7 nawyków skutecznego zarządzania incydentami - bądź proaktywny
Wstęp
„7 nawyków skutecznego działania” to książka o rozwoju osobistym, którego autora, dla osób interesujących się tym zagadnieniem, nie muszę przedstawiać. Stephen Covey, o którym mowa, opisuje zasady postępowania, które w znaczący sposób mogą wpłynąć na poprawę jakości naszego życia. Zainspirowany lekturą książki, przyszło mi na myśl, że skoro opisywane nawyki są ponadczasowe, a rzeczywiście są, dlaczego nie zastosować ich w ramach procesów zarządzania incydentami cyberbezpieczeństwa?
Dalsze rozmyślania na ten temat, tylko i wyłącznie utwierdziły mnie w przekonaniu, że „7 nawyków skutecznego działania”, można by potraktować jak swego rodzaju pryncypia, czyli podstawowe wartości, jakie zawsze powinny być obecne w ramach budowanych zdolności zarządzania incydentami cyberbezpieczeństwa w organizacji. Kto wie? Może właśnie wymyśliłem jakąś nową metodykę?
Covey w swojej książce dość szczegółowo, z przykładami opisuje tytułowe 7 nawyków, do których zalicza:
- Bądź proaktywny.
- Zaczynaj z wizją końca.
- Rób wpierw to, co najważniejsze.
- Myśl w kategoriach wygrana- wygrana.
- Staraj się najpierw zrozumieć, potem być zrozumiany.
- Synergia.
- Ostrzenie piły.
Tym artykułem chciałbym rozpocząć serię wpisów, w ramach których pokażę moje spojrzenie na zarządzanie incydentami, w ujęciu poszczególnych nawyków.
Bądź proaktywny
Z pewnością nie jest wielkim odkryciem stwierdzenie, że postawa proaktywna jest w zdecydowanej większości dużo lepsza niż postawa reaktywna. Można by powiedzieć, że samo stwierdzenie „reagowanie na incydenty”, nacechowane jest raczej postawą reaktywną, wyczekującą niż proaktywną, poszukującą. Chociażby z tego powodu wyłoniła się domena w cyberbezpieczeństwie nazwana threat huntingiem, czyli aktywnym poszukiwaniem zagrożeń w infrastrukturze organizacji. Nie o tym dziś będzie, a o tym, w jaki sposób proaktywnie podejść do kwestii zarządzania incydentami cyberbezpieczeństwa.
Proaktywność vs Reaktywność
Tu należy jeszcze zrobić małą dygresję. Covey stawia znak równości pomiędzy proaktywnością a odpowiedzialnością. Według niego człowiek proaktywny, to taki, który nie szuka wymówek, usprawiedliwień. On po prostu działa. W każdej sytuacji, której doświadcza, upatruje szansy na rozwój. To osoba, która zajmuje się rzeczami, na które ma realny wpływ i jednocześnie ignoruje te, na które wpływu nie ma. Działa racjonalnie w stosunku do sytuacji. Tym właśnie postawa proaktywna różni się od postawy reaktywnej. Ta druga to przede wszystkim ciągłe narzekanie, obwinianie innych za powstałe błędy, negatywne reakcje na pojawiające się sytuacje. Znacie może tego typu zachowania z Waszego otoczenia? Napiszcie w komentarzu, bo naprawdę jestem zainteresowany, z jakimi postawami mieliście częściej do czynienia.
Proaktywność w zarządzaniu
Myślę, by stwierdzić stanowczo, że stosuję się do zasady bycia proaktywnym, zacząłbym od następujących kwestii.
Analiza ryzyka
Uważam, że istotnym elementem w proaktywnym podejściu do zarządzania incydentami cyberbezpieczeństwa jest prowadzenie ciągłej analizy ryzyka ich wystąpienia. Tak na marginesie wymóg ten regulowany jest Ustawą o Krajowym Systemie Cyberbezpieczeństwa. Nie wiem czemu, panuje ogólne przekonanie, że analiza ryzyka to zło konieczne, albo wróżenie z fusów. Oczywiście nie jesteśmy w stanie przewidzieć każdego wariantu. Jednak pamiętaj, że to jest proces ciągły. Może nie masz dziś pełnej wiedzy o wszystkich zagrożeniach. Może potrzebujesz większej „widoczności” w eksploatowanych systemach w postaci rozszerzenia monitoringu. Istotne jest, że wartość, jaka płynie z przeprowadzenia takiego ćwiczenia to budowanie Twojej świadomości, świadomości Twoich przełożonych, klientów biznesowym w zakresie potencjalnego ryzyka. Od tego już tylko krok do podejmowania świadomych decyzji w zakresie reagowania na zaistniałe incydenty cyberbezpieczeństwa, ale przede wszystkim trwałe, długoterminowe budowanie odporności organizacji na cyberzagrożenia. Świadome decyzje z kolei, to odpowiedni, adekwatny do ryzyka, dobór mechanizmów bezpieczeństwa. Nie chce się dalej rozpisywać na temat płynących korzyści, w tym finansowych.
Plany reakcji
Opracowanie zawczasu planów reakcji na poszczególne typy incydentów i ich rzeczywiste, okresowe testowanie, to oszczędność czasu, pieniędzy, jak również nerwów. Już pisałem o tym, że w sytuacji wystąpienia poważnego incydentu cyberbezpieczeństwa, panująca atmosfera wśród personelu jest często daleka od pożądanej określana w potocznym języku stwierdzeniem „pożar w b******”. Oczywiście konsekwencją tego jest również szukanie za wszelką cenę winnego. Znów mała dygresja. Przy tej okazji gorąco polecam książkę „Ekstremalne przywództwo. Elitarne praktyki NAVY Seals w zarządzaniu”.
Ok. Czyli plany reakcji i koniecznie ich testowanie. Celem testów jest wyuczenie w nas określonych nawyków, które pozwolą, w trakcie wystąpienia incydentu, na racjonalne spojrzenie na sprawę i zastosowanie adekwatnych środków odpowiedzi na incydent. Unikamy wtedy pośpiechu i zmniejszamy prawdopodobieństwo popełnienia błędów. Pamiętaj czasem wolniej, znaczy szybciej.
Pamiętaj czasem wolniej znaczy szybciej.
Uczenie się na błędach - Lessons Learned
Bardzo ważny temat, niestety dość często zaniedbywany. Dzieje się tak dlatego, że dotyczy usprawnień procesu, a co za tym idzie, konieczności zmiany naszych zachowań. A czy zgadzamy się, czy nie, człowiek jest z natury leniwy. Do każdej zmiany, która wymaga wysiłku, podchodzi z niechęcią. Myślę, że kwestią Lessons learned zajmę się w oddzielnym wpisie, z uwagi na ich ogromne znaczenie w całym procesie zarządzania incydentami cyberbezpieczeństwa. Swoją drogą bardzo ciekawa książka, którą polecam w tej tematyce – Lessons Learned Practical Approaches to Learning from Experience 1st Edition
Podsumowanie
Proaktywność jest pierwszym nawykiem, który powinniśmy utrwalać, by stała się naszym naturalnym zachowaniem. Postawą proaktywną powinny cechować się wszystkie osoby realizujące czynności w ramach procesu zarządzania incydentami cyberbezpieczeństwa, a w szczególności osoby odpowiedzialne za kwestie zarządzania, będące dyrektorami, kierownikami czy po prostu liderami w swoich zespołach, które nadają kierunki rozwoju zdolnościom organizacji w zakresie zarządzania incydentami cyberbezpieczeństwa.