На предприятиях Топливной компании Росатома «ТВЭЛ» регулярно проводятся внешние независимые оценки уровня культуры безопасности.
В «Росатоме» обсудили культуру безопасного поведения
Почему такое происходит? Потому что работники совершают ошибки. Однако эта причина не является коренной. Если мы заглянем внутрь организации, понаблюдаем за сотрудниками, мы быстро поймем, что ошибки происходят из-за того, что не выстроены рабочие процессы. Вы возразите: «А как же ситуации, когда рабочий сознательно не надевает каску? Такое сплошь и рядом». Вы абсолютно правы.
Однако для полноты картины стоит задать вопрос: «Выдали мы ему удобные средства защиты? Вовремя ли мы их заменяем? Обеспечиваем ли условия, когда СИЗ комфортно пользоваться? Руководство недостаточно четко дало понять, какие санкции ждут работника за нарушение субординации.
На подразделение ежемесячно выделяется зафиксированная сумма премии.
Так мы понимаем, что люди видят и что хотят видеть в нашей компании. Другое дело — по каким параметрам их оценивать. Онлайн- и офлайн-мероприятия. По итогам мероприятий следует проводить опросы удовлетворённости, из которых можно узнать, насколько они важны сотрудникам, чем полезны, что нового узнали люди. Новости и информационные дайджесты. Измерять не только количество выпускаемых материалов, но и уровень вовлечённости читателей — сколько сотрудников прочли новость, из каких подразделений, какова динамика, на какие инфоповоды люди реагируют лучше. В работе внутрикома очень важна структура и системность. Например, в hh. Это больше чем традиция, это уже часть информационной политики компании.
Рассылки о «плюшках» в компании. Стоит сделать календарь на весь год, где будут расписаны коммуникации на всех сотрудников о возможностях, которые даёт компания. Это и поэтапный рассказ о ДМС что в него входит, как воспользоваться, какие есть дополнительные опции , о спортивных активностях, познавательных вебинарах и многом другом. Не стоит ограничиваться единственной новостью, выпущенной в январе, приходят новые сотрудники, и им важно знакомиться с компанией с разных сторон. При этом все материалы по теме должны храниться в одном месте и регулярно обновляться, чтобы у каждого работника был к ним доступ. Популяризация бренда. Это всевозможные выступления на профессиональных конференциях, участие в премиях и конкурсах, а также PR-активности, направленные на привлечение внимания соискателей. На YouTube-канале мы ведём блог «оhhнные истории». В наше сообществе на Хабре входит более 35 авторов, которые постоянно пишут для нас статьи. За последние полгода мы увеличили количество подписчиков до 10 000, хотя до этого наш блог читали не более 2 500 пользователей.
Эти результаты мы начинаем превращать в OKR — в конце каждого квартала делаем прогноз по подписчикам, мероприятиям, статьям. Не всегда очевидно, кто должен вести социальные сети в компании — направление работы над HR-брендом, внутренние или внешние коммуникации. В любом случае метрик для оценки работы, как и в любом digital-канале, здесь множество: от количества подписчиков, просмотров и лайков до привлечённых с помощью соцсетей кандидатов. Важно на первом этапе определиться, сколько людей хочется привлечь к исследованию, какие каналы для этого использовать, какой результат считать победным. Сюда же входит опрос удовлетворённости внутренними коммуникациями, чтобы специалисты понимали, чего сотрудникам не хватает, что необходимо подтянуть. В целом менеджер по внутренним коммуникациям, как и HR-менеджер, это не только про людей, но и про деньги. Любая компания должна знать, сколько средств она тратит на сотрудника за год. В зависимости от потребностей и возможностей одни вкладываются в электронные библиотеки и программы обучения, другие — в строительство целых городов для сотрудников. Несмотря на разность подходов и бюджетов, внутриком из всего имеющегося арсенала старается извлечь максимальную пользу для людей и бизнеса, и на этом пути, как и на любом другом, есть свои камни преткновения. Ошибки в работе внутренних коммуникаций Лидеру направления внутренних коммуникаций должен быть выдан карт-бланш на принятие решений.
Если у него нет влияния в компании, тогда его роль сводится к нулю. Согласование каждого шага с руководством говорит либо о некомпетентности специалиста, либо о недоверии со стороны СЕО. И в том, и в другом случае об эффективной работе не может быть и речи. Вторая распространённая ошибка — расслоение каналов коммуникации. Собрания проходят в Zoom, новости публикуют на корпоративном портале, рабочие переписки ведутся в трёх разных мессенджерах — знакомая картина, не правда ли? Задача внутрикома — по возможности перенести все активности в один канал и объяснять коллегам, которые пытаются создать очередной чат с полезной информацией, что такая рассредоточенность в лучшем случае превратит всю коммуникацию в белый шум, в худшем — приведёт к ошибкам в восприятии информации. Следующая ошибка внутрикома, которая грозит компании обернуться репутационными потерями, — неумение хранить тайны. Учитывая, что этот специалист очень тесно взаимодействует с топ-менеджментом и одним из первых узнает обо всех грядущих событиях, может быть велик соблазн выдать информацию коллегам или друзьям.
Были проведены реконструкции цехов, отопительных и вентиляционных систем, ремонт и обустройство санитарно-бытовых помещений и раздевалок. В 2023 году на эти цели было выделено более 83 млн рублей. Для улучшения условий труда было приобретено оборудование, защищающее от воздействия вредных факторов: мостовые краны, подъемники, штабелеры, ричтраки, электрические тележки, моечные машины, электропечи. Все сотрудники завода обеспечены средствами защиты, спецодеждой и специальной обувью. На предприятии проводятся первичные и периодические медицинские осмотры. Обеспечен питьевой режим в подразделениях.
"Влияние корпоративной культуры на безопасность организации"
Общая культура организации развивается со временем и под влиянием различных факторов, таких как история организации, лидерство, ценности и предпочтения ее сотрудников. Культура безопасности, в контексте управления организациями, рассматривается как универсальный индикатор эффективности и управляемости. Ежегодно в группе компаний ИНК проводится оценка уровня культуры безопасности по международной методике «Сердца и. Поскольку и до пандемии компания активно поддерживала ценности корпоративной культуры, в текущий период она не подверглась сильной модификации. Но бывают предприятия, которые действительно ищут способы мотивации своих сотрудников к активному участию в устойчивых инициативах. Как оценивать и контролировать уровень культуры безопасности в компании? Забота о сотрудниках влияет в том числе и на их производительность и уровень удовлетворенности работой.
На ВНОТ обсудили влияние культуры безопасности на ESG-трансформацию бизнеса
Кроме того, выросла производственная грамотность и вовлеченность работников. В рамках профилактических визитов на предприятиях все чаще сталкиваешься с тем, что работники знают о вредных производственных факторах на их рабочих места, о рисках травмирования, о мероприятиях, которые работодатель проводит для снижения уровня потенциальной опасности. Такие тенденции сильно облегчают работу специалистов по охране труда», — рассказывает Бородихин. Для некоторых организаций сумма всех расходов, вызванных несчастными случаями, может быть соизмерима с годовым доходом.
Организация несет как прямые экономические потери: оказание медицинской помощи; зарплата пострадавшего в день несчастного случая; оплата работы комиссии по расследованию и пр. На практике видно, что работодатели это понимают и стремятся предотвращать: уделяют большое внимание обучению, обновляют оборудование и инструменты, разрабатывают грамотные технологические процессы и обеспечивают работников СИЗ с лучшими защитными свойствами. К потерям организации, которые на практике обычно не учитывают, относится упущенная прибыль предприятия.
Из-за несчастного случая пострадавший не выполнил свою работу, а значит, не принес предприятию прибыль. Более того, происшествие вызвало простой, поэтому упущенную прибыль считают с момента несчастного случая до восстановления рабочего процесса за счет других работников.
Сегодня существует два основных подхода к управлению охраной труда — реактивный и проактивный. Реактивный предполагает реакцию на уже случившееся событие, а проактивный работает на выявление потенциальных проблем и их устранение еще до того, как они приведут к неприятным последствиям. Один из наиболее ярких визуальных образов, демонстрирующих необходимость проактивного подхода, — пирамида происшествий Герберта Хенриха. В ее основании лежат опасные условия труда и опасные действия работников. Далее по уменьшению частоты встречаемости следуют предпосылки происшествий, за ними — травмы регистрируемые и тяжелые и смертельные случаи.
Именно о таком распределении говорит статистика причин происшествий, анализируемая на протяжении многих лет. Проактивный подход к охране труда — это работа с основанием пирамиды, то есть профилактика и предупреждение опасных условий и действий. Только за счет их исключения мы сможем искоренить травматизм. Чтобы профилактика была эффективной, в организации должна существовать подходящая идейная основа, инфраструктура и методология.
Максим Фролов высказал свою точку зрения о формировании культуры безопасности КБ на предприятиях строительной отрасли.
По его мнению, уровень развития КБ напрямую влияет не только на операционные показатели организации, но и на корпоративную культуру: HR-процессы и лояльность сотрудников. Эксперт рассказал об основных этапах, которые проходит компания в ходе развития культуры безопасности, о ключевых методах ее оценки и важности приверженности руководства в данном процессе. Кроме того, Максим описал модель эффективной культуры безопасности, при которой ценности работника интегрируются с ценностями компании.
Принцип «safety first» в «Сен-Гобен» реализован не на словах, а на деле — с него начинается каждое предприятие группы.
Так и при покупке завода в Челябинске 2011г. Материальная база — исходное условие. А самое главное и самое трудное — это поменять поведение работников, сломать опасные привычки и стереотипы, измененить сам образ мыслей. От принудительного исполнения стандартов под жестким контролем перейти к искреннему принятию людьми новых ценностей в сфере их же собственной безопасности.
Лишь отчасти. Евгений Прокопьев сам работал прежде на другом предприятии данной отрасли, типичном для нашей производственной практики — со сдельной оплатой труда, с минимальными условиями быта и с «авось» вместо безопасности. Раньше это казалось удобным, привыкать к новым строгим нормам было трудно. Но со временем огромная польза такой жёсткой системы стала очевидной, появилось искреннее желание передавать такой подход новым работникам.
Позднее, благодаря такому стремлению, накопленным компетенциям и успехам, Евгений был назначен на должность менеджера EHS. Алгоритм формирования культуры максимальной безопасности на производстве приблизительно следующий: 1 Формирование ведущей лидерской позиции руководителей. Каждый должен являть собой безупречный пример соблюдения стандартов безопасности и быть внимательным наставником для остальных.
«Мы работаем над тем, чтобы культуру безопасности сделать модной»
Руководство знает, что происходит на самом деле, потому что им говорят сотрудники. Люди стараются быть максимально информированными, потому что это готовит их к неожиданностям. Это состояние «хронического беспокойства» отражает уверенность в том, что, несмотря на все усилия, ошибки будут происходить и что даже незначительные проблемы могут быстро перерасти в опасные для системы сбои. Инициативный: переход от управления HSE на основе того, что произошло в прошлом, к предотвращению того, что может пойти не так в будущем. Персонал начинает вовлекаться в практику, и линия начинает выполнять функцию HSE, в то время как персонал HSE сокращается и дает рекомендации, а не выполнение. Расчетливый: сосредоточьтесь на системах и числах.
Собирается и анализируется большой объем данных, проводится множество аудитов, и люди начинают чувствовать, что знают, «как это работает». Однако эффективность собранных данных не всегда доказана. Реактивный: безопасность воспринимается серьезно, но только после того, как что-то пошло не так. Менеджеры разочарованы тем, что персонал не выполняет то, что им говорят. Для диагностики текущего уровня культуры безопасности используется следующий чек-лист: Обсуждение вопросов в области ОТПБ с работниками.
Уровень приверженности работников принципам ОТПБ. Как вознаграждаются хорошие результаты в области ОТПБ. Кто, с точки зрения руководства, является виновником происшествий? Баланс между прибылью и ОТПБ. Управление подрядчиками.
Заинтересованы ли работники в компетентности? Планирование работ, включая допуски к работе. Методы управления безопасностью на производстве.
Например, почему не нужно держать токены в коде и почему их нужно выносить куда-то в сторону — в идеале в систему специального хранения, чтобы даже на тесте они неожиданно не попали во внешние источники. Задача компании — объяснить разработчикам, почему это важно. И при этом построить систему контроля, которая будет говорить о том, что нужно исправить.
Самое важное — воспринимать ее не как «надсмотрщика», а как помощника, который будет подсвечивать ошибки. Не нужно говорить программистам, как следует писать код, — они сами знают, как делать свою работу. Нужно только показать, что вот здесь уязвимость, вот тут небезопасный метод, а здесь небезопасная работа с данными. Или что ты забыл убрать то, чего тут быть не должно. Безопасная разработка — это, по сути, страховка для разработчиков и бизнеса. Мы внедряем средства, которые указывают на потенциальные проблемы, а затем, когда все замечания будут отработаны, передаем код на постобработку, в продакшен и так далее.
При этом обычному программисту не обязательно знать всю специфику безопасной разработки, достаточно только понимать, какие типы уязвимостей существуют в его сфере и зоне ответственности. Этих уязвимостей много, но совершенно новые появляются не так часто. Поэтому нужно один раз разобраться во всех типах, чтобы было базовое понимание, а дальше будут тонкости, разбираться в которых разработчику совершенно не обязательно — этим уже займутся специалисты по кибербезопасности. Отдельно хочется еще упомянуть про работу со сторонними библиотеками. Сейчас очень популярна тема безопасности с внешними пакетами — теми, что разработчики используют в своей работе, чтобы не писать функционал с нуля. Ожидаемо, эти библиотеки не всегда безопасны.
Когда компания выстраивает безопасную разработку, она зачастую делает безопасное хранилище, или репозиторий. Всё, что попадает в этот репозиторий, нужно тщательно проверять на уязвимости и убеждаться, что с пакетами всё в порядке. Для разработчиков это часто очень неудобно, потому что нужно ждать, пока закончится проверка. Но это важный элемент защиты. Крупные компании поступают следующим образом: дают разработчикам полную свободу действий в тестовой среде, а затем проверяют все нужные библиотеки перед выпуском в продакшен. Так программисты могут использовать вообще всё что угодно, потому что среда изолирована.
Там нет настоящих данных клиентов, и оттуда нельзя попасть в полноценную внутреннюю сеть компании. Но когда нужно будет перейти в продуктовую среду, начнутся проверки на безопасность. На этом этапе разработчикам говорят: «Ты использовал эту библиотеку, теперь нам нужно время ее проверить». И если проверка пройдет успешно, то можно загружать обновления в продакшен. Так создается баланс между свободой и защитой. Как обучить сотрудников безопасно работать с данными Культура безопасности строится не только на технических специалистах, но и на всех остальных сотрудниках — бухгалтерах, менеджерах, охранниках.
Поэтому обучать нужно каждого, или это всё будет бессмысленно. Но тут есть свои нюансы. Технические специалисты. Это обычно разработчики, администраторы и другие. Их обучить проще всего — достаточно подобрать хорошие курсы. Многие компании по кибербезопасности проводят обучение.
В ее основании лежат опасные условия труда и опасные действия работников. Далее по уменьшению частоты встречаемости следуют предпосылки происшествий, за ними — травмы регистрируемые и тяжелые и смертельные случаи. Именно о таком распределении говорит статистика причин происшествий, анализируемая на протяжении многих лет. Проактивный подход к охране труда — это работа с основанием пирамиды, то есть профилактика и предупреждение опасных условий и действий. Только за счет их исключения мы сможем искоренить травматизм. Чтобы профилактика была эффективной, в организации должна существовать подходящая идейная основа, инфраструктура и методология. Идейной основой проактивного подхода к охране труда в Росатоме является международная концепция нулевого травматизма Vision Zero, к которой Госкорпорация присоединилась два года назад. В Росатоме уже ведется большая и эффективная работа по обеспечению безопасности. Для этого создана мощная инфраструктура, включающая службы охраны труда и промышленной безопасности предприятий, институт уполномоченных по охране труда и менеджеров по культуре безопасности, Техническую академию и Генеральную инспекцию и др.
Связывание социальных показателей и таких показателей бизнеса, как производительность труда, eNPS вовлеченность , фонд рабочего времени, процент текучести кадров и индекс КБ. Оцифровка процессов социальной устойчивости. Последний этап предполагает использование цифровой платформы по управлению культурой безопасности, в которой есть такие функции, как управление рисками и условиями труда, сбор, хранение и обработка всех исходных данных, автоматизация обучения и формирование цифровых процессов по модулям здоровье персонала, управление безопасностью работ, управление подрядчиками, расследование инцидентов, внутренние аудиты и контроль, бюджетирование. По словам Максима, внедрение данного цифрового решения позволило повысить производительность труда, снизить потери от нетрудоспособности, увеличить фонд рабочего времени и значительно сократить текучесть кадров.
Развитие культуры безопасности на промышленном предприятии
Организации, в которых есть психологическая безопасность, реже совершают ошибки и порождают больше инноваций. Культура безопасности, в контексте управления организациями, рассматривается как универсальный индикатор эффективности и управляемости. Ежегодно в группе компаний ИНК проводится оценка уровня культуры безопасности по международной методике «Сердца и. Формирование культуры осознанной безопасности ведется в рамках внедрения собственной Производственной системы – концепции управления на принципах бережливого производства и непрерывного совершенствования. Изменения в общей культуре безопасности компании, похоже, требуют личной веры и ответственности со стороны высшего руководства, а не одной лишь логики. Один из выводов: управление подрядчиками — важный фактор культуры безопасности, на который предприятиям сложно влиять, на это в своем выступлении указал гендиректор НЗХК Алексей Жиганин.
Проект «Развитие культуры безопасности»
Один из выводов: управление подрядчиками — важный фактор культуры безопасности, на который предприятиям сложно влиять, на это в своем выступлении указал гендиректор НЗХК Алексей Жиганин. Этот факт сильно влияет на повышение безопасности на производстве. Минимизировать риски случайных и намеренных утечек можно, если HR-отдел совместно со службой безопасности и IT-командой будут формировать культуру работы с корпоративной информацией. Более 500 специалистов и руководителей из различных отраслей, таких как строительство, ЖКХ, нефтяная промышленность и сельское хозяйство, поделились своим опытом и мнением о культуре безопасности в своих компаниях. Для продвижения культуры безопасной разработки и улучшения понимания проблем безопасности разработчиками, мы внедрили следующие практики.
К сотрудникам с любовью: как в компаниях заботятся о команде
| Актуальность развития культуры безопасности на российских ТЭС | Это когда руководитель компании своим собственным примером демонстрирует культуру безопасности во всем». |
| Влияние культуры безопасности на корпоративную культуру: взгляд эксперта Группы SRG | Новости профсоюзных организаций. |
| Формирование культуры безопасности у сотрудников с помощью DLP-системы | Как руководители и сотрудники влияют на культуру безопасности в компании. |
"Влияние корпоративной культуры на безопасность организации"
«Под культурой безопасности подразумевается, что все сотрудники осознают и соблюдают правила и нормы безопасности и следят за тем, чтобы другие поступали так же», – объясняет эксперт. Развитие культуры безопасности сотрудников — одна из необходимых мер для предотвращения внутренних инцидентов ИБ и противостояния кибератакам. Для определения уровня развития культуры безопасности предприятия используют кривую Брэдли. К тому же следование предприятием культуре безопасности становится огромным репутационным плюсом компании в глазах потенциальных инвесторов и партнеров. Формирование позитивного уровня культуры безопасности является первоочередной задачей управления организации в рамках реализации концепции сохранения человеческих ресурсов.
"Влияние корпоративной культуры на безопасность организации"
Она говорит о том, что успех изменения поведения зависит не от известности блогера, которого вы позвали провести эколекцию для сотрудников, а определяется тремя факторами: Отношение к проблеме Возможность выполнять это действие Отношение к проблеме: что я думаю? Первое, над чем стоит работать, — это отношение к проблеме: считает человек то или иное действие хорошим или плохим. Например, в одной крупной компании, которая обратилась к нам за устойчивым развитием, в результате глубинных интервью с руководителями выяснилось, что все без исключения считают раздельный сбор отходов бессмысленным — «всё равно всё в одну кучу сваливают». В целом, ничего необычного. Здесь нужно методично менять отношение, начиная с руководителей. Рассказывать и показывать, как действительно всё устроено. Вместе посчитать, сколько можно сэкономить, превратив отходы в доходы.
Свозить на полигон и станцию сортировки или хотя бы в музей мусора , провести мастер-классы по обращению с отходами. Отработать возражения, показать личную выгоду. Субъективная норма: что принято думать? Второе, что влияет на изменение поведения: будет ли человек испытывать социальное давление со стороны других людей и чувство вины. Если удалось изменить отношение, и топ-менеджмент признает важность устойчивости, необходимо интегрировать её подходы в процессы и процедуры компании. Сотрудников не вдохновляют амбициозные цели, даже если это цели по спасению мира.
Сотрудников вдохновляют цели понятные: что конкретно я на своём рабочем месте должен делать, чтобы быть более бережным к природе? Обеспечить такое понимание, а затем поддержку исполнения — задача руководителей. Как говорится, «хорошо делай — хорошо будет». Этичность и экологичность необходимо последовательно интегрировать в нормативный уровень компании, вшить в KPI и декомпозировать до производственных операций каждого сотрудника. И далее классический performance management, управление по ценностям и работа в короткой петле обратной связи. Всё это создаёт среду для необходимого уровня социального давления.
Нельзя обойти вниманием необходимость обратной связи. Похвала всегда приветствуется, но становится гораздо более значимой, когда она связана с конкретными примерами и точно указывает, как чей-то вклад работает на пользу устойчивого развития. То же самое относится и к предоставлению корректирующей обратной связи по областям улучшения: держите эту обратную связь персонализированной и действенной. Важно, чтобы экологичное поведение стало нормой, а отступления от него порицались. Так, в той же компании с руководителями «всё в одну кучу», тем не менее, наблюдается очень ответственное отношение к батарейкам. Их стыдно выбрасывать в помойку.
К тому же не так сложно сдать в переработку. И тут наступает время третьего и решающего аспекта. Возможности: насколько трудно это делать? Как бы ни тревожили нас вопросы глобального изменения климата и тихоокеанского мусорного пятна, как бы стыдно нам ни было выбрасывать стаканчик из-под йогурта в мусорное ведро, мы будем это делать, если возможности передать в переработку просто нет. Поэтому, когда речь идёт о повышении устойчивости в компании, технические меры — это третий шаг после глубокой работы с отношением. Устойчивое развитие — это прежде всего адаптивный, а не технологический вызов.
Но грамотно организовать процессы — это так же важно. Поступать устойчиво должно быть проще, чем действовать по-старому. Зачастую экологическое поведение может иметь мало положительных и больше негативных последствий со стороны действий. Например, если каждый раз нужно ходить в другое помещение, чтобы взять черновики для принтера, то эта мера по сбережению бумаги обречена на провал. Это «эко» будет только раздражать. Вот почему важно поставить лоток с черновиками рядом с точкой печати.
По базовой составляющей «Система управления» отмечены следующие показатели с низким уровнем [3]: 1. Обмен опытом по актуальным вопросам культуры безопасности. В настоящий момент отмечается недостаток обмена опытом по вопросам эксплуатации оборудования и безопасного производства работ как внутри Общества между структурными подразделениями, так и за его пределами с другими предприятиями. Существует высокая потребность и полезность в семинарах, конференциях, рабочих встречах. Цитирую высказывания работников: «единственная эффективная практика — это спросить «по-быстрому у своих» как устранить или исправить проблему». Связь системы поощрений работников с безопасным поведением.
В Обществе не прослеживается связь системы поощрения материальной и нематериальной с безопасным поведением работника, наряду с высоким уровнем системы наказаний. Для примера процитирую работников: руководители говорят: «отсутствие наказания и есть ваше поощрение», «не хочешь, не нравится — за забором другие стоят, они за тебя сделают». Наличие и доступность системы сообщений о проблемах безопасности. Работники отметили, что такой системы в Обществе нет, что готовы сообщать руководству о проблемах и ошибках. Но есть случаи, когда руководители игнорируют сообщения о проблемах безопасности, не транслируют работникам свои ожидания. Страх наказания и страх неизвестности, что это может быть воспринято негативно руководителями и последствия могут быть неадекватны, снижают качество и количество обращений.
Цитирую работников: «есть программа — добиться меньше нарушений». Как итог— «не все фиксируем, чтобы не попасть под подозрение и не портить статистику», «самому разбираться, если что-то идёт не так легче, чем обратиться к руководителю, но, если сложно, всё-таки обращаемся хотя помощи не будет , делаем дальше сами». Проектные запасы.
Он был дома и занимался тем же, чем и многие фанаты социальных сетей на выходных, — сидел в сети. Около пяти часов вечера он увидел, что статус на странице компании поменялся на произвольный набор букв.
Гэвин предположил, что сообщение случайно написал кто-то из его команды, — и удалил пост. Затем он связался с сотрудниками, чтобы выяснить, чьих это рук дело. Об обновлении никто ничего не знал. Вскоре появился новый бессмысленный пост. И теперь он был неслучайным.
Гэвин залогинился в социальной сети и перешел в настройки аккаунта. Имена всех людей, имеющих доступ к управлению страницей, были ему знакомы. Но чтобы перестраховаться, он начал закрывать доступ другим администраторам из списка. Пока он делал это, страница в браузере обновилась — и его «выкинуло» из аккаунта. Теперь сомнений в злонамеренности действий не осталось.
За секунду Гэвин сообразил, что удаление поста сообщило хакеру: в McAfee знают о взломе. Началась классическая гонка из криминальных фильмов о технологиях: пальцы летали по клавиатуре, появлялись и скрывались значки программ, всплывали сообщения — все в лучших традициях Голливуда. Гэвин и злоумышленник на всех парах в режиме онлайн неслись к одной цели. Даже отсутствие напряженного саундтрека не снижало накала страстей. Гэвин рассказал: «Я старался удалить всех остальных администраторов, и хакер делал то же самое.
Он сработал быстрее». Прежде чем закончить разговор с генеральным директором, мне пришлось поделиться с ним еще одной неутешительной новостью. Это вовсе не птица. Это… кхм… это части тела. Распространенная вещь в хакерском сообществе — «украшать» взломанные сайты непристойными рисунками, чтобы пометить тех, кто был, как говорят на сленге, «унижен», кого «хакнули».
Хакер уже знал, что мы заблокированы и ситуация под его контролем; он повесил пошлую картинку вместо нашего нового логотипа просто так, на всякий случай. Моя команда максимально вовлекла службу поддержки социальной сети в решение проблемы. Но… в праздники все происходит дольше. Поскольку был уже поздний вечер, нас перевели на сотрудников группы, работающей в Азиатско-Тихоокеанском регионе. Создавалось впечатление, что время физически преодолевало океан, разделяющий нас и службу поддержки.
Минуты ползли со скоростью улитки. Казалось, ожидание длилось целую вечность. Взломали не наши сервера, и у меня не было возможности подключить команду специалистов из McAfee к решению сторонней проблемы. Мы могли лишь каждые несколько минут связываться со службой поддержки, чтобы снова получать ответ: «Мы работаем над этим». Примерно через полчаса они сообщили, что заблокировали всех администраторов нашей корпоративной страницы, и доступ к ней остался только у них.
Это были хорошие новости: по крайней мере, большего вреда нанесено не будет. А что насчет плохих новостей? Они не могли просто откатить страницу до версии 30-минутной давности. Согласно протоколу, страницу заблокировали, чтобы никто больше не мог изменять ее, а затем должны были последовать процедуры проверки и анализа. В ходе первой они должны были удостовериться, что мы действительно те, за кого себя выдаем, а не хакер, только притворяющийся McAfee какая ирония!
Анализ же призван был определить степень взлома — и только затем можно было предпринимать дальнейшие действия. Но как быть с непристойным аватаром? Он все еще висел на нашей корпоративной странице. Хуже того: платформа работала таким образом, что в личных профилях всех сотрудников McAfee в социальной сети вместо логотипа компании также отображалась эта пошлая картинка. И в моем тоже.
Когда мы снова связались со службой поддержки, нам сообщили, что «процедуры» еще не закончены. Если следовать их логике, выходило, что единственный шанс откатить страницу — реактивировать, то есть разблокировать аккаунт, но они не сделают этого до тех пор, пока не закончат проверку безопасности. Как это вообще возможно? С нашей страницей ничего нельзя было сделать до окончания проверки. Мы были в полной их власти.
Все, что могли предпринять наши сотрудники, — удалить любое упоминание о McAfee из собственных профилей. Те, кто был в курсе происходящего, так и сделали. Но этого было недостаточно. Я продолжила портить другим пасхальное воскресенье — сообщила о происшествии команде руководителей. Мы позаботились о безопасности серверов компании, но это не означало, что McAfee не будет атакован в других социальных каналах.
И, конечно, мы не знали, станут ли следующей мишенью злоумышленников наши руководители — или их профили в соцсетях. Я разослала руководителям письма и сообщения с просьбой немедленно включить в личных профилях всех социальных сетей многофакторную аутентификацию подробнее о ней — чуть позже. Последовав собственному совету, я начала судорожно укреплять безопасность в личных профилях — пока одна очень популярная социальная сеть не завела меня в тупик. Не знаю, что это было: то ли мое тело полностью перешло в режим мобилизации «бей или беги» когда организм перенаправляет кровоток к основным группам мышц, чтобы скрыться от угрозы или подготовиться к бою — иными словами, уводит подальше от мозга , то ли соцсети стоило сделать настройки безопасности более очевидными. Скорее всего, и то, и другое.
Как бы там ни было, я запаниковала и прибегла к отчаянной мере: полностью удалила оттуда личный профиль — и всю его историю. Час ожидания превратился в два, затем в три, а потом и в четыре. Я регулярно звонила генеральному директору с необходимыми, но раздражающими новостями об «униженном и оскорбленном» профиле нашей компании. Диалоги сводились к следующему: — Крис, мы все еще работаем с ними. Они не завершили проверку безопасности.
Надеемся, все закончится в течение получаса. Как в том анекдоте про программиста: «намылить, смыть, повторить» — снова и снова, каждые полчаса. Во время очередного звонка руководитель вытащил козырь из рукава. Я знаю кое-кого из владельцев этой соцсети. Звоню ему.
Мы пока продолжим подгонять службу поддержки. Крис связался со своим знакомым и рассказал о нашем случае. Через 30 минут после звонка страницу восстановили в исходном виде. Доподлинно неизвестно, повлиял ли звонок Криса или они просто закончили проверку, но я знала, что теперь ситуация под контролем. Утром понедельника мы выпустили статью в интранете, чтобы все сотрудники узнали о случившемся в выходные.
Помните, я говорила про одну из важных ценностей McAfee — всеобъемлющую открытость и прозрачность? Мы были обязаны объяснить людям, что случилось, особенно учитывая, что публикация отвратительной картинки вместо лого нашей компании затронула их личные страницы. Быть открытым и честным в неловких ситуациях очень сложно, но совершенно необходимо, чтобы жить в соответствии с ценностями. Чтобы вы почувствовали, как покупка этой книги начала оправдывать себя с первой же главы, я расскажу вам, как произошел взлом и что мы делали после. И самое главное — я опишу действия, которые вы можете предпринять утром следующего рабочего дня, чтобы с вами этого не случилось.
Наученные горьким опытом Снова получив контроль над аккаунтом, мы попросили службу поддержки социальной сети назвать имя администратора, ответственного за изменения. Оказалось, это была сотрудница одного из наших агентств по размещению в СМИ назовем ее Джули , которая больше не работала в компании.
Если раз в год «для галочки» напоминать основы кибербезопасности, велик риск, что очень скоро о них забудут, поскольку рядовых сотрудников не слишком волнует эта тема. Чтобы изменить ситуацию, следует проводить обучение на постоянной основе. Однако не стоит забывать, что конечная цель — не повышение уровня осведомленности, а формирование культуры, поэтому люди должны понимать, зачем им эти знания и уметь их применять. Мотивация персонала. Внедряя полезные привычки по соблюдению правил кибербезопасности, не стоит забывать о базовой вещи — комфортных условиях труда. Именно проблемы с ними часто провоцируют сотрудников на намеренные нарушения или безразличное отношение к обязанностям.
Говорить о целостной культуре безопасности можно только в том случае, если большинство сотрудников внедряет ее принципы на практике. Убедиться в этом поможет, например, DLP-система с функцией анализа поведения пользователей. Культура безопасности данных требует обучения и развития всех сотрудников важности защиты конфиденциальной информации. Внедрение DLP-системы помогает устанавливать контроль над данными и предотвращать их утечку. В то же время, технологии UBA обеспечивают мониторинг и анализ активности пользователей, помогая выявить подозрительные действия и потенциальные угрозы безопасности данных.
"Влияние корпоративной культуры на безопасность организации"
Культура безопасности – это нормы и правила, а также принятые способы их выполнения, которые влияют на поведение и отношение работников к обеспечению собственной безопасности и безопасности других людей на производстве. Эксперты обсудили развитие культуры безопасности на российских предприятиях в рамках Всероссийской Недели Охраны Труда-2022 (ВНОТ-2022). Многие компании в России и СНГ уже прошли значительный путь развития культуры безопасности, и сегодня перед нами открывается новый горизонт развития. Формирование позитивного уровня культуры безопасности является первоочередной задачей управления организации в рамках реализации концепции сохранения человеческих ресурсов. Алгоритм формирования культуры максимальной безопасности на производстве приблизительно следующий. Культура безопасности – это нормы и правила, а также принятые способы их выполнения, которые влияют на поведение и отношение работников к обеспечению собственной безопасности и безопасности других людей на производстве.
Популярные
- Культура корпоративной безопасности. Слагаемые успеха в новой реальности | ИД Советник
- Культура безопасности
- Влияние культуры безопасности на корпоративную культуру: взгляд эксперта Группы SRG
- Как развивается культура безопасности на предприятиях: взгляд ГИТ и сотен специалистов по ОТ
- Как превратить сотрудников в борцов за ESG? | Инсайты TSQ Consulting