Cultura della Segnalazione

Cos’è Cultura della Segnalazione?

La maggior parte delle violazioni di sicurezza che causano danni gravi coinvolge un dipendente che ha notato qualcosa di insolito e ha deciso di non segnalarlo. Le ragioni sono prevedibili: paura della colpa, imbarazzo per un errore, incertezza sul processo o la convinzione che qualcun altro se ne occuperà. Questo esercizio adotta un approccio diverso dalla tipica formazione sulla sicurezza. Invece di insegnarti cosa segnalare, si concentra sul perché le persone non segnalano e su come le organizzazioni possono risolvere il problema. Assumi tre ruoli. Primo, sei un dipendente che ha cliccato su un link di phishing e deve decidere se dirlo a qualcuno. Secondo, sei un responsabile che riceve una segnalazione da un collaboratore diretto che ha commesso un errore di sicurezza. Terzo, sei un membro del team di sicurezza che esamina le segnalazioni e decide come comunicare i risultati all'organizzazione. Ogni ruolo rivela un pezzo diverso della catena di segnalazione e mostra dove si rompe la fiducia. L'esercizio si basa sulla ricerca del framework Crew Resource Management dell'industria aeronautica, dove la segnalazione senza colpevolizzazione ha trasformato i risultati in termini di sicurezza. Ti eserciti a fornire e ricevere rapporti sugli incidenti in un modo che incoraggia le segnalazioni future invece di sopprimerle.

Cosa imparerai in Cultura della Segnalazione

• Riconoscere le barriere psicologiche che impediscono ai dipendenti di segnalare gli incidenti di sicurezza, inclusa la paura della punizione e l'imbarazzo sociale
• Applicare tecniche di comunicazione post-incidente senza colpevolizzazione adattate dai modelli di sicurezza dell'aviazione
• Rispondere all'errore di sicurezza di un collaboratore diretto in modo da rafforzare la fiducia e il comportamento di segnalazione futuro
• Identificare i segnali organizzativi che scoraggiano la segnalazione, come la colpevolizzazione pubblica, le risposte punitive o la mancanza di feedback
• Progettare cicli di feedback che chiudono il ciclo di segnalazione comunicando i risultati ai dipendenti che hanno compilato le segnalazioni

Cultura della Segnalazione — Fasi della formazione

1. Un tipico martedì

   Oggi imparerai a conoscere la cultura del reporting, la mentalità organizzativa che incoraggia i dipendenti a parlare apertamente dei problemi di sicurezza senza timore di colpe o punizioni.

2. Qualcosa sembra strano

   Mentre lavora, Alice nota che il suo collega Marcus sembra frustrato davanti al suo computer. Fa clic sul collegamento di un'e-mail, quindi chiude rapidamente il browser con un'espressione preoccupata. Si guarda intorno nervosamente ma non dice nulla. Alice si chiede se dovrebbe dire qualcosa. Forse non era niente. Forse Marcus ha semplicemente commesso un errore.

3. L'esitazione

   Il dibattito interno di Alice: - 'Forse sto esagerando, potrebbe non essere niente.' - 'Non voglio mettere Marcus nei guai.' - 'E se mi sbagliassi e perdessi tempo?' - 'Probabilmente non spetta a me dire nulla.' Questi pensieri sono comuni, ma possono avere gravi conseguenze.

4. Comprendere la cultura del reporting

   Una sana cultura della segnalazione ha tre elementi chiave: Sicurezza psicologica - I dipendenti si sentono sicuri nel parlare senza timore di essere puniti Non ritorsioni - L'azienda protegge i reporter dalle conseguenze negative Apprezzamento - Le segnalazioni sono apprezzate, anche se si rivelano falsi allarmi I team di sicurezza preferiscono indagare su dieci falsi allarmi piuttosto che perdere una vera minaccia.

5. L'impegno dell'azienda

   Alice riceve un'e-mail di promemoria dal team di sicurezza sulla politica di reporting di Sentinel. Leggerlo aiuta a rafforzare il fatto che la segnalazione è incoraggiata e protetta.

6. Prendere la decisione

   Dopo aver letto l'e-mail, Alice si sente più sicura. Decide di riferire ciò che ha osservato, non per mettere nei guai Marcus, ma per aiutare la squadra di sicurezza a proteggere l'azienda.

7. Accesso al portale

   Alice utilizza il suo gestore di password per accedere in modo sicuro al portale di segnalazione.

8. Invio della relazione

   Il modulo di segnalazione richiede una descrizione del problema. Alice fornisce dettagli concreti su ciò che ha osservato senza speculazioni o colpe. Il modulo sottolinea che le segnalazioni sono confidenziali e che l'identità del segnalante è protetta.

9. Il team di sicurezza risponde

   Nel giro di pochi minuti, Alice riceve una risposta dal team di sicurezza che la ringrazia per la segnalazione. Confermano che indagheranno con discrezione.

10. Il risultato

    Più tardi quel pomeriggio, Alice apprende il risultato. Il team di sicurezza ha scoperto che Marcus aveva effettivamente cliccato su un collegamento di phishing. Poiché Alice lo ha segnalato rapidamente, sono riusciti a reimpostare le credenziali di Marcus prima che si verificasse qualsiasi danno. Marcus ha poi ringraziato Alice. È stato sollevato dal fatto che sia stato scoperto in anticipo ed è grato che l'azienda abbia gestito la cosa senza alcuna colpa: solo una rapida reimpostazione della password e un promemoria sulla consapevolezza del phishing.