Tym artykułem chciałbym zainaugurować cykl, w którym będę opisywał poszczególne wymagania normy ISO / IEC 27001 w sposób mam nadzieję prosty i przejrzysty. Zachęcam też do dyskusji na tematy poruszane w moich artykułach. W najbliższym czasie planuję opisać tematy związane z: przypisywaniem odpowiedzialności za bezpieczeństwo informacji na każdym szczeblu schematu organizacyjnego; opracowaniem i nadzorem nad dokumentacją a następnie praktycznym zastosowaniem prostych narzędzi do analizy ryzyka. Obecnie zaś zwracam uwagę szanownych czytelników na takie zagadnienie jak kultura organizacyjna firmy, bowiem ma ona dość duże znaczenie dla efektywnego wdrożenia i dalszego utrzymywania oraz doskonalenia systemu zarządzania.
Tak, jak przy każdym systemie zarządzania, trzeba zastanowić się nad sprawnym „poukładaniem” lub dopasowaniem istniejących już elementów i rozwiązań organizacyjnych w obszarze naszego działania. To, czy będziemy układali od podstaw czy też tylko dopasowywali zależy od kultury organizacyjnej w danej firmie. Dzisiaj wiele firm prezentuje wysoki poziom owej kultury i każde nowe wdrożenie nie powoduje w niej większych problemów – pod warunkiem, że nie burzy tego, co już sprawnie w niej działa i funkcjonuje. Takie firmy przypominają o tym, że już w okresie Oświecenia zmieniano pogląd, iż praca to nie tylko przymus w celu zdobycia środków na swoje utrzymanie – można przy okazji z tej pracy mieć również satysfakcję. Niestety mimo dużej konkurencji na rynku funkcjonują jeszcze organizacje, które nie przywiązują odpowiedniej wagi temu obszarowi. Wdrożenie systemu zarządzania jest okazją, aby popracować również nad poprawą kultury organizacyjnej – w moim przekonaniu wpłynie to na elastyczne i bardziej efektywne, a przez co szybsze wdrażanie zmian, jakich wymaga lub będzie wymagał w przyszłości od nas rynek. Kilkakrotnie przytoczyłem pojęcie kultury organizacyjnej, więc należałoby w kilku słowach wyjaśnić, co mam na myśli, bez zapatrywania się w literaturę i zasoby sieci, a korzystając jedynie z własnych obserwacji i doświadczenia.
Dla mnie termin ten można opisać jednym zdaniem, jako zrozumienie przez każdego pracownika firmy obowiązujących w niej zasad komunikowanych poprzez schemat organizacyjny, regulaminy, zarządzenia oraz inne dokumenty nazwijmy je procedury bądź instrukcje. Na pierwszy rzut oka można ten pogląd skwitować – komuna, reżim itp. Odpowiem nie, nie, nie – daleki jestem od tego, raczej wskazywałbym na budowanie odpowiedzialnego i świadomego zespołu ludzi na bazie dobrych tzn. klarownych relacji z pracodawcą. Przecież w tych strasznych regulaminach oprócz obowiązków są też nasze prawa i inne miłe rzeczy jak chociażby: regulamin funduszu świadczeń socjalnych opisujący zasady wypłat tzw. „urlopu pod gruszą” i innych profitów; następny w kolejce regulamin pracy traktujący o obowiązkach, ale i prawach pracowników, czy też regulamin wynagradzania, w którym mamy opisane zasady przyznawania premii, nagród, wynagrodzenia urlopowego. Oczywiście wszystko to w myśl przysłowia najpierw obowiązki i praca a następnie przyjemności.
Ciekawe czy czytającemu takie przykłady nasuwa się myśl: „Jakie profity?”– czy też, „A co to jest urlop „pod gruszą” Następne przykłady z życia wzięte: „Schematu organizacyjnego nie widziałem na oczy, a pracuję w firmie już od 3 lat? W mojej firmie chyba lub na pewno nie ma takich rzeczy.” „Piszę te swoje programowe robaczki w javie nie wiedząc, komu i w jaki sposób moje dzieło służy?”
W ten sposób może nieco pobieżnie, ale można już sobie odpowiedzieć na pytanie dotyczące poziomu kultury organizacyjnej – oczywiście w rozumieniu przytoczonym powyżej. Dla złagodzenia podejrzewania mnie o poglądy iście komunistyczne – sprostuję nazewnictwo powyższych dokumentów – przecież te dokumenty nie muszą straszyć swoimi nazwami, więc jeżeli jest taka potrzeba to zastąpmy nazwę regulamin pracy – zasadami pracy. Ciężko mi teraz znaleźć inną nazwę dla schematu organizacyjnego, ale myślę, że akurat tutaj nie ma potrzeby ani szukać zamienników, ani jej zmieniać a raczej zająć się jego publikacją wśród pracowników.
Celowo przytoczyłem takie a nie inne przykłady. Intencją moją jest wskazanie, że nie wszystkie te dokumenty są złe i niepotrzebne.
Teraz może z innego obszaru – zagadnienie pt.: Pracownik wynoszący informacje z firmy (pomijam tutaj „specjalnych agentów”, czyli osoby podstawiane i nieświadomie zatrudniane przez firmę np.: na zastępstwo, oraz pracowników nielojalnych, którzy są w naszej firmie tylko przez pomyłkę swoją czy też firmy, itp.). Czy pracownik świadomy, któremu zależy na pracy, na pracy właśnie w tej a nie w innej firmie – wyniesie dane, lub przedwcześnie wyjawi np.: ceny ofert przetargowych do konkurencji, – jeżeli będzie rozumiał, że konsekwencje tego będą odczuwalne również i dla niego – moim zdaniem nie zrobi tego i jest to element kultury organizacyjnej świadczący o lojalności pracownika. Oczywiście to nie znaczy, że informacje – jakie zakwalifikujemy do grupy chronionych, „hulają” po naszej firmie bez nadzoru, bo mamy lojalnych pracowników. Bardziej chodziło mi o wskazanie, że bez tej świadomości sam nadzór, jako zabezpieczenie może sobie nie poradzić z przeciekiem informacji – przepraszam poradzi sobie z informacją, której tak naprawdę niema. To tak jak najlepszym zabezpieczeniem komputera przed niebezpieczeństwem czyhającym w sieci jest nie podłączanie go do sieci.
Wracając jeszcze do przykładu ze świadomym pracownikiem, można wskazać, że to stąd biorą się twierdzenia, iż jeżeli chcemy skutecznie i efektywnie wdrożyć coś nowego to nie zapominajmy o rozmowach i wymianie poglądów z ludźmi, którzy będą to wykonywać, obsługiwać itp. – nie dlatego, że musimy, bo przecież mamy uprawnienia i kompetencje ku temu – ale dlatego, żeby każdy zrozumiał i poczuł się częścią pewnego procesu, który musi zadziałać. Z takim podejściem zwiększamy grono zainteresowanych sukcesem i powodzeniem danego wdrożenia, bo nie tylko zarządzający firmą, ale pozostali pracownicy też będą nad tym czuwać. Moim zdaniem to też jest jeden z elementów kultury organizacyjnej – tym razem świadczący z jednej strony o lojalności pracodawcy, a z drugiej o jego sprycie i umiejętności do przeprowadzania zmian w swojej organizacji.
Autor: Leszek Birszel