E.-Aksenova Елена Аксенова, Директор КОРПОРАТИВНОГО УНИВЕРСИТЕТА ГИДРОЭНЕРГЕТИКИ рассказала в своем докладе о том, как корпоративная культура влияет на эффективность и безопасность труда. повышение безопасности, гигиены труда и общих условий работы в компаниях.
В «Росатоме» обсудили культуру безопасного поведения
Участникам встречи представили концепцию культуры безопасности ПАО «Газпром», основанной на вовлечении всего персонала в систему управления производственной безопасностью. Забота о сотрудниках влияет в том числе и на их производительность и уровень удовлетворенности работой. Слайд 1, Развитие культуры безопасности в организации.
Как изменить культуру безопасности в компании. Часть 2
Более 500 специалистов и руководителей из различных отраслей, таких как строительство, ЖКХ, нефтяная промышленность и сельское хозяйство, поделились своим опытом и мнением о культуре безопасности в своих компаниях. И что же выяснилось? Оказывается, уровень культуры безопасности в российских компаниях растет! Это происходит благодаря внедрению риск-ориентированного подхода к безопасности и использованию разных инструментов вовлечения в осознанную культуру безопасности.
На предприятии с «красными» директорами и в «бирюзовой» компании с гибким управлением должна быть разная система мотивации безопасного поведения. В бирюзовых компаниях можно использовать соревнования как инструмент мотивации, так как честная игра по правилам там является элементом управленческой системы. В авторитарных иерархических компаниях соревнования, скорее всего, будут обречены на провал — нужно, чтобы руководитель лично проявил внимание к теме безопасности и устроил пару показательных разборов. Также на предприятиях с разными культурами коллектив совершенно по-разному относится к проверкам и вмешательству руководителей. Из-за отсутствия доверия и интереса к чужому мнению в авторитарных компаниях любые проверки инспекции, поведенческие аудиты безопасности неизбежно останутся игрой в прятки. В гибких организациях они помогут укрепить сотрудничество, направленное на повышение уровня безопасности. Но нельзя просто брать и копировать западную практику — на этом обожглись многие российские компании. На каждом уровне нужны свои приемы. Руководителей, например, нужно вовлекать в разработку новых принципов управления безопасностью, рабочим — давать удобные памятки с яркой инфографикой, наглядно изображать опасность травматизма на конкретном станке.
Сопротивление на первом этапе неизбежно, нужно целенаправленно менять отношение людей к безопасности, постоянно быть с ними в контакте и получать обратную связь. Используйте обратную связь для улучшения процессов, чтобы они работали в реальности, а не на бумаге. Типичный пример — выпускается корпоративный документ о том, что люди должны сообщать о микротравмах.
Надеемся, все закончится в течение получаса. Как в том анекдоте про программиста: «намылить, смыть, повторить» — снова и снова, каждые полчаса. Во время очередного звонка руководитель вытащил козырь из рукава. Я знаю кое-кого из владельцев этой соцсети.
Звоню ему. Мы пока продолжим подгонять службу поддержки. Крис связался со своим знакомым и рассказал о нашем случае. Через 30 минут после звонка страницу восстановили в исходном виде. Доподлинно неизвестно, повлиял ли звонок Криса или они просто закончили проверку, но я знала, что теперь ситуация под контролем. Утром понедельника мы выпустили статью в интранете, чтобы все сотрудники узнали о случившемся в выходные. Помните, я говорила про одну из важных ценностей McAfee — всеобъемлющую открытость и прозрачность?
Мы были обязаны объяснить людям, что случилось, особенно учитывая, что публикация отвратительной картинки вместо лого нашей компании затронула их личные страницы. Быть открытым и честным в неловких ситуациях очень сложно, но совершенно необходимо, чтобы жить в соответствии с ценностями. Чтобы вы почувствовали, как покупка этой книги начала оправдывать себя с первой же главы, я расскажу вам, как произошел взлом и что мы делали после. И самое главное — я опишу действия, которые вы можете предпринять утром следующего рабочего дня, чтобы с вами этого не случилось. Наученные горьким опытом Снова получив контроль над аккаунтом, мы попросили службу поддержки социальной сети назвать имя администратора, ответственного за изменения. Оказалось, это была сотрудница одного из наших агентств по размещению в СМИ назовем ее Джули , которая больше не работала в компании. Ее учетные данные были украдены подростком, связанным с крупным киберпреступным синдикатом.
Джули допустила ошибку, которую совершали многие до нее: проигнорировав правила цифровой гигиены, установила слишком простой пароль. Она использовала один и тот же код для доступа к нескольким учетным записям, включая профиль в этой социальной сети. И поскольку она была авторизованным администратором корпоративной страницы, ее личные учетные данные открывали доступ не только к ее профилю, но и к нашему. И когда злоумышленники взломали один из ее аккаунтов и продали данные в даркнет, хакеры просто опробовали этот пароль и в других социальных сетях. После этого они нанесли удар по корпоративной странице McAfee через административный доступ Джули. Остальное было детской забавой. Задним умом мы все крепки, и этот случай — не исключение.
Итак, уязвимость номер один: Джули использовала один пароль для своего личного и нашего корпоративного аккаунта на платформе соцсети будучи одним из администраторов нашей страницы — тот же, что и для других своих учетных записей. Если бы она вводила уникальные пароли, тогда данные, купленные злоумышленниками в даркнете, были бы бесполезны. Что хуже? Узнав о взломе аккаунта, Джули быстро сменила пароль. Но ей не удалось изменить его в других учетных записях, в том числе в важной для этой истории. Это ее вина. Уязвимость номер два: мы должны были требовать двухфакторной аутентификации в социальных сетях от всех администраторов.
Это означает, что для входа в систему им понадобилось бы ввести не только правильный пароль, но и одноразовый код, отправленный, например, на телефон. Если не ввести код в течение нескольких секунд или минут после попытки входа, вы не попадете в систему. Существует несколько версий этого типа аутентификации, и я, конечно, все упрощаю — но в целом все понятно. Это наша вина. Уязвимость номер три: мы проводили проверку аккаунта недостаточно часто и не поняли вовремя, кому больше не нужен доступ. Джули работала на нас, но мы должны были исключить ее из списка администраторов после окончания проекта. Нас могли взломать и пока она активно сотрудничала с нами, но отсутствие «гигиены» только усугубило ситуацию.
Это точно на нашей совести. Все эти действия могли значительно снизить вероятность взлома. Но, допустим, каким-то невероятным образом достаточно мотивированный, везучий и даровитый хакер смог проникнуть в нашу учетную запись в соцсети. Давайте разберемся, как превентивные меры помогли бы нам после обнаружения взлома. Мы могли разработать процедуру блокировки действий всех администраторов страницы, не позволяющую хакерам узнать, что мы в курсе атаки. Удалением бессмысленных постов мы только привлекли их внимание. А когда они увидели, как мы закрываем доступ администраторам, они стали работать на опережение.
Нам повезло, что Гэвин оказался на взломанной странице в пасхальное воскресенье. В противном случае мы могли бы не узнать об атаке так быстро. Теперь у нас есть инструмент, который использует средства машинного обучения для обнаружения необычных изображений, ненормативной лексики, оскорблений и других аномальных материалов на страницах социальных сетей. Он немедленно предупреждает нескольких членов нашей команды о такой необычной активности. Я не буду называть конкретный инструмент по двум причинам. Во-первых, программы приходят и уходят, у каждой из них свой уровень эффективности и каждой из них — свое время. Иными словами, в период запуска инструмент может быть очень эффективным — до тех пор пока хакеры не найдут способ его обойти.
Я не знаю, когда вы будете читать эту книгу, а потому не стану хвалить то, что, возможно, больше не использую. Вторая причина, по которой я скрою название этого инструмента, заключается в том, что McAfee является важной мишенью для хакеров по всему миру. Оставляя их теряться в догадках, какие именно средства мы используем, мы помогаем снижать угрозу. Поискав описания инструментов в сети, вы быстро найдете то, что можно опробовать. Вернемся к урокам, которые мы вынесли. Мы не были знакомы с протоколом действий службы поддержки соцсети в подобных ситуациях. И очень зря.
Только постфактум мы узнали о том, что их политика требует блокировки аккаунта на много часов, вне зависимости от того, насколько велики изменения на странице. Теперь мы узнаем о подобных процедурах заранее — до размещения корпоративных страниц на других сайтах. Мы на собственном горьком опыте убедились, как много значат деньги. Поскольку мы тратили приличную сумму на продвижение в социальной сети через агентства, самой платформе мы казались менее значимым аккаунтом, чем были на самом деле. Это могло повлиять на быстроту реакции. Теперь мы оплачиваем продвижение напрямую на платформах социальных сетей — чтобы наши инвестиции были на виду и приносили нам уровень сервиса, которого мы заслуживаем. Кроме того, мы узнали, что сторонние компании, с которыми мы ведем бизнес, могут не иметь надежных методов обеспечения безопасности.
Это особенно важно, если это ваши филиалы или у них есть доступ к вашим системам. В частности, у небольших сторонних компаний, с которыми вы поддерживаете отношения, может не быть подразделений ИТ и безопасности, не говоря уже о строгой политике киберзащиты. И наконец, последний удар под дых. Как показало вскрытие, McAfee даже не был изначальной целью атаки. Когда хакер получил доступ к личным данным Джули, он понятия не имел о том, что она администратор корпоративной страницы компании. Он не знал, кто такая Джули: ему было все равно. Он просто охотился за паролями, стремился определить, к чему они откроют доступ, — к личному банковскому счету, сети компании или чему-то еще.
Как только он нашел тот, который случайно подошел к странице McAfee в этой социальной сети, он вывалил на всех, кого мог, целый ушат оскорблений, унизив при этом компанию. Даже для хакеров удача иногда важнее мастерства. Еще несколько важных уроков Составьте список людей, с которыми вы можете связаться в такой ситуации. Держите их контакты под рукой — там, где вы и ваша команда легко сможете их найти. Эти списки должны быть не только у ваших людей, но и у сотрудников, обслуживающих сайт компании, ее социальные сети, облачное хранилище и так далее.
Не нужно говорить программистам, как следует писать код, — они сами знают, как делать свою работу. Нужно только показать, что вот здесь уязвимость, вот тут небезопасный метод, а здесь небезопасная работа с данными. Или что ты забыл убрать то, чего тут быть не должно. Безопасная разработка — это, по сути, страховка для разработчиков и бизнеса. Мы внедряем средства, которые указывают на потенциальные проблемы, а затем, когда все замечания будут отработаны, передаем код на постобработку, в продакшен и так далее. При этом обычному программисту не обязательно знать всю специфику безопасной разработки, достаточно только понимать, какие типы уязвимостей существуют в его сфере и зоне ответственности. Этих уязвимостей много, но совершенно новые появляются не так часто. Поэтому нужно один раз разобраться во всех типах, чтобы было базовое понимание, а дальше будут тонкости, разбираться в которых разработчику совершенно не обязательно — этим уже займутся специалисты по кибербезопасности. Отдельно хочется еще упомянуть про работу со сторонними библиотеками. Сейчас очень популярна тема безопасности с внешними пакетами — теми, что разработчики используют в своей работе, чтобы не писать функционал с нуля. Ожидаемо, эти библиотеки не всегда безопасны. Когда компания выстраивает безопасную разработку, она зачастую делает безопасное хранилище, или репозиторий. Всё, что попадает в этот репозиторий, нужно тщательно проверять на уязвимости и убеждаться, что с пакетами всё в порядке. Для разработчиков это часто очень неудобно, потому что нужно ждать, пока закончится проверка. Но это важный элемент защиты. Крупные компании поступают следующим образом: дают разработчикам полную свободу действий в тестовой среде, а затем проверяют все нужные библиотеки перед выпуском в продакшен. Так программисты могут использовать вообще всё что угодно, потому что среда изолирована. Там нет настоящих данных клиентов, и оттуда нельзя попасть в полноценную внутреннюю сеть компании. Но когда нужно будет перейти в продуктовую среду, начнутся проверки на безопасность. На этом этапе разработчикам говорят: «Ты использовал эту библиотеку, теперь нам нужно время ее проверить». И если проверка пройдет успешно, то можно загружать обновления в продакшен. Так создается баланс между свободой и защитой. Как обучить сотрудников безопасно работать с данными Культура безопасности строится не только на технических специалистах, но и на всех остальных сотрудниках — бухгалтерах, менеджерах, охранниках. Поэтому обучать нужно каждого, или это всё будет бессмысленно. Но тут есть свои нюансы. Технические специалисты. Это обычно разработчики, администраторы и другие. Их обучить проще всего — достаточно подобрать хорошие курсы. Многие компании по кибербезопасности проводят обучение. Например, я работаю в такой компании: мы часто делимся знаниями с заказчиками. Обучение можно устроить и самим — это тоже не проблема. Нужно только оценить, насколько вам трудозатратно это организовать, и убедиться, что в команде есть специалист с подходящим опытом. Все остальные.
Как начать внедрять культуру безопасности на рабочем месте
| Культ безопасности: как обучить людей сознательности | К тому же следование предприятием культуре безопасности становится огромным репутационным плюсом компании в глазах потенциальных инвесторов и партнеров. |
| В «Росатоме» обсудили культуру безопасного поведения | Алгоритм формирования культуры максимальной безопасности на производстве приблизительно следующий. |
Развитие культуры безопасности на промышленном предприятии
Мы были в полной их власти. Все, что могли предпринять наши сотрудники, — удалить любое упоминание о McAfee из собственных профилей. Те, кто был в курсе происходящего, так и сделали. Но этого было недостаточно.
Я продолжила портить другим пасхальное воскресенье — сообщила о происшествии команде руководителей. Мы позаботились о безопасности серверов компании, но это не означало, что McAfee не будет атакован в других социальных каналах. И, конечно, мы не знали, станут ли следующей мишенью злоумышленников наши руководители — или их профили в соцсетях.
Я разослала руководителям письма и сообщения с просьбой немедленно включить в личных профилях всех социальных сетей многофакторную аутентификацию подробнее о ней — чуть позже. Последовав собственному совету, я начала судорожно укреплять безопасность в личных профилях — пока одна очень популярная социальная сеть не завела меня в тупик. Не знаю, что это было: то ли мое тело полностью перешло в режим мобилизации «бей или беги» когда организм перенаправляет кровоток к основным группам мышц, чтобы скрыться от угрозы или подготовиться к бою — иными словами, уводит подальше от мозга , то ли соцсети стоило сделать настройки безопасности более очевидными.
Скорее всего, и то, и другое. Как бы там ни было, я запаниковала и прибегла к отчаянной мере: полностью удалила оттуда личный профиль — и всю его историю. Час ожидания превратился в два, затем в три, а потом и в четыре.
Я регулярно звонила генеральному директору с необходимыми, но раздражающими новостями об «униженном и оскорбленном» профиле нашей компании. Диалоги сводились к следующему: — Крис, мы все еще работаем с ними. Они не завершили проверку безопасности.
Надеемся, все закончится в течение получаса. Как в том анекдоте про программиста: «намылить, смыть, повторить» — снова и снова, каждые полчаса. Во время очередного звонка руководитель вытащил козырь из рукава.
Я знаю кое-кого из владельцев этой соцсети. Звоню ему. Мы пока продолжим подгонять службу поддержки.
Крис связался со своим знакомым и рассказал о нашем случае. Через 30 минут после звонка страницу восстановили в исходном виде. Доподлинно неизвестно, повлиял ли звонок Криса или они просто закончили проверку, но я знала, что теперь ситуация под контролем.
Утром понедельника мы выпустили статью в интранете, чтобы все сотрудники узнали о случившемся в выходные. Помните, я говорила про одну из важных ценностей McAfee — всеобъемлющую открытость и прозрачность? Мы были обязаны объяснить людям, что случилось, особенно учитывая, что публикация отвратительной картинки вместо лого нашей компании затронула их личные страницы.
Быть открытым и честным в неловких ситуациях очень сложно, но совершенно необходимо, чтобы жить в соответствии с ценностями. Чтобы вы почувствовали, как покупка этой книги начала оправдывать себя с первой же главы, я расскажу вам, как произошел взлом и что мы делали после. И самое главное — я опишу действия, которые вы можете предпринять утром следующего рабочего дня, чтобы с вами этого не случилось.
Наученные горьким опытом Снова получив контроль над аккаунтом, мы попросили службу поддержки социальной сети назвать имя администратора, ответственного за изменения. Оказалось, это была сотрудница одного из наших агентств по размещению в СМИ назовем ее Джули , которая больше не работала в компании. Ее учетные данные были украдены подростком, связанным с крупным киберпреступным синдикатом.
Джули допустила ошибку, которую совершали многие до нее: проигнорировав правила цифровой гигиены, установила слишком простой пароль. Она использовала один и тот же код для доступа к нескольким учетным записям, включая профиль в этой социальной сети. И поскольку она была авторизованным администратором корпоративной страницы, ее личные учетные данные открывали доступ не только к ее профилю, но и к нашему.
И когда злоумышленники взломали один из ее аккаунтов и продали данные в даркнет, хакеры просто опробовали этот пароль и в других социальных сетях. После этого они нанесли удар по корпоративной странице McAfee через административный доступ Джули. Остальное было детской забавой.
Задним умом мы все крепки, и этот случай — не исключение. Итак, уязвимость номер один: Джули использовала один пароль для своего личного и нашего корпоративного аккаунта на платформе соцсети будучи одним из администраторов нашей страницы — тот же, что и для других своих учетных записей. Если бы она вводила уникальные пароли, тогда данные, купленные злоумышленниками в даркнете, были бы бесполезны.
Что хуже? Узнав о взломе аккаунта, Джули быстро сменила пароль. Но ей не удалось изменить его в других учетных записях, в том числе в важной для этой истории.
Это ее вина. Уязвимость номер два: мы должны были требовать двухфакторной аутентификации в социальных сетях от всех администраторов. Это означает, что для входа в систему им понадобилось бы ввести не только правильный пароль, но и одноразовый код, отправленный, например, на телефон.
Если не ввести код в течение нескольких секунд или минут после попытки входа, вы не попадете в систему. Существует несколько версий этого типа аутентификации, и я, конечно, все упрощаю — но в целом все понятно. Это наша вина.
Уязвимость номер три: мы проводили проверку аккаунта недостаточно часто и не поняли вовремя, кому больше не нужен доступ. Джули работала на нас, но мы должны были исключить ее из списка администраторов после окончания проекта. Нас могли взломать и пока она активно сотрудничала с нами, но отсутствие «гигиены» только усугубило ситуацию.
Это точно на нашей совести. Все эти действия могли значительно снизить вероятность взлома. Но, допустим, каким-то невероятным образом достаточно мотивированный, везучий и даровитый хакер смог проникнуть в нашу учетную запись в соцсети.
Давайте разберемся, как превентивные меры помогли бы нам после обнаружения взлома. Мы могли разработать процедуру блокировки действий всех администраторов страницы, не позволяющую хакерам узнать, что мы в курсе атаки. Удалением бессмысленных постов мы только привлекли их внимание.
А когда они увидели, как мы закрываем доступ администраторам, они стали работать на опережение. Нам повезло, что Гэвин оказался на взломанной странице в пасхальное воскресенье. В противном случае мы могли бы не узнать об атаке так быстро.
Теперь у нас есть инструмент, который использует средства машинного обучения для обнаружения необычных изображений, ненормативной лексики, оскорблений и других аномальных материалов на страницах социальных сетей. Он немедленно предупреждает нескольких членов нашей команды о такой необычной активности. Я не буду называть конкретный инструмент по двум причинам.
Во-первых, программы приходят и уходят, у каждой из них свой уровень эффективности и каждой из них — свое время. Иными словами, в период запуска инструмент может быть очень эффективным — до тех пор пока хакеры не найдут способ его обойти. Я не знаю, когда вы будете читать эту книгу, а потому не стану хвалить то, что, возможно, больше не использую.
Вторая причина, по которой я скрою название этого инструмента, заключается в том, что McAfee является важной мишенью для хакеров по всему миру. Оставляя их теряться в догадках, какие именно средства мы используем, мы помогаем снижать угрозу. Поискав описания инструментов в сети, вы быстро найдете то, что можно опробовать.
Вернемся к урокам, которые мы вынесли. Мы не были знакомы с протоколом действий службы поддержки соцсети в подобных ситуациях. И очень зря.
Только постфактум мы узнали о том, что их политика требует блокировки аккаунта на много часов, вне зависимости от того, насколько велики изменения на странице. Теперь мы узнаем о подобных процедурах заранее — до размещения корпоративных страниц на других сайтах. Мы на собственном горьком опыте убедились, как много значат деньги.
Кроме того, стартовал отраслевой Проект по развитию КБП, сейчас в нем участвуют 10 предприятий Росатома. Культуру безопасного поведения невозможно развивать без доверия работников к руководству. Доверие в работе — это уверенность в порядочности человека или организации, которым работник сообщает какую-либо информацию, надежда, что это ему не навредит и приведет к положительным изменениям. Опыт развития доверия в Росатоме основан на открытом общении, которое строится по следующему принципу.
Руководство поощряет открытый разговор, сотрудники рассказывают о «слабых местах» в обеспечении безопасности, руководство адекватно реагирует на информацию, то есть слышит, берет на себя свою долю ответственности и предпринимает разумные действия для решения проблемы. Если проблемы решаются, у работников увеличивается «кредит доверия» к руководству. В подавляющем большинстве случаев причиной происшествий на производстве становится человеческий фактор. Чтобы существенно снизить травматизм и полностью искоренить случаи тяжелого и смертельного травматизма, нужно добиваться, чтобы ежедневные действия работников отрасли были осознанными и безопасными.
Это работа с культурой, с внутренними установками.
Это и поэтапный рассказ о ДМС что в него входит, как воспользоваться, какие есть дополнительные опции , о спортивных активностях, познавательных вебинарах и многом другом. Не стоит ограничиваться единственной новостью, выпущенной в январе, приходят новые сотрудники, и им важно знакомиться с компанией с разных сторон. При этом все материалы по теме должны храниться в одном месте и регулярно обновляться, чтобы у каждого работника был к ним доступ.
Популяризация бренда. Это всевозможные выступления на профессиональных конференциях, участие в премиях и конкурсах, а также PR-активности, направленные на привлечение внимания соискателей. На YouTube-канале мы ведём блог «оhhнные истории». В наше сообществе на Хабре входит более 35 авторов, которые постоянно пишут для нас статьи.
За последние полгода мы увеличили количество подписчиков до 10 000, хотя до этого наш блог читали не более 2 500 пользователей. Эти результаты мы начинаем превращать в OKR — в конце каждого квартала делаем прогноз по подписчикам, мероприятиям, статьям. Не всегда очевидно, кто должен вести социальные сети в компании — направление работы над HR-брендом, внутренние или внешние коммуникации. В любом случае метрик для оценки работы, как и в любом digital-канале, здесь множество: от количества подписчиков, просмотров и лайков до привлечённых с помощью соцсетей кандидатов.
Важно на первом этапе определиться, сколько людей хочется привлечь к исследованию, какие каналы для этого использовать, какой результат считать победным. Сюда же входит опрос удовлетворённости внутренними коммуникациями, чтобы специалисты понимали, чего сотрудникам не хватает, что необходимо подтянуть. В целом менеджер по внутренним коммуникациям, как и HR-менеджер, это не только про людей, но и про деньги. Любая компания должна знать, сколько средств она тратит на сотрудника за год.
В зависимости от потребностей и возможностей одни вкладываются в электронные библиотеки и программы обучения, другие — в строительство целых городов для сотрудников. Несмотря на разность подходов и бюджетов, внутриком из всего имеющегося арсенала старается извлечь максимальную пользу для людей и бизнеса, и на этом пути, как и на любом другом, есть свои камни преткновения. Ошибки в работе внутренних коммуникаций Лидеру направления внутренних коммуникаций должен быть выдан карт-бланш на принятие решений. Если у него нет влияния в компании, тогда его роль сводится к нулю.
Согласование каждого шага с руководством говорит либо о некомпетентности специалиста, либо о недоверии со стороны СЕО. И в том, и в другом случае об эффективной работе не может быть и речи. Вторая распространённая ошибка — расслоение каналов коммуникации. Собрания проходят в Zoom, новости публикуют на корпоративном портале, рабочие переписки ведутся в трёх разных мессенджерах — знакомая картина, не правда ли?
Задача внутрикома — по возможности перенести все активности в один канал и объяснять коллегам, которые пытаются создать очередной чат с полезной информацией, что такая рассредоточенность в лучшем случае превратит всю коммуникацию в белый шум, в худшем — приведёт к ошибкам в восприятии информации. Следующая ошибка внутрикома, которая грозит компании обернуться репутационными потерями, — неумение хранить тайны. Учитывая, что этот специалист очень тесно взаимодействует с топ-менеджментом и одним из первых узнает обо всех грядущих событиях, может быть велик соблазн выдать информацию коллегам или друзьям. Внутриком — хранитель секретов, а слишком общительные представители профессии становятся источниками слухов.
Ещё одни возможные грабли на пути к эффективным внутренним коммуникациям — не считать результаты работы и никак не освещать их в компании. Хороший внутриком точно знает, как рассказать о проекте, человеке, событии так, чтобы это заинтересовало многих. Даже слабый проект можно подать как возможность для развития. Многие боятся пиара своей работы, однако это отличный шанс поделиться эмоциями, получить обратную связь и заручиться поддержкой коллег.
Что делать сейчас Сейчас сотрудникам всё сложнее фокусироваться на задачах и работать с полной самоотдачей, многих парализует страх будущего. Мы собрали рекомендации от Ксении Степановой, которые могут стать «подорожником» в условиях нынешней экономической и эмоциональной нестабильности. Даже если в компании нет внутрикома, эти задачи на время может подхватить HRD. Проводить регулярные встречи с топ-менеджментом и руководителями.
Сотрудникам нужно дать возможность задавать прямые вопросы СЕО и получать на них честные ответы. Важно заранее проговорить с топ-менеджером, что люди сейчас как никогда нуждаются в искренности.
То же самое относится и к предоставлению корректирующей обратной связи по областям улучшения: держите эту обратную связь персонализированной и действенной. Важно, чтобы экологичное поведение стало нормой, а отступления от него порицались.
Так, в той же компании с руководителями «всё в одну кучу», тем не менее, наблюдается очень ответственное отношение к батарейкам. Их стыдно выбрасывать в помойку. К тому же не так сложно сдать в переработку. И тут наступает время третьего и решающего аспекта.
Возможности: насколько трудно это делать? Как бы ни тревожили нас вопросы глобального изменения климата и тихоокеанского мусорного пятна, как бы стыдно нам ни было выбрасывать стаканчик из-под йогурта в мусорное ведро, мы будем это делать, если возможности передать в переработку просто нет. Поэтому, когда речь идёт о повышении устойчивости в компании, технические меры — это третий шаг после глубокой работы с отношением. Устойчивое развитие — это прежде всего адаптивный, а не технологический вызов.
Но грамотно организовать процессы — это так же важно. Поступать устойчиво должно быть проще, чем действовать по-старому. Зачастую экологическое поведение может иметь мало положительных и больше негативных последствий со стороны действий. Например, если каждый раз нужно ходить в другое помещение, чтобы взять черновики для принтера, то эта мера по сбережению бумаги обречена на провал.
Это «эко» будет только раздражать. Вот почему важно поставить лоток с черновиками рядом с точкой печати. А ещё разместить рядом визуализацию — простой рисунок, какой стороной класть в принтер оборотку. Чтобы разумно организовать возможность для проявления устойчивости, незаменимы инструменты бережливого производства.
За рубежом ещё 10 лет назад исследователи поставили lean технологии на службу природоохранной деятельности и ресурсосбережению и по такому случаю традиционно прибавили к «lean» приставку «green». Точка перелома. Когда устойчивость становится устойчивой? Хотя бы потому, что устойчивые предприятия больше заботятся о благополучии своих людей по сравнению с другими предприятиями.
Как говорится «вы с нами по-людски, ну и мы с вами по-человечески». Согласитесь, сомнительно будет смотреться компания, которая заявляет о своих обязательствах по 8-ой ЦУР достойные условия труда и заработная плата , а потом игнорировать элементарные нормы безопасности и экономить на средствах индивидуальной защиты. Но в российском бизнесе чего только ни бывает. Занимает, например, крупная компания верхушку ESG-рейтинга, а потом из-за коллективной безответственности сотрудников и руководителей случается апокалипсис в отдельно взятом регионе.
Но мы всё же говорим про компании, которые более последовательны в реализации принципов устойчивости. Вовлеченность сотрудников, психологический двигатель, который управляет корпоративной эффективностью, находится на рекордно низком уровне. В два раза больше людей не стесняются ругать своих работодателей. При этом Unilеver — компания, давно и крепко практикующая подходы устойчивого развития.
Не думаю. Сотрудники, работающие на «зелёных» работодателей более удовлетворены и вовлечены. Это происходит из-за признания того, что организация фокусируется не только на прибыли, но и на практиках, которые оказывают положительное влияние на других. Эта та пресловутая «работа со смыслом», которую так ищут представители поколений Y и Z.
Это явление приводит к тому, что организация сама по себе привлекает уже мотивированных сотрудников — срабатывает механизм, когда устойчивое развитие само становится фактором мотивации. Среди прочего задавала им тот самый вопрос: «Как вы мотивируете работников, чтобы они поддерживали эти инициативы? И получала примерно один и тот же ответ: «Ой, а нам не надо никого мотивировать.
Культура безопасности
Вот почему, критерии организации культуры безопасности должны соответствовать современным идеям системного управления. Как руководители и сотрудники влияют на культуру безопасности в компании. Мы поднимаем вопрос о культуре безопасности, о готовности оказать помощь. Инструмент развития культуры безопасности в организации. Влияние на создание культуры безопасности Создание и развитие культуры безопасности в РЖД зависит от многих факторов. Как это повлияет на безопасность? Что компании собираются делать для обеспечения лояльности, должного уровня осмотрительности и осведомленности?
Культура безопасности
| Как корпоративная культура влияет на бизнес в пандемию | Тем не менее нередко оказывается, что культура безопасности, выстроенная в компании, в своей основе противоречит внедряемым инициативам. |
| Культура производственной безопасности – надёжный проводник | Факторы влияния на создание культуры безопасности: Руководство компании Техническое обеспечение и инфраструктура Компетентность сотрудников Обучение и повышение квалификации сотрудников проводится систематически. |
| ЭКСПЕРТЫ ОБСУДИЛИ РАЗВИТИЕ КУЛЬТУРЫ БЕЗОПАСНОСТИ НА РОССИЙСКИХ ПРЕДПРИЯТИЯХ В РАМКАХ ВНОТ-2022 | Собравшиеся обсудили различные аспекты влияния изменений климата на организацию охраны труда, рабочих мест на предприятиях и возникающие профессиональные риски. |
Корпоративная культура безопасности – главная задача
| Почему компаниям выгодно внедрять культуру безопасности - Российская газета | В ходе сессии «Культура безопасности на производстве в условиях изменения законодательства. |
| Культура производственной безопасности – надёжный проводник | Запуск на предприятиях инструментов проективной культуры безопасности всегда вызывает волну обсуждения у сотрудников предприятий, и не всегда внедрение этих инструментов заканчивается успехом. |
Культура производственной безопасности – надёжный проводник
Мало толку, если люди в теории прекрасно осведомлены о возможных угрозах, но на деле продолжают небрежно относиться к обязанностям. Также имеет место разрыв между теоретическими знаниями об угрозах безопасности и пониманием, как их распознать и предотвратить. Например, многие в курсе, что такое фишинг, но не могут отличить подозрительную ссылку от легитимной. Формирование культуры безопасности у сотрудников как раз позволяет найти баланс между знаниями и действиями. Три этапа внедрения новых принципов: Достойный пример со стороны руководства.
Вряд ли будет заложена благоприятная среда для формирования культуры, если транслируемые принципы не соблюдаются в «верхах» организации. Регулярное проведение обучающих тренингов и семинаров. Если раз в год «для галочки» напоминать основы кибербезопасности, велик риск, что очень скоро о них забудут, поскольку рядовых сотрудников не слишком волнует эта тема. Чтобы изменить ситуацию, следует проводить обучение на постоянной основе.
Однако не стоит забывать, что конечная цель — не повышение уровня осведомленности, а формирование культуры, поэтому люди должны понимать, зачем им эти знания и уметь их применять. Мотивация персонала.
Обеспечив развитие руководителей как лидеров и наставников, заручившись их поддержкой, переходите к следующему этапу - диалогу со всеми сотрудниками. Если ранее подобный формат не практиковался, могут возникнуть трудности с тем, чтобы вдохновить их на открытое обсуждение темы безопасности. Нивелировать сложности помогут такие форматы, как, например, система кратких пульс-опросов, которая позволяет сотрудникам экологично оценить в общем виде свои знания по теме безопасности, а также анонимно высказаться, какие темы важно рассмотреть более подробно.
Интерактивные семинары по психологии безопасности через привычный формат мягко погружают в тему безопасности с новой стороны, готовят почву для диалога - совместного обсуждения проблем, идей, вопросов, обмена опытом. Доверительный формат общения в диалоге снижает и тревожность самих руководителей, они осознают, что есть взаимная поддержка, что все прозрачно и согласовано, и появляется больше аргументов и примеров для сотрудников. Испытав психологически «целительные» свойства диалога на себе, лидеры стремятся поскорее начать и развить его со своими сотрудниками. Алгоритм первых шагов к диалогу о безопасности в компании Проведите аудит имеющихся инструментов и форматов мероприятий по безопасности труда.
Что такое культура безопасности? Безопасность — приоритет в любой деятельности компании, одна из базовых корпоративных ценностей.
Культура безопасности в «Газпром нефти» — это наглядно демонстрируемые ежедневные усилия и конкретные действия работников и руководителей всех уровней компании, направленные на повышение безопасности. Основа культуры безопасности «Газпром нефти» — понимание всеми работниками ключевых и наиболее существенных рисков в области производственной безопасности и выстраивание барьеров на пути их реализации. Достичь высокого уровня культуры безопасности невозможно без комплексной работы в этой сфере, как минимум, по нескольким направлениям: технологии, системы управления, организационные и человеческие факторы. Поэтому в «Газпром нефти» активно автоматизируется производство, что снижает влияние человеческого фактора, развивается риск-ориентированная система управления производственной безопасностью, улучшаются социально-бытовые условия для сотрудников компании и подрядных организаций. Перспективы повышения уровня безопасности во многом связаны с переходом к интегрированной культуре безопасности.
Совершенствуя подход к управлению вопросами безопасности, компании удалось последовательно продемонстрировать работникам, что ее ключевые ценности действительно являются основой ее функционирования. Перспективные направления развития культуры безопасности для российских компаний Проанализировав особенности текущего состояния и практики повышения уровня зрелости культуры безопасности в российских производственных компаниях, мы выявили несколько основных зон для развития, оказывающих наибольшее влияние на переход к более зрелой культуре безопасности. Лидерство в сфере производственной безопасности По мнению большинства международных экспертов, лидерство является решающим фактором при внедрении изменений в культуре безопасности организации.
Именно лидерство необходимо для изменения мышления работников, являющегося основной преградой для развития культуры безопасности. Для дальнейшего совершенствования культуры безопасности компании должны сосредоточиться на усилении роли своих руководителей в формировании приверженного отношения работников к вопросам безопасности. При этом ключевым моментом является демонстрация лидерства не только высшим руководством, но и руководителями линейного уровня ежедневно и повсеместно. В каждой организации руководители несут ответственность за разработку и реализацию политик и стратегий в области безопасности, установление целевых показателей эффективности и распределение ресурсов. Таким образом руководство контролирует практические механизмы формирования климата в области ОТиПБ. Это означает, что лидеры обладают способностью влиять на восприятие работниками вопросов безопасности, которое, в свою очередь, создает почву для реализации изменений. Однако еще более важным является факт, что вне зависимости от того, осознают ли это руководители, они постоянно влияют на атмосферу безопасности путем принятия управленческих решений как в области ОТиПБ, так и в общепроизводственной сфере. Джон Шерри Партнер Deloitte Австралия , лидер практики в области охраны труда и промышленной безопасности Инициативный подход к вовлечению работников Согласно ответам респондентов, низкий уровень осознанности и недостаточное вовлечение работников в решение вопросов безопасности является распространенной ситуацией, характерной для множества компаний.
Эксперты сходятся во мнении, что уровень вовлечения персонала играет существенную роль в построении зрелой культуры безопасности. Например, исследование SHRM Foundation на заводе крупного производителя напитков Molson Coors показало, что у вовлеченных работников в пять раз меньше шансов стать жертвой происшествия. Для перехода к более зрелой культуре безопасности работодателям необходимо внедрять практики, направленные на повышение приверженности и ответственности персонала в вопросах безопасности. Хорошими примерами могут служить включение работников в комитеты по безопасности, запрос обратной связи, наделение работников возможностями для реализации собственных предложений. Внесение инициатив через систему Кайдзен как инструмент вовлечения работников Истоки системы Кайдзен непрерывного совершенствования производственных процессов лежат в области методик бережливого производства. Однако сегодня разнообразные практики Кайдзен к примеру, стандартизация рабочего места на основе принципов 5S находят применение и в области производственной безопасности. Инструмент предполагает, что каждый работник может внести предложение, направленное на повышение безопасности условий труда, получить материальное вознаграждение и обратную связь, а также принимать участие в реализации своей инициативы или следить за ходом этого процесса.
Вы точно человек?
Как руководители и сотрудники влияют на культуру безопасности в компании. ять на восприятие безопасности работником организации. Мы поднимаем вопрос о культуре безопасности, о готовности оказать помощь. Собравшиеся обсудили различные аспекты влияния изменений климата на организацию охраны труда, рабочих мест на предприятиях и возникающие профессиональные риски. ять на восприятие безопасности работником организации. Этот факт сильно влияет на повышение безопасности на производстве.