Magistrirali ste s področja informacijske varnosti. Glede na to, da imajo informacije veliko poslovno vrednost, kako se po vašem mnenju v slovenskih organizacijah zavedajo informacijskih tveganj?
Intenzivna uporaba informacijske tehnologije v poslovanju je od organizacij zahtevala prilagoditev varnostnih načrtov. Primeri številnih informacijskih napadov jasno kažejo, da je od sposobnosti informacijske varnosti odvisen uspeh podjetij. To področje je zato vedno bolj odmevno, tudi pri nas. Sicer je težko oceniti stanje, saj večina incidentov ostane v interni obravnavi, pa tudi raziskovalcev, ki bi se s tem ukvarjali je malo. Če izhajam iz razprav in tistih podatkov, ki jih imamo lahko pavšalno ocenim, da je stanje kar sprejemljivo. Varnostna drža organizacij v Sloveniji je solidna, ne pa odlična. Pristop k obvladovanju tveganj je povečini še reaktiven in ad-hoc. Problem ni toliko v ozaveščenosti, saj obstaja zavedanje o grožnjah, tudi zanimanje za novosti (na področju tehnologije in groženj) je veliko. V razmisleku, zakaj slovenska praksa nekoliko zaostaja v razvoju v primerjavi z globalnimi trendi bi izvorni problem pripisala pomanjkanju informacijske podpore in jasne vizije. Premalo je usmerjenega delovanja s konkretnim ciljem. Dodatno je zaradi poplave ponudnikov in različnih varnostnih rešitev na trgu težko izbrati prave ukrepe. Iz teh razlogov se pogosto zgodi, da podjetja uporabljajo celo preveč ukrepov, vsepovprek, brez pravih argumentov in ustrezne kontrole. Seveda ne gre kar tako posploševati, tudi pri nas obstajajo organizacije z zelo dobrimi praksami. Velike organizacije področje navadno razvijajo dobro, med »problematične« (ranljive) pa sodijo manjše organizacije, ki imajo bolj omejene vire in težje investirajo v razvoj.
Generalno slovenska podjetja dobro skrbijo za tehnični in fizični vidik varnosti, povečini dobro skrbijo tudi za skladnost ukrepov. Pri načrtovanju varnosti se navadno sledi cilju zadostiti pravno-formalnim pogojem varovanja informacij. S tem se sicer izpolni minimalne standarde, vendar je za kakovosten varnostni sistem (takšen, ki pravilno naslavlja najpomembnejša tveganja in hkrati ne ovira funkcionalnosti poslovnih procesov) potrebno upoštevati še druge vplive. Recimo, velika večina internih in eksternih groženj je uresničena zaradi neke aktivnosti na strani zaposlenih, bodisi gre za namerno ali pa samo malomarno vedenje. Socialnega inženiringa tehnični ukrepi ne preprečijo. Žal vedenjske vplive na informacijsko varnost rahlo zanemarjamo, pa ne za to, ker jih ne bi razumeli ampak njihovo upravljanje zahteva veliko več kot samo denar. Na informacijsko varnost se gleda preveč ozko, s prepričanjem, da lahko tehnične oz. programske kontrole preprečijo vse grožnje. Lastniki želijo hitre, otipljive rezultate investicij, varnostni ukrepi pa tega ne dajejo, zato je omejevanje prizadevanj na tehničen nadzor in krčenje pravic uporabnikov enostavnejši pristop. Zaenkrat to funkcionira, če bomo želeli slediti globalnim trendom in varno uporabljati nove tehnologije v poslovanju pa bo treba k vzpostavljanju pristopiti bolj analitično in sistematično.
Trenutno pripravljate doktorat s področja presojanja kakovosti informacijske varnosti. Kakšne so ovire s katerimi se podjetja soočajo pri vzpostavljanju in vodenju te funkcije?
Če želimo biti pri upravljanju informacijske varnosti proaktivni jo je treba obravnavati intersdisciplinarno. S tega vidika me zanima, katere so dimenzije upravljanja in katere situacije v organizacijah je treba nasloviti pri razvijanju informacijske varnosti kot poslovne funkcije in socio-tehničnega sistema. Res, da so tehnični ukrepi na prvem mestu in zelo funkcionalni, je pa uspeh in končni rezultat veliko bolj odvisen od pravega managementa. V razpravah na temo organizacije informacijske varnosti je recimo trenutno zelo aktualno vprašanje, kakšna naj bo umeščenost področja v organizacijsko hierarhijo in kakšna naj bo njegova funkcionalna členitev. Zaenkrat je status v večini podjetij takšen, da se varovanje informacij podreja IT funkciji, s čimer je avtoriteta odgovornih oseb omejena. Razmislek gre v smeri reorganizacije funkcij – ločevanja informacijske varnosti od IT sektorja.
V managementu informacijske varnosti primanjkujejo neka uporabna priporočila, kako naj vodje sistematično pristopijo k vzpostavitvi sistema. Kot sem že omenila razvoj informacijske varnosti najbolj ovira pomanjkanje znanja o varnostnih potrebah. Brez pravega referenčnega okvirja je težko upravičiti investicije in vodstvo prepričati o pomembnosti obravnave tveganj. Vprašanje, ki ga skušam razrešiti v doktorski nalogi je, kako oceniti in presoditi uspešnost upravljavskih aktivnosti na področju informacijske varnosti. Cilj je razviti odločitveni model za presojanje kakovosti, ki bo organizacijam pomagal v fazi načrtovanja sprememb. Seveda ob pogoju, da se ta evalvacija izvede čim bolj celovito, ob upoštevanju vseh relevantnih dimenzij.
Pri delu izhajate iz teorij vodenja in upravljanja. Glede na to, da prihajate iz Fakultete za varnostne vede so vaš primarni fokus varnostne organizacije. Vidimo, lahko da te v zadnjih letih poskušajo uvajati določene sistemske in strateške spremembe. Kakšni so trendi, v katero smer gre ta transformacija in kako je z vodenjem?
Glede na veliko pozornost, ki jo namenjamo spremembam na področju izboljševanja kakovosti v podjetniški sferi, je treba omeniti, da do transformacij prihaja tudi v javni upravi. Sicer proces poteka po drugačnih principih, z drugačnimi cilji. Varnostne organizacije se na primer ukvarjajo z izboljšanjem kakovosti pri uporabi pooblastil in učinkovitosti pri reševanju problemov. V ta namen se izvajajo intenzivne organizacijske in strukturne spremembe, vendar bodo učinki vidni šele na dolgi rok. Kakršnekoli transformacije so v takšnih državnih sistemih, sploh v tistih, ki so avtoritativne narave, zelo zahtevne in trajajo dlje časa. Dobre prakse, ki jih posvajamo iz tujine je treba prilagoditi družbenemu sistemu. Spremembe morajo biti postopne, da se jih ljudje lažje navadimo. Tradicionalno, globoko ukoreninjeno miselnost glede vloge teh institucij v družbi je kar težko spremeniti, in če pristop ni pravi lahko dosežemo ravno nasprotno od želenega.
Vodenje varnostnih institucij je skozi zgodovino potekalo zelo togo in rigidno, veliko bolj kot je to značilno za druge državne sisteme. Enostranska komunikacija, avtoritativno vodenje in težka birokracija so na primer nekatere lastnosti vodstvenega stila, ki se je zaradi narave dela uporabljal zelo dolgo časa. Danes v času, ko se varnostno okolje konstantno spreminja pa takšen pristop ne deluje več. Transformacija gre zato v smeri prehoda iz tradicionalnih vodstvenih pristopov k sodobnejšim. Ti sledijo idejam partnerskega, demokratičnega odločanja, situacijskega vodenja in fleksibilnosti. V luči nekaterih dogodkov povezanih z neetičnim delom nosilcev varnostnih pooblastil pri nas, je veliko prizadevanj tudi na področju izboljšanja legitimnosti. V ta namen se izvajajo aktivnosti za izboljšanje javne podobe in dvig zaupanja med ljudmi. To je pravzaprav prvi pogoj za uspešno delo pri izvajanju varnostnih nalog. Nobena javna organizacija si ne sme privoščiti velikega javnega nezadovoljstva, saj lahko ljudje začnejo zavračati njihovo avtoriteto in sami uveljavljati svoje pravice. Odnose se poskuša izboljšati predvsem preko osebnega razvoja zaposlenih oz. tistih, ki so pri izvajanju pooblastil v neposrednem stiku z ljudmi. Poudarek je na razvijanju njihovih komunikacijskih veščin, socialne empatije, kompetenc reševanja problemov, sposobnosti timskega dela. To se izvaja preko različnih strokovnih izobraževanj s ciljem povečati samostojnost in občutek samo-učinkovitosti pri uporabi pooblastil. Pristop k uvajanju sprememb je zelo dober, bo pa v končni fazi veliko odvisno tudi od tega, koliko bo vodstvo uspelo izboljšati zadovoljstvo lastnih zaposlenih. Na tem področju so ravno zaradi birokratskih omejitev možnosti zelo omejene.
Pri upravljanju organizacij je vse več poudarka na preprečevanju in obvladovanju tveganj. Vzroki so sicer različni, pogosto pa izvirajo iz vedenjskih problemov. Kako je z odklonskostjo zaposlenih na delovnem mestu v slovenskih organizacijah? Ali obstajajo kakšne raziskave?
Odklonski pojavi se v delovnem okolju kažejo v zelo različnih oblikah večinoma pa izhajajo iz ali neustreznega managementa ali kadrovske problematike – nerazrešenih konfliktov. Zajemajo vse od manjših kršitev (npr. nepoštenega, »nesramnega« vedenja) do hujših kaznivih dejanj (npr. spolnega nadlegovanja, sabotaž ali korupcije). Velikokrat se, vsaj na prvi pogled zdi, da so podjetja bolj uspešna pri obvladovanju odklonskega vedenja tistih zaposlenih, ki so nižje na hierarhični lestvici.
Generalno gledano so klasične kršitve oz. najpogostejše tudi dobro regulirane in pod sprejemljivim nadzorom. Podjetja so s pomočjo zasebnih varnostnih služb in tehničnega nadzora vse bolj kompetentna pri discipliniranju kršitev v povezavi z zlorabo prepovedanih substanc, kršitvami konkurenčne klavzule, zlorabami odsotnosti z delovnega mesta ali drugih goljufijah. Manj učinkovite pa so npr. pri spremljanju in obvladovanju izgorelosti zaposlenih, ogrožanju zdravja, diskriminaciji, mobbingu, spolnem nadlegovanju, nepotizmu in drugih bolj subtilnih oblikah odklonskega vedenja (npr. socialno spodkopavanje, socialno lebdenje, kršitve varnostnih pravil). Deloma je vzrok v tem, da zaposleni viktimizacije, predvsem na vertikalni ravni, zaradi strahu ali prepričanja v neuspeh ne želijo prijavljati. Pogosto pa tudi niti ne vedo, da gre za kršitve, ker svojih pravic preprosto ne poznajo.
Pri oceni stanja lahko izhajamo iz poročil nekaterih državnih institucij, ki delujejo na podlagi prijav (npr. Inšpektorat RS za delo, Informacijski pooblaščenec, Komisija za preprečevanje korupcije, Varuh človekovih pravic ipd.) in pa splošnih viktimizacijskih študij. Te so na mednarodni ravni pogostejše, tematsko pa so povezane s proučevanjem odnosov med zaposlenimi, trpinčenja, spolnega nadlegovanja, spolne diskriminacije in stresa na delovnem mestu. O stanju v Sloveniji so nekateri podatki dostopni v poročilih različnih institucij (npr. NIJZ, IRI, Inšpektorat RS za delo.) ali pa v okviru evropskih študij (WHO, Eurofund, EU-OSHA). Če povzamem, tuje raziskave ugotavljajo, da se zaposleni najpogosteje soočajo z nesramno, nevljudno komunikacijo, socialnim spodkopavanjem in prenašanjem delovnih obveznosti. Gre za manjše kršitve, o katerih ljudje lažje govorijo, kar pa seveda ne pomeni, da druge oblike ne obstajajo. Slovensko povprečje je v primerjavi z evropskim glede zadovoljstva z delovnim mestom nižje. Zelo malo ljudi je pri nas dejansko zadovoljnih z delovnimi razmerami, stres je med zaposlenimi močno prisoten, mobbing v povprečju vsaj enega v manjši delovni skupini, večina pa meni, da je zaradi negativnih pojavov v delovnem okolju ogroženo njihovo zdravje. Ti rezultati seveda niso absolutni. Pri interpretaciji je treba upoštevati, da je vsaka dejavnost povezana s specifičnimi situacijami, ki lahko ali spodbudijo ali pa zavirajo določene odklonske pojave. Znano je, da so določeni poklici bolj izpostavljeni situacijam, ki jih lahko postavijo v vlogo žrtve ali storilca. Kot se je potrdilo tudi v nedavnem primeru na primorskem, med najbolj ogrožene sodita delo policista ali delavca v zdravstveni ustanovi, saj vsakodnevno obravnavajo ljudi v stiski, ki se obnašajo zelo nepredvidljivo.
Kaj je najbolj pomembno pri izvajanju nadzora nad zaposlenimi v (varnostnih) organizacijah?
Nadzorstvena funkcija je v organizacijah (še posebej pa varnostnih) bistvenega pomena za preprečevanje odklonskih vedenj. Nosilci varnostnih pooblastil se soočajo tudi s konfliktnimi situacijami, kjer lahko hitro in nenamerno pride do prekoračitve pooblastil. Preko rednega preventivnega in socialnega nadzora se zato preverja usposobljenost posameznikov samostojno izvajati varnostne naloge. Redni nadzor se v organizacijah nasploh izvaja sočasno s presojanjem kakovosti poslovanja ali namenom ugotavljanja skladnosti procesov s standardi, pravili, zakoni ipd. Zaposleni v varnostnih organizacijah so praviloma podvrženi notranjim in zunanjim oblikam nadzora nad zakonitostjo in strokovnostjo dela, in po mojih ocenah je teh preventivnih mehanizmov zadosti. Veliko vlogo pri samem nadzoru imamo tudi zunanji opazovalci (državljani, nevladne organizacije, mediji), zaradi katerih marsikateri odločevalec k nalogam pristopa bolj premišljeno in previdno. Ocenjujem, da so tudi ad-hoc in reaktivni nadzorstveni postopki v slovenskih varnostnih institucijah zelo učinkoviti in delujejo v namen zaradi katerega so bili vzpostavljeni. Varstvo človekovih pravic pri izvajanju varnostnih pooblastil je v Sloveniji na visokem nivoju.
Ob tem bi rada opozorila še na drug vidik. Ko govorimo o izvajanju nadzora in zagotavljanju varnosti, ti ukrepi posegajo v temeljne človekove pravice zaposlenih oz. tistih nad katerimi se izvaja nadzor. Polemične situacije se dogajajo predvsem pri posegih v zasebnost in varstvu osebnih podatkov. Delodajalci s ciljem povečevanja mobilnosti, produktivnosti in dostopnosti svojim zaposlenim dajejo v uporabo številne pravice in materialne vire (npr. tehnologijo), ki jih nato v želji po varovanju nadzirajo na različne načine. Poročila recimo kažejo, da se v Sloveniji največ kršitev zgodi pri zasebnikih, najpogosteje na področju elektronskega sledenja, nadzora elektronskih in telefonskih komunikacij ter prekomernega zbiranja osebnih podatkov. Res, da nekateri delodajalci te kršitve izvajajo zavedno, menim pa da se večina v kršitvi znajde nenamerno. V to jih lahko hitro zavede raznovrstna tehnologija, ki je na trgu prosto dostopna, kakšne so zakonske in etične omejitve njihove uporabe pa ponudniki navadno ne obrazložijo.
Raziskava, ki smo jo v letošnjem letu izvedli med zaposlenimi v različnih slovenskih organizacijah je pokazala, da smo ljudje do posegov v svojo zasebnost pri delu relativno apatični in da nas kršitve delodajalcev pravzaprav ne motijo zelo. So pa sočasno anketiranci izrazili mnenje, da nadzor, ki so mu podvrženi ne dviguje njihove poštenosti, produktivnosti in da jih pretirane kontrole pravzaprav silijo v kršitve pravil. S tega vidika bi moral management več pozornosti nameniti razvijanju socialnega nadzora, ki je dolgoročno tudi cenejša alternativa. Odnos zaposlenih do nadzora in zasebnosti pa kaže, da ljudje počasi pozabljamo na svoje pravice v delovnem okolju, kar bi lahko privedlo do deindividuacije delovnih mest. Nihče, ki pozna posledice depersonalizacije na vedenje ljudi, pa si tega verjetno ne želi. Pri zagotavljanju organizacijske varnosti bi lahko bili bolj uspešni, če bi pri načrtovanju ukrepov upoštevali želje zaposlenih, sledili konceptu minimalnega vpliva na funkcionalnost procesov in odločitve tehtali po principu upravičenega pričakovanja zasebnosti.
Andrej Kovačič E: andrej.kovacic@varensvet.si
