Wesoych wit
Czym jest incydent, pierwsze kroki w PBI

Jacek Rembikowski, Poznań 2009 

Incydent jest to zdarzenie, które chcemy aby drugi raz nie wystąpiło, a które ma wpływ na ciągłość prowadzonych działań biznesowych, dla których zagrożeniem mogą być konsekwencje, wynikające z przestoju, kar lub utraty aktywów czy też właściwej komunikacji, czyli jak to określa norma z utraty dostępności, poufności i integralności.

 

O ile same incydenty generalnie dzielimy z punktu widzenia wagi konsekwencji, jakie mogą z nich wynikać, o tyle w ramach działań naprawczych wg ogólnie przyjętych definicji rozróżniamy generalnie trzy typy:

Korekcję – czyli działania, mające na celu usunięcie bezpośredniego skutku wystąpienia incydentu.

Działania korygujące – czyli działania, pozwalające na usunięcie przyczyny wystąpienia incydentu.

Działania zapobiegawcze – czyli działania, pozwalające usunięcie potencjalnej przyczyny, a więc czegoś co przewidujemy, że kiedyś może stanowić źródło incydentu.

 

 

Niestety nie zawsze wprost i nie zawsze łatwym zadaniem jest prawidłowe zdefiniowanie i zakwalifikowanie zdarzeń, z którymi mamy do czynienia. Jednak bardzo często okazuje się, 
że działając zgodnie z logiką postępujemy właściwie. Po co zatem definiować coś co w i tak przebiega prawidłowo? Powody są generalnie dwa – dla porządku rzeczy, dzięki czemu łatwiej nam będzie przeprowadzać analizy np. ryzyka oraz dla potrzeb świadomego poruszania się po zagadnieniach związanych z bezpieczeństwem, dla których czy nam się to podoba czy nie ktoś ustalił reguły gry i zapisał je w stosownych dokumentach prawnych lub para prawnych.

 

 

Aby lepiej zobrazować pojęcie incydentu i sposobu postępowania posłużmy się przykładem rzeczywistego zdarzenia, które aby nie wskazywać rzeczywistego miejsca wystąpienia ubrane zostało w trochę inne „szaty”.

 

Na terenie przedsiębiorstwa aby w pewien sposób ułatwić życie pracownikom wydzielono teren z pomieszczeniami, w którym pracownicy mogli przechowywać swoje rzeczy, w tym m.in. rowery, skutery zwłaszcza w porze zimowej i jesiennej, kiedy jak wiadomo aura nie sprzyja pozostawianiu tego typu sprzętu na wolnym powietrzu. Całość znajdowała się na terenie przyległym do biurowca, z możliwością wejścia od strony ulicy. Klucze do bramy posiadali jedynie pracownicy korzystający z tego terenu i pomieszczeń. Pewnego dnia jedna z osób, niemająca nic wspólnego z przechowywanymi tam przedmiotami, stwierdziła obecność na tym terenie osób postronnych. Postanowiła niezwłocznie zgłosić ten fakt przełożonym. Pech chciał, że nikogo z nich nie było akurat w firmie, więc po otrzymaniu zgłoszenie, zawiadomili niezwłocznie firmę ochroniarską oraz policję. Ten o dziwo pojawiły się dość sprawnie pod wskazanym adresem, rozpoczynając dochodzenie.

W międzyczasie do działań dołączyło kierownictwo, wracające ze spotkania, a całemu zajściu przyglądało się dodatkowo jeszcze kilku pracowników, bo śledczych jak wiadomo nigdy za wiele.

 

W wyniku dochodzenia okazało się, że widziane na terenie firmy osoby postronne to nikt inny, jak po prostu członkowie rodzinny jednego z pracowników. Co więcej wcale się nie włamywali, tylko zwyczajnie korzystając z klucza i bramy weszli na ów wydzielony skrawek firmowego terenu.

 

W czym zatem problem skoro z jednej strony mamy przecież do czynienia z mieniem pracowników, z drugiej z osobami posiadającymi prawo do tego mienia? A no problem leży w komunikacji i wynikającym z jej braku incydencie przebywania bądź, co bądź osób trzecich na terenie zamkniętym, należącym do firmy. Cały problem leżał w tym, że osoba, która przekazała klucze do bramy, nie poinformowała o tym nikogo. Osoba, która natomiast zgłosiła problem, postąpiła właściwie, nie próbując udawać bohatera i samemu dochodząc przyczyny obecności osób postronnych na terenie firmy. Prawidłowo też zachowały się osoby z kierownictwa, zgłaszając sprawę do właściwych organów. Efektem całego zdarzenia było natomiast wstrzymanie prac niejednej osoby z powodu sytuacji, której można by uniknąć. Dodatkowo incydent ten spowodował narażenie firmy na koszty, związane z interwencją, niemającą nic wspólnego z działaniem szkodliwym. Co było złe?

 

Po pierwsze przekazanie uprawnień osobom trzecim, czyli umożliwienie samodzielnego poruszania się po terenie firmy osób postronnych. Po drugie, niepoinformowanie nikogo z firmy o tym, że ktoś z rodziny odbierze rower, co w tej sytuacji najprawdopodobniej by wystarczyło. Patrząc na przywołaną sytuację wprost mamy incydent z zakresu naruszenie bezpieczeństwa fizycznego, a więc udzielenie praw dostępu bez wiedzy przełożonych. Skutki to całkiem niepotrzebne nerwy po stronie wszystkich uczestników, także i tych domniemanych włamywaczy oraz koszty wynikające z interwencji, których być nie powinno. Co zatem uczyniono w ramach naprawy sytuacji? Zgodnie z logiką, bo do niej norma nie jest potrzebna przeprowadzono działania korekcyjne, poprzez odebranie kluczy oraz przeprowadzono działania korygujące czyli przeprowadzono, że tak ją nazwijmy pogadankę edukacyjną z osobą, która była winna całej tej sytuacji. To, czy powinno się pójść o krok dalej i przyjąć działania na przyszłość w postaci ustalenia czy w innych obszarach działania firmy taka sytuacja nie może mieć miejsca i opracowania w związku z tym stosownych procedur, to oczywiście należałoby rozważyć odpowiednio do warunków otoczenia ale gdyby takową procedurą kazano się komuś zająć, zahaczylibyśmy o działania zapobiegawcze. Oczywiście warto też dodać na konie, że osoba, która zgłosiła fakt przebywania obcych na terenie firmy została nagrodzona przez szefostwo w postaci okolicznościowej premii, ale to już nie wynik działania wg normy tylko kultura zarządzania i to wysoka.

 

Jak widać można zadziałać zgodnie z tym co jest napisane w normach, czy rekomendacjach bo generalnie nie ma w nich nic bezsensownego. Inna kwestia to znaleźć klucz, który pozwoli nam się w tych zagadnieniach prawidłowo poruszać, co pozwoli nam na rzetelną i pewną odpowiedź na coś, co w ramach PBI zaczyna się od słów: Kierownictwo powinno upewnić się, że…