W dniu 8 lutego 2025 roku w siedzibie Europejskiej Akademii Medycznych i Społecznych Nauk stosowanych odbyła się konferencja „Bezpieczne Zarządzanie Organizacją 2025 – edycja I”.
Organizatorem konferencji była Katedra Informatyki Europejskiej Akademii Medycznych i Społecznych Nauk Stosowanych wraz z Edugika Centrum Szkoleniowe, Polskie Towarzystwo Informatyczne, EDPO Ochrona Danych Osobowych i Centrum Bezpieczeństwa Morza Bałtyckiego.
Konferencja składała się z czterech bloków wykładowo – panelowych. Prelegentami byli: mgr inż. Krzysztof Dąbrowski – właściciel Centrum Szkoleniowego Edugika, nadinsp. w st. spocz. dr Irena Doroszkiewicz, wykładowca akademicki, dr Jacek Pietraszewski, dr Daria Olender.
Po konferencji, po rozmowach w panelach dyskusyjnych oraz rozmowach kuluarowych nasunęły się opisane niżej refleksje
Temat 1 – POLITYKA BEZPIECZEŃSTWA
Atmosfera zaufania jako cel budowy POLITYKI BEZPIECZEŃSTWA
Na podstawie swobodnej obserwacji można postawić tezę, że w świecie zachodu akumulacja kapitału powstaje najszybciej w branżach handlujących wartościami intelektualnymi. Ich wartość jest wyceniana przez rynki za pomocą mechanizmów związanych z budowaniem zaufania inwestorów, pracowników i branży. Każdy spadek zaufania skutkuje spadkiem wartości firmy.
W świecie globalnego południa, w kulturach kolektywistycznych pomimo docenienia wartości intelektualnej jako takiej, lekceważy się indywidualne prawo autorskie jako sprzeczne z kolektywistyczną mentalnością tych społeczeństw. Powstaje wówczas podstawa dla przyzwolenia na kradzież tych wartości i usprawiedliwiania tego działania. W efekcie spór o podejście do indywidualnej wartości intelektualnej jest osią potężnego konfliktu kulturowego skutkującego bezpośrednim zagrożeniem kradzieżą patentów i technologii.
W przypadku struktur państwa obywatele darzą system bezpieczeństwa zaufaniem lub nie. Na skutek ciągłych zmian i zawirowań niektóre elementy zabezpieczeń budowane przez państwo nie budzą zaufania społecznego. Przykładem mogą być w Polsce systemy ubezpieczeń społecznych, zdrowotnych i majątkowych o chyba najniższym stopniu zaufania.
Podobnie w organizacjach musi istnieć „wiara” w zabezpieczenie procesów produkcyjnych, usługowych i administracyjnych na wypadek sytuacji kryzysowej. Aby uzyskać taki stan zaufania należy pracować nie tylko nad rozwiązaniami technicznymi ale przede wszystkim nad umiejętnościami ludzi i zespołów przydatnych w sytuacji kryzysowej.
Niepokój pracodawców wobec postaw powszechnych wśród członków „pokolenia Z”
Nie ładnie jest generalizować, ale zmiany generacyjne istnieją i bagatelizowanie ich byłoby błędem. Również konflikty narastające pomiędzy starym i nowym pokoleniem zawsze gdzieś są. Czasami próbujemy je ukrywać aby tego konfliktu nie eskalować.
Jednakże nowy konflikt społeczny pomiędzy przedstawicielami tzw. „pokolenia Z” a przedstawicielami starszych generacji jest groźniejszy.
Niesie on ze sobą dużo istotniejsze zmiany w systemach wartości niż poprzednie konflikty. O ile w przypadku wcześniejszych konfliktów istota sporu tkwiła w wyborze między konserwatyzmem a postępem to dziś spór kieruje się w kierunku motywacji do działania.
Podstawowy spór dotyczy definicji obowiązku. W starszych generacjach dominuje postawa „I HAVE TO” (mam coś do zrobienia – coś narzuconego przez uwarunkowania zewnętrzne – jakąś „powinność”). W generacji Z postawa ta wyraża się jako „I MUST” (muszę bo chcę – uwarunkowania są zatem wewnętrzne – „jeżeli nie chcę to nie muszę”). W przypadku budowania zespołu działającego w oparciu o postawę „I MUST” zadanie to staje się niezwykle trudne ponieważ musimy oprócz prawa czy nakazów zbudować sprawny system motywacyjny najczęściej celujący w osobiste wartości aby uniknąć dysonansów wewnętrznych.
Budując system bezpieczeństwa zadanie to staje się jeszcze trudniejsze. W takim systemie ważna jest hierarchia kadry, jasne wspólne cele i metodyczne, konsekwentne działanie. Jeżeli podejmowanie lub nie podejmowanie działań uzależnione jest tylko od zadziałania wewnętrznego „I MUST” to taka osoba jest bardzo słabym ogniwem systemu bezpieczeństwa.
Podatność człowieka na ataki psychotechniczne
W rzeczywistości większość ataków na organizacje odbywa się za pomocą ataku na osoby, a nie na linię technicznego zabezpieczenia. Są to głównie ataki „cierpliwego agresora” np. phishing, whale phishing lub najgroźniejszy oddziałujący głownie na emocje frog boilig. Narzędziami ataku są tu techniki wykorzystujące ludzkie słabości lub brak wiedzy.
Temat 2 – RELACJE MIĘDZYOSOBOWE JAKO NAJSŁABSZE OGNIWO SYSTEMU BEZPIECZEŃSTWA
Zagrożenia wewnętrznego osłabiania zespołów przez nieumiejętne zarządzanie personelem
„Kadry decydują o wszystkim”- Dobrze znamy to powiedzenie Józefa Stalina powtarzającego je za Leninem. Jest to brutalna prawda. Budując jakikolwiek system zarządzania kluczowa dla jego sprawności jest relacja przełożony – podwładni. Relacja ta pomimo istniejącej hierarchii może być zdrowa lub chora. Relacja chora szybko zniszczy emocjonalnie obie strony. Relacja zdrowa da podstawę do zaistnienia prawdziwej pracy zespołowej. Relacja chora bierze się najczęściej z braku empatii i wsparcia emocjonalnego dla podwładnych. Relacja zdrowa nigdy nie jest oparta na strategii kija i marchewki bo ta rodzi zawsze lęki. W zdrowej relacji nastawiamy się na słuchanie, zamiast na wyrażanie własnej ekspresji.
Wyuczona niewrażliwość kadry zarządzającej niskiego i średniego szczebla
W warunkach władczego stylu zarządzania powstają postawy obronne poszczególnych osób lub całych zespołów. Jednym z najgorszych zachowań charakterystycznych dla takich postaw jest zatrzymywanie informacji niewygodnej dla kierownictwa w obawie przed wejściem w rolę posłańca przynoszącego złe wieści. Skutkuje to docieraniem do kierownictwa tylko części informacji i powstawaniem fałszywego obrazu sytuacji i co za tym idzie podejmowaniem fatalnych w skutkach decyzji.
Temat 3 – ZARZĄDZANIE INFORMACJĄ W CZASIE KRYZYSU
Walka mass mediów z organizacją przeciwdziałającą kryzysowi
Przedmiotem tej walki jest konflikt pomiędzy treściami zamieszczanymi przez media konkurujące o oglądalność, a informacjami podawanymi przez organizację usuwającą skutki kryzysu.
Naturą mediów jest zniekształcanie informacji w celu uzyskania wysokiej atrakcyjności podawanych treści. Przedstawiciele mediów z zasady nie dbają jednak o weryfikację źródeł i mają tendencję do natychmiastowego szukania winnych i oskarżania. Częste bywają tez wyolbrzymienia lub manipulacje danymi w celu budowania nieprawdziwej sensacji. W potrzebie wstrząśnięcia widzem pokazują brutalne obrazy i cierpienia innych ludzi.
Aby uniknąć efektu dezinformacji organizacja przeciwdziałająca kryzysowi zmuszona jest posługiwać się wyłącznie zweryfikowanymi faktami w celu uspokojenia nastrojów. Ponadto powinna wprowadzać w proces informacyjny własnych ekspertów wyjaśniających istotę wydarzeń bez wskazywania winnych i oskarżania kogokolwiek. Unikamy wówczas ryzyka publicznej konfrontacji i wymiany oskarżeń.
Schemat reagowania
Schemat to coś czego można się nauczyć lub wytrenować. Schemat reagowania minimalizuje negatywne reakcje mediów i rozlanie się dezinformacji. Typowe elementy tego schematu to niezwłoczne informowanie, prezentowanie własnego stanowiska, wizytowanie miejsca zdarzenia, koncentracja na rzeczowych działaniach i informowanie o źródłach i miejscach pomocy poszkodowanym.
Temat 4 – ZAGADNIENIA PRAWNE DOTYCZĄCE BEZPIECZEŃSTWA
Zmiany na poziomie europejskim
Dyrektywy europejskie po zmianach zakładają zabezpieczanie zasobów i usług krytycznych poprzez wprowadzenie zabezpieczenia prawnego dla procesów audytowania, oceny ryzyka i wdrażania ogólnych wytycznych dla ochrony infrastruktury krytycznej. Jako główną nowość wprowadzają odpowiedzialność instytucji i osób usankcjonowaną karami finansowymi.
Oprócz odpowiedzialności zmiany dotyczą wyrównania poziomu zabezpieczeń we wszystkich krajach UE, skierowania obowiązków na wszystkie kluczowe podmioty publiczne i prywatne, obejmują większą ilość sektorów gospodarki i wkraczają w sferę zabezpieczenia łańcuchów dostaw.
Wdrożenia krajowe
Zastosowanie dyrektyw europejskich wymaga wdrożenia na grunt prawa krajowego. Aby działały potrzebne są zatem przepisy krajowe.
Na dzień dzisiejszy wdrożenia krajowe opóźniają się, aczkolwiek strona rządowa zapowiada zakończenie prac na rok 2026
Perspektywa innego podejścia do systemu zarządzania bezpieczeństwem
Szczególnie odmienne podejście do ochrony infrastruktury krytycznej pokazuje dyrektywa CER. Obejmuje ona 11 kluczowych sektorów, w tym sektor energii, infrastruktury rynku finansowego, infrastruktury cyfrowej, gospodarki wodnej, żywności, zdrowia, administracji publicznej i przestrzeni kosmicznej. Przewiduje krajowe strategie wzmacniające odporność podmiotów krytycznych i ulepszoną komunikację transgraniczną.
Twórcy dyrektywy słusznie zauważyli, że rzeczywista infrastruktura krytyczna jest rozsiana równomiernie zarówno w przestrzeni publicznej jak też prywatnej. Stąd zakłada ona stosowanie wymogu audytowania i oceny ryzyka w organizacji niezależnie od tego czy jest to sfera prywatna czy publiczna ale zależnie od tego czy konkretny element (proces, usługa, obiekt) znajdzie się na właściwej liście elementów krytycznych. Nowością wobec poprzednich rozwiązań jest możliwość nadzoru i kontroli, audytu, wprowadzania sankcji oraz misji doradczych.
Kontrowersje i zastana rzeczywistość
Opóźnienia we wdrażaniu dyrektyw do prawa krajowego powodują w organizacjach niepewność i częściową niedecyzyjność w zakresie działań związanych z bezpieczeństwem. Istnieje obawa o zaistnienie chwilowego chaosu prawnego w okresach przejściowych pogłębiona niepewnością o konkretne zapisy ustawowe.
Podstawową wątpliwość budzi sposób finansowania tych zmian. Zmiany te wprowadzają bardzo konkretne i regularne obowiązki, które mają swój koszt. Rodzi się pytanie jak w rzeczywistości do zmian tych odniosą się przedsiębiorcy na których państwo nałoży nowe zadania. Czy otrzymają oni jakiś rodzaj gratyfikacji? Patrząc na sposób wprowadzania różnych drastycznych zmian w poprzednich latach, a w szczególności bardzo stromej ścieżki minimalnych wynagrodzeń bez konsultacji z przedsiębiorcami, wizja jakiejkolwiek gratyfikacji jest mglista, a regularne audyty, oceny ryzyka i działania zaradcze będą kosztowne.
Ponadto, należy się zastanowić czy jesteśmy na tę chwilę przygotowani kadrowo do wykonywania masowego obowiązku audytowego i analizy ryzyka. Jeżeli wprowadzimy zmiany bez wykwalifikowanych ludzi to będą one z znowu iluzoryczne.
Podsumowując, główną refleksją po konferencji jest słabość człowieka w środowisku zagrożeń nietechnicznych a konkretnie socjotechnicznych. Pomimo wysokiego rozwoju technicznych środków ochrony zasobów, człowiek nadal jest najsłabszym ogniwem w systemie. Aby to zmienić niezbędna jest ciężka praca nad tworzeniem bezpiecznych ostaw i relacjami międzyludzkimi w procesie zarządzania bezpieczeństwem.
Równocześnie rodzą się pytania o to, kto w rzeczywistości poniesie koszty wdrożeń nowych dyrektyw unijnych ponieważ narzucają one bardzo wysokie wymagania.
