Treceți la conținutul principal

DEZVOLTAREA UNUI SISTEM EXPERT PENTRU AUDITUL SECURITĂȚII ȘI SĂNĂTĂȚII LA LOCUL DE MUNCĂ SE-AUDIT-1

ASPECTE GENERALE

Sistemele expert reprezintă o categorie de produse software gândite să preia expertiza umană dintr-un anumit domeniu, să o stocheze și să o folosească pentru rezolvarea anumitor probleme. 
Un sistem expert este cu atât mai performant cu cât cunoștințele incluse în acesta sunt de bună calitate- și sunt cât mai exhaustive apropo de domeniu. Figura 1 prezintă în mod generic un astfel de sistem expert.



Figura 1. Schema generală a unui sistem expert

Din figură se poate vedea că un utilizator ne-expert apelează sistemul printr-o interfață utilizator. Baza de cunoștințe a sistemului (knowledge base) este ”încărcată” cu cunoștințe venite de la un expert.
La întrebările utilizatorului, sistemul expert oferă soluții prin căutarea în baza de cunoștințe folosind motorul de inferență.
La începuturile dezvoltării sistemelor expert- se predicționa  că acestea pot învăța din experiența proprie și că se pot auto-dezvolta- chestiune care a rămas încă un deziderat..
O schemă mai complexă de dezvoltare poate fi văzută în figura 2, acolo unde există mai multe componente definite ale sistemului expert.


Figura 2. Schema detaliată a unui sistem expert

Se poate observa în acest caz un sistem de achiziție al cunoștințelor (Knowledge Aquisition System) care folosește forme cu care un expert este obișnuit pentru a-i colecta cunoștințele precum și separarea în baza de cunoștințe între fapte (Facts) și reguli de inferență (de producție). Într-un mod destul de simplu, o regulă de producție este implementată sub forma 

IF <condiție> THEN <consecință> ELSE <altă consecință>. 

Problema cu acest set de reguli este că foarte puține din generatoatele existente îl aplică astfel- o mare parte din aceste generatoare lucrează de asemenea doar cu unul din operatorii logici necesari pentru a exprima regula, fie cu AND , fie cu OR:

Regulile transpun limbajul natural folosit pentru a descrie o problemă în reguli de producție care pot fi folosite pentru a obține un rezultat în limbaj natural sau pseudo-natural. De exemplu ”incidentul s-a produs conducând la rănirea ușoară datorită faptului că lucrătorul nu era instruit” va fi convertit în IF instruire=”incompletă” THEN eveniment=”incident ușor” 

EXPERIENȚA PERSONALĂ ÎN DEZVOLTAREA SISTEMELOR EXPERT PENTRU DOMENIUL SECURITĂȚII ȘI SĂNĂTĂȚII ÎN MUNCĂ.

În anul 1993 am beneficiat de un grant al Consiliului Europei- având ca obiectiv exact perfecționarea în dezvoltarea unor astfel de sisteme- în colaborarea cu fostul institut BIA și cu Institutul Informatic din Bonn.
Mai recent, în perioada 2008-2010 am fost unul din dezvoltatorii sistemului RISC-EXPERT- program câștigat în ultima competiție INFOSOC, alături de ceilalți parteneri ICI și Institutul de Virusologie ”Stefan Nicolau”
Figura 3 prezintă portalul RISC-EXPERT- aplicația care a fost dezvoltată atunci. 



Figura 3. Prima pagină a portalului RISC-EXPERT

În perioada 2011-2013 am participat la proiectul European PROMISLingua- în cadrul căruia am dezvoltat o structură de tip expert pentru domeniul SSM în limba română, structură care poate fi văzută în figura 4.

Figura 4. Structura piramidei de cunoștințe din PROMISLingua

CONSIDERAȚII REFERITOARE LA DEZVOLTAREA UNUI SISTEM EXPERT DE AUDITARE AL SECURITĂȚII LA LOCUL DE MUNCĂ

Procesul de auditare al SSM- deși pare simplu la prima vedere- presupune o expertiză umană pe care cel mai adesea  specialiștii care fac acest audit n-o dețin. De aceea- de regulă se ajunge la o înțelegere tacită între auditor- care poate fi intern sau extern- și managementul unității audiate- astfel încât rezultatele să fie cât mai bune pentru respectiva unitate. Acest lucru este evident în contradicție cu etica oricărui auditor rezonabil și, de asemenea, poate conduce la rezultate neplăcute pe termen lung- atunci când aspecte care au fost ocultate pot conduce la producerea de accidente de muncă.
Expertiza necesară- despre care vorbim- poate fi colectată de la experți și transpusă într-un astfel de sistem.
Mai mult decât atât- ținând seama de numărul mic de angajați la nivelul Inspecției Muncii și de numărul foarte mare de întreprinderi- mai ales IMM-uri- care ar avea nevoie de un astfel de audit cel puțin o dată pe an- se poate concepe un astfel de sistem care să poată fi accesat on-line și care să asigure self-auditul sau auto-auditarea din interiorul întreprinderii- ca măsură preliminară de auditare. 

Din figura 5 se poate observa ciclul ideal de auditare propus cu apariția unui astfel de sistem.

Figura 5. Ciclul ideal de auditare al SSM

Deși trebuie să recunoaștem că marea majoritate a managementului ar fi fericită să nu aibă nici un fel de control apropo de SSM_ totuși ei nu sunt încă dispuși să proiceapă că un nivel bun de SSM asigură și productivitate bună și reducerea cheltuielilor. Firma ar putea să-și facă un self-audit anual- care nu implică mari cheltuieli și presupune o corectitudine minimală din partea specialistului SSM care va declanșa procedura și înțelegerea necesară din partea managementului. La 2-3 ani firma poate să apeleze- de data aceasta plecând de la structura managerială- un auditor extern de terță parte. Atât raportul self- auditului cât și cel al firmei de terță parte ar fi bine să fie trimise și stocate la Inspectoriatul Teritorial de Muncă- ca și referențiale pentru viitor. Controlul propriu-zis din partea inspectoratului poate fi stabilit de comun acord cu cei de la firmă, pentru niște termene rezonabile. 
Așa cum spune și denumirea de audit- un astfel de sistem se poate baza pe observațiile directe făcute la locul de muncă (observații care dau un diagnostic pentru locul de muncă care va fi apoi inclus în diagnosticul secției/atelierului și apoi în cel al unității. ). 
Astfel de observații pot fi făcute imediat- sau necesită un anumit timp de observare. De exemplu pregătirea muncitorilor- în deosebi în domeniul SSM- pot fi observate în timp- implicând cel puțin 1 schimb ca observație. Pe de altă parte starea mașinilor de lucru sau existența dispozitivelor de protecție pot fi observate imediat, la fel ca și organizarea la locul de muncă. 

În partea a 2-a a acestui material vom prezenta aspecte legate de proiectarea și dezvoltarea unui prototip pentru sistemul expert de auditare.

Comentarii

Postări populare de pe acest blog

IDENTIFICAREA ȘI ANALIZA CAUZELOR RĂDĂCINĂ -1

Analiza cauzelor rădăcină este o metodă extrem de folosită de către managementul de performanță  din firmele dezvoltate. Metoda este considerată ca o metodă primară- care trebuie utilizată în primele faze ale analizei specifice procesului managerial. Ne propunem să prezentăm o metodă de analiză a cauzelor rădăcină care să poată fi aplicată atât pentru managementul calității cât și pentru managementul securității – ținând seama de faptul că în cea mai mare parte, cauzele rădăcină ale problemelor de calitate și problemelor de securitate și sănătate sunt comune. Figura 1 prezintă modul  global de analiză pentru cauzele rădăcină Din figură se poate observa că avem 2 procese distincte: ·         -un proces de identificare- care va fi realizat pe baza metodei cunoscute și ca 5 W ( 5 Why); ·         -un proces de analiză; procesul de analiză urmărește: o   stabilirea cauzelor specifice managementului calității și managementului de SSM; o   ierarhizarea cauzelor identificate;

Figura 1  Structurare…

DEVELOPING SAFETY ASSESSMENT SYSTEMS USING EXPERT SYSTEM SHELLS-1

Acknowledgements: The author wants to thank XpertRule Software LTD and mr. Tim Sell for being able to try Decision Author- the main software in which this prototype shall be built.
GENERAL ASPECTS Safety domain of research is by excellence a domain based on expertise. Textbooks and theoretical knowledge are good but the safety expert which inspects three times a day a certain part of an enterprise is the ultimate safety dealer here. A lot of expertise is transformed into lessons learned- that are used for training and improvement of existing safety attitudes. On the other part, this expertise could be also valued in order to build optimal and effective safety assessment systems. An expert system is software that emulates the decision-making ability of a human expert. In our case- the expert part should interrogate the specific employees regarding safety aspects of an enterprise. The next figure illustrates how a safety expert, with the necessary knowledge into the problem could impr…

VULNERABILITY METRICS AND KPI

KPI definitionA key performance indicator(KPI) is a measure of performance, commonly used to help an organization defineand evaluate how successful it is, typically in terms of making progress towards its long-term organizational goals.
–KPIs provide business-level context to security-generated data –KPIs answer the “so what?” question –Each additional KPI indicates a step forward in program maturity –None of these KPIs draw strictly from security data
COBITControl Objectives for Information and Related Technology (COBIT) is a framework created by ISACA for information technology (IT) management and IT governance. It is a supporting toolset that allows managers to bridge the gap between control requirements, technical issues and business risks. COBIT was first released in 1996; the current version, COBIT 5, was published in 2012. Its mission is “to research, develop, publish and promote an authoritative, up-to-date, international set of generally accepted information technology control obj…