Zakaj sploh imamo te varnostne politike, tega nobeden ne bere
02.12.2015 - avtor: detektiv Žiga Primc
Ob vpeljavi pravilnika ali varnostne politike v organizacijo moramo vedeti kaj sploh potrebujemo in kaj je smiselno vpeljati.
V slovenskem prostoru se velikokrat srečujemo z generičnimi varnostnimi politikami, ki so v organizaciji sprejete samo zato, da se zadosti določenim revizorjem, inšpekcijam, zakonodaji ali pa so te prišle v paketu z kakšnim standardom kakovosti. V večini primerov zaposleni ne poznajo vsebin teh politik. Nekateri vedo, da imajo različne pravilnike in varnostne politike, ampak ne vedo za katero področje. V čem je torej smisel te dokumentacije, če zaposleni ne vedo kaj v njej piše? Sklepam, da se zaposleni v tem primeru težko ravnajo po nekih pravilih, če ne vedo kakšna ta pravila so. Vendar krivda ni na strani zaposlenih ampak na strani vodstva. Če več deset strani neke varnostne politike pripnemo na oglasno desko, lahko pričakujemo, da si bo vsak od zaposlenih vzel čas in si prebral vsebino? Jo bo tudi razumel? Kakšna je verjetnost, presodite sami. Oglasna deska ni najbolj primerno mesto za objavo pomembnih dokumentov. V 21. stoletju, ob poplavi različnih tehnologij, lahko brez večjega truda postavimo digitalno shrambo za tovrstne dokumente, s čimer omogočimo zaposlenim, da si lahko dokument po potrebi ogledajo večkrat, poleg tega pa s tem dosežemo večjo preglednost, saj so vsi dokumenti zbrani na enem mestu.
Da dosežemo resnično sprejetje varnostnega dokumenta moramo zaposlene seznaniti z vsebino in namenom le-tega, najbolje na namenski delavnici. Sprejetje določene varnostne politike ali pravilnika lahko pomeni tudi spremembe v delovnem procesu. Iz tega razloga zaposleni potrebujejo jasno razlago zakaj so te spremembe potrebne in tudi obrazložitev morebitnih posledic v primeru incidenta, ki bi lahko nastal kot posledica neupoštevanja zapisanih pravil (npr. kraja poslovne skrivnosti, ker je nekdo od zaposlenih pustil odklenjeno delovno postajo in zapustil delovno mesto). Za kvalitetno izvajanje predpisov je tudi smiselno, da organizacija določi osebo, ki je odgovorna za izvajanje tega dokumenta in nudi podporo zaposlenim, kateri lahko v primeru nejasnosti zaprosijo za pomoč.
Varnostno politiko ali pravilnike organizacija ne sprejme zato da omejuje svoje zaposlene. Sprejme jih za to, da jih ščiti. Kako pa lahko "omejevanje zaposlenih" pomeni karkoli dobrega, se sprašujete? Odgovor je čisto enostaven. Dokumentacija o kateri govorim izhaja iz potrebe. Ta potreba je rešitev oziroma omilitev določenega problema. Problem povzroča škodo organizaciji. Škoda organizaciji pa lahko pomeni izgubo delovnega mesta. Če poenostavimo, zaposleni z upoštevanjem varnostnih politik in pravilnikov ščiti svoje lastno delovno mesto.
Da bi varnostna politika bila učinkovita, je potrebno upoštevati še en bistven faktor. Več deset strani dolge varnostne politike enostavno ne morejo biti učinkovite, saj pri uporabniku predstavljajo nepregleden kup dokumentacije do katerega ta goji izrazit odpor, saj že pred začetkov branja ve, da mu bo pregledovanje politike vzelo veliko časa in se tudi zaveda, da določen del zapisanega sploh ne bo razumel. Varnostne politike, če želimo, da bodo učinkovite, morajo biti zmerne dolžine (nekaj strani), napisane v jeziku, ki ga razume laik in nuditi ustrezno podporo v procesu implementacije. Z upoštevanjem teh faktorjev in primerne vsebine, ki je napisana tako, da se brez večjih težav implementira v organizacijsko kulturo organizacije lahko dosežemo učinek, ki smo ga z vpeljavo varnostne politike pravzaprav želeli.