 |
Использование дискурсивной стратегии «экспансии смыслов» в организационных системах
|
|
|
|
Проблема когнитивных искажений и предубеждений в обеспечении безопасности в организационных системах - на предприятиях и в организациях, далеко не всегда берется в расчет, и именно это является причиной серьезных социально-экономических последствий большинства аварий и катастроф. Ссылки на «человеческий фактор» при этом являются чуть ли не самым распространенным оправданием. Но, зачастую, за этой формулировкой скрывается вполне естественные ограничения когнитивных способностей людей, приводящие к когнитивным ошибкам.
По имеющимся данным, более 90% аварий на объектах энергетики, более 80% аварий на объектах химической и нефтехимической промышленности, более 75% аварий при шельфовой нефтедобычи и более 70% авиационных аварий связаны с «человеческим фактором» [Махутов, 2012].
Основными причинами возникновения на предприятиях когнитивных искажений и предубеждений на предприятиях являются следующие:
1. слишком большой объем требований по безопасности, которые относятся к большому количеству объектов, требующих защиты на предприятии;
2. сложность согласования критериальной системы, диктуемой множеством нормативных документов;
3. недостаток возможностей, способностей, ресурсов для того, чтобы выполнить все требования безопасности;
4. желание скрыть имеющиеся проблемы, например, чтобы избежать наказания или увольнения.
Все перечисленные причины могут быть источниками, как когнитивных искажений, так и когнитивных предубеждений.
Сразу отметим, что когнитивные искажения, при этом могут стать одной из причин навязывания когнитивных предубеждений. Механизм навязывания когнитивных предубеждений в этом случае примерно следующий.
|
|
|
Предположим речь идет о кибербезопасности на объекте с критической информационной инфраструктурой. Количество нормативных документов, регламентирующих информационную безопасность десятки. Требований по безопасности сотни. Предположим речь идет о кибербезопасности на объекте с критической информационной инфраструктурой. Количество нормативных документов, регламентирующих информационную безопасность десятки. Требований по безопасности сотни. Так только три приказа [ФСТЭК,. 2013, N 17] [ФСТЭК,. 2013, N 21] [ФСТЭК,. 2014, N 31] содержат 167 требования к:
идентификации и аутентификации субъектов доступа и объектов доступа;
управлению доступом субъектов доступа к объектам доступа;
ограничений программной среды;
защиты машинных носителей информации;
регистрации событий безопасности;
антивирусной защите;
обнаружению (предотвращению) вторжений;
контролю (анализу) защищенности информации;
обеспечению целостности информационной системы и критической инфраструктуры;
обеспечению доступности информации;
защите среды виртуализации;
защите технических средств;
защите информационной системы, ее средств и систем связи и передачи данных;
управлению инцидентами;
управлению конфигурацией информационной системы и системы защиты критической инфраструктуры;
безопасной разработке прикладного и специального обеспечения разработчиком;
управлению обновлениями программного обеспечения;
планированию мероприятий по обеспечению защиты информации;
обеспечению действий в нештатных (непредвиденных) ситуациях;
информированию и обучению пользователей;
анализу угроз безопасности информации и рисков от их реализации.
Помимо этого, множество нормативных правовых актов законодательства, постановлений правительства, ведомственных актов, международных и национальных стандартов. Добиться выполнения всех этих требований, получить финансирование на их реализацию бывает не просто. И вот тогда вступают в действие когнитивные искажения первого уровня - такой объем требований представляется «неподъемным», что приводит к решению ограничить дискурс в организации только «выполнимыми» требованиями, что, в свою очередь, влечет когнитивные предубеждения на всех уровнях управления и на уровне исполнителей.
|
|
|
Любая когнитивная, то есть познавательная, деятельность есть процесс получения и усвоения информации. И в значительной степени он определяется границами используемого дискурса. И когнитивные искажения, приводящие к авариям и катастрофам, зачастую есть результат недостаточно полного дискурса в описании проблем безопасности, свойств полученной (или не полученной, возможно, проигнорированной) информации, и формируемой, таким образом не верной картины действительности у лиц, от которых зависит безопасность.
Оценить важность решения проблемы когнитивных искажений и предубеждений можно, воспользовавшись методологией критериального моделирования [Кононов, Авдотьин, 2017] и предназначенным для ее реализации инструментарием, позволяющим проводить оценку и контроль основательности защищенности структурных составляющих больших иерархических систем [Plyushchikov, Kononov, Avdotin, 2020].
Критериальное моделирование позволяет любую систему представить в терминах критериев, характеризующих защищенность системы, контролировать качество критериальных систем, и таким образом обеспечить дискурсивную полноту, необходимую для предупреждения когнитивных ошибок.
Критериальная модель системы представляет собой ее структурную модель, по каждой структурной составляющей которой определено множество критериев, соответствие которым характеризует уровень защищенности этой структурной составляющей и ее влияние на защищенность системы в целом.
Под критериями понимаются требования, сформулированные таким образом, чтобы степень несоответствия им могла интерпретироваться как степень риска по 100-балльной шкале.
Важнейший принцип критериального моделирования, соблюдение которого может значительно снизить возможность когнитивных предубеждений в оценках безопасности, - принцип эволюционного прототипирования. Во многом этот принцип связан с когнитивной психологией. Эволюционное прототипирование представляется основным способом разрешения проблемы невозможности полного, исчерпывающего познания сложных больших систем, и лишь итеративный процессы совершенствования прототипов и моделей, ее отражающих, позволяет снижать когнитивные ошибки в их понимании.
|
|
|
Применение этого принципа позволяет оценить степень неполноты дискурса и уровень когнитивных ошибок, имевшихся в оценках безопасности на начальном этапе. А использование критериального моделирования позволяет реализовать дискурсивную стратегию расширения дискурса и таким образом парировать когнитивные искажения и предубеждения, являющиеся следствием несовершенной критериальной модели.
Соблюдение принципа эволюционного прототипирования при применении методологии критериального моделирования позволяет оценить уровень когнитивных ошибок. Так, если первый вариант критериальной модели строится на основе опросов лиц ответственных за безопасность (по трем категориям экспертов - руководителей, управленцев среднего звена, и исполнителей), то появляется возможность сравнить ту систему критериев, оценки которой они пользовались до применения методов критериального моделирования, с той, которая была выработана после полного цикла критериального моделирования. В Таблице 1 приведены результаты оценки процента совпадения критериальной модели начального уровня с критериальной моделью, полученной к окончанию работы по пяти объектам финансовой и транспортной сферы, на которых применялись методы критериального моделирования. Отметим, что на начальном этапе эксперты сами выбирали по каким структурным составляющим они готовы перечислить требования (критерии) безопасности, и в дальнейшем, по результатам применения критериального моделирования, сравнение критериальных множеств проводилось именно по этим структурным составляющим.
|
|
|
Для того, чтобы получить оценку снижения когнитивных ошибок, введены несколько новых понятий:
· утверждение – это получаемая от эксперта информация о наличии критерия безопасности или об оценке его выполнения; не упоминание критерия приравнивается к утверждению о его отсутствии; указание избыточного или несуществующего критерия считается ошибочным и не учитывается;
· первый индекс снижения когнитивных ошибок – это процент критериев безопасности, не вошедших в число критериев, названных экспертами по выбранным ими структурным составляющим на начальном этапе критериального моделирования, но вошедших в множество критериев, сформированное в результате процесса критериального моделирования по тем же выбранным экспертами структурным составляющим;
· второй индекс снижения когнитивных ошибок – это процент ошибочных утверждений о выполнении требований безопасности по выбранным экспертами структурным составляющим и указанных ими на начальном этапе критериям, выполнение которых не было подтверждено по результатам оценки выполнения требований;
· обобщенный индекс снижения когнитивных ошибок – результат суммирования первого и второго индексов снижения когнитивных искажений; он показывает общий процент ошибочных утверждений о состоянии безопасности, выявленных благодаря критериальному моделированию и оценке выполнения критериев.
Согласно таблице 1, первый индекс снижения когнитивных ошибок по пяти объектам критических инфраструктур составил в среднем 29 процентов от общего числа утверждений.
Таблица 1. Снижение когнитивных ошибок в определении критериев
| Характеристики когнитивных ошибок | Уровень управления | Процент утверждений | Средний процент | ||||
| Объект 1 | Объект 2 | Объект 3 | Объект 4 | Объект 5 | |||
| Процент критериев, названных на начальном этапе критериального моделирования и вошедших в окончательное множество критериев | Руководящий | 76, 4 | |||||
| Среднего звена | 79, 6 | ||||||
| Исполнители (операторы) | 57, 0 | ||||||
| Средний по объекту процент совпадения критериев | 64, 3 | 68, 7 | 74, 0 | 80, 0 | 68, 0 | 71, 0 | |
| Первый индекс снижения когнитивных ошибок | 35, 7 | 31, 3 | 26, 0 | 20, 0 | 32, 0 | 29, 0 | |
В таблице 2 приведены результаты, демонстрирующие на примере тех же объектов, как применение критериального моделирования, и связанной с ним дискурсивной стратегии «экспансии смыслов», реализуемой через оценивание выполнения критериев, позволяют снизить когнитивные искажения в оценках выполнения требований.
Данные были получены следующим образом. На первом этапе, до проведения основных этапов критериального моделирования, лицам, ответственным за безопасность структурных составляющих по сформированным ими до этого по этим структурным составляющим множествам критериев, предлагалось дать экспертные оценки выполнения требований. Полученные таким образом оценки сохранялись, а потом сравнивались с оценками, полученным после всего цикла критериального моделирования, в том числе, по результатам выборочного инспекционного контроля, по тем же структурным составляющим и критериям.
|
|
|
Согласно таблице 2 второй индекс снижения когнитивных ошибок по пяти объектам критической инфраструктуры по трем категориям персонала составил в среднем 15, 8 процентов от общего числа утверждений.
Таблица 2. - Снижение когнитивных ошибок в оценках соответствия критериям безопасности
| Характеристики когнитивных ошибок | Уровень управления | Объект 1 | Объект 2 | Объект 3 | Объект 4 | Объект 5 | Средний процент когнитивных ошибок |
| Процент ошибочных утверждений в оценках выполнения требований | Руководящий | 20, 4 | |||||
| Среднего звена | 16, 2 | ||||||
| Исполнители (операторы) | 10, 8 | ||||||
| Второй индекс снижения когнитивных ошибок | 17, 7 | 21, 7 | 14, 3 | 12, 7 | 12, 7 | 15, 8 | |
На основе приведенных примеров можно сделать вывод, что применение методов критериального моделирования, и реализуемых при этом дискурсивных стратегий, позволяет снизить уровень когнитивных ошибок в оценке уязвимости оцениваемых систем в среднем на 44, 8 процентов. Более наглядное представление о масштабах парируемых когнитивных искажений и предубеждений можно получить обратившись к рисунку 1.
Рисунок 1. - Процент ошибочных утверждений о критериях безопасности (1-й индекс) и о соответствии критериям безопасности (2-й индекс)
Очевидно, что, реализуя дискурсивные стратегии в области безопасности с помощью таких методов, как критериальное моделирование, можно существенно снижать уровень когнитивных ошибок, являющихся причиной большинства аварий и рукотворных катастроф, и таким образом предотвращать эти аварии и катастрофы.
|
|
|
