7 nawyków skutecznego zarządzania incydentami - rób wpierw to, co najważniejsze
Wstęp
Rób wpierw to, co najważniejsze. W kontekście opisywanych nawyków skutecznego działania według Covey’a ten wydaje mi się jednym z trudniejszych a może i najtrudniejszym do realizacji. Dlaczego tak uważam? W mojej ocenie główny problem wynika z kilku powodów:
- braku zdefiniowanych celów,
- braku jasnozdefiniowanych celów,
- błędnie zakomunikowanych celów.
Problem ten dotyka zarówno nasze życie prywatne, zawodowe, jak również dotyczy samych organizacji, dla których pracujemy.
W pierwszym przypadku brak wiedzy na temat tego, co chcę osiągnąć w życiu, co mnie motywuje, co mnie napędza do działania, co definiuje moje szczęście, sprawia, że marnujemy energię na rzeczy nieistotne, nieważne. Przysłowiowo kręcimy się w kółko. Rozważając organizacje, zdarza się czasem, że przestajemy widzieć sens naszej pracy, następuje tzw. wypalenie zawodowe, a reszty chyba się już domyślasz. Pozwól, że w dalszej części skupię się na celach organizacji, w kontekście zarządzania incydentami. Tu jeszcze mała dygresja. Uważam, że ten nawyk bardzo mocno łączy się z poprzednim nawykiem – zaczynaj z wizją końca. No wiesz. Jeśli wiem, co ma być na końcu mojego działania, wiem, do czego dążę, to wiem z kolei, które działania przybliżają mnie do celu, które są ważne, a które najzwyczajniej w świecie są istną stratą czasu. Proste? Wydaje się bardzo proste. A jak to się ma do zarządzania incydentami?
Priorytetyzacja
Jednym z elementów skutecznego zarządzania incydentami jest określenie właściwego priorytetu obsługiwanych zdarzeń. Dla przypomnienia pamiętaj, że każdy incydent jest zdarzeniem, ale nie każde zdarzenie jest incydentem. Zanim jednak przejdziemy dalej, w tym miejscu chciałbym zwrócić Twoją uwagę na termin priorytet, a właściwie na pochodzenie tego słowa. Powstałe z łacińskiego słowa prior, pierwotnie oznaczające pierwszy, rzecz najważniejszą. Pewnie domyślasz się, do czego dążę? Z logicznego punktu widzenia, w jednym momencie, może istnieć tylko jedno, najważniejsze zdarzenie w obsługiwanej kolejce. Jakie kryteria przyjmiemy, szeregując od najważniejszego do najmniej istotnego zdarzenia, jest często sprawą indywidualną każdego biznesu. Z pewnością priorytet, tu jeszcze raz powtórzę, czyli ten pierwszy, najważniejszy powinien z czegoś wynikać. Intuicja chyba podpowiada Ci, co to może być? Owszem. Analiza ryzyka wystąpienia incydentu. Jeśli nie miałeś okazji przeczytać, wspominałem o tym w pierwszym wpisie tej serii – 7 nawyków skutecznego zarządzania incydentami – bądź proaktywny
Przykłady kryteriów wyboru priorytetu
Kryteria powinny być proste. Kryteria winny wynikać z analizy ryzyka wystąpienia incydentu. Inaczej podejdziemy do incydentu związanego na przykład z ransomware propagującym się w naszej infrastrukturze, inaczej zaś do oprogramowania złośliwego, które zostało ściągnięte, ale skutecznie wykryte i zablokowane przez system klasy EDR (Endpoint Detection and Response). W przytoczonym przykładzie mamy do czynienia z kryterium ograniczenia skutków wystąpienia incydentu (z ang. Containment).
Innym kryterium może być źródło pochodzenia zagrożenia. Z pomocą mogą nam przyjść informacje pozyskane z kanałów CTI (Cyber Threat Intelligence), na bazie których możemy dokonać próby atrybucji zagrożenia, czyli określenia, kto tak naprawdę nas atakuje, jaki jest potencjalny poziom motywacji zagrożenia.
Oczywiście nie zapominajmy o kwestiach biznesowych. W zupełnie inny sposób podejdziemy do incydentu, gdzie zagrożona jest ciągłość procesu krytycznego – czyli na przykład kryterium ważności procesu, a inaczej gdy zagrożony jest jakiś proces poboczny. W tym pierwszym przypadku potencjalnie w grę może wchodzić nasze być albo nie być na rynku.
Jednym z klasycznych kryteriów, może być na przykład konieczność bycia zgodnym z regulacjami i obowiązkiem zgłoszenia incydentu do instytucji nadzorującej.
Metody ustalania priorytetu
Jedną z metod, która zasługuje na uwagę, jest matryca Eisenhowera – koncepcja świadomego zarządzania sobą w czasie. Wspominam o niej z kilku powodów:
- jest intuicyjna,
- prosta w implementacji, bo posiada tylko cztery, a w praktyce dwa obszary, które wymagają naszej uwagi.
Matryca oparta jest na dwóch kryteriach: pilności oraz ważności zadania. Jednym z najczęstszych błędów, jaki popełniamy, jest mylenie tych dwóch pojęć. Generał mawiał: „To, co ważne, rzadko bywa pilne, a to, co pilne, rzadko bywa ważne”. To pamiętne zdanie wyraża całą istotę rzeczy. Oczywiście, zawsze od reguły są pewne wyjątki. O tym jednak może trochę później.
To, co ważne, rzadko bywa pilne, a to, co pilne, rzadko bywa ważne
Dwight Eisenhower
Pilność
Na jednej osi matrycy mamy pilność. Pilność to nic innego jak czas. Na tej podstawie zadania dzielimy na: pilne i niepilne.
Ważność
Na drugiej osi mamy ważność danego zadania. Ważność jednak rządzi się innymi prawami. To czy coś jest ważne, zależy od następujących kryteriów:
- czy zadanie zbliża mnie do realizacji celu, a jeśli jest ich kilka, to które z nich bardziej i na tym powinienem skupić swoją uwagę?
- kto mi to zadanie delegował/zlecił – jak ważna jest ta osoba w organizacji? Im osoba mniej ważna, tym zadanie mniej ważne.
- czy tylko ja jestem w stanie wykonać to zadanie? Czy zadanie może być delegowane?
- jakie są konsekwencje niewykonania. Co się stanie, jak tego zadania nie zrobię?
Na podstawie powyższego, zadania możemy podzielić na:
- pilne i ważne,
- niepilne i ważne,
- pilne i nieważne,
- niepilne i nieważne.
Nie będę rozpisywał się na temat każdej z tych kategorii. Skupmy się na dwóch pierwszych. Podświadomie czujesz, że pilne i nieważne oraz niepilne i nieważne, to te zadania, którymi zdecydowanie nie powinieneś się zajmować, nie przybliżają Cię do zamierzonego celu, nie skutkują żadnymi konsekwencjami. Na poziomie organizacji jest podobnie. Te zadania można porównać do stwierdzenia, że chcemy gonić króliczka, ale niekoniecznie go złapać. Taki istny zapychacz czasu.
Incydenty pilne i ważne
Próbując zastosować powyższe podejście, do tej kategorii zaliczyłbym wszystkie incydenty, które:
- realnie wpływają na ciągłość działania Twojego biznesu,
- wymagają zgłoszenia do regulatora w ustalonym czasie,
- powodują materializację ryzyka, skutkując stratami na przykład: utratą wizerunku, stratami finansowymi.
Z kolei w kontekście budowania zdolności organizacji w zakresie zarządzania incydentami cyberbezpieczeństwa, nie upatrywałbym w tej ćwiartce, zadań pilnych i ważnych. No dobrze mogą się tam znaleźć, pod warunkiem, że w ustalonym, wyznaczonym czasie, nie zrealizujesz zadań z ćwiartki niepilne a ważne. To ten wyjątek od reguły, o którym wspomniałem wcześniej.
Incydenty niepilne i ważne
Do tej kategorii zaliczyłbym wszystkie incydenty, które zostały zmitygowane, jednak z jakichś powodów należałoby usprawnić np. metody detekcji, dokonać przeglądów obowiązujących polityk, opracować stałe procedury operacyjne itp. Jednym słowem, rzeczy te są ważne, bo systematyczne ich zaniedbywanie, w przyszłości może powodować powstawanie tzw. „pożarów”, których gaszenie wymaga dużo więcej energii i zasobów.
Tu upatrywałbym dużą część zadań związanych z tzw. Lessons Learned – czyli wniosków wyciągniętych po obsłużonym incydencie. Bądźmy otwarci. Większość, jak nie wszystkie, są to zadania średnio i długoterminowe, Nie wymagają często natychmiastowej reakcji. Dotyczą często zmian procesów, a zmiana procesu wymaga czasu, bo to zmiana naszych zachowań.
Podsumowanie
Najważniejsze wnioski do zapamiętania to przede wszystkim:
- zwrócenie uwagi na niemylenie pilności z ważnością realizowanego zadania. Pilność zadania często wynika z priorytetu innej osoby. Pilność to czas. To, że coś jest pilne, nie znaczy, że jest ważne.
- zapamiętanie, że jednym z kryteriów ustalenia priorytetu zadania jest cel. Czy nam się to podoba, czy nie, nie wszyscy mamy te same cele. Bardzo dobrze uwidacznia się to w organizacjach, gdzie działy bezpieczeństwa rywalizują z działami utrzymania infrastruktury IT. Nie mówię, że jest tak wszędzie, ale zdarza się od czasu do czasu.
Jeśli podobał Ci się wpis, zostaw komentarz pod wpisem, podziel się swoją opinią lub napisz do mnie na adres marcin.sikorski@ctrust.me