Культура безопасности: как ее измерять?
(окончание, начало см. выпуск № 51)
Универсального метода нет, нет и прямых количественных метрик. Тем не менее, измерения культуры безопасности осуществляются – не методом количественного счета, а путем сравнения и сопоставления. Поскольку культура связана с поведением, взглядами, ценностями людей, то именно они подвергаются сравнению.
Автор публикации журнала Security Magazine Дайана Ритчи предлагает две модели измерения культуры безопасности.
Одна из них предусматривает использование методов психологического тестирования личности, создающих представление о ценностях, которыми руководствуется коллектив в своем отношении к культуре безопасности.
Вторая модель базируется на поведенческих характеристиках, служащих индикаторами культуры. В отличие от первой модели она не касается широких культурных обобщений, более конкретна, поскольку сфокусирована на идентификации известных типов поведения, формирующих культуру безопасности в каждой отдельно взятой организации.
Как и любое культурное явление, культура безопасности весьма изменчива. Самый эффективный способ воздействия на нее – создавать культуру с нуля. Это под силу основателям организации, определяющим ценности и приоритеты, которые по инерции начинают доминировать на всем протяжении деятельности организации.
Вот почему бывает так сложно изменить к лучшему культуру безопасности в компании со сложившимися ценностными и поведенческими традициями. Воздействовать приходится не столько на формы поведения сотрудников в определенные моменты, сколько на глубинные воззрения и убеждения.
Автор публикации ссылается на пример работы в крупной компании ее хорошей знакомой, организующей для персонала компании тренинги по повышению осведомленности по вопросам безопасности (awareness programs). Та использует две основные метрики для измерения практической эффективности учебных занятий.
Одна метрика – количественная, измеряющая цену инцидента безопасности для организации. Цена напрямую сопрягается со временем и усилиями, которые предпринимаются сотрудниками для обнаружения инцидента, информирования и реагирования. Все это входит в понятие культуры безопасности. Речь идет в первую очередь о противодействии киберугрозам. Отмечено, что в результате занятий эффективность работы коллектива в этом направлении возросла, что непосредственно отразилось на цифрах финансового и материального ущерба от несанкционированных вторжений в корпоративные сети.
Вторая метрика относится к тому виду нарушения режима физической охраны, который называется «tailgating» («проход впритирку к впереди идущему») и означает попытки проникнуть в охраняемое здание без разрешительных документов – сотрудников по забывчивости или злоумышленников. Два года занятий с работниками компании продемонстрировали заметные улучшения – число забытых и потерянных пропусков резко уменьшилось, сотрудники стали внимательнее относиться к требованиям безопасности, в частности, проявлять бдительность в отношении незнакомцев, посторонних при встрече с ними в помещениях контролируемого доступа.
|
вернуться назад
