Dokładniej to systemu zarządzania bezpieczeństwem. W normach ISO określenie misji i wizji bezpieczeństwa występuje jako określenie celu i zakresu systemu. Może dotyczyć pojedynczego obszaru np. bezpieczeństwa informacji, bezpieczeństwa fizycznego, cyberbezpieczeństwa, BHP i innych, a może być również zintegrowanego systemu zarządzania. To właśnie musi być wyrażone, aby dokładnie wiedzieć co jest objęte systemem i opisane w dokumencie. O nim na końcu, ale z pewnością go znacie.
Analogicznie do poprzedniego wpisu, w którym napisałem, że nie ma odrębnej strategii bezpieczeństwa, jest ona realizacją zagadnień bezpieczeństwa ze strategii firmy, tak i tutaj. Misja i wizja jest doprecyzowaniem zagadnień z misji i wizji organizacji. Tłumaczyłem w pierwszym artykule, tu poszerzę nieco. Takie opracowanie misji i wizji NIE MUSI BYĆ ZGODNE z misją i wizją organizacji, ponieważ JEST ZGODNE. Rozwija ją w dziedzinie bezpieczeństwa i uszczegóławia. Wyznacza w ten sposób to co tworzymy i realizujemy dalej, a więc np. strategie personalne. Tak, ponieważ personel bezpieczeństwa nie jest jednorodny. Jedni są bardziej… formalni, sztywni i świetnie pasują do organizacji, która tak jest ułożona. Albo która ma dużą rotację i po prostu tak trzeba. A zupełnie innego personelu potrzebujemy w firmie, w której zatrudnienie średnie jest powyżej 3-5 lat, ludzie znają się dobrze. Tak, dokładnie to, kogo będziemy zatrudniać, ale również jak zostaną napisane procedury, czy jak skonfigurujemy zabezpieczenia techniczne wynikać będzie z tego, jaka jest misja i wizja firmy i jakie to ramy nadaje organizacji bezpieczeństwa.
Wróćmy do misji i wizji. Jest to jeden z ważniejszych elementów dokumentu, a tak naprawdę fundamentem budowania również kultury bezpieczeństwa. W modelu Scheina, tzw. góry lodowej na samym dole, głęboko w oceanie jest podstawa góry. Są to przekonania. Najtrudniejsze do wyrażenia. Po prostu odpowiedź na pytanie:
Dlaczego ja w ogóle chcę mieć bezpieczeństwo (ten obszar) dobrze ogarnięty? A może nie chcę? Tylko muszę i traktuję to jako piąte koło u wozu?
Pytanie oczywiście do zarządów lub właścicieli. Ale nawet jeśli postrzeganie szefa jest tak, że trzeba bo ubezpieczyciel wymaga, czy kontrahent, czy też przepisy są takie to też jest wskazówka jak organizować bezpieczeństwo. Ma być minimalistycznie, zgodnie z wymaganiami.
Piszę, tworzę, czy wydobywam?
Tu się zatrzymam. Tworząc, czy raczej wydobywając misję i wizję bezpieczeństwa z szefa, właściciela, odłóżmy na bok nasze postrzeganie, ponieważ to nie jest nasza organizacja, nasza firma. Jesteśmy wynajętymi specjalistami i jeśli nasz zleceniodawca tak chce to jego prawo. A jeśli się z tym nie zgadzamy? Cóż, to przemycamy w planie działania te, które zwiększą świadomość szefostwa i zmienią kształt wizji i misji bezpieczeństwa.
Łatwiej nam będzie przekonać szefa do tego, że jednak nieco inaczej powinniśmy działać, jeśli mamy politykę firmy poprawnie zrobioną. To jest to miejsce, w którym materializuje się (jest opisana) misja i wizja organizacji oraz cele strategiczne. Z nich wywodzimy misję i wizję tego, jak bezpieczeństwo ma być zorganizowane, a reszta… ma dwa etapy. Zanim dojdziemy do nich dwa zdania o misji i wizji:
- MISJA – to co chcę dostarczać, zmieniać świat na lepszy, być super opieką dla swoich klientów. Misja czasem zawiera górnolotne stwierdzenia co niektórym przeszkadza, ale taki urok misji. Misja to są przekonania z modelu Scheina, wyrażają co uważamy tak głęboko, w sobie, że dostarczamy i że jest to potrzebne klientom.
- WIZJA – jak to będę robił. Wyobrażenie na dość wysokim stopniu organizacji. Tu już znajdą się takie określenia jak partnerskie podejście (np. “stosując partnerskie podejście tworzymy spójny system zarządzania bezpieczeństwem”) czy będąc innowacyjnym.
Mam nadzieję, że już widać efekt, który opisałem wyżej. Jeśli chcemy być np. innowacyjną firmą, to mamy super punkt zaczepienia do dobrego systemu zarządzania bezpieczeństwem informacji. Innowacyjność to przede wszystkim działy R&D po polsku nazywane B+R – czyli badań i rozwoju. Wszak zanim nasz innowacyjny produkt trafi do klienta to trzeba go opracować, przetestować, wdrożyć pilotażowo, wrócić, poprawić i znów. A to wszystko to są INFORMACJE. Jeśli wynajmować będziemy zewnętrzne podmioty do realizacji naszych elementów bezpieczeństwa (outsourcing), to mamy dla nich konkretne wymagania. Dodajmy do tego partnerstwo, też podane jako przykład zapisu w wizji. Traktowanie partnerskie oznacza, że usługi outsourcingu, np. ochrony fizycznej integrują się z nami bardziej, ale my też nie możemy ich traktować z góry. Czyli warunki pracy, płacy, szkoleń – to wszystko ma potwierdzać zarówno wysoki poziom zarówno innowacyjności (dbania o bezpieczeństwo projektów badawczo-rozwojowych) jak i partnerstwa.
Nazywa się to ARTEFAKTY. Nieco przeskoczyłem po modelu Scheina, więc czas na powrót. Przekonania to to co jest na samym dole. Wyrażane jest w misji i wizji. Drugim poziomem są normy i zasady, są wyżej, już w nieco jaśniejszym oceanie, a nawet pod samą powierzchnią. One muszą być spójne z przekonaniami. Innymi słowy wyrażać je, tworzyć takie rozwiązania organizacyjne, które materializują przekonania. Pokazują jak działać, tworzą schematy zachowań, ale i organizacji zabezpieczenia technicznego. Tu są procedury, polityki ochronne (security policies) czy instrukcje.
Działań, potwierdzenia szukamy w tym co widzimy, słyszymy, czytamy. Artefaktów w postaci zachowań, które są zgodne z procedurami, a te zgodne z przekonaniami. Artefaktów w postaci nawet wystroju wnętrz, ubioru pracowników i ich wyposażeniu.
Przykład: banki.
W trakcie jednego ze szkoleń przygotowaliśmy w formie ćwiczenia misję, wizję i cele strategiczne dla banku. Wyjaśnienie zmian w ochronie fizycznej na przestrzeni ostatnich 20 lat pokazało najbardziej to, jak bardzo misja i wizja bezpieczeństwa oraz cele strategiczne muszą wynikać z ogólnej misji i wizji (szczególnie tej drugiej) firmy. Dawniej do banku wchodziliśmy i stawaliśmy w kolejce do okienka kasowego. Później siadaliśmy, ale nadal. Okienko kasowe było za kuloodporną szybą, dowód podawało się w kasetce. Obsługa klienta to najczęściej był kontuar przy którym klient (chyba jeszcze wtedy petent) stał, a doradca siedział schowany za ogromnym ekranem monitora. Wstęp na zaplecze był czymś nie do pomyślenia. Często jeszcze na sali był pracownik ochrony, w oddziałach często uzbrojony.
Dziś? Doradca klienta siedzi przy niskim stoliku, z klientem niemalże jak na kawce. A na kawce z pewnością siądzie klient premium, przyjęty na zapleczu, z pokoju dla VIP.
Zmiana wynika najczęściej ze zmiany wizji funkcjonowania banku. Ma być przyjaznym miejscem, w którym panuje spokój. I ten spokój to ma być spokój, który odczuje klient i będzie wiedział, że jego pieniądze są w SPOKOJNYM miejscu.
Dobrnęliśmy do końca, a raczej prawie końca. Czas odkryć karty – co to za dokument?
POLITYKA BEZPIECZEŃSTWA
Tylko nie taka polityka, jak są zaszyte np. w serwerach, czy polityka bezpieczeństwa danych osobowych, wciąż wiodący dokument w ochronie danych mimo wycofania rozporządzenia, które ją wprowadzało. Ta polityka o której dziś piszę jest deklaratywna. Dlatego, że opisując misję i wizję bezpieczeństwa deklaruję jako prowadzący firmę jak chcę aby moje bezpieczeństwo wyglądało oraz co moim zdaniem ma dostarczyć.
Czego brakuje?
Cele strategiczne – to już konkretne przedsięwzięcia, które mają zrealizować moje postanowienia, deklaracje, pomysł na bezpieczeństwo. Pierwsze wyznaczenie celów to POMYSŁ na to, co trzeba zrealizować, aby osiągnąć stan opisany (wyobrażony). W tej pierwszej iteracji dodaję przy bardziej świadomych zarządach, że przed każdym z tych celów należy dodać:
Chciałbym aby…
Wtedy Bezpiecznik bierze się do pracy. Musi sprawdzić, czy te pomysły mają szansę zostać zrealizowane. A jeśli nie, co należy zrobić jako tzw. warunki wstępne, aby umożliwić realizację celów. Aby to zrobić należy przejść przez analizy:
Otoczenia organizacji – zgodnie z normami jest to kontekst zewnętrzny. W nim poszukamy zagrożeń ale i szans (błędnie w normach jest ryzyk i szans). Już pod nasz system, zakreślony wizją i misją oraz pierwszą iteracją celów strategicznych.
Wnętrza organizacji – zgodnie z normami jest to kontekst wewnętrzny. W nim poszukamy, czy mamy zasoby, możliwości do tego, aby szanse i możliwości wykorzystać. Już pod nasz system, zakreślony wizją i misją oraz pierwszą iteracją celów strategicznych.
Jak? O tym już w kolejnych odcinkach. Poszukamy sobie wspólnie jakiegoś przykładu.