Świadomość pracowników jako element
Transkrypt
Świadomość pracowników jako element
Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT Świadomość pracowników jako element kształtowania polityki bezpieczeństwa firmy Autor: Jacek Grzechowiak 20.07.2007. Zmieniony 30.07.2010. Współczesne organizacje biznesowe są narażone na wiele zagrożeń, poczynając od zagrożeń terrorystycznych, poprzez zagrożenia kryminalne, a na zagrożeniach ekonomicznych kończąc. Każdy rodzaj zagrożeń ma swoje cechy charakterystyczne, podlega odpowiednim regułom oraz powoduje określone konsekwencje. Każdy z nich ma także całą gamę symptomów pozwalających ujawnić zagrożenie z - większym lub mniejszym - wyprzedzeniem. Niezależnie od rodzaju zagrożenia, w celu wykrycia niezbędna jest wiedza o nim, jego cechach charakterystycznych oraz konsekwencjach występowania. Dlatego też coraz częściej w strukturach firm pojawiają się osoby dedykowane zarządzaniu bezpieczeństwem. W zależności od rozmiarów organizacji bywają to struktury jednoosobowe, dział bezpieczeństwa czy wręcz całe piony. Coraz częściej sprawy bezpieczeństwa są normowane przez standardy bądź procedury, a ich wykorzystanie i przestrzeganie (także przez samych CSO1) podlegają sprawdzeniu przez komórki audytu wewnętrznego lub zewnętrznego. Wydaje się więc, że system zarządzania bezpieczeństwem jest rozwinięty i efektywny. Czy jednak funkcjonujące mechanizmy są pełnym spektrum zasobów, które można i trzeba wykorzystać w zarządzaniu bezpieczeństwem? To z pozoru prowokacyjne pytanie może być inspiracją do poszukiwania zasobów, które nie są wykorzystywane, a których zaangażowanie w system zarządzania bezpieczeństwem powinno przynieść pozytywne efekty. Jednym z zasobów najczęściej niedocenianych jest świadomość pracowników dotycząca bezpieczeństwa. Dość często obserwowanym mechanizmem jest przeświadczenie, że jeśli w organizacji jest CSO, sprawy bezpieczeństwa należy kierować do niego. Jak już kiedyś wspomniałem na łamach tego pisma, jest to częściowo wynikiem działania samych CSO2, broniących swej tajemnej wiedzy i tym samym swej pozycji w firmie. Czy jednak podobne postępowanie jest korzystne dla organizacji? Wydaje się, że każdy proces wspomagający rozwój firmy jest dla niej korzystny. I z tego punktu widzenia zatrzymywanie wiedzy przez CSO jest dla firmy niekorzystne. Dla CSO zresztą także, ponieważ współpraca z osobami znającymi zasady bezpieczeństwa, rozumiejącymi jego specyfikę, dostrzegającymi swoje potrzeby w tym zakresie będzie przeniesieniem zarządzania bezpieczeństwem na wyższy poziom. Przekazanie wiedzy (przynajmniej jej części) pracownikom firmy, a szczególnie kadrze zarządzającej, jest elementem istotnie zwiększającym świadomość bezpieczeństwa. Magiczne słowo świadomość oznacza: - Stan czuwania, orientacji w tym, co się dzieje; - Najwyższy poziom rozwoju psychicznego charakterystyczny dla człowieka; specyficzna zdolność umysłu do odzwierciedlania obiektywnej rzeczywistości uwarunkowana społecznymi formami życia człowieka i ukształtowana w toku jego historycznego rozwoju. Definicja encyklopedyczna pozwala zorientować się, że świadomość jest ściśle związana z rozwojem człowieka. Towarzyszy nam od zarania dziejów i między innymi dzięki niej świat idzie do przodu. Dawniej świadomość pozwalała ratować życie przy spotkaniu z niebezpiecznym zwierzęciem. Dziś świadomość to wiedza, która pozwala zidentyfikować zagrożenia i podjąć właściwe działania. Paradoksalnie, zasady wykorzystywania świadomości nie zmieniły się diametralnie na przestrzeni dziejów. W dalszym ciągu najpierw należy się nauczyć, a następnie tę wiedzę wykorzystać. No właśnie: najpierw należy się nauczyć? Czy zostać nauczonym? Jeśli kadra menedżerska organizacji chciałaby się uczyć sama, zmuszona byłaby do poświęcania dużej części swojego czasu na zadania, które nie są sednem jej istnienia w organizacji. Po drugie zaś właśnie po to jest w organizacji CSO, aby tę wiedzę jej dostarczyć. Dochodzimy więc do wniosku, że kadra zarządzająca powinna być nauczana. Tu właśnie jest istotna rola CSO jako kreatora polityki bezpieczeństwa i towarzyszącej jej świadomości wśród kadry non-security. To właśnie CSO powinien dążyć do zaznajomienia kadry menedżerskiej i pracowników z zasadami bezpieczeństwa, potrzebami ich http://www.witczak.priv.pl Kreator PDF Utworzono 8 March, 2017, 22:27 Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT organizacji w tym zakresie, ustalenia zasobów podlegających ochronie. CSO może robić to sam, ale zapewne znacznie bardziej efektywne będzie wykorzystanie innych narzędzi istniejących w organizacji. A jest ich naprawdę dużo: - Szkolenia nowego pracownika, zwane bardzo różnie, lecz funkcjonujące niemal we wszystkich instytucjach w ramach szkoleń BHP - idealna platforma, dzięki której możemy: a. zapoznać pracowników z zasadami bezpieczeństwa obowiązującymi w firmie; b. wskazać im źródła regulujące tę problematykę, czyli procedury i miejsca ich publikacji, np. baza danych w firmowej sieci; c. poznać dotychczasowe doświadczenia nowych pracowników w zakresie bezpieczeństwa. - Szkolenia specjalistyczne - dla określonych grup osób lub z wybranej problematyki, ważnych z punktu widzenia bezpieczeństwa firmy. Z reguły szkolenia dla określonych grup pracowników są organizowane dla zarządu, zespołu zarządzania kryzysowego czy kasjerów. Wytypowanie grupy osób, które są istotne z punktu widzenia firmy, zależy od jej profilu, ale szkolenia takie są narzędziem skierowanym do pracowników, którzy z różnych powodów są bardziej narażeni na zagrożenia w organizacji. - Szkolenia specjalistyczne z określonej problematyki - w planowaniu i prowadzeniu profil określają procesy najistotniejsze z punktu widzenia interesów firmy. Należą do nich: planowanie strategiczne, marketing, nowe projekty/technologie. - Udział w szkoleniach, spotkaniach poszczególnych działów firmy - pozwala CSO z jednej strony na zapoznanie się z bieżącymi problemami, z drugiej zaś umożliwia dotarcie ze swoimi sprawami do szerszego grona pracowników firmy. Inną korzyścią jest zerwanie z wizerunkiem "tajnego agenta", zbliżenie się do pracowników, których rola w systemie zarządzania bezpieczeństwem także jest istotna. - Wewnętrzne biuletyny firmowe - dość rozpowszechnione w dużych organizacjach, dają dobre możliwości przedstawienia problemów najważniejszych dla CSO w formie krótkich artykułów. Forma ta jest skuteczna, jeśli teksty CSO nie są zbyt trudne, by nie rzec - nudne. Dlatego w tego typu publikacjach dobrze jest prezentować zasady ogólne, poparte interesującymi przykładami, najlepiej blisko związanymi z branżą, w której działamy. - Bieżący kontakt z kadrą menedżerską - jest elementem pozwalającym CSO być na bieżąco z problemami firmy, jej przeobrażeniami, planami. Przy okazji pozwala uzyskać informacje o potrzebach poszczególnych działów w zakresie bezpieczeństwa i przekazać osobom kierującym najnowsze trendy w tej dziedzinie. Taka obustronna wymiana informacji jest zawsze inspirująca. Elementem niezmiernie ważnym w kszta-łtowaniu świadomości bezpieczeństwa jest zyskanie poparcia kadry kierowniczej. Zgodnie z maksymą, przykład powinien iść z góry. CSO podlegający prezesowi zarządu ma duże możliwości. Jest szansa, że uda mu się przekonać przełożonego do swojej koncepcji, jeśli będzie ona realna, związana z celami biznesowymi firmy. W takim przypadku osoba kierująca firmą będzie wspierała CSO, tym samym wszyscy pozostali będą mieli świadomość, że CSO nie tylko wykonuje swoją pracę, lecz także realizuje wizję bezpieczeństwa organizacji przełożonego. To fundament dalszych działań. Osiągnięcie takiego stanu nie jest proste. CSO musi tu wykazać się wieloma przymiotami, takimi jak: prawość, pasja w działaniu, pragmatyka, wiedza na poziomie eksperckim, efektywność4. Szczegółowy katalog cech CSO bywa różnie definiowany, nie będę go rozwijał, ponieważ nie to jest tematem tego artykułu. Faktem jest natomiast, że CSO musi być par excellence specjalistą. Drugie magiczne słowo: pasja Posłużę się przykładem: niedawno miałem okazję uczestniczyć w dwóch wycieczkach. W czasie jednej z nich oprowadzała mnie zawodowa przewodniczka. Byłem dla niej jednym z wielu klientów, więc po wejściu do kolejnej komnaty w perle naszej architektury wygłaszała krótką formułkę, typu: na lewo... na prawo... idziemy dalej. W czasie drugiej wycieczki przewodnikiem był człowiek, który opowiadał zupełnie inaczej, zachęcał do zadawania pytań, zajrzenia tu i ówdzie. Po prostu robił to z pasją. Obie wycieczki były podobne tylko z pozoru - druga wciąż pozostaje mi w pamięci, z pierwszej nic już nie pamiętam. Dlaczego pamiętamy mało interesujące sprawy, gdy przedstawiają je pasjonaci? Bo pasja jest zaraźliwa... bo pasjonat nie odrabia pańszczyzny (przepraszam za kolokwializm), tylko poświęca się całym sobą, bo http://www.witczak.priv.pl Kreator PDF Utworzono 8 March, 2017, 22:27 Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT to widać, słychać i czuć... bo takich ludzi słucha się inaczej... Stąd pasja w działaniu, nie tylko CSO, jest tak ważna. Trzecie magiczne słowo: dydaktyka Rzadko kto z nas posiada wykształcenie pedagogiczne, choć z pewnością część CSO ma jakieś doświadczenia z nauczaniem. Warto jednak poświęcić kilka chwil na zapoznanie się z tym tematem. Jest on ważny, ponieważ pozwala nam przekazać wiedzę w taki sposób, aby została przyswojona. W procesie kształtowania świadomości, który - przynajmniej w części - jest procesem nauczania, ważne są podstawowe elementy dydaktyki, takie jak: - określenie celu, treści i metody nauczania; - stwarzanie sprzyjających warunków do nauki; - sprawdzenie opanowanego materiału; - planowanie; - systematyczność. Wykorzystanie zasad dydaktyki jest niezbędne dla efektywności kształtowania świadomości bezpieczeństwa. Dzięki znajomości jej podstaw nasze cele mogą zostać zrealizowane szybciej, lepiej i tym samym z większym pożytkiem dla firmy. Jak w każdym procesie, tak samo w kształtowaniu świadomości powinniśmy zebrać źródła, które możemy wykorzystać do osiągnięcia zamierzonego celu. W przypadku tak delikatnej materii, jaką jest świadomość, sam autorytet CSO może nie wystarczyć. W każdej zbiorowości, znajdą się bowiem osoby negatywnie nastawione do problematyki związanej z bezpieczeństwem. Dlatego tak ważne jest wykorzystywanie w tym procesie zarówno źródeł zewnętrznych, jak i wewnętrznych, takich jak: - publikacje instytucji państwowych; - publikacje instytucji profesjonalnie zajmujących się oceną ryzyka; - publikacje uznanych organizacji, skupiających specjalistów z branży security; - rekomendacje działów bezpieczeństwa (szczególnie w przypadku dużych międzynarodowych koncernów); - własne statystyki, obserwacje, doświadczenia. Kształtowanie świadomości jest tylko jednym z zasobów będących w dyspozycji CSO, których ujawnienie i zaangażowanie w proces zarządzania bezpieczeństwem organizacji jest, zaś korzyści, jakie dzięki temu firma osiąga, są bezsporne, zwłaszcza że duża część działań może być wykonana bez nakładów lub przy poniesieniu niewielkich kosztów. Te zasoby mają jeszcze inną wartość, której nie można wycenić. Chodzi o profilaktyczne oddziaływanie na środowisko pracy CSO. Osoby identyfikujące się z organizacją i jednocześnie znające zasady bezpieczeństwa nie będą umożliwiały dokonywania przestępstw innym osobom. Tym samym siła działań CSO w tej materii może zostać zwielokrotniona. Świadomy, czyli będący na najwyższym poziomie rozwoju, w tym przypadku może oznaczać: zwiększający bezpieczeństwo organizacji, to znaczy będący sprzymierzeńcem CSO. Pod pojęciem CSO autor rozumie osobę zarządzającą bezpieczeństwem, dedykowana wyłącznie lub przede wszystkim do tego obszaru działalności organizacji biznesowej, niezależnie od posiadanego przez nią tytułu (security manager, dyrektor ds. bezpieczeństwa, szef ochrony itp.). Tekst pochodzi z serwisu CSO http://www.witczak.priv.pl Kreator PDF Utworzono 8 March, 2017, 22:27