Archiwa Książki - Ctrust.me

I co ja robię tu? O roli temperamentu w zarządzaniu incydentami bezpieczeństwa

I co ja robię tu ? O roli temperamentu w zarządzaniu incydentami bezpieczeństwa

Wstęp

Jest piątek po południu. Weekend tuż za rogiem. Jeszcze tylko chwila – wyłączysz monitor, przekażesz ostatnie instrukcje analitykom bezpieczeństwa i wreszcie odpoczniesz. Masz już plany, spotkanie z przyjaciółmi czeka. Wiesz jednak, że jeśli wydarzy się incydent bezpieczeństwa, to zespół zadzwoni w pierwszej kolejności do Ciebie. W końcu to Ty nadzorujesz bezpieczeństwo organizacji.

I oczywiście – jak na złość – właśnie teraz coś się dzieje. Niepisana reguła głosi, że najgorsze incydenty zdarzają się w najmniej odpowiednim momencie. Weekend niestety musi poczekać. Zamiast wyjść z pracy, zaczynasz koordynację incydentu bezpieczeństwa. Zmęczenie daje się we znaki. Myślisz sobie, że może to drobnostka, a może jednak właśnie zaczyna się coś naprawdę poważnego.

Wdzwaniasz się na spotkanie zespołu. Po kolei zbierasz informacje. Wspólnie zaczynacie analizować sytuację. Tymczasem w głowie pojawia się jedno, coraz częściej nurtujące Cię pytanie: „Co ja tu robię?„

Stres w trakcie obsługi incydentu bezpieczeństwa

Praca w cyberbezpieczeństwie to znacznie więcej niż tylko znajomość technologii. To ciągła walka z nieznanym, podejmowanie decyzji pod presją i świadomość, że każda pomyłka może mieć poważne konsekwencje. Obsługa incydentu to niemal zawsze stres. Czasem mniejszy, czasem większy, ale stale obecny. Nigdy nie wiesz, jak ostatecznie zakończy się sytuacja. Czy każdy nadaje się do pracy w zarządzaniu incydentami bezpieczeństwa? Co sprawia, że jedna osoba radzi sobie w lepiej niż inna? Jak dużą masz odporność psychiczną i fizyczną? Jak reagujesz na stres? Aby odpowiedzieć na te pytania, warto sięgnąć do psychologii różnic indywidualnych, jednym słowem do teorii temperamentu.

Temperament

Zainteresowany psychologią różnic indywidualnych, zacząłem się zastanawiać, co sprawia, że jedne osoby mają lepsze predyspozycje do zarządzania incydentami bezpieczeństwa niż inne. Nie chodzi tu o kwestie wiedzy technicznej – wiadomo, że znajomość sieci, systemów operacyjnych, protokołów bezpieczeństwa czy technik ataków i obrony jest kluczowa. Mam na myśli cechy, które determinują, w jaki sposób reagujemy w sytuacjach kryzysowych.

Tutaj wkracza temperament. Stanowi on istotny element naszej osobowości i odgrywa kluczową rolę w sposobie, w jaki odbieramy bodźce oraz reagujemy na otaczający nas świat.

Według profesora Jana Strelaua wybitnego polskiego psychologa, temperament to zespół podstawowych, względnie stałych cech osobowości, które manifestują się w formalnej charakterystyce zachowania. Mówiąc prościej – to cechy, które masz od urodzenia, które nie zmieniają się znacząco przez całe życie i które decydują o tym, jak się zachowujesz.

Temperament nie określa więc tego, co robisz (za to odpowiada motywacja), ale jak coś robisz. Czy jesteś energiczny, czy raczej spokojny? Czy reagujesz szybko, czy powoli? Przeżywasz sytuacje emocjonalnie, a podchodzisz do nich na luzie? Czy nie sprawia Ci problemu praca w dyżurach i bycie na każde zawołanie? Może jednak wolisz osiem godzin i mieć święty spokój? Wszystko to ma ogromny wpływ na to, jak radzisz sobie w sytuacjach stresowych. Ważnym podkreślenia jest fakt, że temperament ujawnia się głównie w sytuacjach czy zachowaniach wysoce stresowych, a do takich z pewnością należy obsługa incydentów bezpieczeństwa. Poznanie więc swojego temperamentu może pomóc w odpowiedzi na pytanie: „Czy zarządzanie incydentami bezpieczeństwa jest rzeczywiście pracą dla mnie?”. Ponadto pomoże w lepszym zarządzaniu stresem i dopasowaniu się do wymagań tej niezwykle wymagającej branży. W końcu skuteczna obsługa incydentu to nie tylko umiejętności techniczne

Badanie temperamentu

Istnieje wiele skal mierzących temperament. Jedną z popularniejszych jest kwestionariusz FCZ-KT(R) – „Formalna Charakterystyka Zachowania – Kwestionariusz Temperamentu. Wersja zrewidowana” bazujący na Regulacyjnej Teorii Temperamentu Jana Strealua. Według teorii temperament pełni funkcję regulacyjną, tzn. modyfikuje (moderuje) zachowania i reakcje jednostki, w sytuacji, w której się znalazła.

Kwestionariusz służy do diagnozy podstawowych wymiarów temperamentu w kategoriach energetycznych: reaktywność emocjonalna, wytrzymałość i aktywność, wrażliwość sensoryczna oraz czasowych: żwawość, perseweratywność i rytmiczność. Poniżej krótki opis każdej z cech.

reaktywność emocjonalna – jaką mam wrażliwość i odporność w reakcji na bodźce wywołujące emocje,
wytrzymałość – jak reaguję w sytuacjach wymagających długotrwałej lub wysoko stymulującej aktywności, lub w warunkach silnej stymulacji zewnętrznej,
aktywność – jak bardzo podejmuję zachowania o dużej wartości stymulacyjnej,
wrażliwość sensoryczna – jak reaguję na bodźcie zmysłowe o niskiej wartości stymulacji,
żwawość.- jak szybko reaguję, czy utrzymuję wysokie tempo aktywności,
perseweratywność – kontynuowanie i powtarzanie zachowań pomimo zaprzestania działania bodźca,
rytmiczność – jak rytmicznie wykonuję czynności związane z cyklem snu i czuwania, spożywania posiłków czy ogólnie stylem życia.

Związek temperamentu z preferencjami zawodowymi

Wiedza na temat temperamentu może posłużyć nam jako mapa drogowa w podejmowaniu decyzji zawodowych, na przykład co do wyboru pełnionej funkcji w ramach zarządzania incydentami bezpieczeństwa. Jedni ludzie bardziej nadają się na analityka bezpieczeństwa. Praca z narzędziami, analizy gigabajtów logów, to jest to, w czym się odnajdują, z czego czerpią radość i satysfakcję. Pracują w back office. Często ich nie widać. Zresztą nie potrzebują tego. Inni z kolei wolą pracę z ludźmi. Pełniąc funkcję koordynatora incydentu bezpieczeństwa, czują się jak ryba w wodzie. Podstawą u nich są umiejętności komunikacji. Są też i tacy, którzy temperamentalnie nie nadają się do tej pracy w ogóle. To też jest ok. Zarządzanie incydentami bezpieczeństwa jest dla nich zbyt stresujące, zbyt dużo muszą poświęcić zasobów osobistych, by efektywnie realizować zadania. Jak można wykorzystać wiedzę na temat wymienionych wyżej cechy temperamentu na swój temat, by podjąć świadomą decyzję o wejściu do tej jak bardzo wymagającej profesji.

Reaktywność emocjonalna

Wspomniałem już, że cecha ta mówi o tym, jaką mamy wrażliwość i odporność w reakcji na bodźce wywołujące emocje. Innymi słowy, jak poradzę sobie w pracy obciążonej emocjonalnie. Osoba z wysoką reaktywnością emocjonalną może mieć trudność w radzeniu sobie w środowisku, gdzie trzeba działać pod dużą presją i podejmować szybkie decyzje. Długotrwała ekspozycja na stresujące sytuacje może prowadzić do wypalenia zawodowego, obniżonej efektywności i problemów ze zdrowiem zarówno fizycznym jak i psychicznym. Osoba o wysokiej reaktywności emocjonalnej:

mocno przeżywa stresujące sytuacje, co może utrudniać jej szybkie podejmowanie decyzji w krytycznych momentach.
potrzebuje więcej czasu na regenerację po intensywnych wydarzeniach, co może być wyzwaniem w środowisku wymagającym ciągłej gotowości do działania.
może odczuwać większy lęk i niepewność, zwłaszcza gdy ma do czynienia z nieznanymi zagrożeniami.
jest bardziej podatna na przeciążenie emocjonalne, zwłaszcza gdy incydenty bezpieczeństwa mają poważne konsekwencje, np. wyciek dużej liczby danych klientów lub atak typu ransomware.

Wytrzymałość

Cecha ta wskazuje, jak bardzo jest się odpornym na niekorzystne warunki panujące w pracy, np. czy brak przerw, duża intensywność zadań szybko nas męczą czy jednak nie. Osoba o wysokiej wytrzymałości może pracować pod długotrwałym obciążeniem bez znaczącej utraty efektywności, natomiast osoba o niskiej wytrzymałości może:

szybciej odczuwa zmęczenie i może mieć trudności z koncentracją w sytuacjach wymagających długotrwałego wysiłku i skupienia,
mieć trudności związane z pracą pod presją czasu,
odczuwać problemy zdrowotne związane z pracą w trybie zmianowym.

Aktywność

Jest regulatorem zapotrzebowania na stymulację. Jej wartość mówi nam o tym, ile stymulacji potrzebujemy w pracy. Im wyższa, tym potrzebujemy większej różnorodności w zadaniach, więcej wyjazdów czy spotkań. W przypadku aktywności oraz zarządzania incydentami jej wysoki poziom, może być zarówno atutem, jak i wyzwaniem. Zalety osoby z wysoką aktywnością:

dobrze odnajduje się w dynamicznym środowisku,
nie ma problemu z szybkim podejmowaniem decyzji,
jej energiczne podejście może pomagać w sytuacjach kryzysowych, gdzie liczy się natychmiastowa reakcja,
potrafi działać efektywnie mimo nieprzewidywalności zadań,
często sama inicjuje działania prewencyjne,
może być świetnym liderem zespołu reagowania na incydenty bezpieczeństwa,
dobrze sprawdza się w rolach wymagających analizy w czasie rzeczywistym.

Jest też druga strona medalu. Osoba z wysoką aktywnością może:

zbyt impulsywnie podejmować decyzje bez wystarczającej wiedzy na temat incydentu,
ignorować procedury na rzecz szybkiego rozwiązania problemu, co może zwiększyć ryzyko popełnienia błędów,
doprowadzić do przeoczenia istotnych śladów w trakcie prowadzonego śledztwa,
brać na siebie wiele obowiązków, co w konsekwencji może prowadzić do przeciążenia i wypalenia zawodowego,
doświadczać nudy przy incydentach wymagających długotrwałego skupienia, a w konsekwencji spadku motywacji..

Wrażliwość sensoryczna

Jest to cecha temperamentu określająca, jak głęboko dana osoba odbiera bodźce zewnętrzne. W odniesieniu do optymalnego środowiska pracy. To cecha mówiąca jak bardzo dla przykładu osoba jest czujna czy spostrzegawcza, zatem osoba z wysoką wrażliwością może:

przywidywać potencjalne zagrożenia na podstawie subtelnych anomalii,
być bardziej uważną na nietypowe zachowania użytkowników,
dostrzegać wzorce w danych,
być dokładną w analizie logów.

Z drugiej strony, mogą istnieć pewne ryzyka związane z wysoką wrażliwością sensoryczną, jak na przykład:

możliwe przeciążenie informacyjne,
trudności w ustaleniu priorytetu incydentu,
skłonność do nadmiernej ostrożności – mogą dostrzegać zagrożenia tam gdzie ich nie ma (fałszywe alarmy).

Żwawość

To cecha temperamentu określająca szybkość, z jaką osoba będzie reagować, tendencja do utrzymania wysokiego tempa aktywności i do łatwej zmiany z jednego zachowania w inne, adekwatnie do zmian w otoczeniu. Osoba o wysokiej żwawości może:

szybko przetwarzać informacje i szybko podejmować decyzje,
łatwo przełączać się między zadaniami,
dobrze funkcjonować pod presją czasu.

Wysoka żwawość ma też swoje wyzwania. Potencjalnie osoba z wysoką żwawością może:

przeoczać szczegóły,
być narażoną na przeciążenie informacyjne podobnie jak w przypadku wysokiej wrażliwości sensorycznej,
mieć problemy z długotrwałym skupieniem, w przypadku gdy zadanie wymaga dogłębnej analizy.

Perseweratywność

Perseweratywność to skłonność do utrzymywania i powtarzania określonych zachowań lub myśli po zakończeniu działania bodźca, który je wywołał. W kontekście zarządzania incydentami bezpieczeństwa cecha ta może mieć zarówno zalety, jak i wady. Osoba o wysokiej perseweratywności może:

być niezwykle dokładna i skrupulatna w analizie incydentów bezpieczeństwa, co pozwala jej dogłębnie badać przyczynę problemu,
wracać do nierozwiązanych kwestii, upewniając się, że żaden szczegół nie został pominięty,
być wytrwałą w dochodzeniu do źródła problemu, co jest kluczowe w analizie przyczynowej (root cause analysis),
mieć dużą motywację do doprowadzania spraw do końca, co jest cenne w długotrwałych dochodzeniach.

Z drugiej strony, wysoka perseweratywność może prowadzić do pewnych trudności, takich jak:

skłonność do „utknięcia” w szczegółach i trudności z odpuszczaniem mniej istotnych aspektów incydentu,
problemy z efektywnym zarządzaniem czasem – osoba może zbyt długo zajmować się jedną sprawą, tracąc z oczu szerszy kontekst,
trudności z adaptacją – gdy sytuacja wymaga szybkiego przejścia do kolejnych działań, osoba może mieć problem z przestawieniem się na nowe zadanie,
możliwe większe obciążenie psychiczne, ponieważ osoba może obsesyjnie wracać do sytuacji stresujących, nawet po ich zakończeniu.

Rytmiczność

Rytmiczność odnosi się do regularności funkcjonowania organizmu i preferencji dotyczących uporządkowanego trybu życia. Dotyczy m.in. stabilności cyklu snu i czuwania, regularności posiłków czy powtarzalności wykonywania codziennych czynności. W pracy związanej z zarządzaniem incydentami bezpieczeństwa może mieć istotne znaczenie. Osoba o wysokiej rytmiczności:

dobrze funkcjonuje w ustrukturyzowanym środowisku, gdzie zadania mają określony harmonogram,
preferuje stałe godziny pracy i może mieć trudności z elastycznym dostosowywaniem się do nagłych zmian,
lepiej czują się w organizacjach, gdzie procedury są jasno określone i przestrzegane,
może mieć większą trudność w pracy zmianowej lub w sytuacjach wymagających nieregularnego harmonogramu.

Osoba o niskiej rytmiczności:

dobrze adaptuje się do dynamicznych i nieprzewidywalnych warunków pracy,
potrafi bez większego problemu pracować w różnych porach dnia i nocy,
łatwiej znosi konieczność nagłych interwencji i nieregularnych zmian w harmonogramie.

W kontekście zarządzania incydentami bezpieczeństwa osoby o niskiej rytmiczności mogą lepiej odnajdywać się w pracy operacyjnej, gdzie liczy się szybkie reagowanie na zdarzenia o każdej porze. Z kolei osoby o wysokiej rytmiczności mogą preferować bardziej ustrukturyzowane role, np. analityka bezpieczeństwa, gdzie planowanie i rutyna odgrywają większą rolę

Czy istnieje zatem temperament idealny?

Czy można wskazać jeden, idealny zestaw cech temperamentu, który gwarantuje sukces w zarządzaniu incydentami bezpieczeństwa? Nie! Nie ma jednego uniwersalnego profilu osoby idealnie dopasowanej do tej roli. Każdy temperament ma swoje mocne i słabsze strony, a to, jak ktoś sprawdzi się w tej pracy, zależy od wielu czynników – nie tylko wrodzonych predyspozycji, ale też doświadczenia, umiejętności i odpowiedniego zarządzania sobą w stresie. Znajomość własnego temperamentu pozwala nie tylko lepiej dobrać ścieżkę kariery, ale także pracować nad strategiami radzenia sobie ze stresem. W zarządzaniu incydentami bezpieczeństwa nie liczy się to, czy masz „idealny temperament”, ale to, jak wykorzystujesz swoje mocne strony. To właśnie świadome podejście sprawia, że jedni lepiej odnajdują się w tej roli niż inni.

Podsumowanie

Zarządzanie incydentami bezpieczeństwa to nie tylko kwestia wiedzy technicznej, ale także odporności psychicznej, umiejętności pracy pod presją czasu i zdolności do radzenia sobie w dynamicznym środowisku. Temperament odgrywa w tym istotną rolę – decyduje o tym, jak reagujemy na stres, jak szybko podejmujemy decyzje i czy jesteśmy w stanie efektywnie funkcjonować w nieregularnym trybie pracy.

Nie ma jednego idealnego profilu osoby do pracy w cyberbezpieczeństwie. Niektórzy świetnie odnajdą się w analizie danych, inni w roli koordynatorów incydentów, a jeszcze inni mogą dojść do wniosku, że ta praca po prostu nie jest dla nich. I to jest w porządku. Świadomość własnych predyspozycji pozwala na lepsze dopasowanie ścieżki kariery i uniknięcie wypalenia zawodowego.

Jeśli zastanawiasz się, czy zarządzanie incydentami bezpieczeństwa to ścieżka dla Ciebie – warto poznać swój temperament. Może się okazać, że masz w sobie wszystko, czego potrzeba, by działać na pierwszej linii walki z cyberzagrożeniami. A jeśli nie? Cóż, świat cyberbezpieczeństwa jest na tyle szeroki, że na pewno znajdziesz w nim miejsce dla siebie.

Jeśli podobał Ci się ten wpis, zostaw komentarz, podziel się swoją opinią, udostępnij go innym. W przypadku chęci nawiązania współpracy napisz do mnie na adres marcin.sikorski@ctrust.me.

Serdecznie pozdrawiam,

Marcin Sikorski

Bibliografia

Strelau, J.(2021). Różnice indywidualne: historia-determinanty-zastosowania. Wydawnictwo Naukowe Scholar

I co ja robię tu? O roli temperamentu w zarządzaniu incydentami bezpieczeństwa Read More »

Negatywne zjawiska grupowe w zespole cyberbezpieczeństwa

Wstęp

Obsługa incydentów cyberbezpieczeństwa, w szczególności incydentów poważnych, wymaga zaangażowania grupy wielu specjalistów. Ma to związek z kompleksowością współczesnych incydentów, koniecznością ich obsługi na wielu płaszczyznach: technicznej, prawnej czy komunikacyjnej. W takich sytuacjach współpraca zespołowa wydaje się niezbędna — jedna osoba nie jest w stanie objąć wszystkich niezbędnych obszarów, jednocześnie zapewniając wysoką jakość i terminowość działań.

Jednak praca zespołowa, mimo wielu zalet, niesie za sobą pewne ryzyko. Grupy, zwłaszcza pod presją, mogą być podatne na negatywne zjawiska społeczne, które obniżają ich efektywność. Zespoły bezpieczeństwa są tu doskonałym przykładem. W dalszej części omówię trzy najistotniejsze problemy, które mogą dotknąć zespoły zajmujące się incydentami cyberbezpieczeństwa oraz zaproponuję mechanizmy przeciwdziałania tym zjawiskom.

Myślenie grupowe: pułapka jednomyślności

Jest to pojęcie stworzone przez Irvinga Janisa w 1982r., które określił wręcz mianem patologii procesu decyzyjnego grupy. Jak pokazała historia, wystąpienie tego zjawiska w grupie doprowadziło do podjęcia błędnych a często tragicznych w skutkach decyzji np. katastrofa wahadłowca Challengera w styczniu 1986r.

Myślenie grupowe jest typowe dla grup cechujących się wysoką spójnością. Wspominałem o tym przy okazji trwałości zespołu cyberbezpieczeństwa. Członkowie grupy najczęściej odrzucają osoby – efekt „czarnej owcy”, które ośmielają się mieć odmienne zdanie. Zjawisko to wzmacniane jest poprzez autorytarny styl przywództwa, który narzuca grupie jedynie słuszny sposób myślenia. Konsekwencją tego jest odejście z grupy wszystkich tych, którzy nie rozumują tak jak pozostali. W mniemaniu grupy, osoby o odmiennych poglądach nie pasują do reszty. W ten sposób grupa coraz bardziej się izoluje, odbiera również ludziom z zewnątrz prawo do zadawania pytań czy kwestionowania zachowań wewnątrzgrupowych. Przywódca takiej grupy ma zazwyczaj silną osobowość lub takiego gra. Z kolei członkowie grupy pilnują się wzajmnie, by w grupie nie nastąpił wyłom. Izolacja sprawia, że grupa nabiera przekonanie o swej nieomylności. Nawet jeśli znajdzie się choć jedna osoba, która ma wątpliwości w jakiejś sprawie, to zazwyczaj ich nie ujawni. Jednym z powodów jest dojście do wniosku, że wątpliwości są nieuzasadnione. Skoro tylko ja tak myślę, a reszta nie, to chyba się jednak mylę. Drugi powód może być związany z byciem świadkiem, jak inna osoba w przeszłości próbowała kwestionować pogląd grupy i została „spacyfikowana” w ten czy inny sposób przez przywódcę grupy. Uważam, że jeszcze innym powodem jest brak zaufania w stosunku do członków grupy do wypowiadania konstruktywnej krytyki.

Jak przeciwdziałać myśleniu grupowemu?

Otwartość na zewnętrzne opinie: Regularne konsultacje z ekspertami spoza zespołu mogą pomóc w przełamaniu schematów myślowych.
Zachęcanie do krytycznego myślenia: Lider powinien aktywnie wspierać konstruktywną krytykę i różnorodność opinii.
Rola adwokata diabła: Wprowadzenie tej roli w zespole, przydzielanej rotacyjnie, pozwala na systematyczne podważanie proponowanych rozwiązań, co pomaga w identyfikowaniu słabych punktów.
Lider przedstawia swoje zdanie na końcu: To zmusza zespół do wyrażenia własnych opinii, zanim pojawi się wpływ autorytetu lidera.

Polaryzacja grupowa

Zjawisko polaryzacji grupowej to nic innego jak uskrajnianie poglądów grupy po przedyskutowaniu jakiegoś tematu. Jeśli pierwotnie grupa była za jakimś rozwiązaniem, to po dyskusji jej nastawienie będzie bardziej pozytywne i odwrotnie. Pierwotna niechęć do jakiejś sprawy, po dyskusji, potęguje jeszcze bardziej tę niechęć. Na tej podstawie można wyjaśnić, dlaczego wiele działań podejmowanych przez grupę, nigdy nie zostałoby podjętych przez jednostkę. Byłyby w jej mniemaniu albo zbyt ryzykowne lub zbyt zachowawcze.

Badacze nie mają wątpliwości, że takie zjawisko występuje, natomiast bardzo ciekawym pytaniem jest, dlaczego ono występuje, co je wyzwala i od czego zależy kierunek polaryzacji? Istnieje kilka teorii, które próbują tłumaczyć to zjawisko. Jedna z nich głosi, że za polaryzację odpowiadają naciski jednakowo te o charakterze informacyjnym czy normatywnym, czyli w wielkim skrócie konformizm. Inna teoria mówi o rozproszonej odpowiedzialności. Jeśli nie czujemy się osobiście odpowiedzialni np. za podjęcie decyzji, to jesteśmy bardziej skłonni do podejmowania ryzykownych, bardziej skrajnych decyzji.

Jak przeciwdziałać polaryzacji grupowej?

Analiza ryzyka: Przed podjęciem decyzji warto ocenić, na ile jest ona ryzykowna, a na ile zachowawcza.
Adwokat diabła: Ponownie, wprowadzenie tej roli może pomóc w obiektywnej ocenie decyzji grupy.
Rozważanie alternatyw: Zachęcanie zespołu do analizowania przeciwnych scenariuszy i alternatywnych rozwiązań, co zmniejsza ryzyko uskrajnienia poglądów.

Próżniactwo społeczne

Jest to zjawisko, w którym osoba, pracując nad zadaniem w grupie, wkłada w nie mniej wysiłku, bo ma świadomość, że nie da się jednoznacznie ocenić efektów jej pracy. W konsekwencji jedna lub kilka osób próżnują i pozwalają innym wykonywać większość pracy za nie. Zjawisko to nasila się wraz ze zwiększeniem liczebności grupy oraz gdy zadanie jest łatwe. W pierwszym przypadku można powiedzieć, że osoba uprawiająca próżniactwo społeczne wtapia się w tłum, ginie w nim. Ciężko wtedy odróżnić czy pracuje czy nie. Z kolei w drugim przypadku może mieć to związek z motywacją wewnętrzną danej osoby. która może dojść do wniosku, że skoro coś jest proste do zrobienia, to po co ma marnować na to swój czas. Niech inni robią.

Jak przeciwdziałać próżniactwu społecznemu?

Wyzwania: Zadania powinny być wymagające i angażujące, co zmniejsza prawdopodobieństwo pojawienia się próżniactwa.
Motywacja wewnętrzna: Pokazanie sensu pracy oraz jej wpływu na sukces całego zespołu zwiększa zaangażowanie.
Odpowiedzialność indywidualna: Jasne przypisanie odpowiedzialności za konkretne wyniki sprawia, że każdy czuje się zobowiązany do pełnego zaangażowania.

Podsumowanie

Praca zespołowa w obsłudze incydentów cyberbezpieczeństwa niesie za sobą zarówno korzyści, jak i zagrożenia. Zjawiska takie jak myślenie grupowe, polaryzacja grupowa czy próżniactwo społeczne mogą znacząco obniżyć efektywność zespołu, jeśli nie zostaną odpowiednio rozpoznane i zneutralizowane. Kluczową rolę w przeciwdziałaniu tym problemom odgrywają liderzy zespołów, którzy powinni promować otwartą komunikację, odpowiedzialność oraz konstruktywną krytykę.

Zrozumienie tych zjawisk i wprowadzenie praktycznych mechanizmów ochronnych pozwala zespołom działać sprawniej, podejmować lepsze decyzje i unikać typowych błędów wynikających z dynamiki grupy.

Jeśli podobał Ci się ten wpis, zostaw komentarz, podziel się swoją opinią, udostępnij go innym. Jeśli chcielibyście nawiązać współpracę napisz do mnie na adres marcin.sikorski@ctrust.me.

Serdecznie pozdrawiam,

Marcin Sikorski

Bibliografia

Oyster, C.K.(2000). Grupy, Zysk i S-ka Wydawnictwo.

Negatywne zjawiska grupowe w zespole cyberbezpieczeństwa Read More »

Trwały zespół cyberbezpieczeństwa

Wstęp

Od dłuższego czasu w branży cyberbezpieczeństwa mowa jest o brakach kadrowych, które w istotny sposób wpływają na poziom bezpieczeństwa organizacji. Badanie KPMG „Barometr cyberbezpieczeństwa” z lutego b.r. potwierdza to zjawisko. Według raportu połowa z firm uczestniczących w ankiecie wskazała trudności związane z rekrutacją i utrzymaniem wykwalifikowanych pracowników jako najistotniejszy problem w osiągnięciu odpowiedniego poziomu zabezpieczeń.

W dzisiejszym wpisie chciałbym przyjrzeć się temu problemowi z punktu widzenia psychologii społecznej. W szczególności chciałbym się skupić na dwóch bardzo ważnych elementach, które muszą zaistnieć w grupie: zaufanie oraz spójność, by ta mogła w ogóle istnieć i być trwała w czasie. Uważam, że te dwa elementy stanowią clou tego czy dana osoba zamierza związać się z daną organizacją na dłużej i co najważniejsze zaangażować się, czy też nie. Oczywiście są jeszcze inne czynniki, o których moglibyśmy mówić jak np. chęć ciągłego i szybkiego rozwoju, zarobki na odpowiednim poziomie itp. Zgadzam się, że są one ważne. Natomiast dla przykładu obecne stawki w branży cyberbezpieczeństwa są na tyle wysokie, że ten aspekt można w większości przypadków pominąć. Oczywiście, jeśli się z tym nie zgadzasz, to daj znać. Tymczasem zajmijmy się po kolei wspomnianymi czynnikami.

Zaufanie

O zaufaniu pisałem, chociażby przy okazji wpisu o delegowaniu zadań. Jeśli nie mieliście okazji zapoznać się z nim, to gorąco zachęcam. Przy okazji chciałbym raz jeszcze polecić lekturę bardzo ciekawej i wciągającej książki o wdzięcznym tytule „5 dysfunkcji pracy zespołowej – Opowieść o przywództwie” Patricka Lencioni. Według mnie jest to pozycja obowiązkowa dla każdej osoby, która poważnie podchodzi do tematu budowania trwałych zespołów. Jeszcze jedna dygresja. O trwałości z kolei pisałem przy okazji wpisu o uważności organizacji. Wrócimy zatem do zaufania. Czym jest i jak je budować?

„Zaufanie odnosi się do pewności, jaką pokładamy w innych ludziach”. Jest ono fundamentem, pozwalającym przewidywać ich zachowanie i co ważne utwierdzać nas samych, że możemy polegać na swoich przekonaniach w stosunku do tych osób. Zasada ta dotyczy relacji w zespole pomiędzy jej członkami – na ile możemy polegać na sobie nawzajem oraz w relacji przełożony – podwładny. W jakim stopniu przełożony jest w stanie zaufać swoim podwładnym, przekazać im część swoich uprawnień,? Jak dalece podwładny może ufać swojemu przełożonemu, że dla przykładu wstawi się za nim w podbramkowej sytuacji. Panuje zatem pogląd, z którym się w pełni zgadzam, że zaufanie jest warunkiem niezbędnym, by grupa mogła w ogóle funkcjonować.

Brak zaufania

Zaufanie wymaga również, a może przede wszystkim czasu, by mogło trwale pojawić się w grupie. Brak zaufania skutkuje istotnym spadkiem produktywności w grupie, zwłaszcza gdy praca jednej osoby jest uzależniona od wyników drugiej osoby, a jak słusznie się domyślasz w tej branży to raczej standard. W końcu cyberbezpieczeństwo to gra zespołowa. Jeśli więc nie możemy ufać sobie nawzajem, to w jaki sposób nasze wspólne działania mają być efektywne? To raczej jest niemożliwe.

Problem, przed jakim stoimy, albo wyzwanie jak wolisz, polega na tym, że zaufania nie da się ot, tak zbudować. Często są to procesy długoterminowe i wręcz nieświadome. Jeden błąd, jedna nietrafiona decyzja może zaprzepaścić cały włożony trud w budowaniu zaufania w zespole.

Spójność grupy

Zaufanie wchodzi w skład drugiego istotnego elementu jakim jest spójność grupy. W odróżnieniu od zaufania spójność da się kształtować. Zanim jednak przejdziemy do tego, jak to należy robić, wpierw odpowiedzmy na pytanie, czym właściwie jest spójność?

Spójność grupy to siła pozytywnych więzi interpersonalnych opartych na wspomnianym już zaufaniu oraz sympatii. Inaczej mówiąc, jest to suma sił, które skłaniają jednostkę do pozostania w grupie. Istnieje zależność pomiędzy spójnością a produktywnością grupy, ale jak wskazują badania nie w sposób silny i automatyczny. Co to oznacza? Badacze twierdzą, że między spójnością i produktywnością zachodzi relacja obustronna w postaci korelacji zmiennych, tzn. wysoka produktywność obserwowana jest w zespołach o silnej spójności grupowej i na odwrót. Jednak jak to bywa z korelacją, niestety nie można określić kierunku, czyli związku przyczynowo-skutkowego. Jak się okazuje, ma to swoje daleko idące konsekwencje.

Prawdopodobnie przyszło Wam teraz na myśl, że skoro spójność ma znaczenie, to należy o nią dbać, najlepiej jak się da. Oczywiście, że tak tylko pod jednym warunkiem. Z tą spójnością nie należy przesadzać. Zanim jednak przejdziemy do ciemnych stron spójności grupy, kilka przykładów jak pozytywnie spójność wpływa na jej funkcjonowanie.

Jasna strona spójności grupy

Badacze wskazali kilka istotnych faktów, które świadczą o tym, jak ważna jest spójność grupy dla trwałości zespołu:

wysoka spójność usprawnia wewnętrzną komunikację – staje się ona bardziej ożywiona i autentyczna,
spójność wywołuje w ludziach chęć współdziałania i brania odpowiedzialności za siebie nawzajem, co ma bezpośrednie przełożenie na kolejny punkt,
spójne grupy skuteczniej osiągają zamierzone cele,
członkostwo w wysoce spójnej grupie wpływa na ogólny wyższy poziom satysfakcji jej przedstawicieli.

Ciemna strona spójności grupy

Jak już mówiłem, jest też ciemna strona zbyt wysokiej spójności. Okazuje się, że zbyt duża może być w pewnych sytuacjach szkodliwa. Dla przykładu zbyt wysoka spójność powoduje, że:

grupa jest hermetyczna,
nie dopuszcza z łatwością nowych członków,
nie dopuszcza innego, niż ona punktu widzenia,
może wystąpić bardzo niebezpieczny syndrom zwany „myśleniem grupowym”.

Warto przy tym wspomnieć, że w przypadku zaistnienia takiego zjawiska grupa skłonna jest podejmować błędne decyzje za cenę utrzymania spójności grupy. No bo przecież nikt nie chce być tym złym i wyłamać się z grupy. Poza tym decyzje podejmowane przez grupę są bardziej skrajne i bardziej ryzykowne, niż gdyby byłyby podejmowane przez poszczególnych przedstawicieli tej grupy. Historia niestety zna wiele przypadków gdzie myślenie grupowe doprowadziło do katastrofalnych w skutkach sytuacji.

Cechy spójnej grupy

Jednak jakby nie patrzeć zaufanie i spójność są niesłychanie potrzebne grupie, by ich członkowie mogli czuć się w niej pewnie, komfortowo, mogli utożsamiać się z nią i trwać w niej. Zatem jakie cechy powinna mieć efektywna grupa, która będzie wykazywała się niskim wskaźnikiem rotacji pracowników? Douglas McGregor – wybitny psycholog społeczny wskazuje na kilka cech, którymi charakteryzują się tego typu grupy. Nie powiem, że zgadzam się z nimi w pełni. Jest to raczej pewien wyidealizowany obraz grupy, chociaż kto nam zabroni dążyć do ideału. Poniżej 9 cech spójnej grupy:

przyjazna i rozluźniona atmosfera – całkowite pozbycie się wszelkich formalności,
każdy z członków zespołu ma prawo, a ja bym nawet powiedział i obowiązek, do wypowiedzi na temat realizowanych zadań,
cele i zadania formułowane są w jasny, przystępny sposób i zaakceptowane przez każdego z członków zespołu,
każdy ma prawo wyrazić swoje zdanie i zostanie przy tym wysłuchany. Przy okazji link o aktywnym słuchaniu,
niejednomyślność jest akceptowana – 7 nawyków (…) – synergia,
decyzje podejmowane są na zasadzie konsensusu,
każdy z członków grupy szanuje mechanizmy, którymi kieruje się grupa: punktualnie przybywanie na umówione spotkanie, bycie przygotowanym, realizowanie zadań w określonym, uzgodnionym czasie.
każdy ma prawo krytykować, jak długo jest to konstruktywna krytyka.
i jak to mówią „last but not least”, przywódca nie ma prawa dominacji nad pozostałymi członkami zespołu.

Zaufanie jest fundamentem każdego zespołu.

Podsumowanie

Nie chcę się zbytnio powtarzać, jednak warto podkreślić ogromną rolę zaufania w zespole. Jak już mówiłem, jest to fundament trwałości zespołu. Z niego wynika spójność grupy, czyli suma sił skłaniających jednostkę do pozostania w grupie. Bez tego możemy zaklinać rzeczywistość, próbować stosować różne HR sztuczki, imprezy integracyjne, coaching, mentoring i co sobie jeszcze wymyślicie, ale ostatecznie i tak musimy liczyć się z odejściem pracowników.

Jeśli podobał Ci się ten wpis, zostaw komentarz, podziel się swoją opinią, udostępnij go innym lub napisz do mnie na adres marcin.sikorski@ctrust.me. Zachęcam do współpracy.

Bibliografia

Oyster, C.K.(2000). Grupy. Zysk i S-ka Wydawnictwo.

KPMG.PL.(2024). Barometr cyberbezpieczeństwo. Na fali, czy w labiryncie regulacji? Assets.kpmg.com. https://assets.kpmg.com/content/dam/kpmg/pl/pdf/2024/02/pl-Raport-KPMG-w-Polsce-Barometr-cyberbezpiecze%C5%84stwa-2024.pdf

E140.(2024). Characteristics of effective teams. https://e140.stanford.edu/characteristics-effective-teams/

Trwały zespół cyberbezpieczeństwa Read More »

Delegowanie zadań

2 komentarze

Delegowanie zadań

Wstęp

Zapewne wielokrotnie słyszeliście, że cyberbezpieczeństwo jest grą zespołową. Poruszałem ten temat we wpisie 7 nawyków skutecznego zarządzania incydentami – synergia. W każdym zespole mamy formalną lub nieformalną relację przełożony – podwładny, starszy – młodszy. Nieodłącznym elementem, który się wtedy pojawia, jest delegowanie zadań w takiej czy innej formie. Jeszcze się taki nie urodził, co byłby w stanie wykonać wszystko samodzielnie. Zresztą, gdyby tak było, to po co byliby mu potrzebni pracownicy czy współpracownicy, no i nie byłoby wtedy mowy o grze zespołowej.

Wydawałoby się, że czynność delegowania zadań, jest czymś prostym, wręcz trywialnym. Po prostu mówisz komuś, co ma zrobić i na kiedy ma coś zrobić. Proste? W ten sposób rozumiejąc proces delegowania, wydaje się zadaniem nieskomplikowanym, gdzie wszystko powinno przebiegać bez zakłóceń. Tylko pojawia się jeden problem. Wraz z delegowaniem zadania może dojść do sytuacji, gdzie nie nastąpi udzielenie zwierzchnictwa nad zadaniem, tzn. odpowiedzialność tak, ale możliwość podejmowania decyzji to już nie – brak sprawczości nad zadaniem. To jest jeden ze sposobów rozumienia umiejętności delegowania zadania.

Dla mnie bliższym jest inne podejście. Intuicyjnie i nieświadomie stosuję je przez lata. Od momentu przeczytania książki „Pięć dysfunkcji pracy zespołowej” Patricka Lencioni, jestem już w stanie nazwać to podejście. Mowa o delegowaniu na bazie wzajemnego zaufania i o tym będzie dzisiejszy wpis.

Czym jest delegowanie?

Można powiedzieć, że delegowanie nie jest zwykłym przypisaniem zadania, na zasadzie przekaż zadanie i zapomnij o nim, a raczej przekazaniem komuś części władzy, zwierzchnictwa do zrobienia czegoś, co normalnie jest w gestii odpowiedzialności osoby, która takie zadanie zleciła. Wymaga to nie lada odwagi ze strony delegującego. Ostatecznie to osoba delegująca odpowiada za sukces bądź porażkę zleconego zadania. Zatem, żeby do czynności delegowania doszło, w jakimś stopniu jesteśmy zmuszeni ufać, że osoba, której oddelegowaliśmy zadanie, sprosta jego wykonaniu. Tu pojawia się kluczowy element – wzajemne zaufanie. Z jednej strony zaufanie do osoby, że zadanie wykona. z drugiej zaś zaufanie osoby do lidera, że będzie miała w nim wsparcie, że jest przestrzeń na popełnianie błędów, pytania, wątpliwości, nawet krytykę.

Zaufanie

Zaufanie jest najistotniejszym elementem. Tak uważam i nie jest to z pewnością żaden „buzz word”. Zbudowanie środowiska wzajemnego szacunku i zaufania stanowi fundament w zakresie delegowania. Tak naprawdę stanowi ono fundament każdej relacji. Pojawia się naturalnie pytanie. W jaki sposób zbudować zaufanie, zwłaszcza w zespole? Mówiłem na początku, że cyberbezpieczeństwo to gra zespołowa.

Pierwszą rzeczą, która może przyjść na myśl, coś, co wydaje się oczywiste, to zatrudnianie ludzi, którym ufasz a oni tobie. Nie jest to łatwe zadanie, ale na pewno możliwe do wykonania. Tu z kolei istotnym jest prawidłowy proces rekrutacji i skrupulatna „analiza” potencjalnych kandydatów do zespołu. Tak na marginesie, w jednej z książek „Jak czytać ludzi. Radzi agent FBI” autorstwa Robina Dreeke’a oraz Camerona Stauth’a wyczytałem bardzo ciekawe zdanie: „Najważniejsze jest przewidywanie. Zaufanie to dopiero jego następstwo”. Jeśli osoba jest przewidywalna, czyli wiemy, czego możemy się po niej spodziewać, to w naturalny sposób przyjdzie nam tej osobie zaufać.

Częściej jednak mamy do czynienia z sytuacją, w której my jako szefowie, kierownicy jesteśmy postawieni przed faktem dokonanym – dostajesz pod opiekę zespół i co wtedy?

Rolą prawdziwego lidera jest „wydobyć” z ludzi to, co w nich najcenniejsze, umieć wskazać im, jeśli nie są świadomi, ich mocnych stron. To pierwszy krok w delegowaniu. Następnie lider powinien delegować im te zadania, w których będą mogli użyć wspomnianych mocnych stron. Jednak wpierw musi ich poznać. Uważam, że wymaga to zaangażowania się lidera tak na dwieście procent.

Zaufanie jest podstawą, fundamentem każdej relacji.

Sprawczość

Jedną z podstawowych potrzeb każdego człowieka jest mieć sprawczość w zakresie wykonywanych zadań. To pierwotna potrzeba, podobnie jak ta, by być częścią grupy. Można by powiedzieć, że w kontekście sprawczości osoba ma pełną, bądź prawie pełną władzę i kontrolę nad wykonywanym zadaniem. Zna oczekiwany wynik, ale drogi dojścia pozostają w jej gestii. Brak sprawczości można by przedstawić jako sytuacja, w której zadanie jest „delegowane” i non stop słyszysz, co masz zrobić i jak masz to zrobić. To raczej nie ma to nic wspólnego z delegowaniem zadania, a raczej z tzw. mikromanagementem. W tym przypadku zaczynamy odczuwać brak sprawczości, czyli nasza pierwotna potrzeba pozostaje niezaspokojona. Wywołuje to drastyczny spadek zaangażowania się danej osoby w wykonywanie zadań. Jaki jest związek między jednym i drugim?

Jeśli pomiędzy liderem a osobą, do której zostało oddelegowane zadanie, istnieje zaufanie, to lider nie będzie się obawiał przekazania części jego władzy, zwierzchnictwa. W tej sytuacji osoba realizująca zadanie, posiadając wspomnianą sprawczość, w pełni zaangażuje się w wykonanie zadania. Taka sytuacja często występuje we wszelkiego rodzaju wolontariatach. Przecież nikt nikomu nie każe czegoś robić. Ludzie sami z siebie chcą pracować, przypadek? Nie sądzę. Pojawia się więc kolejne pytanie. Czemu jednak boimy się oddelegowywać zadania?

Dlaczego więc obawiamy się delegować zadania?

Powód wydaje się oczywisty. Wszechogarniający strach, że zadanie nie zostanie wykonane tak, jak byśmy my sobie tego życzyli, z należytą nam i tylko nam starannością. Można powiedzieć, że to strach przed porażką. Na wspomnianą sytuację składać się mogą inne czynniki jak:

kultura organizacyjna, której głównym elementem jest unikanie błędów za wszelką cenę.
poprzednie porażki, które niejako trauma paraliżują nasze obecne działanie.

Czy istnieje zatem jakiś sposób na delegowanie zadań, by wyeliminować lub zminimalizować niepożądane sytuacje?

Co oznacza delegować skutecznie?

Jak już zasygnalizowałem na początku, tryb „fire – forget” – wystrzel i zapomnij raczej nie zadziała. Efektywne delegowanie to czynność, w ramach której dobry lider powinien skupić się na następujących kwestiach:

przeanalizować zadanie i upewnić się, że właściwa osoba została do niego przydzielona. Na jakiej podstawie wiemy, że konkretna osoba jest tą właściwą do wykonania zadania? Dobry lider powinien znać swoich. ludzi. Nie chodzi tu tylko i wyłącznie o to, jakie twarde umiejętności posiada dana osoba, ale również i cały zestaw umiejętności miękkich.
umieć zdefiniować i zrozumieć cel zadania oraz określić jego oczekiwany wynik. W metodyce Agile nazywa się to „definition of done”. Ponadto mówiłem już o posiadaniu wizji końca zadań, które realizujemy. Więcej informacji znajdziecie we wpisie 7 nawyków skutecznego zarządzania incydentami – zaczynaj z wizją końca.
zastanowić się, jaki zestaw uprawnień powinien być udzielony osobie realizującej zadanie.
zdefiniować w jasny i przystępny sposób, kiedy i w jaki sposób będzie dokonywany przegląd postępów oddelegowanego zadania.
określić priorytet, czyli ważność i pilność zadania i w odpowiedni sposób to zakomunikować. O tym z kolei mówiłem w części 7 nawyków skutecznego zarządzania incydentami – rób wpierw to, co najważniejsze.

Oczywiście powyższe nie zadziała w przypadku braku relacji zaufania. Pamiętaj o tym.

Podsumowanie

Dziś było trochę więcej psychologii, no ale o tym w końcu traktuje ten blog. Świadomość istnienia omawianych elementów: zaufania oraz sprawczości może, choć oczywiście wcale nie musi, wspomóc każdego lidera w procesie delegowania. Mówię, że nie musi, bo jedno to być świadomym, wiedzieć o czymś, a drugie to stosować posiadaną wiedzę.

Najważniejsze do zapamiętania to:

Zaufanie jest podstawą, fundamentem każdej relacji.
Poczucie sprawczości powoduje, że ludzie chętniej wykonują powierzone im zadania.
Delegowanie polega na przekazaniu części władzy, zwierzchnictwa do zrobienia zadania.

Jeśli podobał Ci się wpis, zostaw komentarz pod wpisem, podziel się swoją opinią lub napisz do mnie na adres marcin.sikorski@ctrust.me

Delegowanie zadań Read More »

Lessons learned część 3

Zostaw komentarz

Lessons learned - część 3

Wstęp

Najtrudniej jest przejść od teorii do praktyki. Kolejny wpis z serii „Lessons learned” chcę poświęcić praktycznym zagadnieniom związanym z prowadzeniem warsztatów lub jak wolicie wywiadów w ramach procesu. Psychologia gra tu pierwsze skrzypce.

W ramach zdefiniowanych zadań bardzo ważnym elementem jest wskazanie osoby odpowiedzialnej za realizację pojedynczego zadania, jak również konkretnej lessons identified. Pamiętacie zapewne, że na tym etapie nie możemy jeszcze mówić o lessons learned. O tym możecie przeczytać w pierwszym wpisie Lessons learned.

W dalszej części chcę poruszyć zagadnienie związane z częstością prowadzenia warsztatów, wywiadów. Bazą do rozważań jest klasyczny opis procesu obsługi incydentu bezpieczeństwa i miejsce lessons learned w tym procesie.

Na koniec pragnę omówić główne czynniki sukcesu wdrożenia procesu lessons learned w organizacji lub w najgorszym przypadku, dzięki którym znacząco zwiększy się prawdopodobieństwo jego wdrożenia. Wiecie. W niektórych, szczególnych przypadkach nawet najlepsze techniki i metody nie zadziałają, jeśli nieodpowiednio do nich podejdziecie.

Podsumowując wstęp, dzisiejszy wpis opowiada o tym:

W jaki sposób prowadzić rozmowę w ramach lessons learned?
Jak przypisać właściciela do zadania?
Jak często przeprowadzać sesje lessons learned?
Jakie możemy wyróżnić czynniki sukcesu w zakresie wdrażanego procesu?

Jak prowadzić rozmowę w ramach warsztatów, wywiadów lessons learned?

Przeprowadzając rozmowę w ramach warsztatów lessons learned, powinniśmy pamiętać o kilku istotnych faktach:

zbudujcie nic porozumienia ze swoim rozmówcą,
nie oceniajcie wypowiedzi – każda myśl, opinia, sugestia mogą być bardzo cenne,
dajcie szansę uczestnikom się wypowiedzieć. Nie uwierzycie, jak bardzo ludzie uwielbiają mówić i być wysłuchanymi,
moderujcie spotkanie w ten sposób, by żaden z uczestników „nie przejął” spotkania na własność i zagłuszył innych.

Podstawowe zasady

Przechodząc do warsztatów, wywiadów na ich wstępie:

poinformujcie uczestników o celu i formie spotkania,
poproście uczestników, by każdy z nich przedstawił się w celu przypomnienia wszystkim swojej roli pełnionej w trakcie obsługi incydentu bezpieczeństwa,
poinformujcie, że istotą warsztatów nie jest szukanie winnych, a określenie faktów: co się stało, kiedy, dlaczego, co poszło nie tak, co było w porządku,
przypomnijcie wszystkim o zasadzie wzajemnego poszanowania, nieużywaniu agresywnego języka w stosunku do uczestników spotkania,
w przypadku pojawienia się pytań, poproście o nieprzerywanie osobie, która się wypowiada. Zaproponuj zapisanie pytania na później,
starajcie się trzymać faktów i głównego wątku. W przypadku dygresji poproście osobę do powrotu do głównego tematu, nie mniej jednak poruszony wątek warto zapisać, gdyż może być ciekawym elementem dalszej analizy.

Rozmowa

Kolejnym etapem jest już sama rozmowa. Tu ważne jest, by nie przerywać. Pozwólcie wypowiedzieć się. Jeśli macie pytanie lub ktokolwiek z uczestników je ma, zanotujcie je. Zadacie je, gdy dana osoba skończy swą wypowiedź. Takie podejście to nic innego jak aktywne słuchanie. Stosujcie więc wszystkie możliwe techniki aktywnego słuchania, by rozmowa była jak najbardziej konstruktywna. À propos aktywnego słuchania, możecie o tym przeczytać w serii 7 nawyków skutecznego zarządzania incydentami – staraj się najpierw zrozumieć, potem być zrozumiany.

Ważne jest, by w trakcie rozmowy nie pomijać nikogo z obecnych. Zachęcające do dyskusji, a nawet do konstruktywnych konfliktów. Z kolei takie podejście zostało bardzo dokładnie opisane w książce Pięć dysfunkcji pracy zespołowej Patricka Lencioni – konflikt jako narzędzie do wypracowania decyzji zespołu. Książkę bardzo polecam. Uważam, że powinna stanowić podstawową lekturę każdego lidera.

Zakończenie

Na koniec warto podziękować wszystkim za spotkanie, dokonać podsumowania. Jeśli zdefiniowaliśmy zadania do realizacji, to jedna najważniejsza rzecz – określcie ich właścicieli i upewnijcie się, że akceptują to właścicielstwo. Kolejna kwestia to wyznaczenie, jeśli konieczne, następnego spotkania.

Jak przypisać właściciela do zadania?

Jak pisałem powyżej, dla każdego zadania, które zdefiniowaliśmy w ramach omawianych lessons identified, powinniśmy określić ich właściciela. I nie chodzi tu o to, żeby na przysłowiową „sztukę” wskazać kogoś, kto będzie miał do zrobienia jakieś zadanie. Nie. To musi być osoba, która weźmie pełną odpowiedzialność za wykonanie zadania. Oczywiście, żeby tak się stało, ważne jest, by wskazana osoba miała odpowiedni poziom sprawczości w organizacji i chyba co najważniejsze w mojej ocenie, będzie jej zależało na zrealizowaniu zadania. Ja podchodzę do tego w ten sposób, że wykonawca musi rozumieć sens danej czynności.

A co jeśli nie jesteśmy w stanie przypisać właściciela do konkretnego zadania. No cóż. I takie rzeczy się zdarzają. Tu z pomocą przychodzi nam eskalacja problemu na odpowiedni poziom kadry zarządzającej. Im wyżej, tym lepiej. Oczywiście nie będziemy z każdym takim przypadkiem od razu „biegać” do CEO, choć i takie skrajne sytuacje mogą mieć miejsce. Nie bójmy się eskalować.

Jak często przeprowadzać sesje lessons learned?

Teoria

Standardowe lub jak wolisz klasyczne podejście do procesu obsługi incydentów bezpieczeństwa, zakłada, że etap identyfikacji lessons learned występuje w jego końcowej fazie. Analiza przeprowadzana jest wspólnie, przez wszystkich członków zespołu obsługujących dany incydent bezpieczeństwa. Teoria mówi, że takie spotkanie powinno odbyć się najszybciej jak to możliwe, nie później niż od jednego do dwóch tygodni. Takie podejście ma na celu uniknięcie sytuacji, w której najzwyczajniej w świecie zapomnimy o szczegółach z obsługiwanego incydentu bezpieczeństwa i w konsekwencji, nic się „nie nauczymy” jako organizacja.

Praktyka

Praktyka jednak pokazuje inaczej. Okazuje się, że im więcej przeprowadzimy spotkań i wcześniej zainicjujemy ten proces, tym zdecydowanie mniej nam umknie. Można pójść dalej. Dobrą praktyką jest, przetestowane w praktyce, by spisywać w formie dziennych notatek wszystkie obserwacje, rekomendacje, które udało nam się zidentyfikować podczas realizacji czynności obsługi incydentu bezpieczeństwa. Pozwala to na bieżąco dokonywać korekt naszych działań. Mowa tu oczywiście o drobnych korektach czynności. Nikt zapewne nie będzie dokonywał zmian całego procesu czy jego znacznej części tylko i wyłącznie po jednym dniu obserwacji, czy na bazie rekomendacji jednej osoby. Jak już wiecie z poprzednich wpisów, zmiana procesu to zmiana naszych zachowań, a te wymagają szerszej akceptacji i zrozumienia.

Pamiętaj. Im więcej spotkań, tym lepiej. Jako minimum przyjąłbym: spotkanie na początku obsługi incydentu bezpieczeństwa, w trakcie oraz na końcu jego obsługi. Liczba spotkań powinna zależeć od czasu trwania incydentu bezpieczeństwa. Zastanawiasz się, dlaczego na początku? Odpowiedź jest bardzo prosta. Znając kontekst incydentu bezpieczeństwa, warto sięgnąć do już utrwalonych „Lessons learned”, Polecam również analizę lessons learned w ramach incydentów bezpieczeństwa, których doświadczyły inne organizacje, a które upubliczniły ten fakt do szerszej wiadomości. Mam świadomość tego, że publikowane raporty z incydentów bezpieczeństwa mogą nie zawierać prawdopodobnie wszystkich faktów, lub są odpowiednio „wygładzone”, nie mniej jednak i tak mogą stanowić cenne źródło informacji.

Osobną kwestią są zapewne incydenty poważne, gdzie istnieje duża dynamika działań. Dla tych incydentów zalecałbym przeprowadzanie spotkań lessons learned w cyklu dziennym.

Najważniejszym czynnikiem sukcesu jest zaangażowanie się kierownictwa organizacji we wdrożenie procesu

Jakie możemy wyróżnić czynniki sukcesu wdrożenia procesu lessons learned?

W najprostszym ujęciu możemy dokonać podziału czynników sukcesu wdrożenia procesu lessons learned na takie, które mają wysoki, średni lub niski wpływ. Intuicja nam podpowiada, że skupienie się na tych z najwyższym wpływem, pozwoli na osiągnięcie dość szybkich efektów, przy stosunkowo małym „koszcie”. Tylko uwaga. Nie są to tzw. „low hanging fruits”. Nic z tego. Często rzeczy z pozoru najprostsze, okazują się bardzo trudne w realizacji.

Przejdźmy jednak do konkretów. W zakresie czynników sukcesu o wysokim stopniu wpływu na sukces wdrożenia procesu można wyróżnić:

określenie jawnych oczekiwań od wyższego kierownictwa w zakresie ich zaangażowania we wdrażanie procesu w organizacji,
definiowanie zadań do realizacji w ramach lessons identified,
określenie sposobu oceny czy zadanie zostało zrealizowane w całości, czy też nie,
określenie procesu uzgadniania zadań do realizacji,
określenie procesu wyznaczania osoby odpowiedzialnej do realizacji zadań.

I na tym bym zakończył. Są oczywiście czynniki o średnim i niskim wpływie na sukces wdrożenia procesu. Uważam jednak, że i w tym przypadku będzie miała zastosowanie zasada Pareta 80/20, tzn. czynniki o najwyższym stopniu wpływu przyczynią się w największym stopniu do wdrożenia z sukcesem procesu lessons learned w organizacji. Nie ma w tym nic nadzwyczajnego, biorąc pod uwagę, o jakich czynnikach mówimy. W mojej ocenie, gdyby przyszło mi wskazać ten najważniejszy, to z wyżej opisanych byłoby to jawnie określenie oczekiwań wobec wyższego kierownictwa w stosunku do ich zaangażowania się we wdrożenie procesu. Na bazie różnych doświadczeń, zarówno moich, jak i tych wyczytanych w literaturze czy usłyszanych w środowisku cyber, bez wsparcia i zaangażowania wyższego kierownictwa, ciężko jest z sukcesem zrealizować wdrożenie jakiegokolwiek procesu, a proces lessons learned nie stanowi wyjątku od tej reguły.

Podsumowanie

Tym wpisem chciałbym zakończyć serię „Lessons learned”. Jestem głęboko przekonany, że materiał, który mieliście okazję czytać do tej pory, pozwoli Wam zaimplementować z sukcesem proces w Waszej organizacji. Jeśli potrzebujecie więcej wiedzy, odsyłam Was do fachowej literatury, która posłużyła za tło wpisów. Jeśli potrzebujecie konsultacji, zapraszam do kontaktu. Jeśli macie doświadczenie w tym obszarze, zapraszam do dyskusji i wymiany doświadczeń.

Jeśli podobał Ci się wpis, zostaw komentarz pod wpisem, podziel się swoją opinią lub napisz do mnie na adres marcin.sikorski@ctrust.me.

Lessons learned część 3 Read More »

Lessons learned część 2

Zostaw komentarz

Lessons learned - część 2

Wstęp

Mam nadzieję, że poprzednim wpisem skłoniłem Cię do refleksji na temat istotności procesu lessons learned, jego kluczowej, wręcz strategicznej roli w organizacji. Dzisiejszy wpis to próba zmierzenia się z zagadnieniem związanym z właściwym definiowaniem lessons. Kiedy możemy mówić o dobrych lessons identified, a konsekwencji lessons learned? Okazuje się, że można wskazać pewne elementy, które świadczą o tym, że poprawnie je zidentyfikowaliśmy. Oczywiście, by poprawnie identyfikować nasze lessons learned, wpierw musimy mieć zdefiniowany proces i co najważniejsze postępować zgodnie z nim.

W dzisiejszym wpisie poruszę następujące tematy:

Jak wyglada proces lessons learned?
Jakie cechy powinna mieć dobrze zdefiniowana lessons learned?
Pułapki związane z lessons learned.
Jak wdrożyć lessons identified by stały się lessons learned?

Gorąco zapraszam do lektury.

Proces lessons learned

Jak przyjrzymy się procesowi lessons learned, to raczej nie należy on do skomplikowanych. Można w nim wyróżnić trzy podstawowe etapy:

identyfikacja lessons – na potrzeby tej serii wpisów będziemy je nazywać lessons identified,
zdefiniowanie zadań do realizacji,
realizacja zadań, zazwyczaj prowadząca do zmiany zachowania organizacji, a w konsekwencji uczynienia z lessons identified ostatecznie lessons learned.

Można by się zastanowić, który z elementów procesu jest najważniejszy dla całości procesu. Ja skłaniam się do stwierdzenia, że chyba ten ostatni. Jak już pisałem uprzednio, zmiana zachowania organizacji do łatwych nie należy. Z różnych powodów nie chcemy, nie możemy lub najzwyczajniej w świecie boimy się wprowadzać zmiany. Co nam więc po tym, jak świetnie określimy problemy, ba nawet zdefiniujemy zakres zadań, jak nic z tego ostatecznie nie zrobimy.

Wracając jednak do opisu procesu. W ramach identyfikacji lessons możemy wyróżnić trzy podetapy i na tym już koniec podziałów:

Przegląd – polegający na określeniu co przysłowiowo poszło dobrze, a co źle;
Analiza – skupiająca się na odnalezieniu pierwotnego problemu, który przyczynił się do wystąpienia incydentu bezpieczeństwa – już wspominałem o „root cause”.
Generalizacja – polegająca na sformułowaniu ogólnej rekomendacji czy jak wolisz nazywać wniosku.

Tak na marginesie, to celowo nie chcę używać stwierdzenia wniosek, bo z tego nic nie wynika. Wniosek może być i tyle. Angielskie nazwy znacznie lepiej oddają istotę rzeczy.

Co to oznacza, że lessons learned są dobre?

Przede wszystkim powinny być:

łatwe do zrozumienia i nauczenia. Oczywiście jest to pojęcie względne czy coś jest łatwe, czy nim nie jest. Myślę, że istotą jest, żeby nie przekombinować. Rozwiązania powinny ogólnie spełniać zasadę KISS (keep it simple stupid), czyli im prostsze, tym lepsze.
zadania zdefiniowane w ramach lessons learned powinny być wykonywalne – nie ma sensu tworzyć zadań, które z natury, albo będę bardzo złożone i tym samym trudne w implementacji, albo najzwyczajniej za drogie w ujęciu biznesowym, gdzie koszty przekroczą potencjalne zyski.
powinniśmy zadbać również o to, by rzeczywiście nasza lessons identified była rekomendacją, a nie czystą obserwacją. Co nam po stwierdzeniu jak jest? Istotne jest, by wypracować rozwiązanie, które zapewni nam wyeliminowanie lub przynajmniej zminimalizowanie skutków wystąpienia podobnego incydentu bezpieczeństwa w przyszłości.

Pułapki lessons learned

Jakość danych

Pamiętaj, że proces lessons learned, jak każdy inny proces, rządzi się tym samym prawem – „garbage in, garbage out”. Kto pisał raporty, ten wie, o czym mówię. Jeśli nie zapewnimy odpowiedniej jakości danych na wejściu procesu, to nie spodziewajmy się cudów na jego wyjściu, a w konsekwencji dobrej jakości lessons learned.

Wzajemne obwinianie się

To, w jaki sposób podejdziemy do przeglądu, zależy przede wszystkim od ogólnie panujących nastrojów w organizacji. Jeśli na przykład pracujesz w firmie, gdzie szuka się winnych, to raczej nikt nie będzie chętny do tego, by w otwarty sposób mówić o tym, co poszło nie tak. To chyba wydaje się naturalne, prawda? Jest jeszcze jedno stwierdzenie – „Szukanie winnych, karanie niewinnych”. Musisz wiedzieć, że jest to istotny problem dla organizacji, stąd też, jeśli planujesz wdrożyć proces, bezwzględnie musisz zadbać o przyjazne środowisko, gdzie ludzie będą mogli w nieskrępowany sposób rozmawiać z sobą, gdzie będzie panował wzajemny szacunek, zrozumienie.

Nauka tylko i wyłącznie na błędach

To, o czym często zapominamy, to powielanie dobrych zachowań. Może i robimy to intuicyjnie, ale zwróć uwagę na to, że jeśli ktoś robi coś dobrze i trzyma tę wiedzę tylko dla siebie, to organizacja jako całość, nie ma możliwości powielania dobrych wzorców.

zadbaj o przyjazne środowisko, gdzie ludzie będą mogli w nieskrępowany sposób rozmawiać z sobą, gdzie będzie panował wzajemny szacunek, zrozumienie.

Jak sprawić by lessons identified stały się lessons learned

Jednak zidentyfikowanie rekomendacji, ba nawet zadań to dopiero początek, niech będzie, to połowa sukcesu. Pozostaje teraz najtrudniejszy etap – „nauczenie” organizacji działać według nowych reguł, czyli wprowadzić zmianę. Oczywiście im mniej osób dotknie zmiana, tym lepiej dla nas. Mówię o tym, bo ma to związek z naturalnym oporem, który pojawia się wśród ludzi poddawanych zmianie. Stąd też im więcej osób poddanych zmianie, tym większy opór, no i prawdopodobieństwo, że nam się nie uda. Pisałem zresztą o tym w pierwszym wpisie tej serii. Nie pozostajemy jednak bezbronni i jako osoby wprowadzające zmianę w ramach lessons learned możemy posłużyć się pewną techniką.

Wytłumacz sens wprowadzanej zmiany

W pierwszej kolejności powinniśmy w jasny i klarowny sposób zakomunikować, co chcemy zrobić, dlaczego wprowadzenie zmiany ma znaczenie. Tak na marginesie uważam, że jest to najważniejszy element całości. Nie wiem jak dla Was, ale dla mnie istotą jest wytłumaczenie sensu zmiany. Nie mówię, że musi to być elaborat, po co dana zmiana jest wprowadzana. Uważam jednak, że ogólnie ludzie zasługują na to, by wytłumaczyć im sens poświęcania ich energii na jakieś czynności. Bez wątpienia tło incydentu może posłużyć za świetny business case i wytłumaczenie. Nic tak nie przemawia do ludzi, jak incydenty bezpieczeństwa z własnego podwórka. Kwestie zgodności z regulacjami, to kolejny przykład konieczności wdrażania rozwiązań.

Dostarcz narzędzia

Kolejnym elementem jest dostarczenie pracownikom odpowiednich narzędzi i w razie potrzeby przeszkolenie ich ze sposobu ich używania. Mówiąc o narzędziach, mam na myśli zarówno sprzęt, oprogramowanie, jak również procesy czy procedury postępowania.

Sprawdź realizacje zadania

Na koniec należy dokonać sprawdzenia, czy zadanie zostało w prawidłowy sposób wykonane? Tu samoistnie ciśnie się na usta określenie czynników sukcesu. Kiedy stwierdzimy, że dana lessons została learned? Pamiętasz, jak mówiłem o zmianie zachowania. To, w mojej ocenie, jest wyznacznikiem czy nauczyliśmy się czegoś, czy nie. Oczywiście do jakiego stopnia udało nam się nauczyć, przyswoić konkretną lessons learned, to inna sprawa. Spotkałem się ze stwierdzeniem, że jak dokonamy aktualizacji dokumentacji, to możemy już mówić o lessons learned. Owszem. Do pewnego stopnia tak może być. W zakresie napisania, zaktualizowania dokumentu, czegoś się nauczyliśmy. Jednak to zmiana zachowania pod dyktando procedury konstytuuje lessons learned i o tym należy pamiętać.

Podsumowanie

To, co sprawia, że organizacja wychodzi silniejsza z incydentu cyberbezpieczeństwa, to prawidłowo przeprowadzony proces lessons learned. Rekomendacje, jakie z niego płyną, mogą w sposób znaczący zminimalizować ryzyko ponownego wystąpienia podobnego incydentu w organizacji lub przynajmniej zminimalizować skutki jego wystąpienia. Kolejnym istotnym elementem związanym z lessons learned jest budowanie w organizacji wzajemnego zaufania i szacunku. Prawidłowo przeprowadzone spotkania lessons learned, powodują, że ludzie zaangażowani w obsługę incydentu, w otwarty, nieskrępowany sposób, często krytyczny w stosunku do samych siebie, omawiają przebieg incydentu. Takie postawy budują zaufanie, które jest nieocenione przy tworzeniu jedności zespołu.
Najistotniejsze elementy, które powinniście zapamiętać z tego wpisu, to:

nawet najlepsze rekomendacje, bez wprowadzonych zmian, są niczym wartościowym,
wdrożenie lessons learned to nic innego jak wprowadzenie zmiany w organizacji,
dobrze zaimplementowany proces w organizacji sprzyja budowaniu wzajemnego zaufania.

Jeśli podobał Ci się wpis, podziel się swoją opinią lub napisz do mnie na adres marcin.sikorski@ctrust.me.

Lessons learned część 2 Read More »

Lessons learned

Zostaw komentarz

Lessons learned

Wstęp

W pierwszym wpisie serii „7 nawyków skutecznego zarządzania incydentami” poruszyłem zagadnienie dotyczące procesu lessons learned. Tak na marginesie zastanawiałem się, czy jest konieczność szukania polskiego odpowiednika tego angielskojęzycznego stwierdzenia. W branży cyber to określenie stało się na tyle popularne i tak wrosło do słownika pojęć, w szczególności, w obszarze zarządzania incydentami cyberbezpieczeństwa, że chyba nikt nie zadaje sobie obecnie trudu, by znaleźć jego polskie znaczenie. Zauważyłem również, że lessons learned odmieniane jest przez wszystkie możliwe przypadki i podkreślane jest jego istotne znaczenie w procesie zarządzania incydentami. Jednak gdy zgłębiłem tę tematykę, zacząłem zadawać, wydaje się, bardzo podstawowe, lecz uważam trafne pytania? Kiedy lessons są learned, a kiedy nie? Co skłania nas do podejmowania działań naprawczych? Na te i inne pytania postaram się opowiedzieć Wam w kolejnych wpisach tej serii, wpisach, gdyż już wiem, że na jednym się nie skończy.

Przy opracowaniu materiału posłużyłem się głównie lekturą książki „The Lessons Learned Handbook: Practical approaches to learning from experience” autorstwa Nicka Miltona. Uważam, że tytuł ten jest jak najbardziej trafiony. Praktyczne podejście od pierwszych stron. Dzisiejszy wpis proszę, potraktujcie jak wstęp do czegoś większego. Będę chciał w nim poruszyć kilka podstawowych, wręcz fundamentalnych kwestii procesu lessons learned. W szczególności chciałbym rozpocząć dyskusję w następujących tematach:

Czym jest proces lessons learned?
Kiedy lessons są learned?
Psychologia zmiany.
Rola kadry kierowniczej w procesie lessons learned.
Kryzys napędza wszystko.

Czym jest proces lessons learned?

Najprościej rzecz ujmując, lessons learned jest procesem analizy doświadczeń, zarówno tych pozytywnych, jak i negatywnych, które zebraliśmy podczas realizacji określonych czynności np. związanych z zarządzaniem incydentem cyberbezpieczeństwa. Rezultatem tego procesu jest zestaw wniosków/rekomendacji, które mogą posłużyć nam w przyszłości do usprawnień w obszarze wykonywanych czynności. Celowo użyłem stwierdzenia „mogą nam posłużyć”, gdyż to, co często uważamy za lessons learned, w praktyce, tu przepraszam za angielskie sformułowanie, jest lessons identified — czyli zidentyfikowaliśmy wnioski/rekomendacje, ale się do nich jeszcze nie zastosowaliśmy. Jak się okazuje, stąd jeszcze daleka droga do lessons learned, a może nie daleka, ale często „bolesna”. Dlaczego postawiłem taką tezę?

Kiedy lessons są learned?

Nauczenie się czegoś lub inaczej mówiąc wyciągnięcie wniosków z danej sytuacji, wymaga zmiany naszego zachowania. Ucząc się, stosując nowe metody podejścia do realizacji czegoś, dokonujemy zmiany. Kiedy mówimy, że może coś zmienimy w naszym podejściu, bo robiliśmy coś źle lub chcemy wzmocnić nasze zachowanie, bo robiliśmy coś dobrze, ale nie idą za tym żadne czyny, to tak jakbyśmy się niczego nie nauczyli. Istnieje wtedy bardzo duże prawdopodobieństwo, że w przyszłości, w podobnej sytuacji, popełnimy podobne błędy lub nie będziemy powielać dobrych zachowań.

Psychologia zmiany

Dlatego stwierdziłem, że droga do lessons learned bywa bolesna, gdyż z definicji, ludzie nie lubią zmian. Nawet najlepiej przygotowana zmiana powoduje, że prędzej czy później, na jakimś jej etapie doświadczymy negatywnych emocji związanych z jej wprowadzeniem. Nie zagłębiając się na tym etapie w szczegóły procesu zmiany, istnieje kilka jej faz, których warto być świadomym, że występują i są to:

szok,
zaprzeczenie,
gniew,
targowanie się (z sobą),
smutek,
akceptacja i otwartość na nową zmianę.

Jak możecie zauważyć, z większością z nich związane są raczej negatywne niż pozytywne uczucia. Dlatego też tak niechętnie zmieniamy nasze zachowania. Tu nasuwa mi się analogia do nawyku. Jednak od reguły bywają wyjątki. W książce, która posłużyła za tło tego wpisu, opisywana jest historia piętnastowiecznych, zamorskich wypraw Portugalczyków i ustanowienia instytucji, której celem było wymiana doświadczeń, powtórzę się: tych negatywnych, ale w dużej mierze tych pozytywnych. Zdano sobie sprawę, że tylko dzięki temu możliwe jest powiększenie zysków oraz minimalizowanie ryzyka utraty zdrowia i życia. Co jest jednak istotne w całym tym procesie, to zaangażowanie się najważniejszej osoby w państwie — króla.

jedyną pewną rzeczą w życiu jest zmiana

heraklit z efezu

Rola kadry kierowniczej

To w interesie króla była dbałość o należycie realizowany proces lessons learned. Jest to idealny przykład zaangażowania się najwyższej kadry zarządzającej w utrzymanie i rozwój tego procesu. Bo kto spróbowałby sprzeciwić się królowi? A tak serio to myślę, że ten element, pomimo swej istotności, był jednak mniej istotny niż fakt pożegnania się z życiem, w wyniku nieprzepracowania wniosków „kolegów” z innych wypraw. To chyba bardzo motywująco wpływało na chęć nauki, wyciągania wniosków, stosowania dobrych praktyk, unikania najczęstszych błędów. Wielokrotnie zastanawiałem się, jak w dzisiejszych czasach, można przekonać kadrę kierowniczą do ważności tego procesu. Tu jeszcze mała dygresja. Jak pisałem wcześniej, samo mówienie wszem wobec o lessons learned, bez konkretnych działań, jest tylko i wyłączenie gadaniem i niczym więcej.

Kryzys napędza wszystko

To, co przyszło mi na myśl, zastanawiając się, dlaczego w tamtych czasach jednak można było wyciągać wnioski i uczyć się na nich, to sytuacja kryzysowa, z jaką mogli się mierzyć marynarze podczas rejsów. Odnosząc się do cyberbezpieczeństwa, można odnaleźć bardzo podobne sytuacje, jak na przykład atak ransomware. Analogie chyba same się nasuwają. Brak odpowiedniego przygotowania do rejsu, nieprzestudiowanie map, itp. mógł skutkować śmiercią. W przypadku wystąpienia ataku ransomware może być podobnie. Brak odpowiednich backupów, ich testowania, może spowodować, w sytuacji wystąpienia ataku, „śmierć biznesową„ dla organizacji — wyłączenie jej z biznesu na długi czas. O ransomware będę pisał w innym czasie. Teraz chciałbym podkreślić jedno, że może taka refleksja skłoni firmy, instytucje do przygotowania się na tego typu atak. Może na poziomie organizacji zadziała instynkt samozachowawczy i spowoduje wymuszenie działań przygotowawczych.

Podsumowanie

Dziękuję, że jesteś ze mną i zgłębiasz tajniki cyberbezpieczeńśtwa, w trochę inny, niż standardowy sposób. Uważam, że nawet w tak technicznej domenie należy rozmawiać o tzw. elementach miękkich – jak np. psychologia zmiany. Będąc świadomy występowania tego typu zjawisk, dużo łatwiej będzie Wam wdrożyć np. działania naprawcze w ramach zidentyfikowanych rekomendacji. Najistotniejsze elementy, które powinniście zapamiętać z tego wpisu, to:

bez zmiany nie możemy mówić o lessons learned,
najwyższe kierownictwo odgrywa kluczową rolę w promowaniu ważności procesu lessons learned,
sytuacje kryzysowe często popychają nas do zmiany, ale chyba lepiej przygotować się zawczasu.

Jeśli podobał Ci się wpis, zostaw komentarz pod wpisem, podziel się swoją opinią lub napisz do mnie na adres marcin.sikorski@ctrust.me

Lessons learned Read More »

7 nawyków skutecznego zarządzania incydentami – ostrzenie piły

Zostaw komentarz

7 nawyków skutecznego zarządzania incydentami - ostrzenie piły

Wstęp

Tym wpisem kończę serię 7 nawyków skutecznego zarządzania incydentami. Metaforyczne „ostrzenie piły” to nawyk, dzięki któremu, możliwe jest realizowanie pozostałych sześciu. Stephen Covey mówi o czterech wymiarach „ostrzenia piły”: fizycznym, umysłowym, społeczno-emocjonalnym, duchowym. To chyba będzie najtrudniejszy do opisania nawyk. Dotyczy on obszarów, które na pierwszy rzut oka nie kojarzą się z zarządzaniem incydentami bezpieczeństwa. Co byście powiedzieli, gdybym na przykład zaproponował Wam medytację lub praktykę mindfulness jako jedno z narzędzi poprawy skuteczności w zarządzaniu incydentami? Ma to sens czy raczej brzmi jak kiepski żart? Może sami się przekonajcie.

Ostrzenie piły - Wymiar fizyczny

Każdy z nas choć raz doświadczył sytuacji ogólnego przemęczenia organizmu. Przypomnijcie sobie tę chwilę i sposób, w jaki postrzegaliście świat, jak szybko przetwarzaliście docierające do Was informacje oraz oceńcie jakość podejmowanych przez Was decyzji. Zresztą daleko szukać. Długotrwała jazda samochodem może być dobrym przykładem, jak zmęczenie „tępi” zmysły, powoduje, że nasze reakcje są opóźnione. Ostrzenie piły w wymiarze fizycznym to nic innego jak dbanie o stan swojego zdrowia, niedoprowadzanie się do sytuacji fizycznego przeciążenia organizmu.

Praktyczna implementacja

Jak więc podejść do wymiaru fizycznego będąc osobą odpowiedzialną za zarządzanie incydentami bezpieczeństwa? Przede wszystkim dbaj o Swoje zdrowie fizyczne i zdrowie Twojego zespołu, nie przeciążaj Siebie oraz Swojego zespołu, nie dokładaj zbędnych zadań. Pamiętaj o trzecim nawyku – rób wpierw to, co najważniejsze. Angażuj do obsługi incydentów bezpieczeństwa tyle personelu, ile rzeczywiście jest potrzebne. Ni mniej, ni więcej. Nic chyba tak nie frustruje, jak sytuacja, w której jeden robi, a reszta się patrzy no i nie wie, po co właściwie na przykład została po godzinach. Pewnie z punktu widzenia osoby kierującej obsługą incydentu bezpieczeństwa, im więcej osób wokoło niej, tym lepiej? Ja jestem zdecydowanie innego zdania. No bo przecież takie „nic nierobienie” też jest męczące. A tak wracając do sedna sprawy, dbając o odpowiednią kondycję, regenerację możemy dużo sprawniej, skuteczniej realizować zadania związane z zarządzaniem incydentami bezpieczeństwa.

Ostrzenie piły - Wymiar umysłowy

„Ostrzenie piły” w wymiarze umysłowym to ciągła nauka, zdobywanie nowych i podtrzymywanie już nabytych umiejętności. Tak jak w wymiarze fizycznym, naszym celem, nawykiem jest dbanie o nasze zdrowie, tak w wymiarze umysłowym, uwagę powinniśmy skupić na trenowaniu naszego mózgu.

Praktyczna implementacja

Poznawanie nowych technik ataku, metod detekcji i monitoringu, nabywanie umiejętności w zakresie przeprowadzania analizy czy efektywniejszych metod komunikowania powinno być stałym elementem naszego planu rozwoju. Powinniśmy również pamiętać o wymiarze umysłowym całego zespołu. Tu nieodłącznym elementem jest prowadzenie okresowych warsztatów z zarządzania incydentami bezpieczeństwa, im więcej, tym lepiej. Jak mawiało stare przysłowie: „Im więcej potu na poligonie, tym mniej krwi na polu walki”. Celem jest wyrobienie nawyku uczenia się. Dzięki nim nabywanie nowych umiejętności będzie dla nas czymś naturalnym. Uważam, że ważnym jest nie tylko zdobywanie tak zwanych umiejętności twardych – technicznych, ale również umiejętności miękkich – jak na przykład umiejętności sprawnego komunikowania. Śmiem twierdzić, że to od tych drugich zdecydowanie zależy jakość obsługi incydentów bezpieczeństwa.

Ostrzenie piły - Wymiar społeczno-emocjonalny

Nie wiem jak dla Was, ale dla mnie kwestie relacji międzyludzkich, emocji, jakie temu towarzyszą, mają istotne znaczenie, zwłaszcza w pracy. Spędzamy zresztą w niej większą część naszego życia. Praca w domenie zarządzania incydentami bezpieczeństwa obarczona jest dodatkowo wysokim ryzykiem pojawienia się stresu. Spowodowane jest to na przykład koniecznością podejmowania często bardzo trudnych decyzji, w ograniczonym czasie, przy braku pełnych danych. Praca ta grozi również szybkim wypaleniem zawodowym. Ważne jest więc dbanie o ten wymiar.

Praktyczna implementacja

Uważam, że kwintesencją „ostrzenia piły” w wymiarze społeczno-emocjonalnym jest okazywanie sobie wzajemnego szacunku. Możemy to osiągnąć poprzez empatyczne podejście do drugiego człowieka. Tu w sposób naturalny nasuwa się nawyk związany z aktywnym słuchaniem – słuchaniem empatycznym. Omawiałem szerzej ten aspekt w tym wpisie – 7 nawyków skuteczne go zarządzania incydentami – staraj się najpierw zrozumieć, potem być zrozumiany.

Zastąp REAKCJĘ REFLEKSJĄ

Ostrzenie piły - Wymiar duchowy

To praca w obszarze Twojego systemu wartości. Dla mnie ma on bardzo duże znaczenie. Być integralnym, postępować w zgodzie z sobą, szanować siebie, jak również drugiego człowieka. Tu z pomocą może przyjść wspomniana na początku medytacja uważności. Pracuję nad tym, by stała się ona stałym elementem mojego dnia. Praktyka pozwala dostrzec rzeczy na pierwszy rzut oka niedostrzegalne, skupić uwagę i wysiłek na rzeczach istotnych, ważnych, ale nie pilnych. Pozwala zwolnić tempo i zamiast reakcji wyzwolić refleksję. Jestem ciekaw, kto z Was uśmiechnie się w tym momencie pod nosem? Jaki to ma związek?

Praktyczna implementacja

Ja uważam, że ma i to szalenie istotny. W ramach różnych szkoleń w obszarze zarządzania incydentami bezpieczeństwa jednym wciąż z powtarzanych jak mantra zachowaniem jest – zachowaj spokój, zastanów się, jaka jest najlepsza reakcja na zaistniały incydent. Żeby to uczynić, należy zrobić przysłowiowy krok w tył i bez zbędnych emocji ocenić zaistniałą sytuację z szerszej perspektywy. Pośpiech jest w tym momencie najgorszym doradcą. Oczywiście od każdej reguły są wyjątki. Może się jak najbardziej zdarzyć, że sytuacja, przed którą staniemy, będzie wymagała od nas podjęcia natychmiastowych decyzji. Może się tak zdarzyć. Nie unikniemy tego. Nie mniej jednak warto być zawczasu przygotowanym, mieć gotowe scenariusze działania i działać w spokoju.

Podsumowanie

Kiedyś nie doceniałem „ostrzenia piły”. Wydawało mi się, że jest to strata czasu. Obecnie swój wysiłek skupiam właśnie na tym nawyku, bo pozwala mi rozwijać pozostałe sześć. Zachęcam Was do praktykowania i rozwijania się we wszystkich czterech wymiarach, a efekty tej pracy z pewnością Was zadziwią. Tym wpisem kończę serię 7 nawyków. Mam nadzieję, że ich lektura pozwoli Wam skutecznie zarządzać incydentami bezpieczeństwa.

Książka stała się dla mnie bardzo ciekawą inspiracją i równie interesującym eksperymentem – jak zastosować w praktyce wiedzę z obszaru psychologii w cyberbezpieczeństwie. Mam nadzieję, że mi się to udało.

Jeśli podobał Ci się wpis, zostaw komentarz, podziel się swoją opinią, udostępnij go innym lub napisz do mnie na adres marcin.sikorski@ctrust.me. Zachęcam do współpracy.

Pozdrawiam Was,

Marcin

7 nawyków skutecznego zarządzania incydentami – ostrzenie piły Read More »

7 nawyków skutecznego zarządzania incydentami – synergia

1 Comment

7 nawyków skutecznego zarządzania incydentami - synergia

Wstęp

Z terminem synergia zapewne zetknęliście się niejeden raz. Znacie to stwierdzenie. Jeden dodać jeden równa się trzy, czasem pięć a może i dużo więcej. Przyznam się Wam, że przez dłuższy czas rozumiałem to pojęcie dokładnie w taki sposób – „… całość jest czymś więcej niż sumą poszczególnych części” jak stwierdził Stephen Covey w swojej książce, opisując szósty nawyk. Jednak oprócz tego powiedział coś jeszcze i to coś, zupełnie zmieniło mój sposób patrzenia na tematykę synergii.

W dzisiejszym wpisie chciałbym Ci opowiedzieć o istocie synergii, czyli o docenianiu różnic: umysłowych, emocjonalnych, psychologicznych w zespole. Przecież wiesz, że każdy z nas jest wyjątkowy, inny na swój sposób. Dzięki tej różnorodności, pracując w zespole, możemy osiągnąć znacznie więcej i dojść dużo dalej niż działając w pojedynkę.

Team, team, team, …

Wielbiciele brytyjskiego serialu The IT Crowd pamiętają słowa, które wypowiedział Denholm Reynholm do trójki bohaterów, a właściwie do dwójki z nich, gdy przyszli uprzejmie donieść, że jednak nie po drodze im z nową szefową. Do tej pory oglądając tę scenę, mam niezły ubaw.

W scenie tej, mimo że to czysta groteska, zawarto dość ważną ideę. Podstawą skutecznego działania jest praca zespołowa. Nie pracujesz zespołowo, wypadasz z gry. Zaryzykuję stwierdzenie, zwłaszcza w odniesieniu do dzisiejszych czasów, że tak powinno być za każdym razem. Oczywiście jestem również zwolennikiem dawania drugiej szansy, żeby nie było.

Mówię o tym, bo cyberbezpieczeństwo, obsługa incydentów bezpieczeństwa jest bez wątpienia grą zespołową. W ramach zespołu, jej członkowie pełnią określone role. Różne role wymagają różnych umiejętności tych twardych, jak i równie ważnych — umiejętności miękkich. Nie ma możliwości stworzenia skutecznego zespołu, gdzie każdy myśli w ten sam, identyczny sposób. To nawet jest zwyczajnie w świecie nudne.

Różnorodność w zespole

Dzięki różnorodności, analizując kierunki działania, możliwe jest wypracowanie najlepszej odpowiedzi na incydent. To różnorodność sprawia, że patrzymy na dane zagadnienie z różnych perspektyw. Czy oznacza to, że ktoś ma rację, a ktoś nie? Spójrz na poniższy rysunek autorstwa duńskiego psychologa pod tytułem „Złudzenie Rubina”. Co przedstawia?

Okazuje się, że to, co widzimy, w małym stopniu zależy od wzroku. To mózg interpretuje obraz i w zależności od tego, w jaki sposób spojrzymy na obraz, jaką zastosujemy perspektywę, jakie mamy doświadczenia, taki o to rysunek ujrzymy na pierwszym planie. W tym miejscu nie jest istotne, co ujrzałeś(aś) pierwsze. Ideą jest dowieść, że każdy z nas, daną sytuację czy jak w tym przypadku obraz, może interpretować w inny sposób. Zwróć uwagę, że każda z osób patrzących na obraz ma rację. Sztuką jest jednak dostrzec ten drobny szczegół. Jesteśmy po prostu różni. Co by było, gdybyśmy patrzyli na wszystko w identyczny sposób? Czy zgodzisz się ze stwierdzeniem, że „jeśli dwie osoby mają taką samą opinię, jedna jest niepotrzebna”?

Istotą synergii jest dbanie o różnorodność

Zagrożenia w zespole

Co w przypadku kiedy osoba z zespołu nie doświadczyła efektu synergii, która nastawiona jest na chronienie siebie, której wpojono brak zaufania do innych ludzi? Wydaje się, że nie jest w stanie spojrzeć na sprawę z perspektywy drugiej osoby, przez co traci i to bardzo dużo. Zatraca dodatkową perspektywę.

A co się dzieje w przypadku osób decyzyjnych o ograniczonych perspektywach? Po pierwsze mają ogromną potrzebę duplikowania ludzi na swoje podobieństwo, lepienia ich na swój sposób. Myślą błędnie, że ujednolicenie tworzy jedność. Ponieważ nie rozumieją lub nie dopuszczają do siebie, że siła leży w możliwości innego spojrzenia na sprawę, wypierają tę fakt, przez co cierpią na brak danych, bo bazują tylko i wyłącznie na swoim doświadczeniu.

Szanse dla zespołu

Różnorodność jest szansą dla zespołu. Warunkiem jednak jest, by każdy z jego przedstawicieli z pokorą przyjmował własne ograniczenia w postrzeganiu i z szacunkiem doceniał poglądy innych ludzi. Osoby z takim podejściem cenią różnorodność, bo rozumieją, że tylko w ten sposób są w stanie powiększać swoją wiedzę na temat otaczającego je świata, jak i zrozumieć rzeczywistość. W przypadku obsługi incydentów bezpieczeństwa, podejście takie otwiera perspektywę i pozwala szerzej spojrzeć dla przykładu na kwestię tzw. root cause. Dlaczego w ogóle doszło do incydentu bezpieczeństwa ? Co było pierwotnym problemem, który przyczynił się do tego?

Podsumowanie

Pozwolę sobie powtórzyć raz jeszcze, że cyberbezpieczeństwo jest grą zespołową. By skutecznie reagować na incydenty bezpieczeństwa, potrzeba jest posiadania w zespole osób o różnym profilu psychologicznym, z różnorodnym wachlarzem umiejętności, bo tylko wtedy można rozszerzyć perspektywę analizowanego przypadku. Rolą kierowników zespołów jest pielęgnować różnorodność, mimo że może budzić pewne obawy. Obawy związane z tym, że może decyzje, pomysły kierownika mogą być podważane, kwestionowane, wystawiane na próbę. Osobiście uważam, że nie ma w tym nic złego, pod warunkiem wzajemnego szacunku do siebie osób prowadzących dyskusję.

Jeśli podobał Ci się wpis, zostaw komentarz pod wpisem, podziel się swoją opinią lub napisz do mnie na adres marcin.sikorski@ctrust.me

7 nawyków skutecznego zarządzania incydentami – synergia Read More »

7 nawyków skutecznego zarządzania incydentami – staraj się najpierw zrozumieć, potem być zrozumiany

Zostaw komentarz

7 nawyków skutecznego zarządzania incydentami - staraj się najpierw zrozumieć, potem być zrozumiany

Wstęp

Czy zdarzyło Ci się kiedykolwiek słuchać drugiej osoby, ale nie słyszeć tego, co tak naprawdę ma Ci do powiedzenia? Brzmi znajomo? Pewnie, że tak. Chyba każdy z nas miał choć raz w życiu taką sytuację – być myślami gdzie indziej w trakcie rozmowy, lekceważąco podchodzić do swojego rozmówcy czy zamiast słuchać uważnie, w myślach zawczasu budować odpowiedź, nie biorąc pod uwagę przywoływanych przez rozmówcę argumentów.

Istnieje pięć poziomów słuchania – od poziomu, gdzie całkowicie ignorujemy drugą stronę, po słuchanie empatyczne – de facto słuchamy „sercem”, słuchamy emocji. Jak zaznacza autor książki „7 nawyków …” zdolność komunikacji stanowi najważniejszą umiejętność życiową. Praktykujemy ją nieustannie. Obsługa incydentów cyberbezpieczeństwa nie stanowi tu wyjątku. Uważam, że aby podjąć właściwe decyzje w ramach odpowiedzi na incydent, trzeba wpierw usłyszeć głosy ludzi bezpośrednio zaangażowanych w jego obsługę, ludzi posiadających doświadczenie, wiedzę. Inny punkt widzenia pozwala ujrzeć często to, czego sami nie jesteśmy w stanie dostrzec. Jednak wpierw musimy usłyszeć.

Z dzisiejszego wpisu dowiesz się:

o pięciu poziomach słuchania;
czym jest słuchanie aktywne i dlaczego jest tak ważne w pracy związanej z obsługą incydentów bezpieczeństwa;
jakie są dostępne „techniki” aktywnego słuchania;
jakich błędów w zakresie słuchania się wystrzegaj.

Jeśli jest to pierwszy wpis tej serii, który czytasz, zachęcam Cię do lektury poprzednich. Pozwoli Ci to zbudować sobie szerszy kontekst. Linki znajdziesz poniżej:

5 poziomów słuchania

Jak już wspomniałem we wstępie, istnieje pięć poziomów słuchania:

słuchanie ignorowane – słyszeć nie znaczy że usłyszysz;
słuchanie udawane;
słuchanie selektywne
słuchanie z uwagą – słuchanie faktów
słuchanie empatyczne – słuchanie by zrozumieć /słuchanie emocji

Tak naprawdę, te, na których powinno nam zależeć, to słuchanie z uwagą – słuchanie faktów oraz słuchanie empatyczne – słuchanie emocji. Myślę, że nie ma sensu rozpisywać się o pierwszych trzech. Nazwy mówią same za siebie. Warto jednak być świadomym ich istnienia i skutecznie je eliminować ze swojego życia. Zastanów się. Czy nie jest denerwującym fakt, jak Twój rozmówca w trakcie rozmowy np. przegląda telefon, albo potakuje głową, ale gdy spytasz go o zdanie lub opinię, to w odpowiedzi prosi Cię o powtórzenie pytania? Denerwuje Cię to, prawda? Mnie również. Tu warto jeszcze wspomnieć o intencji, z jaką podchodzimy do swojego rozmówcy w trakcie słuchania. Czy jest to intencja poznawcza, czy może do zbicia argumentów?

Słuchanie aktywne

Można powiedzieć, że słuchanie aktywne zaczyna się od poziomu czwartego – słuchanie z uwagą. Dlaczego mimo to nie jest w pełni aktywnym słuchaniem? Okazuje się, że nawet wtedy może dojść do sytuacji, gdzie tracimy uwagę, rozpraszamy się. Sposobem na to jest słuchanie empatyczne. Czym zatem jest? Najprościej można je scharakteryzować poprzez:

koncentrowanie się na rozmówcy;
stworzenie przestrzeni dla rozmowy;
zaangażowanie się swoją postawą w rozmowę;
przyglądanie się rozmówcy;
zadawanie pytań, parafrazowanie, dopytywanie.

Słuchanie aktywne w procesie obsługi incydentów bezpieczeństwa

Nieocenionym okazuje się umiejętność aktywnego słuchania w trakcie obsługi incydentu bezpieczeństwa. O ile sztuką jest zadawanie pytań w celu poznania obiektywnej prawdy, o tyle jeszcze trudniejsze okazuje się usłyszeć, co tak w rzeczywistości druga strona chciała powiedzieć. Myślę, że ma to znaczenie na każdym etapie obsługi incydentu – od chwili jego zgłoszenia do momentu poszukiwania prawdziwej przyczyny jego wystąpienia, tzw. the root cause – przyczyna podstawowa. Słuchanie więc ma ogromne znaczenie. Jeśli nie usłyszymy tego co rzeczywiście powinniśmy usłyszeć, to przecież możemy błędnie zarejestrować incydent, źle skategoryzować, doprowadzić do błędnych decyzji, które mogą mieć daleko idące konsekwencje finansowe czy odpowiedzialności prawnej. Zatem ważne jest by słyszeć.. Wiem, nie jest to łatwe. Nic jednak nie stoi na przeszkodzie by systematycznie ćwiczyć aktywne słuchanie. W tym mogą Ci pomóc narzędzia aktywnego słuchania.

istnieje różnica między słuchać a słyszeć

Techniki aktywnego słuchania

Jak to mówią, w prostocie siła. To, co Ci zaproponuję, nie jest niczym wyrafinowanym, ale działa. Poniżej znajdziesz listę technik, które pozwolą Ci praktykować aktywne słuchanie. Korzystaj z nich do woli. Baw się nimi. Istotą jest, by dotrzeć do sedna wypowiedzi swojego rozmówcy. Tak na marginesie, lista ta nie jest w żaden sposób uporządkowana, więc każda z tych technik wydaje się tak samo skuteczna:

pytania precyzujące – zadawaj pytania, jeśli, czegoś nie rozumiesz, nie wiesz. To nie jest wstyd czegoś nie wiedzieć. Wstydem jest nie pytać i udawać, że się na wszystkim znasz i wszystko wiesz.
klaryfikacja – wyjaśnij kwestie, które nie są do końca zrozumiałe, skąd powstała jakaś opinia, na jakiej podstawie, na bazie jakich faktów.
podsumowanie -zbierz wszystkie wątki- podsumowuj rozmowę, rób ustalenia.
parafraza – powtarzaj czyjeś słowa własnymi słowami. „Twierdzisz, że…”, „Jeśli dobrze rozumiem Cię, to chciałeś powiedzieć, że…”.
notowanie – skrupulatnie rób notatki.

Jestem pewny, że znalazłoby się jeszcze wiele innych technik. Myślę jednak byś zaczął od tych wymienionych. Wdróż je w życie, a korzyści przyjdą same.

Błędy w procesie słuchania

Na koniec kilka błędów, które niestety zdarzają się dość często w trakcie słuchania drugiej osoby. Przeanalizuj czy nie zdarza Ci się ich popełniać:

pseudosłuchanie – podzielność uwagi to mit;
zbyt wczesne dawanie rad i rozwiązań;
osądzanie – nikt nie lubi być osądzanym, można się co najwyżej nie zgodzić z tezą, stwierdzeniem;
brak reakcji na czyjeś słowa;
okazywanie zniecierpliwienia;
wyciąganie pochopnych wniosków;
wtrącanie się w trakcie wypowiedzi innej osoby;
kończenie zdania za kogoś;
przerywanie – nie zabijaj ciszy za wszelką cenę.

Podsumowanie

Słuchanie aktywne nie należy do najprostszych czynności. Wymaga od nas dużo skupienia i bez wątpienia treningu. Na szczęście, jak każda inna umiejętność da się ją wytrenować. Oczywiście wpierw musi Ci się chcieć.

Jeśli podobał Ci się wpis, zostaw komentarz pod wpisem, podziel się opinią lub napisz do mnie na adres marcin.sikorski@ctrust.me

7 nawyków skutecznego zarządzania incydentami – staraj się najpierw zrozumieć, potem być zrozumiany Read More »