Bezpieczeństwo w Firmie – Wywiad z Grzegorzem Krzemińskim

Grzegorz_Krzeminski_world_sec_info

Z Grzgorzem Krzemińskim, Dyrektorem w World Sec Info LTD i Prezesem Zarządu Instytutu Bezpieczeństwa i Informacji Sp. z o.o. rozmawiam o bezpieczeństwie w firmie, biznesie w Wielkiej Brytanii, kryzysach w firmie oraz stresie związanym z zarządzaniem.

 

Michał Ksiądzyna: Jakie były Twoje pierwsze doświadczenia zawodowe? Czego się wtedy nauczyłeś?

Grzegorz Krzemiński: Handlować… Ojciec miał biznes obwoźny, to było niedługo po zmianach strukturalnych w Polsce. To były wakacje po zakończeniu chyba 4 klasy szkoły podstawowej. Ja handlowałem wtedy gumami do żucia i słodyczami bo chciałem zarobić na swoje pierwsze CB radio. Pamiętam do dziś – był to Alan 77. Ale to takie nieco wakacyjne – jak później praca na budowach. Ot, aby było na chwilę. Pierwsza „poważna” praca – prawie etatowa to było mycie autobusów na bazie niedaleko domu – miałem wtedy 14 lat. „Pensja” co miesiąc (potem już za autobus), praca od 17:00 do 2-3:00 w nocy. Ale się skończyła. Natomiast ta „pierwsza” poważna, praca z ludźmi – to praca w barach. Byłem barmanem (to już 16-18 lat). I ta praca naprawdę najwięcej nauczyła „czytania ludzi”. Bardzo ciężka, ludzie … cóż, ludzie jak w Polsce, ale to były czasy rodzącego się „biznesu”. Więc i dorobkiewiczów masa. Nauczyłem się wtedy szanować ludzi. Niezależnie od wyglądu – tylko zależnie od poglądu. To co ma w głowie nie w portfelu jest naprawdę ważniejsze.

 

Michał Ksiądzyna: Jak zacząłeś przygodę z biznesem?

Grzegorz Krzemiński: Z przymusu. Omamił mnie wizją niezłych przychodów jeden z „biznesmenów”. Byłem wtedy ochroniarzem, to był rok chyba 1997 czy 1998. Opowiadał, jak to fajnie zarabiają, jak jeżdżą jego przedstawiciele. Wyglądało nieźle, tyle, że jak w radio Erewań. Nie zatrudnienie – a samozatrudnienie. Nie auto damy, a pożyczymy na zakup… Trochę się to ciągnęło, zanim rozpocząłem pracę. Z młodzieńczej fantazji i chęci poznania nowych zawodów – poszedłem nawet w między czasie pracować w Pogotowiu Ratunkowym. No i zostałem przedsiębiorcą – kupiłem Poloneza Trucka o ładowności ponad 900 kg, zrobiłem (świeżo) prawo jazdy i .. ruszyłem w trasy. Świetna nauka – bo moje pierwsze to były Sanok, Zakopane, czy ściana wschodnia. Polonezem, zimą na letnich oponach, z prawem jazdy od 2 miesięcy… Zrobiłem wtedy w rok ponad 100.000 km i nauczyłem się nowych rzeczy. Że nie ma dobrych kierowców. Wielu ma po prostu szczęście, a niektórzy nie. Firmę zamknąłem po 2 latach ciągłego szarpania się o kasę i użerania z „prawie szefem” (formalnie był tylko zleceniodawcą, ale czuł się jak przełożony). Wróciłem do bezpieczeństwa.

 

Michał Ksiądzyna: I z bezpieczenstwem juz zostales. Dlaczego to dobra branża dla Ciebie?

Grzegorz Krzemiński: Od zawsze miałem coś takiego w sobie że chciałem służyć. Najpierw była ochotnicza straż pożarna. Wstąpiłem mając 11 lat do młodzieżowej drużyny pożarniczej, to był 1988 rok. Potem było pogotowie ratunkowe, potem jedna ze służb, następnie instytucje administracji samorządowej. Podoba mi się służebność, ale nie służalczość. Pomaganie a nie wyręczanie. Także z punktu widzenia osobowości – to jest naprawdę fajna sprawa. Z tego powodu tez realizuję wiele kryzysów w Polsce i nie tylko. Co prawda o tym za bardzo się nie mówi i nie pisze, bo ma to mocny wymiar medialny, jednak naprawdę satysfakcja z pomocy jest ogromna. Z drugiej strony – też osiąganie czegoś nowego, przecieranie ścieżek. Branża mimo, że jedna z najstarszych – wszak potrzeby bezpieczeństwa to jedne z podstawowych, jednak nadal jest w niej wiele do zrobienia. I są ciekawe ścieżki kariery dla tych, którzy naprawdę chcą coś osiągnąć. Ot… jako przykład – już w ochotniczej straży pożarnej obejrzałem film Bodyguard. I postanowiłem sobie, że będę chronił ważne osoby. Od 1996 do 2004 roku były to zlecenia krótsze i dłuższe, ale z reguły biznesmeni, czy politycy średniego szczebla. Ale w 2004 roku, czyli po 12 latach osiągnąłem swój cel i przez 2 lata odpowiadałem za bezpieczeństwo śp. Lecha Kaczyńskiego, będąc licencjonowanym pracownikiem ochrony. Te ścieżki też są w zarządzaniu bezpieczeństwem, nie tylko w specjalizacjach. Postanowiłem nawet promować coś, co nazywam Polską Szkołą Bezpieczników (Bezpieczeństwa). Korzystając z przygotowania managerskiego, rozwijam narzędzia znane strategom i managerom bezpieczeństwa. I nagle okazuje się, że to co opracowałem i rozwijam od 10-12 lat, obecnie zaczyna być wymagane w standardach ISO czy BS. Mówię o analizach makro otoczenia organizacji, analizach firmy. W standardach nazywa się to teraz „kontekst organizacji”, ale tak naprawdę jest to zwykła analiza strategiczna, oparta o np. PEST, macierz BCG, 5 sił Portera a podsumowanie – to po prostu SWOT. Także fascynujące jest to, że wiele narzędzi można wykorzystać w miejscach naprawdę nieprzewidywalnych, ale sprawdza się rewelacyjnie. Przykładem niech będzie strategia działania i rozwoju jednej ze straży miejskich w Polsce. I zalecenia strategiczne pochodzące z analizy… BCG (macierz BCG). Powstały w 2005 roku i do dziś „nisza rynkowa” jest mocno objęta i niezagrożona. Także dla mnie bezpieczeństwo jako branża to świetny obszar do działania i wykorzystania wiedzy managerskiej w sposób dość nowatorski, ale nadal z utrzymaniem służebności – czyli pomocy dla firm, ludzi i korporacji, w tym aby ich biznes był, działał, a jak już coś się zdarzy – zawsze mają zaplecze. To daje ogromną satysfakcję.

 

Michał Ksiądzyna: Iloma spółkami/firmami zarządzasz w tej chwili? Iloma pracownikami?

Grzegorz Krzemiński: Obecnie są trzy firmy – zgodnie ze strategią jaka powstała w 2004 roku. Jest spółka wydawnicza, obecnie głównie portale, ale od jesieni też książki. Oczywiście o bezpieczeństwie.

Druga – to typowo szkoleniowa. Ale z dość nietypową ofertą, bo nie tylko szkolimy – również świadczymy usługi przygotowania szkoleń dla firm do ich wewnętrznych systemów szkolenia, a nawet realizujemy zadania przygotowania, wdrożenia i utrzymania systemów zarządzania wiedzą. Więc nie do końca jestem pewien, czy można nazwać to szkoleniami.

Trzecia – konsulting. Ale pomału wygaszam, bo struktura działów bezpieczeństwa w organizacjach coraz częściej opiera się na własnych zasobach. Więc zostawiam tylko działania wysoko specjalistyczne, których nie wykona własny dział bezpieczeństwa. Np. teraz realizujemy zadanie związane z przystosowaniem maszyn i pomieszczeń do pracy w miejscach w których może wystąpić atmosfera wybuchowa (ATEX) lub działania w zakresie integracji obszarów bezpieczeństwa.

Co do ludzi – to jest to trudne pytanie. Branża raczej opiera się na wolnych strzelcach, którzy zbiera się do konkretnego zadania. W stałej współpracy mam 5 osób, w „dyspozycji” – 17 specjalistów.

 

Michał Ksiądzyna: Jaka jest różnica między zarządzaniem 5 osobami w stałej współpracy a zarządzaniem 17 specjalistami? Co się zyskuje i traci w tych modelach współpracy?

Grzegorz Krzemiński: Dla mnie to była spora zmiana. Wcześniej kierowałem a potem zarządzałem dość dużymi zespołami, nawet do 350 osób. Ale były to z reguły dość podobne stanowiska, kwalifikacje i zadania. Oczywiście z wyłączeniem kilku specjalistów, czy działów typu HR, finanse, czy inne. Operacyjnie jednak to była dość jednolita grupa z własną hierarchią. Obecnie są to specjaliści na wysokim poziomie, często po specjalistycznych studiach. W takim przypadku nie ma mowy o „autorytecie formalnym” – trzeba go sobie naprawdę wypracować. Z drugiej strony – są to specjaliści o wyższych kwalifikacjach w konkretnych dziedzinach bezpieczeństwa od moich, co oznacza również że sam sposób pracy jest zdecydowanie inny. Muszę z jednej strony mieć sporą wiedzę o ich obszarach działania, tak aby komunikacja była naprawdę płynna i precyzyjna. Z drugiej strony – nie mogę wchodzić w zbyt specjalistyczne tematy, bo zwyczajnie zabraknie mi czasu. A to już naprawdę spore wyzwania dla managera, który wcześniej był specjalistą. Bo zawsze kusi, żeby coś tam po swojemu podłubać. Ale jeśli uda się uszanować wiedzę, nie wchodzić w zbyt głębokie tematy branżowe, zostawiając swobodę bądź co bądź „mądrzejszym od siebie” – to zaczyna to fajnie grać. To jest największy zysk – nowa wiedza, nowe podejścia. Mi pozostaje tylko to sensownie pospinać, pamiętając, że na końcu zawsze jest wynik finansowy. Najpierw klienta, potem mój. Także tracę pewien „sznyt” specjalisty, ale na rzecz nowej wiedzy co do podejścia, sposobu działania etc.

 

Michał Ksiądzyna: Co było największym wyzwaniem w Twojej karierze?

Grzegorz Krzemiński: Wszystkie są duże. Raczej nie biorę zleceń z puli „prostych rozwiązań”. Dlatego wszystkie są poważne. Natomiast pamiętam, bo dość świeży temat – wzięliśmy obsługę kryzysu w jednej z firm. Wypadek ciężki, poparzenie kwasem 60% ciała. Pracownik na szczęście przeżył, ale szef zakładu miał postawione zarzuty, choć w mojej ocenie nie był winny. W takich działaniach jestem „spin-doctor” (ten dział się dopiero u mnie tworzy, bo wymaga ogromnej wiedzy i doświadczenia), czyli po prostu prowadzę całość postępowania od strony merytorycznej. W zespole są również prawnicy, służba BHP, inne – jeśli tak potrzeba. Sprawa była bardzo trudna, bo jak to w Polsce większość opierało się na dokumentach lub ich braku. Również zarzut. Nikt nie chciał tej sprawy wziąć, wielu specjalistów uznało, że jest przegrana, właśnie z powodu braku dokumentów. Sprawa trwała 18 miesięcy, odbyło się 9 rozpraw i w pierwszej instancji naszego klienta skazano. Nakłoniłem resztę zespołu na apelację. W sądzie II instancji, na ogłoszeniu wyroku byłem sam, nikt nie wierzył w wygraną. Mecenas korporacyjny akurat miał już inny termin rozprawy (termin ogłoszenia przełożono), a klientowi poradziłem, żeby nie wchodził, bo z nerwów może nieco za dużo powiedzieć i dostanie jeszcze za obrazę sądu. Sędzia II instancji całkowicie podzieliła naszą linię, wypracowaną według najlepszych wzorców, uznając że masę błędów popełnił sąd I instancji. Klient jak mu przekazałem nie chciał uwierzyć i 5 minut go przekonywałem że jest niewinny. Mecenas – również nie uwierzył. Zadzwonił do sądu i jako pełnomocnik uzyskał informację, że klienta uniewinniono. To było naprawdę wyzwanie, bo wymagało ode mnie ogromnej biegłości w przepisach, ale tak naprawdę udało się wygrać doświadczeniem w pracy w bezpieczeństwie. Praktycznie interpretując przepisy prawa byłem  stanie przygotować mecenasa do wystąpień, podając kilka – kilkanaście przykładów praktycznych, dzięki czemu potrafił sobie zwizualizować pewne sytuacje. Złamaliśmy tez pewne stereotypy – np. związane z pisemnością instrukcji wykonywania prac szczególnie niebezpiecznych. W interpretacji Inspekcji Pracy ma być pisemna – a na rozprawie inspektor PIP sam przyznał, że nie ma takiego wymogu. Także jako wyzwanie – prawie 2 lata dużego stresu, ale się udało. Teraz prowadzimy kilka podobnych spraw i już pomału wprowadzam kolegów.

 

Michał Ksiądzyna: Czym różni się prowadzenie firmy w Polsce od prowadzenia firmy w UK?

Grzegorz Krzemiński: Prostotą. I nastawieniem urzędników oraz klientów. Wbrew pozorom wcale nie podatkami czy ZUS – bo może skorzystam z okazji i sprostuję. Jeśli działanie jest prowadzone na terenie Polski, podlegamy pod przepisy w Polsce. Dlatego oddziały mają księgowość w PL, są zarejestrowane w Regon, US – w tym VAT. I normalnie płacimy i CIT i VAT oddziału w Polsce. Natomiast przyjazność – to jest to, co decyduje o różnicy. Przyjazność urzędników – na każdy mail, czy każdy telefon otrzymuję odpowiedź. Nie widziałem nawet urzędnika na oczy, a prowadzę firmy kilka lat. Wszystkie wątpliwości są od razu rozwiewane. I na koniec zawsze zaznaczą, że są dla mnie, bo to ja tworzę biznes, to ja płace podatki, więc to oni mają mi pomóc i to jest ich misja. Przyjazność klientów… To taka ciekawa sprawa. W Wielkiej Brytanii jeśli mam spotkanie z kimś o mojej pracy, to jestem UZNANY za specjalistę. Klienci mają przygotowane pytania – ale do ich biznesu. Czyli jak zastosować. Nie spotykam się ze „sprawdzaniem wiedzy” czy szykanami – szczególnie ze strony specjalistów firmowych. W UK mam do czynienia z wieloma z nich i każdy uważa, że skoro podjęli decyzję o pomocy „z zewnątrz”, to muszą jak najwięcej skorzystać. W Polsce niestety, jeśli mamy pomóc w obszarach, które wkraczają w „księstewka” ochrony fizycznej, bezpieczeństwa informacji, ochrony ppoż, BHP, czy bezpieczeństwa maszyn (utrzymanie ruchu), to jesteśmy traktowani jako wrogowie, osoby, które chcą zachwiać pozycją „księciunia”. A to nie o to chodzi. Mimo wszystko osoba, która od kilku czy kilkunastu lat pracuje w jednej firmie, to mimo wizyt referencyjnych, czy udziału w konferencjach i szkoleniach – znają nadal jeden system bezpieczeństwa czy zarządzania bezpieczeństwem. My widzieliśmy ich nieco więcej i chcemy się to wiedzą i rozwiązaniami podzielić. Obecnie mam za sobą ponad 450 projektów w bezpieczeństwie i w Polsce miałem do czynienia z ponad 200 zakładami przemysłowymi. Reszta to usługi i administracja. W UK – to jest po prostu uznane jako referencja i na tym kończymy. W Polsce… cóż.

 

Michał Ksiądzyna: Co powinien robić menedżer w sytuacji kryzysowej?

Grzegorz Krzemiński: Podejmować decyzje. Mało kto wie, ze kryzys to ze starogreckiego decyzja. Taka nieco bardziej strategiczna, można rzec przełomowa. Ale decyzja. A więc trzeba zebrać informacje, przetworzyć i podjąć decyzję. Jest to również zaszyte w standardzie BS 11200 – właśnie o zarządzaniu kryzysowym (szkolenia prowadzę od zeszłego roku – jestem członkiem BSI – British Standards Institution). Mówi po prostu o zbieraniu informacji, ocenie w kontekście naszej firmy, czyli otoczeniu dalszym, bliższym i tym co w firmie. Czyli po prostu wykonaniu szybkiej analizy SWOT – i podjęciu decyzji. Kryzys jest zagadnieniem o tyle ciekawym, że w trakcie kilkuset audytów spotykałem się z planami i procedurami kryzysowymi na konkretne sytuacje. Co ciekawe – nie było procedur gromadzenia informacji i podejmowania decyzji. Tylko niektóre firmy miały zapisane zdanie mniej więcej w treści – „jeśli procedura przeszkadza ci w rozwiązaniu sytuacji kryzysowej – pomiń procedurę”. W pozostałych firmach funkcjonowało nieuzasadnione zaufanie do „szafy z procedurami na kryzysy”. Błędne jest również wpinanie samych kryzysów w działania w zakresie ciągłości działania – bo to nadal jest jeden z systemów. Obecnie trendem jest rozwój w kierunku „resilience” – czyli odporności organizacji, która tworzy jej trwałość. Ale to tematyka naprawdę jeszcze w powijakach – nie tylko w Polsce.

 

Michał Ksiądzyna: Jak radzić sobie ze stresem związanym z pracą menedżera?

Grzegorz Krzemiński: Oddzielić pracę od życia osobistego. Naprawdę banał, ale podaję za przykład zmęczenie fizyczne. Można się faszerować energetykami, witaminami… Tylko i tak kiedyś przyjdzie kres wytrzymałości. I będzie trzeba odpocząć. W naszej pracy – dokładnie tak to wygląda. Nawet w pracy w kryzysie, pod dużą presją, dbamy o stosowanie zasady – jeśli nie masz na coś wpływu (tu i teraz) to się tym nie zajmuj. A więc jeśli w sobotę, na grillu okazuje, się, że klient nadal nie zapłacił, nie dostarczył komponentów, etc, etc, to… i tak w weekend nie dostarczy. Więc po co?

 

Michał Ksiądzyna: Czy to oznacza, że kiedy dużo pracujesz, dużo też wypoczywasz? W jaki sposób ładujesz baterie?

Grzegorz Krzemiński: To trudno nieco rozgraniczyć. Znajomi mówią na mnie czasem pracoholik, ale ja mam wyjaśnienie. Jeśli twoja praca jest też twoją pasją, to naprawdę ciężko odróżnić pracę od hobby. Podoba mi się tez stwierdzenie – że jeśli robisz w życiu to co lubisz, to nie pracujesz (parafraza sentencji). I ja tak mam. Kiedyś pamiętam, jak Żona czytała książkę wieczorem. Pyta mnie – co ja czytam? A ja na to – ISO 27001 nowa edycja… Bohaterów mało, akcja też jakaś taka słaba, ale taaaka książka.

Ale mam też sporo innych pasji – portale, pisanie, ogród, czy… budowanie. Tak, to jest bardzo fajne – budować. Zbudowałem sporą część swojego domu, z ręcznym kopaniem piwnicy, bo nie chciałem wyciąć drzew obok, a nie mieściła się koparka. W zeszłym roku zbudowałem sobie małą szklarnię, czy raczej domek dla pomidora, który sam sobie wyrósł na kompoście. W tym roku jest to już prawie profesjonalny domek, planuję zbudować mu system nawadniania oparty o ogniwo solarne, pompę wodną niskiej wydajności i akumulator 12V. Mam też sporo ogródka warzywnego – otwartego. Z kabaczkami, cukiniami, ogórkami, pietruszką, marchwią, truskawkami, porzeczkami etc. Pomidory w tym roku.. to też jakieś przegięcie. Wysialiśmy wczesną wiosną do pojemników, a potem okazało się, że wszystkie wzeszły. I mam… około 50 krzaków pomidora. Mam też pieczarki. To sporo pracy, żeby utrzymać, opielić, podlać. Ale biorę do ogrodu też komputer, bo może coś mi do głowy wpadnie. Coś skomentuję, coś napisze, „podciągnę” książkę. Także po prostu jest co robić i jest jak przestawić myślenie na „luz”. Plus zacząłem grać w golfa…

 

Michał Ksiądzyna: Jak zadbać o bezpieczeństwo własne i pracowników?

Grzegorz Krzemiński: Tak jak o swoje, przy czym zakładam, ze szefowie nie są samobójcami. Ale przede wszystkim zrozumieć, że całe nasze życie to praca z bezpieczeństwem. Ot… jak pada deszcz – zakładamy kurtkę. Tylko po co? Po to, aby deszcz nas nie zmoczył, bo możemy zachorować. A jak zachorujemy, nie dokończymy projektu. A jak nie dokończymy projektu, to nie będzie premii (krótki termin) ale też nie wpiszemy projektu w nasze CV (długi termin). Nie każdy tak świadomie myśli, ale działa automatycznie. Słusznie – bo to jest nieświadoma kompetencja reakcji na ryzyko, czyli po polsku – po prostu działamy, bez myślenia. Oczywiście jak mamy prawidłowe wzorce.

My dokładnie tak pracujemy.  Dla nas deszcz – to zagrożenie. Zachorowanie – to wykorzystanie przez zagrożenie podatności organizmu. Niezakończenie projektu – to ryzyko operacyjne (skutek w krótkim terminie), a brak wpisu w CV i kolejnych takich projektów – to ryzyko strategiczne (skutek w długim terminie).

Tu naprawdę nie ma filozofii. Ważne jest zrozumienie. A reszta to tylko narzędzia i strona techniczna. Plus kilka strategicznych wyborów, często dyktowanych celami biznesowymi. Bo niestety ciągle mamy po dwóch stronach „suwaczka” przeciwstawne opcje. Biznes – i jego cele, bezpieczeństwo i jego cele. Trzeba znaleźć właściwy kompromis.

 

Michał Ksiądzyna: Jakie narzędzia pomagają zarządzać ryzykiem?

Grzegorz Krzemiński: Te same… Problemem w Polsce jest pejoratywne rozumienie słowa RYZYKO. Ale przecież my z nim mamy do czynienia na co dzień. Na co dzień szefowie i managerowie podejmują decyzje przy tylko pewnej dozie informacji. I w przypadku „ryzyk pozytywnych”, czyli tego, co robią działy strategii, marketingu, sprzedaży, wyniki szacowania są uznawane za miarodajne i stosowane. Ale przecież to jest ryzyko… ryzyko uzyskania określonego poziomu sprzedaży, objęcia rynku, skuteczności strategii produktu, czy firmy. W bezpieczeństwie to są dokładnie te same narzędzia na poziomie strategicznym, tylko skutki… my, bezpiecznicy szukamy skutków negatywnych, czyli skupiamy się na tej drugiej części. Czyli nie – „co może się udać”. A „co może się nie udać” i w konsekwencji – przeszkodzić uzyskać wynik „ryzyka pozytywnego”. Tworzenie czy wykorzystywanie do tego odrębnych narzędzi jest błędem, bo zarządzający nagle muszą poznać co najmniej założenia dwóch przeciwstawnych systemów. Dlatego zawsze staram się namawiać do skorzystania z tych samych narzędzi. Nawet ze wskaźnikami takimi jak ROI czy NPV. Przy czym zyskiem czy przepływem dodatnim jest ograniczenie wartości straty oraz kosztów ich obsługi. To ostatnie bywa mocno zdradliwe, bo mimo powszechnego rozumienia terminu – koszt alternatywny, czy koszt utraconych korzyści, w przypadku obsługi incydentów czy kryzysów nagle ta wiedza zostaje wyłączona. A to przecież o to chodzi. Jeśli działy bezpieczeństwa oraz działy produkcji, logistyki, marketingu, etc, etc, są zaangażowane w obsługę incydentu czy zarządzanie kryzysowe czy realizują plany ciągłości działania, bo „coś się wydarzyło” – to w konsekwencji nie wykonują tej pracy, za którą maja płacone. Czyli nie sprzedają, nie dostarczają, nie prowadzą szkoleń, audytów, czy działań prewencyjnych. Przykład – bo to chyba najlepiej przemawia. Średnio rocznie obsługujemy około 15-30 incydentów, różnych. Większość właśnie wyliczanych dość dokładnie. Jeden z nich był dość… „mocny”. Prezes firmy produkcyjnej uznał, że jego strata w wyniku incydentu (wypadku drogowego na terenie fabryki) to to, co wypłacił ubezpieczyciel. Czyli 38 tys. My policzyliśmy nawet nie utracone korzyści, a po prostu czas pracy osób przy incydencie. Zeznania, sprawa karna, ZUS i standardowe przepychanki. Brak wózkowego (na 3 tylko 2 było, bo etat zajęty, więc nie można zatrudnić). Oraz wiele innych danych, łącznie z zatrzymaniem linii produkcyjnej. Nasze szacunki – dość dokładne, zgodne ze wszelkimi zasadami rachunkowości managerskiej i bilansowej dały nieco inny rezultat. 660.000 pln. Czyli dobrze ponad 10 razy więcej niż sama szkoda. Najciekawszym w tym wszystkim jest wartość „zabezpieczeń”, a więc dwóch punktów w umowach z logistyką i jednego zapisu w regulaminie. Koszt oszacowany, stworzenia zapisów, konsultacji i aneksów – to nie więcej niż 5 tys. pln.

 

Michał Ksiądzyna: Co robić, kiedy pracownik nie chce się stosować do zasad bezpieczeństwa?

Grzegorz Krzemiński: Wiele osób nie pamięta, że zasady bezpieczeństwa wynikają z Kodeksu Pracy. Nie z norm, standardów, ustaw, rozporządzeń, ale właśnie z KP. To on jest podstawą regulaminu pracy, który wskazuje, że pracodawca ma określić (stworzyć) środowisko pracy. A całe bezpieczeństwo – to właśnie jeden z elementów. Nie ma znaczenia obszar – czy to PPOŻ, czy BHP, czy fizyczna czy informacje. Wszelkie regulacje są wydawane przez pracodawcę, a więc stanowią swego rodzaju załączniki do regulaminu pracy. A więc naruszenie procedur bezpieczeństwa – stanowi naruszenie regulaminu pracy. Uświadomienie pracodawcy, zarządowi, czy kierującym organizacjami jest kluczowe. Wtedy po prostu łatwiej przekonać, że zasady premiowania, nagradzania, awansu, związane są również z zasadami bezpieczeństwa.

Oczywiście jest to dość prosty przekaz, ale szczegółowe to już do konkretnych firm. Podam przykład firmy, która przygotowywała produkt na rynki Europy, Afryki Północnej oraz Bliskiego Wschodu. Ale produkt trzeba było „nadprodukować” tak, aby na wszystkich tych rynkach był w tym samym czasie. To rodzi ogromne ryzyka  zakresie przejęcia nie tyle samej receptury, ale też i graficznej prezentacji, opakowania, etc, etc. A tymczasem zdarzyło się, że na openspace były opakowania do tego produktu pozostawiane po pracy. Formalnie – było to ujawnienie informacji i czyn określony w Kodeksie Karnym, ale z punktu widzenia produktu – skutki wielo… chyba nawet miliardowe. Wzory, materiały reklamowe, brandig, etc, etc. Próba policzenia skutków incydentu, co już robimy od 5 lat, pozwala zrozumieć, jak kosztowne mogą to być zaniechania. Później wystarczy pokazać, jaki to skutek i przypomnieć pewne zobowiązania. To najbardziej przemawia, bo jednak nie zawsze pracownicy myślą o skutkach w wymiarze finansowym.

 

Michał Ksiądzyna: Jak zadbać o bezpieczeństwo informacji w firmie?

Grzegorz Krzemiński: Temat rzeka. Ale żeby naprowadzić to taki nieco trudny termin. Atrybuty bezpieczeństwa informacji. Wiele osób pamięta o poufności, a tymczasem… jest jeszcze dostępność i integralność. Atrybuty fajnie się tłumaczy na … przykładzie pracownika. Pracownik też ma „atrybuty” – wiedza, doświadczenie, sprawność psychofizyczna, czy obecność. Co z tego, że będziemy mieć pracownika z doświadczeniem, wiedzą, czy sprawnego – jak będzie nieobecny? Albo jak będzie obecny, z doświadczeniem i wiedzą, ale nietrzeźwy? Podobnie jest z informacjami. Co z tego, że będzie poufna, jak nie będzie dostępna? Albo jak będzie dostępna, poufna, ale nieintegralna. Czyli nie będziemy pewni, że jest właściwa? I tak jej nie użyjemy, bo straty mogą być przeogromne. A więc mysląc o bezpieczeństwie informacji w pierwszej kolejności musimy myśleć o tym, że jest to nasz zasób. Nasz – czyli chcemy żeby był (dostępność), Żeby był nasz i tylko nasz (poufność). I żeby miał jakość, jakiej chcemy (integralność). Wtedy przede wszystkim zrozumiemy cyberbezpieczeństwo. Bo cyberataki w wielu przypadkach nie atakują atrybutu poufności. Atakują dostępność – jak ostatni atak na Facebooku i szyfrowanie danych. Po prostu tracimy możliwość z ich skorzystania. Mieliśmy swego czasu też ataki na podmianę numerów kont bankowych. To z kolei integralność. Użycie nieintegralnej informacji – powoduje naprawdę spore straty finansowe.

 

Michał Ksiądzyna: Czyli jak zdroworozsądkowo podejść do tematu? Często bezpieczeństwo informacji to też koszty, dodatkowa praca – jak mieć wystarczająco bezpieczne informacje w firmie?

Grzegorz Krzemiński: Znów.. tak samo. Przecież jak specjalista czy wręcz cała służba BHP idzie do domu po 15:00 czy 16:00, to nagle firma nie zatrzymuje się w wyniku wypadków w pracy. Dalej działa. Wynika to z faktu, że „personel BHP” jest nieco inaczej postrzegany. To każdy pracownik, każdy przełożony, tyle że z mocy prawa. W bezpieczeństwie informacji jest dokładnie tak samo, tyle, że zasady trzeba wprowadzić wewnętrznymi regulacjami, bo przepisy ogólne są dość… ogólne. Innymi słowy, warto nałożyć pewne obowiązki ale też i warto pomagać, tłumaczyć, wyjaśniać. I nagradzać. Z tym jest największy problem w Polsce, bo mamy w naszym myśleniu zaszyte to, że przecież jak pracownik ma obowiązki to za to bierze pieniądze. Tak, zgadzam się z tym jak najbardziej, ale dobre zachowania jakoś trzeba wskazać. Niestety, Polska w tym względzie jest nieco do tyłu. Np. „whistleblowers” w USA potrafią być naprawdę wysoko nagradzani za ujawnienie nadużyć (fraudów). W Polsce z jednej strony taka osoba dostanie łatę „kapusia”, a z drugiej szef i tak „utraci zaufanie” i zwolni. A przecież dobre systemy antyfraudowe działają we wszystkich obszarach bezpieczeństwa organizacji, w których może dojść do nadużyć. Jednak w naszej świadomości jeszcze trudno jest połączyć kilka faktów ze sobą. Ot z jednej strony prawdą już powszechną jest to, że 80% zdarzeń (a nawet więcej) związanych z bezpieczeństwem informacji to działanie człowieka. Z czego naprawdę wielka część to działania celowe. A z drugiej strony mamy naprawdę rozwinięte systemy antyfraudowe – które… do bezpieczeństwa informacji jakoś przebić się nie mogą. Mówiłem o tym na konferencji Cyberbezpieczeństwo spółek giełdowych, będąc ekspertem w panelu podsumowującym wydarzenie. Zebrałem naprawdę spory aplauz od uczestników. Ale znów – ta sama zasada co wcześniej. Wykorzystajmy to co mamy w firmie. Otwórzmy oczy, uszy i zacznijmy stosować.

Michał Ksiądzyna

Redaktor Naczelny Top Menedżer

Sprawdź też...

2 Responses

  1. Tomasz Nowiński pisze:

    Ciekawy wywiad. Zastanawiam się, jak wygląda temat ryzyka innowacji w firmie – tj. kiedy mamy jeszcze nieopatentowany wynalazek, a pewne osoby mają do niego dostęp … jakie mamy możliwości zabezpieczenia się w takiej sytuacji?

    [Odpowiedz]

    Grzegorz Krzeminski Odpowiedź:

    @Tomasz Nowiński, To naprawdę ciężko powiedzieć. Nie znam struktury, nie znam obszaru ochrony. Formalnie zaczynając od określenia tajemnicy przedsiębiorstwa – wskazać, że każde jej naruszenie to 266 Kodeksu Karnego. O tyle fajne, że daje możliwość ścigania nie tylko ujawnienia, ale też wykorzystania. Ale sporo działań trzeba podjąć. Napisz może do mnie maila, jak będę w stanie, to na szybko odpowiem gdzie zajrzeć i na czym się oprzeć.

    [Odpowiedz]

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *