Świadomość pracowników jako element

Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT
Świadomość pracowników jako element kształtowania polityki
bezpieczeństwa firmy
Autor: Jacek Grzechowiak
20.07.2007.
Zmieniony 30.07.2010.
Współczesne organizacje biznesowe są narażone na wiele zagrożeń, poczynając od zagrożeń
terrorystycznych, poprzez zagrożenia kryminalne, a na zagrożeniach ekonomicznych kończąc.
Każdy rodzaj zagrożeń ma swoje cechy charakterystyczne, podlega odpowiednim regułom oraz powoduje
określone konsekwencje. Każdy z nich ma także całą gamę symptomów pozwalających ujawnić
zagrożenie z - większym lub mniejszym - wyprzedzeniem. Niezależnie od rodzaju zagrożenia, w celu
wykrycia niezbędna jest wiedza o nim, jego cechach charakterystycznych oraz konsekwencjach
występowania. Dlatego też coraz częściej w strukturach firm pojawiają się osoby dedykowane
zarządzaniu bezpieczeństwem.
W zależności od rozmiarów organizacji bywają to struktury jednoosobowe, dział bezpieczeństwa czy
wręcz całe piony. Coraz częściej sprawy bezpieczeństwa są normowane przez standardy bądź procedury,
a ich wykorzystanie i przestrzeganie (także przez samych CSO1) podlegają sprawdzeniu przez komórki
audytu wewnętrznego lub zewnętrznego. Wydaje się więc, że system zarządzania bezpieczeństwem jest
rozwinięty i efektywny.
Czy jednak funkcjonujące mechanizmy są pełnym spektrum zasobów, które można i trzeba wykorzystać
w zarządzaniu bezpieczeństwem?
To z pozoru prowokacyjne pytanie może być inspiracją do poszukiwania zasobów, które nie są
wykorzystywane, a których zaangażowanie w system zarządzania bezpieczeństwem powinno przynieść
pozytywne efekty. Jednym z zasobów najczęściej niedocenianych jest świadomość pracowników
dotycząca bezpieczeństwa. Dość często obserwowanym mechanizmem jest przeświadczenie, że jeśli w
organizacji jest CSO, sprawy bezpieczeństwa należy kierować do niego. Jak już kiedyś wspomniałem na
łamach tego pisma, jest to częściowo wynikiem działania samych CSO2, broniących swej tajemnej wiedzy
i tym samym swej pozycji w firmie. Czy jednak podobne postępowanie jest korzystne dla organizacji?
Wydaje się, że każdy proces wspomagający rozwój firmy jest dla niej korzystny. I z tego punktu widzenia
zatrzymywanie wiedzy przez CSO jest dla firmy niekorzystne. Dla CSO zresztą także, ponieważ
współpraca z osobami znającymi zasady bezpieczeństwa, rozumiejącymi jego specyfikę, dostrzegającymi
swoje potrzeby w tym zakresie będzie przeniesieniem zarządzania bezpieczeństwem na wyższy poziom.
Przekazanie wiedzy (przynajmniej jej części) pracownikom firmy, a szczególnie kadrze zarządzającej, jest
elementem istotnie zwiększającym świadomość bezpieczeństwa.
Magiczne słowo świadomość oznacza:
- Stan czuwania, orientacji w tym, co się dzieje;
- Najwyższy poziom rozwoju psychicznego charakterystyczny dla człowieka; specyficzna zdolność umysłu
do odzwierciedlania obiektywnej rzeczywistości uwarunkowana społecznymi formami życia człowieka i
ukształtowana w toku jego historycznego rozwoju.
Definicja encyklopedyczna pozwala zorientować się, że świadomość jest ściśle związana z rozwojem
człowieka. Towarzyszy nam od zarania dziejów i między innymi dzięki niej świat idzie do przodu. Dawniej
świadomość pozwalała ratować życie przy spotkaniu z niebezpiecznym zwierzęciem. Dziś świadomość to
wiedza, która pozwala zidentyfikować zagrożenia i podjąć właściwe działania. Paradoksalnie, zasady
wykorzystywania świadomości nie zmieniły się diametralnie na przestrzeni dziejów. W dalszym ciągu
najpierw należy się nauczyć, a następnie tę wiedzę wykorzystać.
No właśnie: najpierw należy się nauczyć? Czy zostać nauczonym?
Jeśli kadra menedżerska organizacji chciałaby się uczyć sama, zmuszona byłaby do poświęcania dużej
części swojego czasu na zadania, które nie są sednem jej istnienia w organizacji. Po drugie zaś właśnie
po to jest w organizacji CSO, aby tę wiedzę jej dostarczyć. Dochodzimy więc do wniosku, że kadra
zarządzająca powinna być nauczana. Tu właśnie jest istotna rola CSO jako kreatora polityki
bezpieczeństwa i towarzyszącej jej świadomości wśród kadry non-security. To właśnie CSO powinien
dążyć do zaznajomienia kadry menedżerskiej i pracowników z zasadami bezpieczeństwa, potrzebami ich
http://www.witczak.priv.pl
Kreator PDF
Utworzono 8 March, 2017, 22:27
Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT
organizacji w tym zakresie, ustalenia zasobów podlegających ochronie.
CSO może robić to sam, ale zapewne znacznie bardziej efektywne będzie wykorzystanie innych narzędzi
istniejących w organizacji. A jest ich naprawdę dużo:
- Szkolenia nowego pracownika, zwane bardzo różnie, lecz funkcjonujące niemal we wszystkich
instytucjach w ramach szkoleń BHP - idealna platforma, dzięki której możemy:
a. zapoznać pracowników z zasadami bezpieczeństwa obowiązującymi w firmie;
b. wskazać im źródła regulujące tę problematykę, czyli procedury i miejsca ich publikacji, np. baza
danych w firmowej sieci;
c. poznać dotychczasowe doświadczenia nowych pracowników w zakresie bezpieczeństwa.
- Szkolenia specjalistyczne - dla określonych grup osób lub z wybranej problematyki, ważnych z punktu
widzenia bezpieczeństwa firmy. Z reguły szkolenia dla określonych grup pracowników są organizowane
dla zarządu, zespołu zarządzania kryzysowego czy kasjerów. Wytypowanie grupy osób, które są istotne z
punktu widzenia firmy, zależy od jej profilu, ale szkolenia takie są narzędziem skierowanym do
pracowników, którzy z różnych powodów są bardziej narażeni na zagrożenia w organizacji.
- Szkolenia specjalistyczne z określonej problematyki - w planowaniu i prowadzeniu profil określają
procesy najistotniejsze z punktu widzenia interesów firmy. Należą do nich: planowanie strategiczne,
marketing, nowe projekty/technologie.
- Udział w szkoleniach, spotkaniach poszczególnych działów firmy - pozwala CSO z jednej strony na
zapoznanie się z bieżącymi problemami, z drugiej zaś umożliwia dotarcie ze swoimi sprawami do
szerszego grona pracowników firmy. Inną korzyścią jest zerwanie z wizerunkiem "tajnego agenta",
zbliżenie się do pracowników, których rola w systemie zarządzania bezpieczeństwem także jest istotna.
- Wewnętrzne biuletyny firmowe - dość rozpowszechnione w dużych organizacjach, dają dobre
możliwości przedstawienia problemów najważniejszych dla CSO w formie krótkich artykułów. Forma ta
jest skuteczna, jeśli teksty CSO nie są zbyt trudne, by nie rzec - nudne. Dlatego w tego typu publikacjach
dobrze jest prezentować zasady ogólne, poparte interesującymi przykładami, najlepiej blisko związanymi
z branżą, w której działamy.
- Bieżący kontakt z kadrą menedżerską - jest elementem pozwalającym CSO być na bieżąco z
problemami firmy, jej przeobrażeniami, planami. Przy okazji pozwala uzyskać informacje o potrzebach
poszczególnych działów w zakresie bezpieczeństwa i przekazać osobom kierującym najnowsze trendy w
tej dziedzinie. Taka obustronna wymiana informacji jest zawsze inspirująca.
Elementem niezmiernie ważnym w kszta-łtowaniu świadomości bezpieczeństwa jest zyskanie poparcia
kadry kierowniczej. Zgodnie z maksymą, przykład powinien iść z góry. CSO podlegający prezesowi
zarządu ma duże możliwości. Jest szansa, że uda mu się przekonać przełożonego do swojej koncepcji,
jeśli będzie ona realna, związana z celami biznesowymi firmy. W takim przypadku osoba kierująca firmą
będzie wspierała CSO, tym samym wszyscy pozostali będą mieli świadomość, że CSO nie tylko wykonuje
swoją pracę, lecz także realizuje wizję bezpieczeństwa organizacji przełożonego. To fundament dalszych
działań. Osiągnięcie takiego stanu nie jest proste. CSO musi tu wykazać się wieloma przymiotami, takimi
jak: prawość, pasja w działaniu, pragmatyka, wiedza na poziomie eksperckim, efektywność4.
Szczegółowy katalog cech CSO bywa różnie definiowany, nie będę go rozwijał, ponieważ nie to jest
tematem tego artykułu. Faktem jest natomiast, że CSO musi być par excellence specjalistą.
Drugie magiczne słowo: pasja
Posłużę się przykładem: niedawno miałem okazję uczestniczyć w dwóch wycieczkach. W czasie jednej z
nich oprowadzała mnie zawodowa przewodniczka. Byłem dla niej jednym z wielu klientów, więc po
wejściu do kolejnej komnaty w perle naszej architektury wygłaszała krótką formułkę, typu: na lewo... na
prawo... idziemy dalej. W czasie drugiej wycieczki przewodnikiem był człowiek, który opowiadał zupełnie
inaczej, zachęcał do zadawania pytań, zajrzenia tu i ówdzie. Po prostu robił to z pasją. Obie wycieczki
były podobne tylko z pozoru - druga wciąż pozostaje mi w pamięci, z pierwszej nic już nie pamiętam.
Dlaczego pamiętamy mało interesujące sprawy, gdy przedstawiają je pasjonaci? Bo pasja jest zaraźliwa...
bo pasjonat nie odrabia pańszczyzny (przepraszam za kolokwializm), tylko poświęca się całym sobą, bo
http://www.witczak.priv.pl
Kreator PDF
Utworzono 8 March, 2017, 22:27
Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT
to widać, słychać i czuć... bo takich ludzi słucha się inaczej... Stąd pasja w działaniu, nie tylko CSO, jest
tak ważna.
Trzecie magiczne słowo: dydaktyka
Rzadko kto z nas posiada wykształcenie pedagogiczne, choć z pewnością część CSO ma jakieś
doświadczenia z nauczaniem. Warto jednak poświęcić kilka chwil na zapoznanie się z tym tematem. Jest
on ważny, ponieważ pozwala nam przekazać wiedzę w taki sposób, aby została przyswojona. W procesie
kształtowania świadomości, który - przynajmniej w części - jest procesem nauczania, ważne są
podstawowe elementy dydaktyki, takie jak:
- określenie celu, treści i metody nauczania;
- stwarzanie sprzyjających warunków do nauki;
- sprawdzenie opanowanego materiału;
- planowanie;
- systematyczność.
Wykorzystanie zasad dydaktyki jest niezbędne dla efektywności kształtowania świadomości
bezpieczeństwa. Dzięki znajomości jej podstaw nasze cele mogą zostać zrealizowane szybciej, lepiej i
tym samym z większym pożytkiem dla firmy.
Jak w każdym procesie, tak samo w kształtowaniu świadomości powinniśmy zebrać źródła, które możemy
wykorzystać do osiągnięcia zamierzonego celu. W przypadku tak delikatnej materii, jaką jest
świadomość, sam autorytet CSO może nie wystarczyć. W każdej zbiorowości, znajdą się bowiem osoby
negatywnie nastawione do problematyki związanej z bezpieczeństwem. Dlatego tak ważne jest
wykorzystywanie w tym procesie zarówno źródeł zewnętrznych, jak i wewnętrznych, takich jak:
- publikacje instytucji państwowych;
- publikacje instytucji profesjonalnie zajmujących się oceną ryzyka;
- publikacje uznanych organizacji, skupiających specjalistów z branży security;
- rekomendacje działów bezpieczeństwa (szczególnie w przypadku dużych międzynarodowych
koncernów);
- własne statystyki, obserwacje, doświadczenia.
Kształtowanie świadomości jest tylko jednym z zasobów będących w dyspozycji CSO, których ujawnienie i
zaangażowanie w proces zarządzania bezpieczeństwem organizacji jest, zaś korzyści, jakie dzięki temu
firma osiąga, są bezsporne, zwłaszcza że duża część działań może być wykonana bez nakładów lub przy
poniesieniu niewielkich kosztów. Te zasoby mają jeszcze inną wartość, której nie można wycenić. Chodzi
o profilaktyczne oddziaływanie na środowisko pracy CSO. Osoby identyfikujące się z organizacją i
jednocześnie znające zasady bezpieczeństwa nie będą umożliwiały dokonywania przestępstw innym
osobom. Tym samym siła działań CSO w tej materii może zostać zwielokrotniona.
Świadomy, czyli będący na najwyższym poziomie rozwoju, w tym przypadku może oznaczać:
zwiększający bezpieczeństwo organizacji, to znaczy będący sprzymierzeńcem CSO.
Pod pojęciem CSO autor rozumie osobę zarządzającą bezpieczeństwem, dedykowana wyłącznie lub
przede wszystkim do tego obszaru działalności organizacji biznesowej, niezależnie od posiadanego przez
nią tytułu (security manager, dyrektor ds. bezpieczeństwa, szef ochrony itp.).
Tekst pochodzi z serwisu CSO
http://www.witczak.priv.pl
Kreator PDF
Utworzono 8 March, 2017, 22:27