярная социальная сеть не завела меня в тупик. Не знаю, что это было: то ли мое тело полностью перешло в режим мобилизации «бей или беги» когда организм перенаправляет кровоток к основным группам мышц, чтобы скрыться от угрозы или подготовиться к бою — иными словами, уводит подальше от мозга , то ли соцсети стоило сделать настройки безопасности более очевидными. Скорее всего, и то, и другое. Как бы там ни было, я запаниковала и прибегла к отчаянной мере: полностью удалила оттуда личный профиль — и всю его историю. Час ожидания превратился в два, затем в три, а потом и в четыре.
Я регулярно звонила генеральному директору с необходимыми, но раздражающими новостями об «униженном и оскорбленном» профиле нашей компании. Диалоги сводились к следующему: — Крис, мы все еще работаем с ними. Они не завершили проверку безопасности. Надеемся, все закончится в течение получаса. Как в том анекдоте про программиста: «намылить, смыть, повторить» — снова и снова, каждые полчаса. Во время очередного звонка руководитель вытащил козырь из рукава. Я знаю кое-кого из владельцев этой соцсети. Звоню ему. Мы пока продолжим подгонять службу поддержки.
Крис связался со своим знакомым и рассказал о нашем случае. Через 30 минут после звонка страницу восстановили в исходном виде. Доподлинно неизвестно, повлиял ли звонок Криса или они просто закончили проверку, но я знала, что теперь ситуация под контролем. Утром понедельника мы выпустили статью в интранете, чтобы все сотрудники узнали о случившемся в выходные. Помните, я говорила про одну из важных ценностей McAfee — всеобъемлющую открытость и прозрачность? Мы были обязаны объяснить людям, что случилось, особенно учитывая, что публикация отвратительной картинки вместо лого нашей компании затронула их личные страницы. Быть открытым и честным в неловких ситуациях очень сложно, но совершенно необходимо, чтобы жить в соответствии с ценностями. Чтобы вы почувствовали, как покупка этой книги начала оправдывать себя с первой же главы, я расскажу вам, как произошел взлом и что мы делали после. И самое главное — я опишу действия, которые вы можете предпринять утром следующего рабочего дня, чтобы с вами этого не случилось.
Наученные горьким опытом Снова получив контроль над аккаунтом, мы попросили службу поддержки социальной сети назвать имя администратора, ответственного за изменения. Оказалось, это была сотрудница одного из наших агентств по размещению в СМИ назовем ее Джули , которая больше не работала в компании. Ее учетные данные были украдены подростком, связанным с крупным киберпреступным синдикатом. Джули допустила ошибку, которую совершали многие до нее: проигнорировав правила цифровой гигиены, установила слишком простой пароль. Она использовала один и тот же код для доступа к нескольким учетным записям, включая профиль в этой социальной сети. И поскольку она была авторизованным администратором корпоративной страницы, ее личные учетные данные открывали доступ не только к ее профилю, но и к нашему. И когда злоумышленники взломали один из ее аккаунтов и продали данные в даркнет, хакеры просто опробовали этот пароль и в других социальных сетях. После этого они нанесли удар по корпоративной странице McAfee через административный доступ Джули. Остальное было детской забавой.
Задним умом мы все крепки, и этот случай — не исключение. Итак, уязвимость номер один: Джули использовала один пароль для своего личного и нашего корпоративного аккаунта на платформе соцсети будучи одним из администраторов нашей страницы — тот же, что и для других своих учетных записей. Если бы она вводила уникальные пароли, тогда данные, купленные злоумышленниками в даркнете, были бы бесполезны. Что хуже? Узнав о взломе аккаунта, Джули быстро сменила пароль. Но ей не удалось изменить его в других учетных записях, в том числе в важной для этой истории. Это ее вина. Уязвимость номер два: мы должны были требовать двухфакторной аутентификации в социальных сетях от всех администраторов. Это означает, что для входа в систему им понадобилось бы ввести не только правильный пароль, но и одноразовый код, отправленный, например, на телефон.
Если не ввести код в течение нескольких секунд или минут после попытки входа, вы не попадете в систему. Существует несколько версий этого типа аутентификации, и я, конечно, все упрощаю — но в целом все понятно. Это наша вина. Уязвимость номер три: мы проводили проверку аккаунта недостаточно часто и не поняли вовремя, кому больше не нужен доступ. Джули работала на нас, но мы должны были исключить ее из списка администраторов после окончания проекта. Нас могли взломать и пока она активно сотрудничала с нами, но отсутствие «гигиены» только усугубило ситуацию. Это точно на нашей совести. Все эти действия могли значительно снизить вероятность взлома. Но, допустим, каким-то невероятным образом достаточно мотивированный, везучий и даровитый хакер смог проникнуть в нашу учетную запись в соцсети.
Давайте разберемся, как превентивные меры помогли бы нам после обнаружения взлома. Мы могли разработать процедуру блокировки действий всех администраторов страницы, не позволяющую хакерам узнать, что мы в курсе атаки. Удалением бессмысленных постов мы только привлекли их внимание. А когда они увидели, как мы закрываем доступ администраторам, они стали работать на опережение. Нам повезло, что Гэвин оказался на взломанной странице в пасхальное воскресенье. В противном случае мы могли бы не узнать об атаке так быстро.
Эксперт рассказал об основных этапах, которые проходит компания в ходе развития культуры безопасности, о ключевых методах ее оценки и важности приверженности руководства в данном процессе.
Кроме того, Максим описал модель эффективной культуры безопасности, при которой ценности работника интегрируются с ценностями компании. Спикер продемонстрировал результаты проекта трансформации охраны труда в культуру безопасности, состоявшего из трех этапов: 1. Проведение многофакторной диагностики персонала, включающей кластерный анализ поведения сотрудников, измерение индекса культуры безопасности, оценку уровня зрелости процессов и законодательной безопасности.
Связывание социальных показателей и таких показателей бизнеса, как производительность труда, eNPS вовлеченность , фонд рабочего времени, процент текучести кадров и индекс КБ. Оцифровка процессов социальной устойчивости. Последний этап предполагает использование цифровой платформы по управлению культурой безопасности, в которой есть такие функции, как управление рисками и условиями труда, сбор, хранение и обработка всех исходных данных, автоматизация обучения и формирование цифровых процессов по модулям здоровье персонала, управление безопасностью работ, управление подрядчиками, расследование инцидентов, внутренние аудиты и контроль, бюджетирование. По словам Максима, внедрение данного цифрового решения позволило повысить производительность труда, снизить потери от нетрудоспособности, увеличить фонд рабочего времени и значительно сократить текучесть кадров.
То есть здесь речь идет не о наказании за невыполнение требований безопасности, а о воспитании персонала. Систематическая оценка риска представляет собой динамичный процесс, который позволяет предприятиям проводить активную политику по управлению рисками.
Культура безопасности на производстве
Руководителям не приходится в круглосуточном режиме следить за подчиненными и тратить время на выговоры. Работники сами замотивированы избегать опасных ситуаций и купировать любые потенциальные риски, а главное, уверены, что все травмы можно предотвратить. Так, 61 процент наших опрошенных верит, что их предприятие может работать без единого несчастного случая. Тенденцию к снижению количества травм на производстве подтверждает статистика Роструда. Количество несчастных случаев с тяжелыми последствиями за последние пять лет снизилось на 48 процентов: 6193 случая в 2017 году против 3213 случаев в 2021 году. Количество погибших на производстве сократилось на 22 процента: 1711 человек в 2017 году против 1338 в 2021 году. Предприятия начали уделять внимание оценке потенциальных рисков, которые могут привести к несчастному случаю, а не только анализировать последствия уже реальных травм и смертей. Крупные предприятия и раньше серьезно занимались оценкой производственных рисков, но благодаря требованиям к процедуре в Трудовом кодексе, оценивать риски начали большинство российский компаний, что серьезно повлияло на уровень культуры безопасности. Кроме того, выросла производственная грамотность и вовлеченность работников.
Например, набирает популярность концепция Vision Zero, нулевого травматизма. В России к ней присоединяется все больше предприятий. Если на стройке директор появляется без каски, то как можно заставить сотрудников носить средства защиты? Эта концепция подразумевает выполнение компанией семи главных правил, их еще называют золотыми. Во-первых, сам руководитель должен подавать пример по соблюдению правил безопасной работы. Например, если на стройке директор появляется без каски, то как можно заставить сотрудников носить средства защиты? Второе правило - выявлять угрозы и контролировать риски. Мониторинг должен быть постоянным. В-третьих, необходимо разрабатывать программы для конкретной организации. Четвертое - на предприятии должна быть создана система безопасности и гигиены труда.
Работодатель должен обеспечивать безопасность на рабочих местах, при работе со станками и оборудованием - и это пятое правило. Шестое - сотрудники должны иметь возможность развивать свои профессиональные навыки через повышение квалификации. И седьмое - инвестировать в кадры, мотивировать сотрудников личным участием, чтобы им хотелось следовать культуре безопасности. А если сотрудники просто будут игнорировать эти правила и действовать, как им удобно? Петр Тищенко: Не существует волшебной таблетки, позволяющей в одночасье внедрить культуру безопасности на предприятии, это долгая и кропотливая работа. Например, на железной дороге не только проводят обучающие мероприятия, там внедряется новое оборудование, которое позволяет людям в принципе не попадать в опасные зоны. Многие корпорации внедряют системы контроля доступа, используя компьютерное зрение и видеоаналитику. Когда работник попадает в опасную зону, работодатель может проконтролировать, надета ли каска, используются ли другие средства защиты - в противном случае система может просто заблокировать доступ, подать сигнал тревоги. Также есть механизм поощрения, когда сотрудник, в точности выполняющий все правила, получает премию, дополнительные дни к отпуску или какие-нибудь другие привилегии. Ну а, соответственно, тот, кто попался на нарушении, получает взыскание.
Это происходит благодаря внедрению риск-ориентированного подхода к безопасности и использованию разных инструментов вовлечения в осознанную культуру безопасности. Вместо избитых методов мотивации, таких как штрафы или лишение премий, компании переходят на более осознанный подход, в котором сотрудники сами становятся сторонниками правил безопасности на рабочем месте. Это здорово, потому что безопасность на работе — это не только законодательный требование, но и важная составляющая успешного и продуктивного бизнеса! Происходит это потому, что сотрудники осознанно не нарушают требования безопасности, а не принудительно из-за страха наказания.
Количество несчастных случаев с тяжелыми последствиями за последние пять лет снизилось на 48 процентов: 6193 случая в 2017 году против 3213 случаев в 2021 году. Количество погибших на производстве сократилось на 22 процента: 1711 человек в 2017 году против 1338 в 2021 году. Предприятия начали уделять внимание оценке потенциальных рисков, которые могут привести к несчастному случаю, а не только анализировать последствия уже реальных травм и смертей. Крупные предприятия и раньше серьезно занимались оценкой производственных рисков, но благодаря требованиям к процедуре в Трудовом кодексе, оценивать риски начали большинство российский компаний, что серьезно повлияло на уровень культуры безопасности. Кроме того, выросла производственная грамотность и вовлеченность работников. В рамках профилактических визитов на предприятиях все чаще сталкиваешься с тем, что работники знают о вредных производственных факторах на их рабочих места, о рисках травмирования, о мероприятиях, которые работодатель проводит для снижения уровня потенциальной опасности. Такие тенденции сильно облегчают работу специалистов по охране труда», — рассказывает Бородихин. Для некоторых организаций сумма всех расходов, вызванных несчастными случаями, может быть соизмерима с годовым доходом. Организация несет как прямые экономические потери: оказание медицинской помощи; зарплата пострадавшего в день несчастного случая; оплата работы комиссии по расследованию и пр.
Формирование культуры безопасности у сотрудников с помощью DLP-системы
Второй аспект — влияние корпоративной культуры на отношение к вопросам безопасности. В этой статье расскажу, как компаниям взращивать культуру безопасности и чему обучать сотрудников. Формирование культуры осознанной безопасности ведется в рамках внедрения собственной Производственной системы – концепции управления на принципах бережливого производства и непрерывного совершенствования. О важности проекта «Культура безопасности» рассказывает генеральный директор ПАО «Иркутскэнерго» Олег ПРИЧКО.
Специалистов по охране труда познакомили с концепцией культуры безопасности «Газпрома»
Развитие культуры безопасности в Инжиниринговом дивизионе строится на принципах личной ответственности и повышения профессионализма. повышение безопасности, гигиены труда и общих условий работы в компаниях. Поэтому развитая культура безопасности самая выгодная модель организации труда для работодателя: экономия на постоянном контроле и потерях от производственного травматизма. В организациях дивизиона на ежемесячной основе реализуются несколько полезных практик, которые проводят уполномоченные по культуре безопасности. Однако, рассматривая в частности вопрос культуры безопасности в организациях, можно прийти к выводу, что для руководства предприятий организация безопасного труда является приоритетным направлением. Выведите свое обучение технике безопасности за пределы традиционных методов и развивайте процветающую культуру безопасности на своем рабочем месте!
К сотрудникам с любовью: как в компаниях заботятся о команде
В этой статье расскажу, как компаниям взращивать культуру безопасности и чему обучать сотрудников. Что такое культура кибербезопасности и почему она важна Проще всего культуру кибербезопасности сравнить с другими корпоративными практиками — например, пожарной безопасностью. Все сотрудники понимают: если что-то загорелось, то нужно вызвать пожарных. А если коллега начнет зажигать в офисе фейерверки, то с этим стоит разобраться. Культура кибербезопасности — это фактически то же самое, что и культура пожарной безопасности, но для IT-технологий.
Каждый сотрудник должен понимать, какие данные можно пересылать, а какие — нельзя, по каким ссылкам можно переходить, а какие письма лучше сразу отправлять в спам и сообщать о них ответственным лицам. Такая культура в основном распространена в сфере информационной безопасности: у компаний есть собственная корпоративная культура и четкое понимание того, чего делать нельзя. Если компания не будет поддерживать высокий уровень собственной безопасности, она понесет колоссальный репутационный ущерб. Поэтому любая утечка, даже самый незначительный инцидент может серьезно ударить по бизнесу.
В обычных IT-компаниях всё не так очевидно. Уровень культуры кибербезопасности меняется от места к месту — на это влияет много разных факторов. Например, то, насколько менеджмент понял важность управления ИБ-рисками. Фактически всё идет от руководства: как оно поставит задачи и насколько будет готово контролировать их выполнение.
Отсутствие такой культуры может привести к плачевным последствиям. И вот два аргумента. В IT-мире есть постоянная угроза киберкриминала, который зарабатывает хорошие деньги на жертвах. В США за 2022 год хакеры украли только у компаний из финансовой сферы 4 миллиарда долларов.
А по всему миру компании потеряли 10 миллиардов. Рынок шифровальщиков и кибервымогателей тоже процветает. Сегодня хакеры наслаждаются тем, что страны не могут взаимодействовать друг с другом так же эффективно, как раньше, чтобы ловить преступников. И всё это приводит к денежным потерям.
Хакеры внедряют вирусы в компании, шифруют данные и сливают их. Затем компанию начинают шантажировать, пока она не заплатит выкуп. И тут всего два варианта: либо платить, либо смириться, потерять данные и понести репутационный ущерб, когда пользователи узнают о факте утечки. С недавнего времени даже появились политические хакеры, которые целенаправленно проводят акции против компаний и правительств.
А еще есть случаи, когда некоторые сотрудники перед уходом решают нанести компании ущерб — например, слить какие-нибудь секретные данные или саботировать работу компании. Поэтому очень важно выстраивать кибербезопасность системно. Какие есть стратегии для повышения уровня безопасности Когда компании начинают думать о безопасности, они обычно скатываются к двум радикальным сценариям: закрутить все гайки или не закручивать их вообще. И на самом деле обе крайности опасны — они создают больше проблем, чем пользы.
Компания решает, что нужно использовать по максимуму все способы: поставить средства защиты, контролировать всю коммуникацию, проверять работников на полиграфе. Менеджмент думает, что так закроется от рисков. Такой подход сильно влияет на бизнес-процессы. Чем больше вы следите за каждым шагом сотрудников и добавляете новые системы контроля, тем сложнее людям работать.
Чтобы наладить работу службы, способной в любой момент оказать экстренную помощь АЭС, организаторы проанализировали опыт чернобыльской трагедии. Они опрашивали свидетелей, ликвидаторов, выясняли, чего недоставало в тот момент тем, кто принимал решения по ликвидации аварии. Был изучен весь открытый международный опыт по созданию аналогичных центров. С 1995 года атомщики несколько лет тесно сотрудничали с ЦУПом Центр управления полетами. Кроме того, для детального изучения опыта противоаварийного планирования и аварийного реагирования они посетили все ведущие мировые центры атомной энергетики. Сегодня в группу ОПАС входят 145 сотрудников оперативного состава и 240 экспертов.
Они являются специалистами высочайшей квалификации, представляют 19 государственных министерств и ведомств. Дни безопасности Дивизиональный проект по развитию института уполномоченных в 2021 году приобрел статус отраслевого мероприятия. Серия еженедельных мероприятий в рамках подготовки к IV отраслевому форуму-диалогу «День безопасности атомной энергетики и промышленности»дала импульс открытому разговору и обсуждению практик по развитию культуры безопасного поведения. В слете приняли участие руководители госкорпорации «Росатом», Концерна «Росэнергоатом», АО «ТВЭЛ» и других дивизионов Росатома; представители отраслевого профсоюза РПРАЭП ; уполномоченные по культуре безопасности и охране труда; представители функции охраны труда и промышленной безопасности организаций отрасли; линейные руководители; представители молодежных организаций отрасли и лидеры изменений; а также сотрудники, вовлеченные в реализацию проекта по развитию культуры безопасного поведения. Спикеры рассказали о внедрении рискориентированного управления, амбассадорах безопасности, роли подготовки уполномоченных по охране труда в СУОТ, практиках вовлечения уполномоченных. В мероприятии приняли участие 850 сотрудников отрасли.
Охота на риски С 22 ноября по 3 декабря 2021 года в электроэнергетическом дивизионе прошел онлайн-марафон «Охота на риски». Марафон проводился впервые с целью акцентирования внимания сотрудников на вопросах безопасности и способах обнаружения опасных ситуаций, а также с целью привлечения более широкого круга лиц к вопросам культуры безопасности. За две недели проведения марафона было получено 8250 ответов на 10 заданий, в мероприятии приняли участие 1713 человек, в числе которых сотрудники дивизиона и их семьи, студенты ключевых вузов. Важно было не просто формально донести информацию о существующих рисках и способах их устранения, а в игровой форме заинтересовать людей, вызвать искреннее участие и желание сделать работу безопаснее, включить понимание, что это действительно важно и требует внимания каждого. Для большего интереса был добавлен соревновательный аспект с призами самым активным охотникам за рисками. Результаты были хорошо видны — люди подключались, проходили задания, делились эмоциями.
Перед тем, как начинать практически любое действие, важно уметь оценить риски для здоровья и жизни, а уже потом приступать к действиям. Оценка рисков должна стать повседневным инструментом, который автоматически включается в сознании и помогает делать жизнь более безопасной», — отмечает руководитель группы управления изменениями корпоративной культуры Концерна «Росэнергоатом» Ирина Косарева. Онлайн-марафон признан успешной практикой и вновь будет проводиться этой осенью. Победителями онлайн-марафона «Охота на риски» в трех категориях стали: 1. АЭС — Ленинградская атомная станция. Вузы — Волгодонский инженерно-технический институт.
Подробности Выбираем лучших Выбирать лучшие организации в области культуры безопасности — ежегодная практика в электроэнергетическом дивизионе. Прошлой осенью были подведены итоги работы атомных станций России по поддержанию и развитию культуры безопасности за период с 1 октября 2020 года по 30 сентября 2021 года. В состав комиссии вошли представители профильных департаментов Концерна «Росэнергоатом» и главные инженеры всех российских атомных станций, они определили сразу два предприятия, которые добились наиболее значимых результатов в развитии культуры безопасности: ими стали Кольская и Балаковская атомные станции. При подведении итогов конкурса «Лучшая АЭС по культуре безопасности» учитываются не только стабильность и надежность эксплуатации производственных объектов АЭС, но и исполнение природоохранного законодательства, норм и правил безопасности, охраны труда, а также недопущение пожаров и возгораний, эффективность работы по предотвращению негативных событий на АЭС в целом и ряд других критериев. В этом году конкурс продолжится, и «Росэнергоатом» вновь выберет лучшие организации в области культуры безопасности. Конкурс плакатов и проектов Для поддержания уровня вовлеченности работников электроэнергетического дивизиона в развитие культуры безопасности были организованы конкурсы на лучший плакат и лучший реализованный проект по совершенствованию культуры безопасности.
Практически любой человек при определенном уровне самоотдачи и старания может развить в себе лидерские качества. По результатам курса линейные руководители сами определяют качества, характеризующие лидера по охране труда, и свои дальнейшие повседневные действия, направленные на демонстрацию своего личного лидерства по охране труда. Не уступаем загранице — Юнипро — международный концерн с филиалами во многих странах. Вы имеете возможность анализировать опыт зарубежных коллег в сфере охраны труда. Насколько сильно, на ваш взгляд, отличаются подходы к охране труда и производственной безопасности в России и других странах? С этой целью совершенствуется законодательство, принимаются новые инициативы в области охраны труда. Если еще несколько лет назад в нашей стране основными задачами в области охраны труда были выполнение соответствующих требований и правил и минимизация воздействия на работников вредных и опасных факторов производственной среды, то сейчас многие работодатели перешли на риск-ориентированный подход. Российские компании внедряют инициативы, направленные на развитие лидерства и вовлечение работников в вопросы охраны труда.
В условиях интеграции российского и мирового бизнеса стремительное изменение законодательства России в области охраны труда, подход многих российских компаний к вопросам охраны труда не уступают лучшим мировым практикам. В этом мы смогли убедиться и на совещаниях по охране труда, проводимых в рамках деловой программы выставки БИОТ-2021. Удалось ли увидеть что-то новое на стендах участников? Выставка каждый год привлекает внимание специалистов своими новинками в сфере безопасности и охраны труда. Этот год не стал исключением. Мы увидели интересные предложения в части «умных» и высокотехнологичных СИЗ, познакомились с современными IT-решениями и программными продуктами в области охраны труда. Многое из увиденного представляет собой высокоперспективное направление, и мы обязательно возьмем это в проработку. Компания Юнипро готова к новым требованиям — Вы упомянули об изменениях в российском законодательстве.
Как вы оценивание изменения в статье 10 Трудового кодекса, касающиеся перехода на риск-ориентированный подход в охране труда?
В то же время, технологии UBA обеспечивают мониторинг и анализ активности пользователей, помогая выявить подозрительные действия и потенциальные угрозы безопасности данных. Алгоритмы позволяют выявлять нетипичное поведение сотрудников, круг общения, приватные контакты, а также профилировать сотрудников на основе 20 паттернов поведения. Технологии анализа поведения пользователей UBA сосредоточены на выявлении аномальных, или подозрительных, действий пользователей, которые могут указывать на нарушение безопасности данных.
Эти технологии анализируют активности пользователей, их привычки, образцы поведения и даже изменения в них для выявления потенциальных угроз и предотвращения инцидентов безопасности данных. Также необходимо отметить механизм, который позволяет при выявлении нарушения политики безопасности отправить уведомление не только ответственному лицу офицеру информационной безопасности , но и самому пользователю. Это стимулирует осознанный подход к безопасности во время работы с данными и снижает риск непроизвольной утечки информации. Solar Dozor полностью ориентирован на потребности российского бизнеса и подходит организациям с большим штатом сотрудников.
Заключение Развитие культуры безопасности сотрудников — одна из необходимых мер для предотвращения внутренних инцидентов ИБ и противостояния кибератакам. Также важно внедрить инструменты контроля персонала, среди которых особое место занимают DLP-системы. Они позволяют выстроить прозрачное взаимодействие пользователей с информационными системами и конфиденциальными данными.
Достичь позитивной Культуры ОТ – возможно ли это?
Внедряя полезные привычки по соблюдению правил кибербезопасности, не стоит забывать о базовой вещи — комфортных условиях труда. Именно проблемы с ними часто провоцируют сотрудников на намеренные нарушения или безразличное отношение к обязанностям. Говорить о целостной культуре безопасности можно только в том случае, если большинство сотрудников внедряет ее принципы на практике. Убедиться в этом поможет, например, DLP-система с функцией анализа поведения пользователей. Культура безопасности данных требует обучения и развития всех сотрудников важности защиты конфиденциальной информации.
Внедрение DLP-системы помогает устанавливать контроль над данными и предотвращать их утечку. В то же время, технологии UBA обеспечивают мониторинг и анализ активности пользователей, помогая выявить подозрительные действия и потенциальные угрозы безопасности данных. Алгоритмы позволяют выявлять нетипичное поведение сотрудников, круг общения, приватные контакты, а также профилировать сотрудников на основе 20 паттернов поведения. Технологии анализа поведения пользователей UBA сосредоточены на выявлении аномальных, или подозрительных, действий пользователей, которые могут указывать на нарушение безопасности данных.
Эти технологии анализируют активности пользователей, их привычки, образцы поведения и даже изменения в них для выявления потенциальных угроз и предотвращения инцидентов безопасности данных. Также необходимо отметить механизм, который позволяет при выявлении нарушения политики безопасности отправить уведомление не только ответственному лицу офицеру информационной безопасности , но и самому пользователю.
Всему этому сопутствовал один важный призыв, звучащий со всех экранов и каналов — соблюдайте социальную дистанцию. Кто из вас задумывался, к каким последствиям приведёт эта рекомендация? Насколько увеличение физической дистанции которую теперь принято называть «социальной» между родственниками, коллегами и просто прохожими, повлияет на отношения между людьми, внутри семей, трудовых коллективов, между организациями и государствами? Не приведёт ли это к разрыву более глубинных связей и разделению общества, которым теперь станет управлять ещё проще, поскольку мы теперь все всегда «онлайн» и «на связи».
С сожалением приходится признать, что к предыдущему образу жизни и работы мы скорее всего уже не вернемся никогда. Как это повлияет на безопасность?
Работники отметили, что такой системы в Обществе нет, что готовы сообщать руководству о проблемах и ошибках. Но есть случаи, когда руководители игнорируют сообщения о проблемах безопасности, не транслируют работникам свои ожидания.
Страх наказания и страх неизвестности, что это может быть воспринято негативно руководителями и последствия могут быть неадекватны, снижают качество и количество обращений. Цитирую работников: «есть программа — добиться меньше нарушений». Как итог— «не все фиксируем, чтобы не попасть под подозрение и не портить статистику», «самому разбираться, если что-то идёт не так легче, чем обратиться к руководителю, но, если сложно, всё-таки обращаемся хотя помощи не будет , делаем дальше сами». Проектные запасы.
Работники отметили низкую степень оснащения необходимыми инструментами и оборудованием для повседневной работы, а также в случае непредвиденных ситуаций. Также отмечены проблемы, связанные с эксплуатацией оборудования и поддержания его состояния в пределах проектных запасов. Цитирую: «Плохие вытяжки в цехах, стеснённые условия работы и рядом опасное оборудование»; «устаревшее изношенное оборудование, вышел срок эксплуатации — все равно используем и по бумагам пишем, что все в порядке». Сотрудникам необходимо знать много документов, которые не всегда имеют отношения к их работе.
По базовой составляющей «Приверженность руководства безопасности» низкий уровень установлен по показателям [3]: 1. Ответственность руководителя: стимулы, наказания и поощрения. Отмечается дисбаланс между стимулами, наказаниями и поощрениями. Персонал воспринимает данную систему как несбалансированную, существенно смещённую в сторону наказаний.
Участие персонала в разработке предложений по повышению безопасности, выявлению проблем в области безопасности не поощряется.
В первом опубликованном отрывке книги автор говорил о том, как развернуть Титаник. Сегодняшняя глава посвящена тому, можно ли изменить культуру безопасности на предприятии без участия высшего руководства. Еще в начале 1800-х годов, когда семья Дюпон начала делать такие продукты, как порох, у рабочих появилось выражение: «Этот парень перешел через ручей». Это означало, что завод снова взорвался и какого-то беднягу буквально отбросило взрывом через реку Брендивайн штат Делавэр.
Эти взрывы были настолько частыми, что Дюпон сделал стену, ближайшую к реке, из дерева, а не из камня, чтобы, если стена взорвется, здание не рухнуло… и да, работники «перешли бы через реку», где у них был бы хоть какой-то шанс на выживание. В музее Дюпон вы можете увидеть сохранившуюся стену. В 1817 году семидесятилетний Пьер Самюэль Дюпон скончался от пожара на заводе. В 1818 году сорок рабочих погибли вместе с детьми в школе, построенной на территории предприятия. К 1912 году компания начала собирать статистические данные по безопасности, а к 1990-м годам поставила цель добиться нулевого травматизма.
Для достижения своего сегодняшнего рекордного уровня безопасности компания «Дюпон» разработала невероятно строгий набор мер, которые необходимо соблюдать на химическом производстве, и железные правила для выполнения каждой задачи. В результате «Дюпон» не только славится почти полным устранением «разрыва в реальности» между предписанными и реальными действиями, но и консультирует теперь других по вопросам безопасности. Один из моих коллег, который работал в компании теперь объединенной с Dow Chemical , назвал эту культуру «странной, но удивительно одержимой протоколом». Ледет, бывший операционный менеджер компании, — мы понимали, что безопасность является обязанностью каждого человека и требует участия каждого». Уникален слоган «Дюпон» о безопасности: «Я должен сделать это сам, но я не могу это сделать один».
Это странное, но замечательное заявление о том, как правильно повышать безопасность производства. Потребовалось несколько поколений, но в результате «Дюпон» изменил само понятие «нормального» во всей отрасли. Можете ли вы сделать это без высшего руководства? Влиятельность семьи Дюпон также не вызывает вопросов. Но могут ли изменения быть осуществлены без участия высшего руководства компании?
Мог ли какой-нибудь ответственный младший офицер «Титаника» его развернуть? Может ли безопасность рук стать приоритетом всей компании благодаря усилиям руководителя низкого уровня? Краткий ответ: нет. Хотелось бы сказать вам иначе, но исследование за исследованием показывает, что инициативы в области безопасности, осуществляемые любым уровнем ниже высшего руководства, обычно не дают существенных и длительных результатов. Вы можете добиться ограниченного прогресса, но не такого изменения культуры компании, которое действительно необходимо.
Люди будут говорить: «Хорошо, все это продлится некоторое время, но потом либо бюджет сократят, либо руководителя охраны труда уволят. Мне не нужно обращать на это внимание». Изменения в общей культуре безопасности компании, похоже, требуют личной веры и ответственности со стороны высшего руководства, а не одной лишь логики. Эта личная ответственность может начинаться с логических решений, основанных на стоимости рабочей силы, анализе потерянного времени, судебных процессах или государственном регулировании. Но в какой-то момент она должна запасть в душу.
Достичь позитивной Культуры ОТ – возможно ли это?
Для продвижения культуры безопасной разработки и улучшения понимания проблем безопасности разработчиками, мы внедрили следующие практики. То, на что ещё влияет внутриком и что сложно поддаётся оценке, — корпоративная культура. Формирование культуры осознанной безопасности ведется в рамках внедрения собственной Производственной системы – концепции управления на принципах бережливого производства и непрерывного совершенствования. Кроме того, культура безопасности влияет на репутацию компании. Как руководители и сотрудники влияют на культуру безопасности в компании предоставлен нашим книжным партнёром — компанией ЛитРес. Новости профсоюзных организаций.