Компания MSB Events хотела бы поделиться результатами традиционной ежегодной встречи профессионалов безопасности, которая прошла в марте в Москве. 28 сентября в рамках ВНОТ состоялась конференция «Культура безопасности как инструмент ESG-трансформация бизнеса». Главная» Новости» Как вам кажется кто в компании является носителями культуры безопасности.
Как начать внедрять культуру безопасности?
Форум «Культура безопасности» завершился ещё одним круглым столом, во время которого участники обменялись мнениями и получили рекомендации по повышению культуры безопасности на своих предприятиях. Для определения уровня развития культуры безопасности предприятия используют кривую Брэдли. Для продвижения культуры безопасной разработки и улучшения понимания проблем безопасности разработчиками, мы внедрили следующие практики. Зачем развивать культуру безопасности труда в организации? Руководство компании подчёркивает: культуру производственной безопасности важно осознавать как внутреннюю потребность каждого человека, чтобы сделать рывок к достижению нулевого травматизма. Правильное отношение к безопасности в компании начинается с правильных установок и лидерства топ-менеджмента.
Актуальность развития культуры безопасности на российских ТЭС
Первые результаты уже есть, число травм на производстве в целом по стране снижается. Традиционно самыми рискованными отраслями остаются строительство, обрабатывающие производства, транспорт, сельское хозяйство и добыча полезных ископаемых. Правительством России также принят комплекс мер по решению этого вопроса. Он предусматривает модернизацию системы управления охраной труда и системы обязательного социального страхования, своевременное выявление ранних признаков профессиональных заболеваний и их профилактику.
Вторая важная часть - стимулирование работодателей и работников к улучшению условий труда. Третья - повышение интереса среди россиян к здоровому образу жизни в целом. Продолжается также обязательная специальная оценка условий труда на рабочих местах.
К концу 2019 года она была проведена в 764,5 тысячах компаний по всей стране, проверено 32,5 миллионов рабочих мест.
Систематическая оценка риска представляет собой динамичный процесс, который позволяет предприятиям проводить активную политику по управлению рисками. Подразделение, у которого по итогам месяца оказался наименьший показатель эффективности, выбывает из соревнования и остается без премии.
Это происходит благодаря внедрению риск-ориентированного подхода к безопасности и использованию разных инструментов вовлечения в осознанную культуру безопасности. Вместо избитых методов мотивации, таких как штрафы или лишение премий, компании переходят на более осознанный подход, в котором сотрудники сами становятся сторонниками правил безопасности на рабочем месте. Это здорово, потому что безопасность на работе — это не только законодательный требование, но и важная составляющая успешного и продуктивного бизнеса! Происходит это потому, что сотрудники осознанно не нарушают требования безопасности, а не принудительно из-за страха наказания.
Биллу тридцать два года, у него есть жена и двое детей в возрасте до пяти лет. Мы расследуем этот несчастный случай, но пока уже ясно, что кто-то отключил оповещение об опасном приближении на конвейере, потому что оно срабатывало с ложными тревогами. Руководитель этого подразделения — Гейб Тернер». Еще лучше было бы, чтобы генеральный директор лично представил отчет о безопасности в рамках совещаний высшего руководства. Если генеральный директор расскажет историю Билла Томпсона, это будет иметь гораздо большее значение как для генерального директора, так и для его менеджеров. Понимание того, что только руководство может обеспечить безопасность.
Часто у руководителей складывается ошибочное впечатление, что только рабочие могут следить за собственной безопасностью. Конечно, это явно не соответствует действительности, но следующая история может помочь проиллюстрировать проблему. Я часто вспоминаю о работнике, у которого было долговременное повреждение нервов в результате синдрома вибрации рук HAVS от работы с пневматическими дрелями. Он ехал домой с оцепенелыми руками, но даже не думал об этом, а беспокоился о том, чтобы безопасно перемещать предметы в доме. Когда компания наконец-то дала ему подходящие перчатки для защиты от вибрации инструментов, в возрасте, когда он уже стал дедушкой, здоровье его стало медленно улучшаться, и он расплакался, когда наконец смог безопасно удержать своего внука на руках. Вот что я думаю, когда вспоминаю эту историю: работник никогда бы не узнал про HAVS и не нашел бы подходящие противовибрационные перчатки самостоятельно.
Вы должны знать, что есть такая вещь, как HAVS. Вы должны знать о специальных перчатках, и вы должны использовать их в течение длительного времени и содержать в хорошем состоянии. Только руководство может гарантировать, что все их работники обладают этими знаниями и будут надевать такие перчатки при использовании пневматических инструментов. Только руководство видит полную картину, поэтому лишь в его власти уменьшить определенные риски. Как вы можете сделать так, чтобы руководители вашей компании это осознали? А потом увидели результаты?
Представьте безопасность как построение отношений. Ничто лучше не показывало рабочим, что руководство заботилось о них. Ничто лучше не способствовало моральному состоянию рабочих. С хорошим моральным настроем приходят продуктивность, творчество и готовность участвовать, когда это необходимо. Дискуссия о безопасности формирует непосредственную эмоциональную связь с любым человеком. Вы можете устроить сто корпоративов.
Вы можете вручать тысячу наград «Лучший работник». Вы можете дарить рождественские индейки и раздавать ежегодные бонусы. Но ничто не говорит о том, что вам не все равно, так, как если вы пройдете по производственной площадке, разговаривая с рабочими об их безопасности, а затем что-то сделаете для её улучшения. Короче говоря, руководство должно понять, что безопасность является ключевым элементом долгосрочного успеха. Продолжение следует… Благодарим Илью Фролова за помощь в переводе материала.
Культура безопасности
| Развитие культуры безопасности обсудили на ВНОТ-2022 | Сегодня широко распространено мнение, что культура безопасности в компании оказывает решающее влияние на показатели соблюдения безопасности в тех или иных условиях. |
| Культура безопасности на производстве | Факторы влияния на создание культуры безопасности: Руководство компании Техническое обеспечение и инфраструктура Компетентность сотрудников Обучение и повышение квалификации сотрудников проводится систематически. |
Как развивается культура безопасности на предприятиях: взгляд ГИТ и сотен специалистов по ОТ
Но что если речь идёт о создании устойчивых цепочек поставок? Отстроить их — это одно, но сделать так, чтобы критерии устойчивости стали привычными для линейных специалистов-снабженцев при выборе продукции — работа другого порядка. Задача в итоге сводится к тому, чтобы создать самообучающуюся организацию. Каждый сотрудник начинает замечать лучшие практики устойчивого развития и привносить их в свою работу, делиться с другими, инициировать изменения на уровне компании. И тут мы переходим к следующему пункту. Сделайте каждого сотрудника послом устойчивого развития Лидерство — это ключ к внедрению устойчивой бизнес-модели. Этот процесс начинается с генерального директора и команды управленцев, которые разделяют этические и экологические ценности. Однако недостаточно иметь на самом верху борцов за устойчивое развитие — их необходимо культивировать на всех уровнях организации. У Marks and Spencer есть «чемпионы» по устойчивому развитию в каждом магазине, а у Unilever есть «послы» по устойчивому развитию во всей организации. Совместно создавайте устойчивые практики с сотрудниками Еще одним важным способом внедрения принципов устойчивого развития в компании является вовлечение сотрудников в совместное создание устойчивых практик.
И отличный способ сделать это — действовать по инициативе сотрудников. Компании получают все больше и больше лучших идей, когда они распространяются снизу вверх. В этом отношении отлично работают схемы различной сложности: от ящиков для подачи предложений до корпоративных бизнес-инкубаторов. Как только сотрудники компании начинают видеть положительное влияние и экономическую отдачу от социальных и экологических инвестиций, которые они помогли создать, они начинают верить, что они действительно играют значимую роль. Эта вера распространяется подобно вирусу. Сделайте устойчивость наглядной Чтобы укрепить веру сотрудников в то, что они могут делать, важно инвестировать в обучение практикам устойчивости. Празднуйте маленькие победы «Делу время, потехе — час». Второе также важно как и первое. Поэтому для поддержания командного духа необходимо праздновать маленькие победы.
Ничто так не бодрит людей, как вечеринка. Но совершенно не обязательно «закатывать банкет на сто персон», достаточно небольших командных обедов или чаепитий. Это будет мотивировать команду на достижение целей устойчивого развития. Неформальное общение с коллегами приносит глубокое удовлетворение и обязательно поддерживает мотивацию. Празднование реализации этапов устойчивых инициатив также связано с пониманием проблем, с которыми сталкиваются люди. Когда цель не достигнута, появляется возможность посмотреть, что блокирует прогресс, как можно преодолеть препятствие и нужно ли пересматривать конечную цель. Что можно попробовать: отпразднуйте ежемесячные победы на совместном завтраке. В конце каждого месяца поощряйте свою команду думать обо всех своих коллективных «зелёных» победах и личных достижениях в освоении экопривычек и успехах волонтёрских программ. При этом будьте внимательны к мелочам: для подобного экозавтрака лучше подойдёт вегетарианское меню и многоразовая посуда.
Итог Итак, ответ на вопрос «как мотивировать сотрудников к устойчивому развитию? Если важно, чтобы сотрудники действовали устойчиво в рамках своего функционала, необходимо создать соответствующую среду, интегрировать «зелёные» аспекты в должностные обязанности и KPI. Чистый бихевиоризм: стимул-реакция. Стоит учитывать, что любой сбой в системе приведёт к её откату. Какое-то время сотрудники будут действовать «устойчиво» по привычке, но затем, оставшись без подкреплений, выберут не делать лишних усилий. В случае, если цель — сделать устойчивость по-настоящему устойчивой, важно работать с вовлеченностью по принципу «морского боя»: стараться попасть в «важное» каждого отдельного человека и давать ему самому реализовывать это «важное» для поддержания устойчивого развития компании. И здесь не существует волшебной формулы — это постоянная задача, наполненная возможностями экспериментировать и узнавать, что работает, а что нет. Оба подхода, скорее, про развивающую среду, чем про мотивацию, они не исключают, но дополняют друг друга, при условии, что компания честна и последовательна в своём стремлении к устойчивому развитию. Читайте также: Самая свежая статья.
Во время обучения, разбирая те или иные происшествия, мы просим руководителей увидеть более глубокие — системные и организационные причины недочеты по части организации рабочего места и процесса труда, в информировании, не реагирование на определенные сигналы, и т. Этими факторами руководитель может во многом управлять, если не будет от них отмахиваться и захочет их увидеть. Также мы просим обратить внимание руководителей на то, какое поведение они на самом деле сами поощряют со стороны своих сотрудников — насколько они приветствуют инициативу и борются с формальным отношением подчиненных. Например, как можно повлиять на сотрудника с высокой склонностью к риску и нежелающего при этом взять на себя ответственность за свое поведение? Обычно для руководителей является откровением, что многие модели поведения подчиненных, которые им не нравятся, являются следствием действий самих руководителей. По итогам тренинга многие из них делают очень конкретные выводы и планы, как они поменяют свой подход по отношению к конкретным подчиненным или коллективу в целом, чтобы повысить культуру безопасности в своих подразделениях. Риск — не благородное дело, или как обучать рабочих Основной целью в обучении рабочих и специалистов является создание осознанного, а не формального отношения к собственной безопасности через понимание личного восприятия и склонности к риску. Почему люди часто недооценивают риски? Все ли мы одинаково воспринимаем одну и ту же ситуацию, и как следствие, оцениваем ее рискованность?
Насколько я сам имею склонность к рискованному поведению и почему? Вот те вопросы, которые мы обсуждаем с участниками тренингов по восприятию рисков, чтобы повысить уровень их знаний о поведении в рискованных ситуациях и помочь им лучше осознать свои собственные мотивы поведения. Также мы уверены, что в производственной культуре очень значимую роль играют групповые процессы. Поэтому в тренинг для этой категории мы также включаем два важных, с нашей точки зрения, аспекта. Первый — влияние мнения группы на мнение одного из ее членов и феномены группового конформизма соглашательство одного с мнением большинства, даже если его личное мнение отличается от позиции, разделяемой или декларируемой группой.
Сейчас такое направление деятельности, как культура безопасности, — номер один во всем мире: есть значительные методологические и технические наработки. И мировое сообщество понимает: важнее все-таки достучаться до умов и сделать так, чтобы люди осознанно соблюдали правила безопасности, это сейчас очень и очень важный инструмент дисциплины. Программа обучения состоит из двух модулей — теории в области изучения таких международно-признанных стандартов в области техники безопасности, как ISO 9000, OHSAS 18001, ILO-OSH 2001, а также ознакомления с конкретными опасными факторами производства; после прохождения этих двух модулей слушатели выполнят самостоятельную практическую работу и сдадут письменные экзамены на получение международного сертификата. Помимо получения теоретических знаний и практических навыков успешно сдавшие экзамены слушатели смогут претендовать на вступление в Общественный институт охраны труда и техники безопасности IOSH в качестве ассоциированного или технического члена, что дает доступ к большому количеству профильной информации и круглосуточной горячей линии по любым вопросам охраны труда. Это первый шаг в достижении статуса дипломированного члена CMIOSH , который показывает высшую ступень профессионального развития в области охраны труда и техники безопасности. Показательно, что обучение технических директоров началось с инструктажа по технике безопасности: присутствующим подробно рассказали о путях эвакуации в случае пожара, пунктах сбора и местах получения первой медицинской помощи. Об обучении на международных курсах директор филиала ПАО «Иркутскэнерго» ТЭЦ-11 Лев ЛУКАНИН заключает следующее: — Безусловно, мероприятие полезно, потому что на обычное положение вещей и привычные темы из области охраны труда новый преподаватель дает немного другой взгляд и формирует другое отношение к охране труда. В первую очередь он подробно объясняет, почему на предприятии система культуры безопасности должна быть внедрена, должна постоянно развиваться и улучшаться. Второй важный момент состоит в том, что в любом происшествии больше виноват работодатель, а не работник. Нет неправильных работников. Значит, что-то кардинально не сделали, не обучили, не обеспечили, не проконтролировали, то есть подвели к ситуации, когда инцидент на предприятии произошел. Со стороны работника может быть два варианта развития событий: ошибка или нарушение. Ошибка — это когда что-то случилось неосознанно по его воле, а нарушение — тот редкий случай, когда все произошло совершенно сознательно или по умыслу. Новая система учит, что каждый раз нужно смотреть, из каких соображений выполнены действия, что привело человека к такой ситуации. Следующим этапом проекта станет исследование, которое позволит проанализировать текущую ситуацию по охране труда и технике безопасности на всех филиалах, чтобы улучшить и усовершенствовать каждый процесс, который в этом нуждается. Она была создана в 1989 году в Москве как объединение сотрудников факультета психологии МГУ имени Ломоносова и третий десяток лет помогает организациям выстраивать системы управления эффективностью и системы управления персоналом, в том числе оценивая потенциальный риск небезопасного поведения. Многоступенчатое исследование состояния охраны труда и техники безопасности на производстве начнется с масштабного анонимного анкетирования сотрудников ПАО «Иркутскэнерго» с помощью специальной электронной формы, чтобы узнать, какие методы сохранения жизни и здоровья сотрудников функционируют на общее благо, а какие давно нужно исправить, заменить на более действенные.
Петр Тищенко: Не существует волшебной таблетки, позволяющей в одночасье внедрить культуру безопасности на предприятии, это долгая и кропотливая работа. Например, на железной дороге не только проводят обучающие мероприятия, там внедряется новое оборудование, которое позволяет людям в принципе не попадать в опасные зоны. Многие корпорации внедряют системы контроля доступа, используя компьютерное зрение и видеоаналитику. Когда работник попадает в опасную зону, работодатель может проконтролировать, надета ли каска, используются ли другие средства защиты - в противном случае система может просто заблокировать доступ, подать сигнал тревоги. Также есть механизм поощрения, когда сотрудник, в точности выполняющий все правила, получает премию, дополнительные дни к отпуску или какие-нибудь другие привилегии. Ну а, соответственно, тот, кто попался на нарушении, получает взыскание. А предусмотрена ли на уровне законодательства ответственность для работника, который не использует средств защиты? Петр Тищенко: В Трудовом кодексе есть статья, раскрывающая обязанности работника по охране труда, там прописано, что сотрудник обязан выполнять все мероприятия, касающиеся безопасности на рабочем месте. Но основную ответственность за выполнение правил охраны труда несет работодатель. Законодательство достаточно сурово, прописаны и высокие штрафы, в случае гибели сотрудника на производстве или при серьезных травмах в отношении руководителей предприятия может быть возбуждено уголовное дело, то есть топ-менеджмент несет в том числе и личную ответственность. Работника же могут привлечь в исключительных случаях, например, если из-за каких-то его действий кто-то еще пострадал. Но доказать, что трагедия произошла именно по причине игнорирования требований безопасности линейным специалистом, очень сложно. Требования к работодателям и так суровы. Зачем им еще культура безопасности? Петр Тищенко: Для себя. Обязательные требования законодательства касаются только охраны труда. Но все больше компаний начинают следовать культуре безопасности, хотя, например, и не получают за это каких-то материальных привилегий. Но в конечном счете это оказывается выгодным делом. Если не происходит каких-то аварий, то предприятию не нужно тратиться на ремонт, терять деньги из-за простоя, в конце концов, нести расходы, связанные с компенсациями пострадавшим. К тому же следование предприятием культуре безопасности становится огромным репутационным плюсом компании в глазах потенциальных инвесторов и партнеров.
БМЗ стал лучшим предприятием в Брянске по охране труда
Как это повлияет на безопасность? Что компании собираются делать для обеспечения лояльности, должного уровня осмотрительности и осведомленности? Например, чтобы в организации была позитивная культура безопасности, руководители должны четко заявлять о недопустимости компромиссов между безопасностью и производительностью. На предприятиях Топливной компании Росатома «ТВЭЛ» регулярно проводятся внешние независимые оценки уровня культуры безопасности.
Корпоративная культура безопасности – главная задача
| Вы точно человек? | Факторы влияния на создание культуры безопасности: Руководство компании Техническое обеспечение и инфраструктура Компетентность сотрудников Обучение и повышение квалификации сотрудников проводится систематически. |
| ЭКСПЕРТЫ ОБСУДИЛИ РАЗВИТИЕ КУЛЬТУРЫ БЕЗОПАСНОСТИ НА РОССИЙСКИХ ПРЕДПРИЯТИЯХ В РАМКАХ ВНОТ-2022 | В студии "ЭТАЛОН-ТВ" мы поговорили с Литвиновой Еленой Владимировной, Директором департамента ОТ, ПБ и ОСС компании "Бейкер Хьюз". |
Похожие статьи
- Результаты опроса и выводы редакции
- Хочешь уникальную работу?
- Что такое культура безопасного поведения и как ее повысить
- Проект «Развитие культуры безопасности»
Культура безопасности на производстве
| IV ПРАКТИЧЕСКАЯ КОНФЕРЕНЦИЯ ПО КУЛЬТУРЕ БЕЗОПАСНОСТИ | Например, чтобы в организации была позитивная культура безопасности, руководители должны четко заявлять о недопустимости компромиссов между безопасностью и производительностью. |
| "Влияние корпоративной культуры на безопасность организации" | Правильное отношение к безопасности в компании начинается с правильных установок и лидерства топ-менеджмента. |
| Культура корпоративной безопасности. Слагаемые успеха в новой реальности | ИД Советник | Кроме того, культура безопасности влияет на репутацию компании. |
Проект «Развитие культуры безопасности»
Культура безопасности в многопрофильных компаниях способствует развитию и применению передовых технологий и методов работы, что повышает эффективность бизнеса и делает компанию более конкурентоспособной. Зачем развивать культуру безопасности труда в организации? В организациях дивизиона на ежемесячной основе реализуются несколько полезных практик, которые проводят уполномоченные по культуре безопасности. Формирование позитивного уровня культуры безопасности является первоочередной задачей управления организации в рамках реализации концепции сохранения человеческих ресурсов. «Под культурой безопасности подразумевается, что все сотрудники осознают и соблюдают правила и нормы безопасности и следят за тем, чтобы другие поступали так же», – объясняет эксперт.
Вы точно человек?
Развитие культуры безопасности сотрудников — одна из необходимых мер для предотвращения внутренних инцидентов ИБ и противостояния кибератакам. Минимизировать риски случайных и намеренных утечек можно, если HR-отдел совместно со службой безопасности и IT-командой будут формировать культуру работы с корпоративной информацией. Культура безопасности определяется как последовательно проводимый руководителем организации принцип приоритета безопасности во всех без исключения ситуациях конфликта интересов.
Формирование культуры безопасности у сотрудников с помощью DLP-системы
Модератор отметил и другие проблемы: трудности с бюджетированием, недостаток времени у сотрудников и интеграция различных программных комплексов в один корпоративный университет. В частности, последняя из перечисленных напрямую относится к предприятиям крупного бизнеса. Далее слово перешло Альберту Лясковскому. В рамках своего выступления он поделился проблемами, выявленными на производстве, и рассказал об этапах трансформации процессов управления безопасностью. По словам эксперта, большое внимание уделяется развитию компетенций сотрудников. Спикер представил несколько кейсов.
Один из них — внедрение оценочных сессий в образовательный процесс. Далее выступил Александр Чеботкевич. Эксперт подчеркнул, что культура безопасности зависит от поведенческих моделей людей, которые работают в компании. При оценке использовались такие методы, как анализ документации по охране труда, структурированные интервью с высшим руководством предприятий, рабочими и линейными руководителями, а также дистанционная диагностика сотрудников с целью определения уровня развития культуры безопасности и индивидуальных факторов риска HALP.
Это были предприятия из 15 отраслей, таких, как: металлургической, пищевой, нефтегазовой, строительной, ИТ, финансы, машиностроительной промышленности и других. Все эти отрасли являются опасными производствами, в которых присутствует риск травматизма, и реализовано наибольшее количество самых разных практик в области развития культуры безопасности, ОТ и ПБ. Одним из вопросов исследования: «Кто, на ваш взгляд, является главным барьером в развитии культуры безопасности и повышении безопасности на производственных объектах? Топ-менеджеры говорят, что во всем виноваты мастера, то есть младшие линейные руководители - «все забывают и делают не так». Сами линейные руководители считают, что виноваты простые рабочие, поскольку молчат о проблемах, не сообщают о происшествиях и поломках. А если обратиться к рабочим с тем же вопросом, то они честно отвечают, что отчасти в этом есть и их собственная вина, но при этом и руководители среднего звена, по их мнению, также часто служат барьером для повышения безопасности на производстве. Рабочие не жалуются на топ-руководителей, как было принято это считать до нашего исследования, они больше винят того, кого видят — начальников цехов и функций. Главным барьером в повышении безопасности сегодня является привычка людей действовать формально, на уровне документов, то есть, выполнять действия «для получения галочки». Принимая во внимание все услышанное, наша команда пришла к выводу, что для того, чтобы повысить безопасность, нужно, прежде всего, сформировать командный дух внутри коллектива и единое видение целей в области безопасности. Для этого необходимо установить должную коммуникацию между топ-менеджерами, линейными руководителями и средним менеджментом. Между ними не должно быть барьеров, недосказанности или разного понимания приемлемого уровня риска, поскольку вопросы безопасности на производстве касаются всех вне зависимости от иерархической структуры. Кроме отсутствия должной коммуникации, был выделен ряд других проблем. Так, многие отмечали, что главным барьером в повышении безопасности сегодня является привычка людей действовать формально, на уровне документов, то есть, выполнять действия «для получения галочки». Отмечались и такие факторы как непонимание самой сути и принципов безопасности и отсутствие признания ценности человеческой жизни. В процессе исследования практик развития культуры безопасности наша команда определила две оси, на которые поместились все практики. Первая ось — популярность фактически говорит о том, сколько компаний на рынке применяет данные практики , вторая ось — эффективность фактическое субъективное мнение тех, кто применяет практики и видит их пользу для своей компании. У нас получилось выделить четыре четко определенные зоны на данных осях: практики с низкой популярностью и низкой эффективностью, практики с высокой популярностью, но низкой эффективностью, мало популярные, но эффективные практики, популярные практики с высокой эффективностью. В этой статье мы хотели бы рассказать подробнее лишь о некоторых из практик в каждой зоне. Но прежде объясним интерпретацию результатов. Так, практики, которые попали в зону с низкой популярностью и эффективностью - это те, про которые считается, что их можно не применять, так как большинство специалистов признает, что они не работают.
А может, перед работой он поругался с женой. В таком состоянии он вообще не думает ни о какой безопасности — ему бы пережить этот момент и справиться с проблемами. Чтобы поддерживать высокий уровень культуры безопасности, компании важно не только работать с сотрудниками, но еще и держать баланс между техническими средствами, которые защитят людей от их ошибок. Это поможет избежать ситуаций, когда человек пришел на работу не в том состоянии и не смог разобраться, пришло ли ему фишинговое письмо на почту. Поэтому лучшая стратегия — это балансировать между техникой и работой над культурой. Но, к сожалению, одной культурой невозможно ничего решить, потому что люди не идеальны. Что такое безопасная разработка и как ее придерживаться Безопасная разработка — это культура безопасности плюс страховка программистов от ошибок. И дело не в том, что разработчики такие безответственные люди, а как раз в обратном. Обычно код пишут люди с серьезным уровнем полномочий, а помогают обслуживать всю инфраструктуру DevOps-специалисты и сисадмины. У них есть высокий уровень доступа и большая ответственность за итоговый результат. То, что они пишут, может увидеть весь мир — или хотя бы компании, которые покупают этот софт. Поэтому ошибки здесь очень критичны, а значит, именно с безопасной разработки начинается вся культура кибербезопасности. Чтобы развить культуру, сначала нужно обучить разработчиков писать безопасный код: рассказать, как нужно делать правильно, на что обращать внимание, показать, какие уязвимости существуют. Например, почему не нужно держать токены в коде и почему их нужно выносить куда-то в сторону — в идеале в систему специального хранения, чтобы даже на тесте они неожиданно не попали во внешние источники. Задача компании — объяснить разработчикам, почему это важно. И при этом построить систему контроля, которая будет говорить о том, что нужно исправить. Самое важное — воспринимать ее не как «надсмотрщика», а как помощника, который будет подсвечивать ошибки. Не нужно говорить программистам, как следует писать код, — они сами знают, как делать свою работу. Нужно только показать, что вот здесь уязвимость, вот тут небезопасный метод, а здесь небезопасная работа с данными. Или что ты забыл убрать то, чего тут быть не должно. Безопасная разработка — это, по сути, страховка для разработчиков и бизнеса. Мы внедряем средства, которые указывают на потенциальные проблемы, а затем, когда все замечания будут отработаны, передаем код на постобработку, в продакшен и так далее. При этом обычному программисту не обязательно знать всю специфику безопасной разработки, достаточно только понимать, какие типы уязвимостей существуют в его сфере и зоне ответственности. Этих уязвимостей много, но совершенно новые появляются не так часто. Поэтому нужно один раз разобраться во всех типах, чтобы было базовое понимание, а дальше будут тонкости, разбираться в которых разработчику совершенно не обязательно — этим уже займутся специалисты по кибербезопасности. Отдельно хочется еще упомянуть про работу со сторонними библиотеками. Сейчас очень популярна тема безопасности с внешними пакетами — теми, что разработчики используют в своей работе, чтобы не писать функционал с нуля. Ожидаемо, эти библиотеки не всегда безопасны. Когда компания выстраивает безопасную разработку, она зачастую делает безопасное хранилище, или репозиторий. Всё, что попадает в этот репозиторий, нужно тщательно проверять на уязвимости и убеждаться, что с пакетами всё в порядке. Для разработчиков это часто очень неудобно, потому что нужно ждать, пока закончится проверка. Но это важный элемент защиты. Крупные компании поступают следующим образом: дают разработчикам полную свободу действий в тестовой среде, а затем проверяют все нужные библиотеки перед выпуском в продакшен.
Редакция «Справочника специалиста по охране труда» провела опрос о культуре безопасности в российских компаниях, и результаты получились весьма интересными. Более 500 специалистов и руководителей из различных отраслей, таких как строительство, ЖКХ, нефтяная промышленность и сельское хозяйство, поделились своим опытом и мнением о культуре безопасности в своих компаниях. И что же выяснилось? Оказывается, уровень культуры безопасности в российских компаниях растет!
Как развивается культура безопасности на предприятиях: взгляд ГИТ и сотен специалистов по ОТ
Для небольших организаций владелец подает пример и существенно влияет на культуру безопасности пищевых продуктов. Культура безопасности – это нормы и правила, а также принятые способы их выполнения, которые влияют на поведение и отношение работников к обеспечению собственной безопасности и безопасности других людей на производстве. Факторы влияния на создание культуры безопасности: Руководство компании Техническое обеспечение и инфраструктура Компетентность сотрудников Обучение и повышение квалификации сотрудников проводится систематически. Выведите свое обучение технике безопасности за пределы традиционных методов и развивайте процветающую культуру безопасности на своем рабочем месте! Зачем развивать культуру безопасности труда в организации?