Компания MSB Events хотела бы поделиться результатами традиционной ежегодной встречи профессионалов безопасности, которая прошла в марте в Москве. Новости профсоюзных организаций. Зачем развивать культуру безопасности труда в организации? Как культура безопасности влияет на финансовое состояние компании.
Корпоративная культура безопасности – главная задача
Формирование позитивного уровня культуры безопасности является первоочередной задачей управления организации в рамках реализации концепции сохранения человеческих ресурсов. Развитие культуры безопасности сотрудников — одна из необходимых мер для предотвращения внутренних инцидентов ИБ и противостояния кибератакам. Культура безопасности, в контексте управления организациями, рассматривается как универсальный индикатор эффективности и управляемости. Ежегодно в группе компаний ИНК проводится оценка уровня культуры безопасности по международной методике «Сердца и. Эксперты обсудили развитие культуры безопасности на российских предприятиях в рамках Всероссийской Недели Охраны Труда-2022 (ВНОТ-2022). То, на что ещё влияет внутриком и что сложно поддаётся оценке, — корпоративная культура. Общая культура организации развивается со временем и под влиянием различных факторов, таких как история организации, лидерство, ценности и предпочтения ее сотрудников.
Что такое культура безопасного поведения и как ее повысить
Естественно, что новичок ориентируется на их поведение и будет делать так же. Подобные подходы нужно менять на корню. Есть успешные мировые практики. Например, набирает популярность концепция Vision Zero, нулевого травматизма. В России к ней присоединяется все больше предприятий. Если на стройке директор появляется без каски, то как можно заставить сотрудников носить средства защиты? Эта концепция подразумевает выполнение компанией семи главных правил, их еще называют золотыми. Во-первых, сам руководитель должен подавать пример по соблюдению правил безопасной работы.
Например, если на стройке директор появляется без каски, то как можно заставить сотрудников носить средства защиты? Второе правило - выявлять угрозы и контролировать риски. Мониторинг должен быть постоянным. В-третьих, необходимо разрабатывать программы для конкретной организации. Четвертое - на предприятии должна быть создана система безопасности и гигиены труда. Работодатель должен обеспечивать безопасность на рабочих местах, при работе со станками и оборудованием - и это пятое правило. Шестое - сотрудники должны иметь возможность развивать свои профессиональные навыки через повышение квалификации.
И седьмое - инвестировать в кадры, мотивировать сотрудников личным участием, чтобы им хотелось следовать культуре безопасности. А если сотрудники просто будут игнорировать эти правила и действовать, как им удобно? Петр Тищенко: Не существует волшебной таблетки, позволяющей в одночасье внедрить культуру безопасности на предприятии, это долгая и кропотливая работа. Например, на железной дороге не только проводят обучающие мероприятия, там внедряется новое оборудование, которое позволяет людям в принципе не попадать в опасные зоны. Многие корпорации внедряют системы контроля доступа, используя компьютерное зрение и видеоаналитику.
Кроме того, важно развивать навыки управления безопасным поведением. Главные «проводники» такой культуры — руководители на местах мастера, бригадиры и т. Кейс 2. Как использовать вовлекающий инструктаж на примере компании «Газпром нефть» Мастер — первое менеджерское звено на производстве, он руководит операторами по добыче нефти и газа до 16 человек в подчинении , и именно от него зависит выполнение требований безопасности.
Первый учебный блок назвали «Лидерство в безопасности». Один из конкретных приемов, развивающих культуру безопасности, — вовлекающий инструктаж. Обычный инструктаж выглядит как монолог: мастер рассказывает о предстоящем задании, сотрудник расписывается и уходит. Но никто не знает, действительно ли он в полной мере осознает грозящую опасность. Гораздо эффективнее инструктировать людей в формате диалога, когда мастер задает вопросы «Какой самый большой риск вы видите? Поначалу мастера компании «Газпром нефть» отнеслись к идее скептически — мол, нашим сотрудникам такое не подойдет. Но все же по заданию преподавателя сформулировали плюсы и минусы нового подхода, а затем разделились на тройки для работы по группам, где каждый по очереди выступил в роли мастера, оператора и наблюдателя. Оказалось, никаких минусов у новой формы инструктажа нет — сложность лишь в том, чтобы начать задавать вопросы и вести беседу, а не выдавать готовый текст. Сотрудники получили «домашнее задание»: опробовать новшество на рабочем месте.
Почти все отметили, что с молодыми операторами все получилось легко, а вот опытные кадры привыкли получать инструктаж по-старому — молча, и заставить их говорить оказалось непросто. Что делать в таком случае? Возвращаться к прежнему формату нельзя — так новую культуру не построишь. Выход нашелся: надо проводить смешанные инструктажи. Опытные операторы наблюдают, как отвечают молодые, поправляют их — и незаметно для себя подключаются к беседе. В итоге число сторонников нового формата проведения инструктажей в компании растет, а вместе с ним растет уровень осознанности в действиях сотрудников, т. Кейс 3. Как HR-служба может научить персонал безопасному поведению на примере компании Itella Логистическая компания Itella время от времени сталкивалась со случаями травматизма. Чаще других в зоне повышенного риска оказывались кладовщики, специалисты склада, комплектовщики, водители погрузчиков.
Например, в ходе разгрузки фуры на складе никто не заметил, как шофер забрался в кузов — и в результате погрузчик случайно зацепил его. До недавнего времени за травматизм на производстве отвечала исключительно служба охраны труда. Фактически она занималась поиском и наказанием виновных, а не устранением системных причин. Сотрудники не были вовлечены в систему и процессы безопасности, инструктажи проводились формально. После того как в компании реорганизовали службу охраны труда и перевели эти вопросы в ведение HR-подразделения, начались изменения. Как перейти от реактивной культуры безопасности к вовлекающей? Вместе с компанией Itella мы разработали комплексную программу обучения и вовлечения сотрудников. Все люди выполнили тест, оценивающий склонность к рисковому поведению, а затем прошли тренинг «Развитие культуры безопасного поведения». Инструктаж стали проводить в формате деловой игры с отработкой навыков например, сотрудников спрашивали, какие риски они видят в рабочей зоне и что можно сделать для предотвращения этих рисков.
Для начальников складов провели групповые сессии с целью обмена опытом и поиска решения конкретных проблем. Всех менеджеров при выходе в опасную зону обязали надевать СИЗ средства индивидуальной защиты — спецодежда, специальная обувь , чтобы подавать пример рядовым сотрудникам. Новый руководитель службы охраны труда наладил учет всех инцидентов, а не только несчастных случаев, факты нарушения техники безопасности стали учитываться в КПЭ руководителей. Наконец, вопросы безопасности труда в компании вошли в повестку заседаний совета директоров. Кейс 4. Как повысить осознанность в вопросах охраны труда с помощью обучения на примере энергетической компании Менеджеров энергетической компании не устраивала ситуация с безопасностью на производстве: отдел HSE не справлялся с контрольными функциями. Нужно было обучить весь персонал безопасному поведению, повысить осознанность поведения людей в опасных или потенциально опасных ситуациях.
В качестве положительного примера реализации принципа «больше ответственности плюс осведомленность» г-н Хенш привел пивоваренную компанию Efes в Молдове, которая в свое время испытывала проблемы в сфере охраны труда. При реструктуризации системы управления компанией был полностью сокращен отдел контроля качества, а зона ответственности перераспределена на сотрудников. Были выбраны 30 инструкторов, которые начали отвечать в том числе и за безопасность.
Сначала контроль осуществлялся ежедневно, но количество проверок и степень контроля постепенно снижались. Такое внедрение довольно быстро дало свои результаты: на предприятии произошли качественные изменения и в разы снижен травматизм. Работодатели больше склонны приглашать сторонних экспертов и платить им большие деньги, чтобы понять, что не так происходит в компании, вместо того, чтобы использовать свои внутренние ресурсы и ориентироваться на работников. А ведь именно они знают лучше других, что происходит в цехе». Все это лишний раз доказывает, что необходимо более активно привлекать рабочих в решение вопросов безопасности на рабочих местах. Но в российской действительности существуют «подводные камни», считают российские эксперты. Задача менеджмента - найти «ключики», чтобы рабочему стало не все равно, а важно рассказать, предупредить, предотвратить что-то опасное, если он эту опасность видит и чувствует». Но реально ли в условиях российской ментальности? Да, уверяет руководитель направления «Промышленная безопасность» Департамента дополнительного профессионального образования Клинского института охраны и условий труда Ирина Журавлева. Но при условии, когда топ-менеджмент предприятия сам вовлечен в этот процесс ответственности, демонстрируют эту вовлеченность, а все его действия пронизаны философией личной ответственности и заботы о людях.
В каждом цехе предприятия должен быть создан такой микроклимат, когда лучше предупредить руководство о возможной рисковой ситуации, чем скрыть ее. В качестве наглядного примера того, как обстановка и культура конкретного места, законы и принципы этого места, действуют на поведение людей, Ирина Журавлева привела московское метро. Вернее поведение трудовых мигрантов, которые приезжая в Москву, в первое время уступают места в общественном транспорте женщинам, старикам и детям. Тем самым они демонстрируют те устойчивые модели поведения, принятые в их странах. Но проходит несколько месяцев, и эти люди начинают демонстрировать совсем иное поведение. Они начинают подчиняться культуре и нормам поведения того коллектива, в котором живут в эту конкретную минуту. Ханс-Хорст Конколевски также привел пример Сингапура, где в последние 10-15 лет сложилась эффективная система управления охраной труда за счет стимулирования работников. Так, на одной из судоверфи есть телефон, по которому работник, если видит риск опасной ситуации, может напрямую связаться с министерством труда или производственной инспекцией. Тем самым человек не воспринимается как «предатель», а наоборот, он мотивирован.
Но проходит несколько месяцев, и эти люди начинают демонстрировать совсем иное поведение. Они начинают подчиняться культуре и нормам поведения того коллектива, в котором живут в эту конкретную минуту. Ханс-Хорст Конколевски также привел пример Сингапура, где в последние 10-15 лет сложилась эффективная система управления охраной труда за счет стимулирования работников. Так, на одной из судоверфи есть телефон, по которому работник, если видит риск опасной ситуации, может напрямую связаться с министерством труда или производственной инспекцией. Тем самым человек не воспринимается как «предатель», а наоборот, он мотивирован. И такое «предупредительное» поведение воспринимается как общественное благо, которое всячески публично поощряется. У каждого менеджера есть своя система планируемых результатов, даже у первых лиц государства. В эту систему встроены показатели снижения или отсутствия травматизма. Таким образом, в вопросы безопасности на рабочих местах вовлечены все, от простого рабочего до высших должностных чинов. Участники бизнес-встречи много говорили о важном социальном диалоге работодателей, представителей власти и простых работников. О том, как донести до топов российских компаний важность личного вовлечения в решение вопросов охраны труда. Много говорили о необходимости воспитания безопасного поведения с самого младшего возраста. Все эти вопросы обязательно будут рассмотрены еще раз в ходе дискуссий на Всероссийской неделе охраны труда. Опыт подсказывает, что можно реально сократить количество несчастных случаев и травматизма, а также профзаболеваний на рабочем месте до нуля. Для этого у нас есть различные инструменты и приемы. Я уверен, технологии помогут нам в будущем. Я верю в цифровую экономику, которая даст нам такие технологии, которые при угрозе и малейшем риске возникновения опасной ситуации, могут автоматически останавливать производственную линию. Таким образом, люди будут более защищены. В сфере охраны труда много трудностей. И эти трудности встречаются во всех странах, не только в России. Но нужно всем нам стать членами одной большой команды по достижению нулевого травматизма. Нам нужно всем стремиться к этому, потому что это выгодно и социально, и экономически».
Специалистов по охране труда познакомили с концепцией культуры безопасности «Газпрома»
Подразделение, у которого по итогам месяца оказался наименьший показатель эффективности, выбывает из соревнования и остается без премии. На подразделение ежемесячно выделяется зафиксированная сумма премии.
Это и поэтапный рассказ о ДМС что в него входит, как воспользоваться, какие есть дополнительные опции , о спортивных активностях, познавательных вебинарах и многом другом. Не стоит ограничиваться единственной новостью, выпущенной в январе, приходят новые сотрудники, и им важно знакомиться с компанией с разных сторон. При этом все материалы по теме должны храниться в одном месте и регулярно обновляться, чтобы у каждого работника был к ним доступ. Популяризация бренда. Это всевозможные выступления на профессиональных конференциях, участие в премиях и конкурсах, а также PR-активности, направленные на привлечение внимания соискателей. На YouTube-канале мы ведём блог «оhhнные истории».
В наше сообществе на Хабре входит более 35 авторов, которые постоянно пишут для нас статьи. За последние полгода мы увеличили количество подписчиков до 10 000, хотя до этого наш блог читали не более 2 500 пользователей. Эти результаты мы начинаем превращать в OKR — в конце каждого квартала делаем прогноз по подписчикам, мероприятиям, статьям. Не всегда очевидно, кто должен вести социальные сети в компании — направление работы над HR-брендом, внутренние или внешние коммуникации. В любом случае метрик для оценки работы, как и в любом digital-канале, здесь множество: от количества подписчиков, просмотров и лайков до привлечённых с помощью соцсетей кандидатов. Важно на первом этапе определиться, сколько людей хочется привлечь к исследованию, какие каналы для этого использовать, какой результат считать победным. Сюда же входит опрос удовлетворённости внутренними коммуникациями, чтобы специалисты понимали, чего сотрудникам не хватает, что необходимо подтянуть.
В целом менеджер по внутренним коммуникациям, как и HR-менеджер, это не только про людей, но и про деньги. Любая компания должна знать, сколько средств она тратит на сотрудника за год. В зависимости от потребностей и возможностей одни вкладываются в электронные библиотеки и программы обучения, другие — в строительство целых городов для сотрудников. Несмотря на разность подходов и бюджетов, внутриком из всего имеющегося арсенала старается извлечь максимальную пользу для людей и бизнеса, и на этом пути, как и на любом другом, есть свои камни преткновения. Ошибки в работе внутренних коммуникаций Лидеру направления внутренних коммуникаций должен быть выдан карт-бланш на принятие решений. Если у него нет влияния в компании, тогда его роль сводится к нулю. Согласование каждого шага с руководством говорит либо о некомпетентности специалиста, либо о недоверии со стороны СЕО.
И в том, и в другом случае об эффективной работе не может быть и речи. Вторая распространённая ошибка — расслоение каналов коммуникации. Собрания проходят в Zoom, новости публикуют на корпоративном портале, рабочие переписки ведутся в трёх разных мессенджерах — знакомая картина, не правда ли? Задача внутрикома — по возможности перенести все активности в один канал и объяснять коллегам, которые пытаются создать очередной чат с полезной информацией, что такая рассредоточенность в лучшем случае превратит всю коммуникацию в белый шум, в худшем — приведёт к ошибкам в восприятии информации. Следующая ошибка внутрикома, которая грозит компании обернуться репутационными потерями, — неумение хранить тайны. Учитывая, что этот специалист очень тесно взаимодействует с топ-менеджментом и одним из первых узнает обо всех грядущих событиях, может быть велик соблазн выдать информацию коллегам или друзьям. Внутриком — хранитель секретов, а слишком общительные представители профессии становятся источниками слухов.
Ещё одни возможные грабли на пути к эффективным внутренним коммуникациям — не считать результаты работы и никак не освещать их в компании. Хороший внутриком точно знает, как рассказать о проекте, человеке, событии так, чтобы это заинтересовало многих. Даже слабый проект можно подать как возможность для развития. Многие боятся пиара своей работы, однако это отличный шанс поделиться эмоциями, получить обратную связь и заручиться поддержкой коллег. Что делать сейчас Сейчас сотрудникам всё сложнее фокусироваться на задачах и работать с полной самоотдачей, многих парализует страх будущего. Мы собрали рекомендации от Ксении Степановой, которые могут стать «подорожником» в условиях нынешней экономической и эмоциональной нестабильности. Даже если в компании нет внутрикома, эти задачи на время может подхватить HRD.
Проводить регулярные встречи с топ-менеджментом и руководителями. Сотрудникам нужно дать возможность задавать прямые вопросы СЕО и получать на них честные ответы. Важно заранее проговорить с топ-менеджером, что люди сейчас как никогда нуждаются в искренности.
В основе WCM лежат 2 основных принципа: постоянное совершенствование и устранение потерь. Цикл «планируй-делай-проверяй-улучшай» выполняет каждый работник в рамках своих обязанностей. В части безопасности этот цикл представляет собой поиск каждым работником ситуаций риска инцидентов и последующее их устранение самостоятельное ограждение опасной зоны и доклад руководству. Ситуации риска разделены на пять групп: TF1, TF2 и TF3 — касаются инцидентов, фактически повлекших производственные травмы; TF4 — случившийся инцидент авария , создавший угрозу безопасности, но не повлекший травм; TF5 — назревающая опасная ситуация, которая впоследствии может привести к инциденту. Все случаи выявления ситуаций риска отражаются на специальных информационных стендах, размещенных в каждом цехе см.
Основной драйвер, поддерживающий данную систему в активном состоянии — еженедельные совещания по теме безопасности с обсуждением всех предложений работников. Ключевой акцент — это выявление TF5. Самый главный фактор для успешного внедрения всех упомянутых практик — это постоянное внимание и настойчивость, исходящие от директора и ТОП-менеждмента предприятия, и далее транслируемые через всю иерархию до каждого работника. Успешным внедрением можно считать момент достижения некоей критической массы в коллективе, когда преобладающая часть работников начинает разделять ценности и принципы этой системы, и уже самостоятельно передает их остальным. Собственно и у нас в регионе тоже хорошо бы достичь некоей критической массы — когда большинство предприятий внедрит у себя лучшие практики высокой культуры производства, а остальные за ними подтянутся, чтобы сохранить конкурентоспособные позиции. Будем надеяться, в ближайшем будущем это произойдет. Больше оперативных новостей Челябинской области в нашем канале Telegram.
Что такое безопасная разработка и как ее придерживаться Безопасная разработка — это культура безопасности плюс страховка программистов от ошибок. И дело не в том, что разработчики такие безответственные люди, а как раз в обратном. Обычно код пишут люди с серьезным уровнем полномочий, а помогают обслуживать всю инфраструктуру DevOps-специалисты и сисадмины. У них есть высокий уровень доступа и большая ответственность за итоговый результат. То, что они пишут, может увидеть весь мир — или хотя бы компании, которые покупают этот софт. Поэтому ошибки здесь очень критичны, а значит, именно с безопасной разработки начинается вся культура кибербезопасности. Чтобы развить культуру, сначала нужно обучить разработчиков писать безопасный код: рассказать, как нужно делать правильно, на что обращать внимание, показать, какие уязвимости существуют. Например, почему не нужно держать токены в коде и почему их нужно выносить куда-то в сторону — в идеале в систему специального хранения, чтобы даже на тесте они неожиданно не попали во внешние источники. Задача компании — объяснить разработчикам, почему это важно. И при этом построить систему контроля, которая будет говорить о том, что нужно исправить. Самое важное — воспринимать ее не как «надсмотрщика», а как помощника, который будет подсвечивать ошибки. Не нужно говорить программистам, как следует писать код, — они сами знают, как делать свою работу. Нужно только показать, что вот здесь уязвимость, вот тут небезопасный метод, а здесь небезопасная работа с данными. Или что ты забыл убрать то, чего тут быть не должно. Безопасная разработка — это, по сути, страховка для разработчиков и бизнеса. Мы внедряем средства, которые указывают на потенциальные проблемы, а затем, когда все замечания будут отработаны, передаем код на постобработку, в продакшен и так далее. При этом обычному программисту не обязательно знать всю специфику безопасной разработки, достаточно только понимать, какие типы уязвимостей существуют в его сфере и зоне ответственности. Этих уязвимостей много, но совершенно новые появляются не так часто. Поэтому нужно один раз разобраться во всех типах, чтобы было базовое понимание, а дальше будут тонкости, разбираться в которых разработчику совершенно не обязательно — этим уже займутся специалисты по кибербезопасности. Отдельно хочется еще упомянуть про работу со сторонними библиотеками. Сейчас очень популярна тема безопасности с внешними пакетами — теми, что разработчики используют в своей работе, чтобы не писать функционал с нуля. Ожидаемо, эти библиотеки не всегда безопасны. Когда компания выстраивает безопасную разработку, она зачастую делает безопасное хранилище, или репозиторий. Всё, что попадает в этот репозиторий, нужно тщательно проверять на уязвимости и убеждаться, что с пакетами всё в порядке. Для разработчиков это часто очень неудобно, потому что нужно ждать, пока закончится проверка. Но это важный элемент защиты. Крупные компании поступают следующим образом: дают разработчикам полную свободу действий в тестовой среде, а затем проверяют все нужные библиотеки перед выпуском в продакшен. Так программисты могут использовать вообще всё что угодно, потому что среда изолирована. Там нет настоящих данных клиентов, и оттуда нельзя попасть в полноценную внутреннюю сеть компании. Но когда нужно будет перейти в продуктовую среду, начнутся проверки на безопасность. На этом этапе разработчикам говорят: «Ты использовал эту библиотеку, теперь нам нужно время ее проверить». И если проверка пройдет успешно, то можно загружать обновления в продакшен. Так создается баланс между свободой и защитой.
Культура безопасности
Мы поднимаем вопрос о культуре безопасности, о готовности оказать помощь. Изменения в общей культуре безопасности компании, похоже, требуют личной веры и ответственности со стороны высшего руководства, а не одной лишь логики. Более 500 специалистов и руководителей из различных отраслей, таких как строительство, ЖКХ, нефтяная промышленность и сельское хозяйство, поделились своим опытом и мнением о культуре безопасности в своих компаниях. Второй аспект — влияние корпоративной культуры на отношение к вопросам безопасности.
«Мы работаем над тем, чтобы культуру безопасности сделать модной»
К тому же следование предприятием культуре безопасности становится огромным репутационным плюсом компании в глазах потенциальных инвесторов и партнеров. Факторы влияния на создание культуры безопасности: Руководство компании Техническое обеспечение и инфраструктура Компетентность сотрудников Обучение и повышение квалификации сотрудников проводится систематически. Зачем развивать культуру безопасности труда в организации? Организации, в которых есть психологическая безопасность, реже совершают ошибки и порождают больше инноваций. Роль культуры безопасности в многопрофильных компаниях Во-первых, наличие культуры безопасности позволяет создать осведомленную и ответственную рабочую среду.
В «Росатоме» обсудили культуру безопасного поведения
Мог ли какой-нибудь ответственный младший офицер «Титаника» его развернуть? Может ли безопасность рук стать приоритетом всей компании благодаря усилиям руководителя низкого уровня? Краткий ответ: нет. Хотелось бы сказать вам иначе, но исследование за исследованием показывает, что инициативы в области безопасности, осуществляемые любым уровнем ниже высшего руководства, обычно не дают существенных и длительных результатов. Вы можете добиться ограниченного прогресса, но не такого изменения культуры компании, которое действительно необходимо.
Люди будут говорить: «Хорошо, все это продлится некоторое время, но потом либо бюджет сократят, либо руководителя охраны труда уволят. Мне не нужно обращать на это внимание». Изменения в общей культуре безопасности компании, похоже, требуют личной веры и ответственности со стороны высшего руководства, а не одной лишь логики. Эта личная ответственность может начинаться с логических решений, основанных на стоимости рабочей силы, анализе потерянного времени, судебных процессах или государственном регулировании.
Но в какой-то момент она должна запасть в душу. Руководители компании должны заботиться о безопасности на эмоциональном уровне. В противном случае вся компания ощущает недостаток ответственности руководителей, а настоящая культура безопасности не развивается. Проблемы заботы Есть две серьезные проблемы, с которыми сталкивается каждый, кто пытается лично привлечь к этому вопросу высшее руководство.
Первый — это психологическая пропасть между высшим руководством и рабочими, поскольку высшие руководители обычно не подвергаются физическому риску на рабочем месте. Да, это так просто. Часто менеджеры фактически никогда «не были там» и не ощущали риски, в то время как рабочие чувствуют себя уязвимыми каждый день. Подсознательно мозг может сказать: «Если бы это могло случиться со мной, то я бы позаботился; но если я лично в безопасности, я могу заботиться об этом немного меньше».
Никто не скажет такую ужасную вещь вслух, но подобное чувство может быть. Эта пропасть приводит к своего рода организационной слепоте. Проведенное в 2015 году исследование восприятия культуры руководством и рабочими компании показало, что руководители, как правило, считают свою культуру безопасности гораздо более совершенной, чем рабочие. Во-вторых, всякий раз, когда руководство смотрит на проблему, оно видит компромисс между производительностью и безопасностью, независимо от того, является ли этот компромисс реальным или нет.
Управление на всех уровнях имеет огромный стимул для повышения производительности, и только личная приверженность безопасности имеет шанс преодолеть это предубеждение. Простая истина: «срезанные углы» могут привести к увеличению скорости, но работники в безопасных организациях в подавляющем большинстве случаев более продуктивны в долгосрочной перспективе. Это было доказано множество раз. Что движет личной ответственностью высшего руководства?
Ledcor — крупная канадская строительная компания, получившая множество наград за безопасность. Что привело к такой ответственности? Личная трагедия. Основатель Уильям Лед умер в 1980 году, когда на стройплощадке на него обвалилась куча гравия.
Для разработчиков это часто очень неудобно, потому что нужно ждать, пока закончится проверка. Но это важный элемент защиты. Крупные компании поступают следующим образом: дают разработчикам полную свободу действий в тестовой среде, а затем проверяют все нужные библиотеки перед выпуском в продакшен. Так программисты могут использовать вообще всё что угодно, потому что среда изолирована. Там нет настоящих данных клиентов, и оттуда нельзя попасть в полноценную внутреннюю сеть компании. Но когда нужно будет перейти в продуктовую среду, начнутся проверки на безопасность.
На этом этапе разработчикам говорят: «Ты использовал эту библиотеку, теперь нам нужно время ее проверить». И если проверка пройдет успешно, то можно загружать обновления в продакшен. Так создается баланс между свободой и защитой. Как обучить сотрудников безопасно работать с данными Культура безопасности строится не только на технических специалистах, но и на всех остальных сотрудниках — бухгалтерах, менеджерах, охранниках. Поэтому обучать нужно каждого, или это всё будет бессмысленно. Но тут есть свои нюансы.
Технические специалисты. Это обычно разработчики, администраторы и другие. Их обучить проще всего — достаточно подобрать хорошие курсы. Многие компании по кибербезопасности проводят обучение. Например, я работаю в такой компании: мы часто делимся знаниями с заказчиками. Обучение можно устроить и самим — это тоже не проблема.
Нужно только оценить, насколько вам трудозатратно это организовать, и убедиться, что в команде есть специалист с подходящим опытом. Все остальные. Это все те, чья работа не связана с IT. С ними сложнее. Людям сначала нужно объяснить, что кибербезопасность — это так же важно, как и любая другая безопасность, например пожарная. Затем стоит показать сотрудникам, на что обращать внимание, где лежит их зона ответственности, какие бывают подозрительные действия, и обучить базовым темам по безопасности.
Это может занять много времени, но здесь важно сформировать поведенческий паттерн. С каждым из типов сотрудников нужно обязательно проводить тестирования после обучения. Так вы сможете понять, что они усвоили материал и что в будущем не допустят много ошибок. Для разработчиков всё понятно: у них есть средства, чтобы проверять код на безопасность, и ими нужно владеть. Поэтому просто протестируйте их на знание этих инструментов. С обычными сотрудниками сложнее и дороже: нужно выделять много ресурсов, чтобы понять, насколько готовы работники к атакам.
Обычно для этого нанимают целые команды специалистов, которые устраивают социотехнические пентесты и рассылают сотрудникам фишинговые письма, а затем смотрят, как те на это реагируют. Еще они могут делать фишинговые звонки и оценивать, насколько сотрудники окажутся уязвимы. К сожалению, большинство компаний не могут качественно провести такие работы своими силами.
Помимо экономии и организации труда, это тоже часть общей дисциплинирующей системы, нацеленной на соблюдение стандартов качества и безопасности. Это часть внедренных на предприятии принципов WCM World Class Manufacturing , целью которых является достижение так называемых «трех нулей»: ноль несчастных случаев, ноль задержек в т. В основе WCM лежат 2 основных принципа: постоянное совершенствование и устранение потерь.
Цикл «планируй-делай-проверяй-улучшай» выполняет каждый работник в рамках своих обязанностей. В части безопасности этот цикл представляет собой поиск каждым работником ситуаций риска инцидентов и последующее их устранение самостоятельное ограждение опасной зоны и доклад руководству. Ситуации риска разделены на пять групп: TF1, TF2 и TF3 — касаются инцидентов, фактически повлекших производственные травмы; TF4 — случившийся инцидент авария , создавший угрозу безопасности, но не повлекший травм; TF5 — назревающая опасная ситуация, которая впоследствии может привести к инциденту. Все случаи выявления ситуаций риска отражаются на специальных информационных стендах, размещенных в каждом цехе см. Основной драйвер, поддерживающий данную систему в активном состоянии — еженедельные совещания по теме безопасности с обсуждением всех предложений работников. Ключевой акцент — это выявление TF5.
Самый главный фактор для успешного внедрения всех упомянутых практик — это постоянное внимание и настойчивость, исходящие от директора и ТОП-менеждмента предприятия, и далее транслируемые через всю иерархию до каждого работника. Успешным внедрением можно считать момент достижения некоей критической массы в коллективе, когда преобладающая часть работников начинает разделять ценности и принципы этой системы, и уже самостоятельно передает их остальным. Собственно и у нас в регионе тоже хорошо бы достичь некоей критической массы — когда большинство предприятий внедрит у себя лучшие практики высокой культуры производства, а остальные за ними подтянутся, чтобы сохранить конкурентоспособные позиции.
Поэтому, когда речь идёт о повышении устойчивости в компании, технические меры — это третий шаг после глубокой работы с отношением. Устойчивое развитие — это прежде всего адаптивный, а не технологический вызов. Но грамотно организовать процессы — это так же важно.
Поступать устойчиво должно быть проще, чем действовать по-старому. Зачастую экологическое поведение может иметь мало положительных и больше негативных последствий со стороны действий. Например, если каждый раз нужно ходить в другое помещение, чтобы взять черновики для принтера, то эта мера по сбережению бумаги обречена на провал. Это «эко» будет только раздражать. Вот почему важно поставить лоток с черновиками рядом с точкой печати. А ещё разместить рядом визуализацию — простой рисунок, какой стороной класть в принтер оборотку.
Чтобы разумно организовать возможность для проявления устойчивости, незаменимы инструменты бережливого производства. За рубежом ещё 10 лет назад исследователи поставили lean технологии на службу природоохранной деятельности и ресурсосбережению и по такому случаю традиционно прибавили к «lean» приставку «green». Точка перелома. Когда устойчивость становится устойчивой? Хотя бы потому, что устойчивые предприятия больше заботятся о благополучии своих людей по сравнению с другими предприятиями. Как говорится «вы с нами по-людски, ну и мы с вами по-человечески».
Согласитесь, сомнительно будет смотреться компания, которая заявляет о своих обязательствах по 8-ой ЦУР достойные условия труда и заработная плата , а потом игнорировать элементарные нормы безопасности и экономить на средствах индивидуальной защиты. Но в российском бизнесе чего только ни бывает. Занимает, например, крупная компания верхушку ESG-рейтинга, а потом из-за коллективной безответственности сотрудников и руководителей случается апокалипсис в отдельно взятом регионе. Но мы всё же говорим про компании, которые более последовательны в реализации принципов устойчивости. Вовлеченность сотрудников, психологический двигатель, который управляет корпоративной эффективностью, находится на рекордно низком уровне. В два раза больше людей не стесняются ругать своих работодателей.
При этом Unilеver — компания, давно и крепко практикующая подходы устойчивого развития. Не думаю. Сотрудники, работающие на «зелёных» работодателей более удовлетворены и вовлечены. Это происходит из-за признания того, что организация фокусируется не только на прибыли, но и на практиках, которые оказывают положительное влияние на других. Эта та пресловутая «работа со смыслом», которую так ищут представители поколений Y и Z. Это явление приводит к тому, что организация сама по себе привлекает уже мотивированных сотрудников — срабатывает механизм, когда устойчивое развитие само становится фактором мотивации.
Среди прочего задавала им тот самый вопрос: «Как вы мотивируете работников, чтобы они поддерживали эти инициативы? И получала примерно один и тот же ответ: «Ой, а нам не надо никого мотивировать. И прошу заметить: особенные люди разливают кофе в HoReCa-сети, смешивают химреактивы в биотехнологической компании, фасуют корма для животных на заводе и даже на строительной площадке одного шведского девелопера тоже внезапно работают особенные люди. Те, кого почему-то не надо мотивировать. Устойчивость не ограничивается субботниками и корпоративным волонтёрством «добрых» компаний. Бизнес встраивает подходы устойчивого развития в производственный процесс.
Другими словами, делает устойчивость устойчивой. При таком подходе отпадает необходимость в работе над мотивацией. И даже большой вопрос, кто кого тут мотивирует быть устойчивым: компания сотрудников или сотрудники компанию? Так просто и так трудно одновременно Почему же люди переходят на зелёную сторону?