Strona główna Bezpieczeństwo biznesu Echa zmiany paradygmatu w bezpieczeństwie – przykazania współczesnego bezpiecznika

Echa zmiany paradygmatu w bezpieczeństwie – przykazania współczesnego bezpiecznika

Jan Kapusta


Artykuł stanowi z jednej strony próbę zwrócenia uwagi na przyczynę obecnej sytuacji wielu komórek bezpieczeństwa, z drugiej – wskazania popartej nie tylko własnym doświadczeniem drogi (i kierunku), którą współczesny bezpiecznik powinien podążać. Oczywiście przekazywana treść jest subiektywna i nie stanowi jedynie słusznej prawdy objawionej.

Co za tym idzie, nie oczekuję od nikogo pełnej czy nawet jakiejkolwiek zgody z wyrażanymi w artykule poglądami. Jeżeli natomiast jego lektura skłoni do refleksji, a może nawet konstruktywnych wniosków, to mój cel został osiągnięty. Choć treść jest umieszczona w dziale poświęconym bankom – w środowisku tym spędziłem sporą część swojego zawodowego życia – to mam nadzieję, że coś wartościowego znajdzie tu każdy „bezpiecznik”, niezależnie od sektora, w jakim pracuje.

W szeroko rozumianym świecie bezpieczeństwa (głównie w przestrzeni akademickiej) funkcjonuje termin paradigm shift, co oznacza „zmiana paradygmatu”. Bez zagłębiania się w tłumaczenie znaczenia tego terminu obejmuje on niemal każdy aspekt bezpieczeństwa, w jakim kiedyś myśleliśmy inaczej, niż powinniśmy myśleć obecnie. I tak mówimy o zmianie paradygmatu w stosunkach międzynarodowych, obronności kraju i innych obszarach. W literaturze przedmiotu można znaleźć informacje, które w kontekście bezpieczeństwa mówią, że stare podejście było oparte na negatywnych przesłankach – wszędzie był wróg i przestępca myślący o tym, jak nas skrzywdzić. Współczesne podejście ma być pozytywne i konstruktywne – nie ma wroga czy bandyty, jest natomiast przeciwnik, a nasze działania są skoncentrowane raczej na budowaniu niż destrukcji. Być może da się wyczuć w tej wypowiedzi odrobinę sarkazmu, nasuwa się też pytanie, jakie ma to przełożenie na „bezpiecznika” (fizycznego) czy to w banku, czy w innej organizacji.

Niektórzy z łezką w oku wspominają czasy, gdy w większości banków funkcjonowały silne i w dużym stopniu niezależne Departamenty Bezpieczeństwa. Każdy liczył się z ich zdaniem, a ilość wszelkiego rodzaju zasobów zapewniała spokojną pracę. Wystarczyło słowo „nie”, by jego adresat nie podejmował zbędnej polemiki z naszym doświadczeniem i wiedzą ekspercką. Tak… To właśnie z chwilą, kiedy te sielskie czasy komórek bezpieczeństwa się skończyły, doświadczyliśmy zmiany paradygmatu. Z tym, że doświadczyliśmy tej zmiany, nie będąc w pełni świadomi tego faktu czy rozumiejąc, co się dzieje. Zostaliśmy „pozbawioną władzy grupą” kompletnie nieprzygotowaną na zmiany – postawieni przed faktem dokonanym. Niektórzy do dziś nie potrafią sobie z tym poradzić.

W mojej ocenie stan, kiedy komórki bezpieczeństwa zostały sprowadzone do roli pasywnego narzędzia mającego zapewnić względną zgodność z wymaganiami formalno-
prawnymi danej organizacji, zawdzięczamy poniekąd sami sobie. Frustracja wynikająca z niewiedzy i braku zrozumienia tego, co się dzieje, zastąpiła konstruktywną analizę i proaktywne wytyczanie ścieżek przez nową rzeczywistość. Zresztą przewidywanie i przygotowanie się na kryzys przed katastrofą, a nie po jej wystąpieniu jest również elementem zmiany paradygmatu. Z tego właśnie powodu poruszam kilka aspektów wspomnianej zmiany, których zrozumienie może pomóc w ustawieniu komórki bezpieczeństwa ponownie na właściwe tory, choć tory te trzeba wcześniej samemu cierpliwie budować. Mam świadomość różnego rodzaju ograniczeń, ale o tym będzie trochę później.

Punktem wyjścia niech będzie fakt, że celem komórki bezpieczeństwa nie jest blokowanie inicjatyw podejmowanych przez organizację poprzez wskazywanie związanego z daną inicjatywą ryzyka (ryzyk). Celem jest pomoc organizacji w „dowiezieniu” tej inicjatywy w możliwie bezpieczny i sensowny sposób. Innymi słowy, nie mówimy tylko o tym, co złego może się przytrafić, a raczej koncentrujemy się na tym, co zrobić, by tego „złego” uniknąć w racjonalny sposób. Co gorsza, musimy wiedzieć, jak to powiedzieć – i tu dotykamy kolejnego strategicznego punktu, którego wielu z nas musi się nauczyć, jeżeli chce dobrze funkcjonować w organizacji.

Musimy używać języka biznesu. Nie jest niczym odkrywczym, że komórki bezpieczeństwa nie generują przychodu, tylko konsumują pieniądze zarobione przez innych. I nie ma znaczenia, czy są to pieniądze zarobione przez tych, którzy sprzedają produkty i usługi dostarczane przez organizację, czy mówimy o pieniądzach dostarczanych przez podatnika do Skarbu Państwa. Musimy umieć pokazać w liczbach (najlepiej wyrażonych w konkretnej walucie), że pieniądze wydajemy w niezbędnej ilości na konieczne i efektywne rozwiązania przynoszące wymierną korzyść organizacji.

Z pomocą przychodzą narzędzia, m.in. różnego rodzaju metodologie i narzędzia programowe wspomagające nas niemal na każdym etapie pracy „bezpiecznika” (przynajmniej stworzone z myślą o jego wspomożeniu). Z wielu już potrafimy korzystać, ale mam przekonanie graniczące z pewnością, że istnieje spora grupa narzędzi, z których nie korzystamy, bo często nawet nie wiemy o ich istnieniu. Zacznijmy zatem od samodzielnego poszukania i zrozumienia idei ALARP (As Low As Reasonably Possible), następnie poszukajmy narzędzi oceny efektywności rozwiązań, z których zamierzamy skorzystać, zestawmy to z oceną ryzyka, oceną zagrożeń i oceną podatności – i dopiero na tym spróbujmy oprzeć strategię komunikacji z tymi, od których zależy nasz budżet. Nic nowego. Czy aby na pewno?

Często żartuję, że jedyną cechą wspólną wszystkich „bezpieczników” jest posiadanie jedynej słusznej i obiektywnie objawionej prawdy. Zawsze mamy rację i tylko my tę rację posiadamy. Mówiąc poważnie, zapewne przez specyfikę naszego zawodu mamy tendencję do rozumowania, że jeżeli sami czegoś nie zrobimy, to stracimy nad tym kontrolę i trudno nam będzie odpowiadać za wynik, którego nie znamy. W ten sposób dojdzie do katastrofy, a ta niechybnie nastąpi, jeżeli wspomnianą kontrolę stracimy. Utrata kontroli nad rzeczywistością nęka wielu pracowników niezależnie od zawodu. W praktyce trzeba sobie uzmysłowić, że procesy wewnątrz organizacji, w których bezpieczeństwo jesteśmy lub powinniśmy być zaangażowani, często nie leżą w naszej gestii, a co za tym idzie nie mamy pełnej wiedzy na ich temat.

Tylko wtedy, gdy włączymy w nasze działania ludzi na co dzień zajmujących się konkretnym kluczowym/krytycznym dla organizacji procesem, będziemy w stanie w sensowny sposób wspomóc organizację w wykrywaniu i mitygacji zagrożeń. Tego rodzaju podejście nie tylko pomaga w tworzeniu racjonalnej strategii bezpieczeństwa, ale – co chyba równie istotne – promuje i buduje pozytywny wizerunek komórki bezpieczeństwa w całej organizacji.

Aspekt utraty kontroli ma też inne przełożenie na ocenę konkretnej komórki bezpieczeństwa. Jeżeli prawdą byłoby to, że utrata kontroli nad sytuacją przez jedną osobę skutkowałaby katastrofą, wskazywałoby to na istotny problem organizacji z przyjętą przez nią strategią bezpieczeństwa lub na problem osoby odpowiedzialnej za bezpieczeństwo, która nie przewidziała redundancji w tym zakresie.

Wspomniana strategia bezpieczeństwa powinna uwzględniać to, czego oczekuje się od współczesnych komórek odpowiedzialnych za bezpieczeństwo. Mógłbym więc zadać pytanie o poziom przygotowania organizacji w kontekście bezpieczeństwa swoich zasobów na dzień wybuchu wojny w Ukrainie. Mógłbym również zapytać o przygotowanie banków na zmianę w statystykach dotyczących liczby napadów rabunkowych w porównaniu z liczbą ataków na bankomaty. Każdy może sobie sam odpowiedzieć, jak to wyglądało w jego organizacji. Zapytam natomiast, czy można było to wszystko przewidzieć? Odpowiedź jest prosta – można było. Co więcej, można było i należało się do tego przygotować.

Zdolność do monitorowania, analizowania i przygotowywania przyszłych i niekoniecznie dobrze znanych scenariuszy zdarzeń jest tym, czego oczekuje się od współczesnych komórek bezpieczeństwa. Oczywiście mowa tu o scenariuszach tworzonych na bazie oceny faktów i odpowiednio silnych przesłanek oraz ich pragmatycznej oceny w kontekście konsekwencji, jakie niosą. Jeżeli nauczyłeś się, jak używać języka liczb i pieniądza, masz już nawiązane dobre relacje z decyzyjnymi właścicielami procesów krytycznych i innymi kluczowymi funkcjami, wtedy przedyskutowanie i ocena konkretnego scenariusza nie będzie stanowić problemu, a tym bardziej przygotowanie się na ten scenariusz. Problemem nie są dobrze znane, powtarzające się zdarzenia niechciane (napady, włamania itp.). Nie zapominamy o nich i troszczymy się o to, by sobie z nimi radzić, ale te, jak wspomniałem, już dobrze znamy.

Problemem jest to, co może się wydarzyć, a jest dla nas względnie nowe z perspektywy statystycznych danych historycznych czy wynikających z nich trendów. Monitoring i analiza danych z bieżących wydarzeń i przygotowanie na nowe istotne zdarzenia jest tym, czego powinniśmy szukać. Zanim ktoś po raz pierwszy wysadził bankomat, dane historyczne nie wskazywały na to, że do takiego ataku dojdzie, a jednak doszło. Nim ten atak stał się popularny i urósł do skali istotnego problemu, minęło kilka lat, które prawdopodobnie można było lepiej wykorzystać. W całościowym bilansie przygotowanie się na możliwy do przewidzenia scenariusz wychodzi taniej niż reaktywne podejście post factum.

To właśnie działania proaktywne są tym, czego potrzebujemy obecnie bardziej. Z przyczyn oczywistych z dobrze znanych działań reaktywnych nie możemy i nie powinniśmy zrezygnować, ale bez koncentracji na metodach przewidywania trudno będzie komukolwiek zbudować silny wizerunek komórki bezpieczeństwa. Pragnę podkreślić, że za działania reaktywne uznaję również te, które zabezpieczają nas przed przyszłym wystąpieniem zdarzeń, które dobrze znamy. W tym kontekście planowanie zabezpieczenia na okoliczność potencjalnego, dobrze znanego zjawiska, jakim jest napad rabunkowy, to również działanie reaktywne.

Mówi się, że łatwiej powiedzieć, niż zrobić. Przecież jest tyle problemów i barier. Owszem, nie jest to łatwe, co nie znaczy jednak, że nie można sobie z nimi radzić. Warto by zacząć od zrozumienia, z jakimi przeszkodami mamy do czynienia, i spróbować znaleźć na nie sposób. Generalnie świat zna problemy, z którymi trzeba się zmierzyć podczas tworzenia współczesnej strategii bezpieczeństwa. Co więcej, można znaleźć opracowania, które je grupują i nazywają.

Przychylam się do osób wskazujących na następujące ograniczenia, z którymi należy się zmierzyć:

Poznawcze (sensoryczne) – łatwiej zauważyć i reagować na to, co znamy i czego doświadczyliśmy „na własnej skórze”. Nasze zmysły już to znają, więc jesteśmy na to bardziej wyczuleni. Trudno zrozumieć i dostrzec zagrożenie, którego nie doświadczyliśmy. Niewiele dzieci (organizacji) uwierzy na słowo, że coś jest gorące i może się poparzyć. Sytuacja się zmienia po pierwszym doświadczeniu bólu wynikającego z poparzenia, a przecież chcemy, by dziecko uniknęło bólu lub przynajmniej było przygotowane na ten scenariusz.

Psychologiczne i kierownicze – zarówno my, jak i nasi przełożeni (różnego szczebla) mamy tendencję do unikania wszystkiego, co może narazić naszą/ich pozycję na ryzyko. Status quo to ważna rzecz i może lepiej nie tworzyć wizji czegoś, co może się nie sprawdzić, i wtedy narazimy na szwank swoją reputację? Tylko że nam chodzi o to, by powiedzieć, że przewidzieliśmy i byliśmy przygotowani na konkretny scenariusz.

Organizacyjne – organizacja działa w obrębie ustalonego porządku, który narzuca określone ramy działania. Co za tym idzie, każda zmiana, która niesie konieczność poszerzenia tych ram o elementy nowe, jest trudna do przeprowadzenia. Może lepiej nie rozmawiać o ryzyku wystąpienia konkretnego nowego zdarzenia, bo i tak nikt nie da pieniędzy na wróżenie z fusów, przecież do tej pory nikt nie wysadził w powietrze bankomatu…

Polityczne – choć chodzi tu o politykę w ujęciu relacji międzynarodowych, to zależności „polityczne” wewnątrz organizacji nie zawsze sprzyjają określonym zmianom. Może lepiej nie podnosić konkretnego tematu, bo nie wpisuje się w wizję szefa? Ale jak się to coś wydarzy, to czy wpisze się lepiej i pomoże organizacji?

Zasadniczo wszystkie wymienione bariery sprowadzają się z jednej strony do psychologicznych atrybutów określonych ludzi w organizacji i „naturalnej” chęci utrzymania status quo, z drugiej – do tego, jak dobrze organizację i tworzących ją ludzi znamy oraz jaką mamy zdolność do zbudowania z nimi odpowiednich relacji.

Biorąc pod uwagę wszystko powyższe i nieco więcej, przygotowałem swego rodzaju dekalog współczesnego „bezpiecznika”. Jestem głęboko przekonany, że kierując się tymi zasadami (choć nie uważam ich za katalog zamknięty), każdy „bezpiecznik”, a zwłaszcza osoba odpowiedzialna za tworzenie strategii bezpieczeństwa nie tylko sprosta współczesnym wyzwaniom bezpieczeństwa, ale także da się poznać jako wartościowy i profesjonalny partner do rozmów wewnątrz organizacji, z którego głosem warto się liczyć.

Te zasady są następujące:

  1. Konstruktywnie pomagaj organizacji w bezpiecznej realizacji jej celów.
  2. Skup się na proaktywnym przewidywaniu, lecz nie zapominaj o obowiązkach reaktywnych.
  3. Pracuj na faktach i wynikających z nich mocnych przesłankach.
  4. Korzystaj ze sprawdzonych narzędzi wspomagających ocenę stosowanych rozwiązań.
  5. Proponuj rozwiązania problemów w miejsce jedynie wskazywania zagrożeń.
  6. Szukaj wartości dodanej dla organizacji przy każdym planowanym elemencie bezpieczeństwa.
  7. Posługuj się językiem liczb i pieniądza zrozumiałym dla tych, którzy o pieniądzu decydują.
  8. Buduj relacje wewnątrz organizacji i poza nią.
  9. Angażuj i korzystaj z wiedzy tych, którzy znają proces lepiej od ciebie, oraz tych, którzy są decyzyjni.
  10.  Poznaj ograniczenia i uwzględnij ich pokonywanie w budowanej strategii bezpieczeństwa.

 

JAN KAPUSTA
mgr inż., Dip. CSMP®, M.ISMI®. Praktyk i wykładowca, od ponad 20 lat związany z branżą security i zarządzaniem bezpieczeństwem. Współtwórca i były przewodniczący Forum Bezpieczeństwa Fizycznego przy Radzie Bezpieczeństwa ZBP. Obecnie zarządza bezpieczeństwem operacyjnym z obszarem działania obejmującym Europę Środkową i Wschodnią, Rosję i Wspólnotę Niepodległych Państw.