CULTURA DE SEGURANÇA EM PORTUGAL: WORK IN PROGRESS
by Ruben Simões, Auditor de segurança do Departamento Consultoria e Segurança Integrada Prosegur Security
Numa organização, a componente que maior risco representa para a segurança e, ao mesmo tempo, que mais pode contribuir para a prevenção da ocorrência de incidentes são as PESSOAS.
De facto, são as pessoas que inadvertidamente ou de uma forma consciente, criam vulnerabilidades, permitem o acesso ilícito a uma instalação, da mesma forma que deixam informação confidencial da empresa à vista de todos. Mas são também as pessoas que podem ser os heróis do dia, sempre que denunciam uma falha de segurança ou adotam comportamentos em prol da prevenção e proteção.
Em consultoria deparamo-nos com diferentes abordagens à disciplina de segurança e diversos níveis de comprometimento com o safety, security e cibersegurança. Vejamos alguns exemplos de comportamentos que podem implicar sérios danos para as organizações e que se pretendem mitigar ou mesmo eliminar, se possível, através da adoção de uma adequada cultura de segurança.
Na perspetiva do safety, que visa a proteção das pessoas, as situações mais frequentes são: a abertura e o bloqueio de portas resistentes ao fogo com cunhas, que impede a funcionalidade de proteção da porta em caso de incêndio; e a obstrução de vias de evacuação com objetos, fazendo dos corredores e caixas de escada locais para arrumos ou arquivo.
Do ponto de vista do security, que visa a proteção dos recursos e informação da organização, são vários os comportamentos que favorecem a ocorrência de incidentes: a livre circulação de pessoas estranhas às instalações, sem que sejam interpeladas por parte de colaboradores; a falta de verificação e de validação da identidade de pessoas estranhas às instalações; e a facilitação do acesso a zonas de circulação restrita.
Já ao nível da cibersegurança, as principais quebras de segurança verificam-se aquando da ausência temporária do posto de trabalho por qualquer motivo, sem que se tenha tido a precaução de guardar documentos com informação classificada ou bloquear o computador, permitindo o livre acesso aos ficheiros da organização.
Como se resolvem estas falhas de segurança? Com tecnologia? Com processos e procedimentos? Na nossa perspetiva, quer a tecnologia, quer os processos são preciosos auxiliares da segurança, mas de pouco servirão se não forem adequadamente utilizados pelas pessoas. Por este motivo, é fundamental fomentar uma cultura de segurança, que altere atitudes e comportamentos dos trabalhadores da organização.
A investigação de acidentes tem demonstrado que, na maior parte das situações, os incidentes resultam, não de uma ação isolada de uma pessoa, mas de uma combinação de fatores, principalmente de natureza organizacional. Por este motivo, os planos de segurança que se têm demonstrado mais eficazes são aqueles que utilizam estratégias de “queijo suíço”, em que se procura prevenir a ocorrência de acidentes através da introdução de controlos em diversas “camadas” da operação e de redundâncias na verificação de procedimentos.
Estudos diversos têm demonstrado que as causas dos acidentes são sobretudo causas humanas e que, contrariamente ao que se possa pensar, não estão habitualmente associadas a comportamentos intencionais (neste caso, mal intencionados) mas a fatores como stress, falta de formação, falta de supervisão ou erros no desenho dos processos. Por este motivo, punir os responsáveis diretos por determinado acidente que ocorra na empresa não parece revelar-se uma estratégia adequada, pois aqueles colaboradores são apenas o trigger de uma cultura da organização que não valoriza a segurança.
Outro problema recorrente das organizações é a crença numa cultura de segurança baseada em reforços negativos como o controlo de atividades dos trabalhadores e o controlo de pausas.
Uma cultura de segurança saudável caracteriza-se por uma consciência generalizada e informada, de todos os colaboradores da empresa, relativamente aos riscos implicados na atividade da organização. Passa por incentivar a iniciativa de reportar ocorrências e fragilidades, pela avaliação permanente da conformidade dos procedimentos de segurança e pelo empowerment dos colaboradores para implementarem ações corretivas.
Então o que é necessário fazer para implementar uma cultura de segurança?
Em primeiro lugar, é essencial que exista uma adequada compreensão das causas dos incidentes. Uma vez identificadas as causas, é possível implementar um conjunto de intervenções corretivas e um programa de mudança de comportamentos, os quais incidem tipicamente sobre 3 vetores:
-
Liderança: é essencial trabalhar com as pessoas que ocupam o vértice da estrutura, para que possam servir de exemplo e de inspiração de comportamentos seguros para toda a organização;
-
Formação: todos os dias entram novos colaboradores nas organizações; a formação garante que toda a equipa está permanentemente na posse da informação e ferramentas relevantes que permitem reforçar e perpetuar um ambiente de trabalho seguro;
-
Mudança de comportamentos: é sobretudo neste vetor que se tem de trabalhar para se conseguir produzir efeitos a longo prazo, assegurando que os comportamentos de prevenção e segurança incorporam os valores da cultura da organização.
Mudar as atitudes e comportamentos dos colaboradores de uma empresa revela-se um grande desafio pois os comportamentos são influenciados por uma multiplicidade de fatores, sobre os quais é necessário atuar quando o objetivo é mudar a cultura e as mentalidades. Vejamos alguns exemplos de fatores que condicionam os comportamentos dos trabalhadores relativamente à segurança:
-
Experiências recentes (o colaborador já esteve envolvido nalgum tipo de incidente de segurança?)
-
Qual a perceção sobre os vários papéis de segurança dentro da organização (o colaborador tem alguma responsabilidade formal na segurança da organização? Conhece a função do diretor de segurança?)
-
As atitudes dos colegas (como reagem os colegas perante os riscos e os incidentes?)
-
A atitude da administração (qual é a importância que a administração atribui à prevenção e segurança?)
-
Políticas e instruções formais de prevenção e segurança e a perceção sobre os procedimentos e controlos nos processos da organização (quais são as consequências do colaborador adotar um comportamento inseguro? existe alguma consequência se o trabalhador for almoçar e deixar o seu computador desbloqueado?)
Os programas de mudança de comportamentos devem preferencialmente iniciar-se pela análise das vulnerabilidades e pela identificação de comportamentos inseguros, seguindo-se a definição das boas práticas e comportamentos de segurança críticos a observar, bem como a definição de metas a atingir. Depois de implementado o plano, é necessário construir um mecanismo de feedback construtivo e de monitorização do progresso dos comportamentos. Paralelamente, deve ser adotado um esquema de reforços e incentivos que premeiem os comportamentos seguros como, por exemplo, sorteios de prémios ou atribuição de tempo livre.
Num futuro - já não muito longínquo – em que os serviços serão prestados quase exclusivamente a partir da Cloud, o principal contributo que as empresas de segurança poderão dar, para o incremento e manutenção da segurança de uma organização, não se esgotará na implementação de procedimentos de segurança exigente e de uma arquitetura de sistemas absolutamente infalíveis. A tarefa principal de uma empresa de segurança consistirá em articular aqueles componentes (procedimentos e tecnologias) com a mudança das perceções e de comportamentos das administrações e trabalhadores das organizações. Responder a este desafio exige um conjunto de soft skills de comunicação, de pedagogia e de gestão da mudança, que devem integrar um serviço de consultoria de segurança.
Na Prosegur Security olhamos para a segurança de forma integrada, incorporando tecnologia, vigilância e estratégia, procurando em paralelo fomentar comportamentos de segurança nas organizações e contribuir para o enraizamento da cultura de segurança. Atendendo a que as organizações são organismos vivos, em constante mutação, a construção de uma cultura de segurança é sempre um “work in progress”, que carece de um apoio de consultoria especializada para que se mantenha no tempo, sempre com elevado desempenho.