Książki

7 nawyków skutecznego zarządzania incydentami – myśl w kategoriach wygrana – wygrana

Zostaw komentarz

7 nawyków skutecznego zarządzania incydentami - myśl w kategoriach wygrana - wygrana

Wstęp

Myśl w kategoriach wygrana – wygrana (z ang. win-win situation) zalicza się do filozofii życiowej, pewnego sposobu myślenia. Takie podejście nazywane jest często filozofią obfitości. Wyrasta ono bowiem z przeświadczenia, że dla każdego starczy przy podziale przysłowiowego tortu. W dzisiejszych czasach trudno o taką postawę, a to z prostej przyczyny. Ogólnie rzecz ujmując, jesteśmy skupieni na sobie, na zaspokajaniu swoich potrzeb, zabezpieczaniu swoich interesów w życiu prywatnym, w życiu zawodowym. Prawdą jest też, że nie ma w tym nic dziwnego. Przecież z punktu widzenia naszego ego, jesteśmy najważniejsi, liczymy się tylko i wyłącznie my.

Nawyk, do którego będę się dziś odnosił, dotyczy relacji międzyludzkich, określa sposób, w jaki powinniśmy podchodzić do negocjacji. Pamiętaj, że negocjujemy wszędzie i praktycznie z każdym: w domu, w pracy. Zdarza się, że niekiedy jesteśmy tego zupełnie nieświadomi. Wypracowanie decyzji to też negocjacje. Przekonanie kogoś do swoich racji, to też negocjacje. Jak zapewne wiesz, zarządzanie incydentami bezpieczeństwa to przede wszystkim ciągłe podejmowane różnorakich decyzji, nieustanna współpraca z ludźmi. Jednak nawet w najlepszych organizacjach dochodzi do różnicy zdań pomiędzy pracownikami. Odmienne poglądy prowadzą do dyskusji, dochodzi do mniej lub bardziej otwartych konfliktów, choć mówi się, że i one są potrzebne. To, jaką postawę przyjmiesz, będzie miało znaczenie czy będziesz skuteczny w zarządzaniu incydentami bezpieczeństwa, czy też nie. Dla tych. którzy nie mieli okazji przeczytać poprzednich wpisów tej serii, pragnę przypomnieć, że pierwsze trzy: 7 nawyków skutecznego zarządzania incydentami – bądź proaktywny7 nawyków skutecznego zarządzania incydentami – zaczynaj z wizją końca, 7 nawyków skutecznego zarządzania incydentami – rób wpierw to, co najważniejsze dotyczą pracy nad sobą.

Rodzaje postaw

Skoro myślenie w kategoriach wygrana-wygrana jest tym, do czego powinniśmy dążyć w negocjacjach, domyślasz się już zapewne, że istnieją inne, zgoła odmienne sposoby myślenia. Możemy więc wyróżnić następujące podejścia:

  • wygrana – przegrana
  • przegrana – wygrana
  • przegrana – przegrana
  • wygrana-wygrana albo nie robimy interesów.

Zanim jednak przejdę do krótkiego opisu powyższych filozofii życiowych, pytanie, jak to można odnieść do zarządzania incydentami bezpieczeństwa. Jak zapewne pamiętasz pierwsze trzy nawyki, o których możesz przeczytać we wcześniejszych wpisach tej serii, jeśli jeszcze tego nie zrobiłeś, dotyczą pracy nad sobą, budowaniu wewnętrznej dyscypliny, niezależności. O tyle ten nawyk i dwa kolejne, które w swojej książce opisuje Covey, dotyczą naszej współzależności. Jak wspomniałem we wstępie, zarządzanie incydentami bezpieczeństwa jest grą zespołową. Można to rozpatrywać na różnych płaszczyznach. Jedną z nich jest współpraca w ramach zespołu bezpieczeństwa. Mowa tu o ścieraniu się idei, wizji, w jaki sposób budować bezpieczeństwo organizacji. Które pomysły realizować, a które nie? Jak je realizować? Jakimi zasobami? W jaki sposób dokonywać podziału zadań? Jakby nie było to negocjacje. Kolejną płaszczyzną do rozważenia jest współpraca lub jej próby z zespołem IT. Pamiętaj, że zespół bezpieczeństwa nie jest zawieszony w próżni. To, w jaki sposób będziemy budować relacje, mając, jakby nie było często odmienne cele do realizacji od innych zespołów, będzie miało bezpośredni wpływ na sposób obsługi incydentów bezpieczeństwa. Wróćmy jednak do podziału w odniesieniu do naszego głównego wątku, czyli obsługi incydentów bezpieczeństwa.

Wygrana - przegrana

To klasyczny przykład gdzie nie interesuje Cię zdanie innych. Uważasz, że tylko i wyłącznie Ty masz rację, Twoje pomysły czy sposób obsługi incydentu jest jedynie słuszny. Oczywiście spore znaczenie ma, w jakiej roli występujesz w organizacji, jaka jest Twoja pozycja. Mówię o tym, bo skutki tego typu zachowania mogą być skrajnie odmienne. Co by jednak nie było, to i tak tracisz na takiej postawie, pomimo tego, że pozornie wygrywasz. Tracisz, bo prędzej czy później nikt nie będzie chciał z Tobą pracować. Jeśli, mimo wszystko, ktoś nadal będzie chciał „współpracował” z Tobą, to z pozycji przegranego „wycofa się” na bezpieczne pozycje, „okopie” i grzecznie będzie przytakiwał każdemu Twojemu pomysłowi. Czy rzeczywiście chciałbyś pracować w ten sposób?

Przegrana - wygrana

Postawa przegrana – wygrana przejawia się w byciu uległym – tzw. syndrom miłej osoby. Robię wszystko, zgadzam się na wszystko, by być lubianą osobą. Ma to swoje katastrofalne skutki, zwłaszcza gdy występujesz w roli przełożonego, a Twoi podwładni „wchodzą” Ci na głowę. Załóżmy, że jesteś szefem zespołu odpowiedzialnego za obsługę, reagowanie na incydenty bezpieczeństwa. Masz sytuację kryzysową, trzeba porozdzielać, skoordynować działania i nagle dowiadujesz się, że ktoś z Twojego zespołu nie chce czegoś zrobić, na zasadzie nie, bo nie. Ty działając w duchu filozofii przegrana – wygrana, nadal próbujesz budować wizerunek miłej osoby i nadzwyczajnie poddajesz się, a na koniec zrobisz zadanie przydzielone tej osobie, bo nie chcesz wyjść na tego złego.

Przegrana - przegrana

Ta postawa chyba mówi sama za siebie. To jest konfrontacja, pójście na przysłowiową wojnę. Żadna ze stron nie zamierza odpuścić drugiej. Jeśli ja nie zyskam, to i druga strona nie zyska. Myślę, że to sytuacja najbardziej destrukcyjna ze wszystkich. Tu nie ma mowy o współpracy, dążeniu do wspólnego celu. Taka wojna na wyniszczenie przeciwnika.

Wygrana - wygrana albo nie robimy interesów

Postawa, która jest prawie zbliżona do oczekiwanej. Oczywiście to prawie, jak w reklamie, robi różnicę. Sytuacja jest w miarę prosta. Szukamy rozwiązania, przy którym obie strony są przeświadczone, że osiągnęły zamierzony cel, są „win-win”. Jeśli jednak nie da się znaleźć takiego rozwiązania, to lepiej nie wchodzić w układ. Przyznam otwarcie, że ciężko mi tu odnieść się do jakiejś sytuacji, która mogłaby zaistnieć w zakresie zarządzania incydentami i taki scenariusz mógłby zaistnieć. Jak coś znajdę, to zrobię update artykułu. Jakby nie było, co by nie mówić i jak robić, jednak incydent należy obsłużyć i nie może być tu mowy o sytuacji, że jak się nie dogadamy, to nie działamy.

Kompromis

Na wstępie przedstawiłem pokrótce ogólne wartości, jakimi kierują się ludzie wyznający filozofię wygrana-wygrana. Istnieje opinia, która mówi o tym, że wygrana – wygrana to pójście na kompromis. Nic bardziej mylnego. Prawdą jest, że jeżeli dwie strony kończą negocjacje w poczuciu, że każda z nich musiała z czegoś ustąpić, to jak pewnie się domyślasz, obydwie z nich tak naprawdę przegrały. Oczywiście nie możemy tego bezpośrednio odnieść do opisywanej wcześniej postawy przegrana – przegrana. Tamta po prostu jest mniej lub bardziej otwartym konfliktem.

Kompromis to w rzeczywistości sytuacja przegrana - przegrana

Rywalizacja

Od młodych lat jesteśmy wychowywaniu w duchu wzajemnej rywalizacji. Pewnie znajdą się badacze pisma, którzy stwierdzą, że o co mi chodzi. Czy jest coś w tym złego? W pewnych sytuacjach oczywiście, że nie. W trakcie wszelakich rozgrywek, turniejów, żeby ktoś mógł triumfować, ktoś musi przegrać. Problem pojawia się z chwilą, gdy tego typu zachowania przenosimy na kanwę zawodową. Jak to się przejawia? Walczenie o zasługi, budowanie „czarnego PR” swoim współpracownikom z pracy, swoim przełożonym.

Wygrana - wygrana

Czym jest zatem wygrana – wygrana? Jest wyjściem poza utarty schemat, w którym, żeby jedno zyskało, to drugie musi stracić. To dojrzała asertywność. To szczera wiara w to, że wszystkiego jest w nadmiarze. Przejawia się to postawą, w ramach której dzielimy się wiedzą, delegujemy uprawnienia, niejako pozbywamy się części władzy. Nie dbamy o to, kto zdobędzie zasługi, bo mamy świadomość tego, że wszyscy grają na dobro jednego zespołu. Mam świadomość tego, że pisząc ten wpis, brzmi to trochę science-fiction, ale prawdą jest, że sytuacja wygrana – wygrana jest możliwa do osiągnięcia. Trzeba ją tylko poszukać. Wymaga pewnej odwagi, a odwagę czerpiemy z poczucia własnej wartości. Tylko proszę, pamiętaj, że poczucie własnej wartości nie pochodzi z zewnątrz. Nie buduj jej poprzez umniejszanie innym. Od tego nie staniesz się lepszy.

Podsumowanie

Myśl w kategoriach wygrana – wygrana to pewna recepta na budowanie silnego, zgranego zespołu. To postawa, w której szanujemy zdanie innych, szukamy wzajemnych korzyści i nie idziemy na kompromis za cenę utraty części korzyści. Żeby myśleć w kategoriach wygrana – wygrana, musisz być osobą, która nie jest zawistna, która widzi wartość we współpracy, która dzieleni się wiedzą, deleguje uprawnienia. Jak już podkreślałem, nie jest to łatwy nawyk do wdrożenia, zwłaszcza dla tych, którzy uwielbiają rządzić i nie chcą się pozbyć nawet części władzy.

Jeśli podobał Ci się wpis, zostaw komentarz, podziel się nim ze swoimi znajomymi lub jeśli masz ochotę współpracować napisz do mnie na adres marcin.sikorski@ctrust.me.

7 nawyków skutecznego zarządzania incydentami – myśl w kategoriach wygrana – wygrana Read More »

7 nawyków skutecznego zarządzania incydentami – rób wpierw to, co najważniejsze

Zostaw komentarz

7 nawyków skutecznego zarządzania incydentami - rób wpierw to, co najważniejsze

Wstęp

Rób wpierw to, co najważniejsze. W kontekście opisywanych nawyków skutecznego działania według Covey’a ten wydaje mi się jednym z trudniejszych a może i najtrudniejszym do realizacji. Dlaczego tak uważam? W mojej ocenie główny problem wynika z kilku powodów:

  • braku zdefiniowanych celów,
  • braku jasnozdefiniowanych celów,
  • błędnie zakomunikowanych celów.

Problem ten dotyka zarówno nasze życie prywatne, zawodowe, jak również dotyczy samych organizacji, dla których pracujemy.
W pierwszym przypadku brak wiedzy na temat tego, co chcę osiągnąć w życiu, co mnie motywuje, co mnie napędza do działania, co definiuje moje szczęście, sprawia, że marnujemy energię na rzeczy nieistotne, nieważne. Przysłowiowo kręcimy się w kółko. Rozważając organizacje, zdarza się czasem, że przestajemy widzieć sens naszej pracy, następuje tzw. wypalenie zawodowe, a reszty chyba się już domyślasz. Pozwól, że w dalszej części skupię się na celach organizacji, w kontekście zarządzania incydentami. Tu jeszcze mała dygresja. Uważam, że ten nawyk bardzo mocno łączy się z poprzednim nawykiem – zaczynaj z wizją końca. No wiesz. Jeśli wiem, co ma być na końcu mojego działania, wiem, do czego dążę, to wiem z kolei, które działania przybliżają mnie do celu, które są ważne, a które najzwyczajniej w świecie są istną stratą czasu. Proste? Wydaje się bardzo proste. A jak to się ma do zarządzania incydentami?

Priorytetyzacja

Jednym z elementów skutecznego zarządzania incydentami jest określenie właściwego priorytetu obsługiwanych zdarzeń. Dla przypomnienia pamiętaj, że każdy incydent jest zdarzeniem, ale nie każde zdarzenie jest incydentem. Zanim jednak przejdziemy dalej, w tym miejscu chciałbym zwrócić Twoją uwagę na termin priorytet, a właściwie na pochodzenie tego słowa. Powstałe z łacińskiego słowa prior, pierwotnie oznaczające pierwszy, rzecz najważniejszą. Pewnie domyślasz się, do czego dążę? Z logicznego punktu widzenia, w jednym momencie, może istnieć tylko jedno, najważniejsze zdarzenie w obsługiwanej kolejce. Jakie kryteria przyjmiemy, szeregując od najważniejszego do najmniej istotnego zdarzenia, jest często sprawą indywidualną każdego biznesu. Z pewnością priorytet, tu jeszcze raz powtórzę, czyli ten pierwszy, najważniejszy powinien z czegoś wynikać. Intuicja chyba podpowiada Ci, co to może być? Owszem. Analiza ryzyka wystąpienia incydentu. Jeśli nie miałeś okazji przeczytać, wspominałem o tym w pierwszym wpisie tej serii – 7 nawyków skutecznego zarządzania incydentami – bądź proaktywny

Przykłady kryteriów wyboru priorytetu

Kryteria powinny być proste. Kryteria winny wynikać z analizy ryzyka wystąpienia incydentu. Inaczej podejdziemy do incydentu związanego na przykład z ransomware propagującym się w naszej infrastrukturze, inaczej zaś do oprogramowania złośliwego, które zostało ściągnięte, ale skutecznie wykryte i zablokowane przez system klasy EDR (Endpoint Detection and Response). W przytoczonym przykładzie mamy do czynienia z kryterium ograniczenia skutków wystąpienia incydentu (z ang. Containment).
Innym kryterium może być źródło pochodzenia zagrożenia. Z pomocą mogą nam przyjść informacje pozyskane z kanałów CTI (Cyber Threat Intelligence), na bazie których możemy dokonać próby atrybucji zagrożenia, czyli określenia, kto tak naprawdę nas atakuje, jaki jest potencjalny poziom motywacji zagrożenia.
Oczywiście nie zapominajmy o kwestiach biznesowych. W zupełnie inny sposób podejdziemy do incydentu, gdzie zagrożona jest ciągłość procesu krytycznego – czyli na przykład kryterium ważności procesu, a inaczej gdy zagrożony jest jakiś proces poboczny. W tym pierwszym przypadku potencjalnie w grę może wchodzić nasze być albo nie być na rynku.
Jednym z klasycznych kryteriów, może być na przykład konieczność bycia zgodnym z regulacjami i obowiązkiem zgłoszenia incydentu do instytucji nadzorującej.

Metody ustalania priorytetu

Jedną z metod, która zasługuje na uwagę, jest matryca Eisenhowera – koncepcja świadomego zarządzania sobą w czasie. Wspominam o niej z kilku powodów:

  • jest intuicyjna,
  • prosta w implementacji, bo posiada tylko cztery, a w praktyce dwa obszary, które wymagają naszej uwagi.

Matryca oparta jest na dwóch kryteriach: pilności oraz ważności zadania. Jednym z najczęstszych błędów, jaki popełniamy, jest mylenie tych dwóch pojęć. Generał mawiał: „To, co ważne, rzadko bywa pilne, a to, co pilne, rzadko bywa ważne”. To pamiętne zdanie wyraża całą istotę rzeczy. Oczywiście, zawsze od reguły są pewne wyjątki. O tym jednak może trochę później.

To, co ważne, rzadko bywa pilne, a to, co pilne, rzadko bywa ważne

Dwight Eisenhower

Pilność

Na jednej osi matrycy mamy pilność. Pilność to nic innego jak czas. Na tej podstawie zadania dzielimy na: pilne i niepilne.

Ważność

Na drugiej osi mamy ważność danego zadania. Ważność jednak rządzi się innymi prawami. To czy coś jest ważne, zależy od następujących kryteriów:

  • czy zadanie zbliża mnie do realizacji celu, a jeśli jest ich kilka, to które z nich bardziej i na tym powinienem skupić swoją uwagę?
  • kto mi to zadanie delegował/zlecił – jak ważna jest ta osoba w organizacji? Im osoba mniej ważna, tym zadanie mniej ważne.
  • czy tylko ja jestem w stanie wykonać to zadanie? Czy zadanie może być delegowane?
  • jakie są konsekwencje niewykonania. Co się stanie, jak tego zadania nie zrobię?
źródło: www.dreamtime.com

Na podstawie powyższego, zadania możemy podzielić na:

  • pilne i ważne,
  • niepilne i ważne,
  • pilne i nieważne,
  • niepilne i nieważne.

Nie będę rozpisywał się na temat każdej z tych kategorii. Skupmy się na dwóch pierwszych. Podświadomie czujesz, że pilne i nieważne oraz niepilne i nieważne, to te zadania, którymi zdecydowanie nie powinieneś się zajmować, nie przybliżają Cię do zamierzonego celu, nie skutkują żadnymi konsekwencjami. Na poziomie organizacji jest podobnie. Te zadania można porównać do stwierdzenia, że chcemy gonić króliczka, ale niekoniecznie go złapać. Taki istny zapychacz czasu.

Incydenty pilne i ważne

Próbując zastosować powyższe podejście, do tej kategorii zaliczyłbym wszystkie incydenty, które:

  • realnie wpływają na ciągłość działania Twojego biznesu,
  • wymagają zgłoszenia do regulatora w ustalonym czasie,
  • powodują materializację ryzyka, skutkując stratami na przykład: utratą wizerunku, stratami finansowymi.

Z kolei w kontekście budowania zdolności organizacji w zakresie zarządzania incydentami cyberbezpieczeństwa, nie upatrywałbym w tej ćwiartce, zadań pilnych i ważnych. No dobrze mogą się tam znaleźć, pod warunkiem, że w ustalonym, wyznaczonym czasie, nie zrealizujesz zadań z ćwiartki niepilne a ważne. To ten wyjątek od reguły, o którym wspomniałem wcześniej.

Incydenty niepilne i ważne

Do tej kategorii zaliczyłbym wszystkie incydenty, które zostały zmitygowane, jednak z jakichś powodów należałoby usprawnić np. metody detekcji, dokonać przeglądów obowiązujących polityk, opracować stałe procedury operacyjne itp. Jednym słowem, rzeczy te są ważne, bo systematyczne ich zaniedbywanie, w przyszłości może powodować powstawanie tzw. „pożarów”, których gaszenie wymaga dużo więcej energii i zasobów.

Tu upatrywałbym dużą część zadań związanych z tzw. Lessons Learned – czyli wniosków wyciągniętych po obsłużonym incydencie. Bądźmy otwarci. Większość, jak nie wszystkie, są to zadania średnio i długoterminowe, Nie wymagają często natychmiastowej reakcji. Dotyczą często zmian procesów, a zmiana procesu wymaga czasu, bo to zmiana naszych zachowań.

Podsumowanie

Najważniejsze wnioski do zapamiętania to przede wszystkim:

  • zwrócenie uwagi na niemylenie pilności z ważnością realizowanego zadania. Pilność zadania często wynika z priorytetu innej osoby. Pilność to czas. To, że coś jest pilne, nie znaczy, że jest ważne.
  • zapamiętanie, że jednym z kryteriów ustalenia priorytetu zadania jest cel. Czy nam się to podoba, czy nie, nie wszyscy mamy te same cele. Bardzo dobrze uwidacznia się to w organizacjach, gdzie działy bezpieczeństwa rywalizują z działami utrzymania infrastruktury IT. Nie mówię, że jest tak wszędzie, ale zdarza się od czasu do czasu. 

Jeśli podobał Ci się wpis, zostaw komentarz pod wpisem, podziel się swoją opinią lub napisz do mnie na adres marcin.sikorski@ctrust.me

7 nawyków skutecznego zarządzania incydentami – rób wpierw to, co najważniejsze Read More »

7 nawyków skutecznego zarządzania incydentami – zaczynaj z wizją końca

1 Comment

7 nawyków skutecznego zarządzania incydentami - zaczynaj z wizją końca

Wstęp

Drugi nawyk, który Covey wymienia w swoim opracowaniu, dotyczy posiadania wizji końca podejmowanych działań. By to zobrazować, zachęca do zrobienia ćwiczenia myślowego, mającego na celu wyobrażenie sobie siebie samego na własnym pogrzebie. Co chciałbyś usłyszeć o sobie od znajomych, współpracowników, szefa, rodziny, a w końcu najbliższych Ci osób? Na pierwszy rzut oka, przykład ten wydaje się dość przerażający. Po co za życia rozważać tego typu kwestie? Nie mniej jednak jest w tym głęboki sens. Jeśli coś robisz, pomyśl, jaki da Ci to wynik na końcu. Czy w ogóle warto było zaczynać? Na bazie kilku przykładów chciałbym przedstawić Ci, w jaki sposób podejście – zaczynaj z wizją końca, może pozytywne wpłynąć na zarządzanie incydentami cyberbezpieczeństwa?

System zarządzania wiedzą

Z pewnością temat na oddzielny wpis, z uwagi na jego ogromną wartość w procesie zarządzania incydentami cyberbezpieczeństwa. Tu tylko zasygnalizuję jeden element. Brak wiedzy na jakiś temat, nie ułatwia podjęciu decyzji. W zarządzaniu incydentami cyberbezpieczeństwa ciągle operujemy w obszarze niepewności. Jeśli na to nałożymy konieczność podejmowania decyzji w formie reakcji na incydent, to mamy gotowy przepis na sytuację wysoce stresującą. Sztuką jest, by redukować niepewność do takiego poziomu, który powoli nam na „w miarę” komfortowe podjęcie decyzji. W tej sprawie z pomocą przychodzą nam systemy zarządzania wiedzą. Starając się zastosować drugi nawyk, należy przy wyborze, a następnie projektowaniu, implementacji tego typu narzędzi, odpowiedzieć sobie na pytanie. O co tak naprawdę chcemy odpytać system? Czy zarządzając kolejnym incydentem, chcę wiedzieć jak obsługiwano podobny incydent w przeszłości, jakie podjęto kroki? Czy chcę mieć dostęp do ustrukturyzowanych „Lessons Learned”? Wiem, że może pytania te są tendencyjne, ale odpowiedzi na nie już nie są. Warto więc zadać sobie tego typu pytania przed wyborem narzędzia, które ma nas wspierać w procesie podejmowania decyzji.

Im wyższa jakość dostarczonych informacji, tym dokładniejsza i wyważona odpowiedź na zaistniały incydent.

Plany reakcji

W poprzednim wpisie 7 nawyków skutecznego działania w zarządzaniu incydentami cyberbezpieczeństwa – bądź proaktywny wymieniłem plany reakcji na incydent, jako element bycia proaktywnym. Obecnie chciałbym skupić Waszą uwagę na świadomym określeniu „wizji/celu” takiego planu. Myślę, że warto zadać sobie kilka pytań, a w szczególności jedno najważniejsze, które brzmi: „Po co w ogóle tworzymy plany reakcji?” Czy to kolejny dokument z serii tzw. „pułkowników” – no wiecie, napisany i odstawiony na półkę, czy raczej ma czemuś służyć? Uważam więc, że tak zadane pytanie i szczera odpowiedź na nie ukierunkuje dalsze działania. Chciałbym podkreślić w tym miejscu, że nie ważne jest, jaką masz odpowiedź, każda z nich jest poprawna. Tu z pomocą przychodzi nam zarządzanie ryzykiem. Jeśli z naszego punktu widzenia najważniejsze jest bycie zgodnym z regulacjami, co niekoniecznie znaczy posiadanie solidnych zdolności w zakresie zarządzania incydentami cyberbezpieczeństwa i akceptujemy ryzyko, że mamy tzw. „paper security”, niech tak będzie. Jeśli z kolei mamy świadomość faktu, że nasz biznes eksponowany jest na cyber zagrożenia a każdy poważny atak może zakończyć się dla nas przykrymi konsekwencjami w postaci np. bardzo wysokich kar lub nawet zamknięciem naszej działalności, to z pewnością dużą wagę przyłożymy do tego, by nasze plany reakcji były skuteczne. Pamiętaj jednak, że działania, które podejmujemy podlegają wielu ograniczeniom, funkcjonujemy w otoczeniu różnego poziomu ryzyka, mamy inne cele do spełnienia.

System rejestracji incydentów

Podobne pytania należy zadać sobie w zakresie wyboru oraz konfiguracji systemu rejestracji incydentów. Co na końcu chcemy osiągnąć? Czy wystarczy nam przysłowiowy Excel, czy jednak potrzebujemy platformy do współpracy, wymiany myśli, wiedzy, w którym to możemy zaplanować przepływy informacji? W mojej ocenie i z pewnością nie jest to nic odkrywczego, na końcu powinniśmy osiągnąć w pełni sprawne narzędzie, które będzie wspierało system decyzyjny. Kilka słów o tym znajdziecie w poniższym wpisie coś o systemie informacyjnym. Dla mnie właśnie obsługa incydentów to przede wszystkim:

  • ciągłe zasilanie w informacje, budowanie świadomości tzw. operacyjnej.
  • podejmowanie decyzji na różnych szczeblach organizacji.

Im wyższa jakość dostarczonych informacji, tym dokładniejsza i wyważona odpowiedź na zaistniały incydent.

Plan komunikacji

Wydzieliłem to jako odrębny element, gdyż w mojej ocenie plan komunikacji jest jednym z kluczowych elementów zdolności organizacji w zakresie zarządzania incydentami cyberbezpieczeństwa. Tylko znów pojawia się pytanie co rozumiemy poprzez plan komunikacji. Co chcemy osiągnąć na końcu? Czy to tylko i wyłącznie lista kontaktowa na wypadek wystąpienia incydentu cyberbezpieczeństwa, mówiąca o tym, kiedy zadzwonić do CISO, a kiedy do Prezesa, no i w którym momencie powiadomić regulatora? Tu z kolei zaczynają piętrzyć się kolejne pytania. Czy komunikować o wszystkim, czy może tylko o wybranych zdarzeniach? A jeśli o wybranych, to o których? Istotnym jest tutaj posługiwanie się wspólnym słownikiem definicji i pojęć, by nie dochodziło do nieporozumień. Jeśli nie mieliście jeszcze okazji zapoznać się z tymi zagadnieniami, odsyłam Was do tego wpisu „Zdarzenie, alert, incydent”.

Ostatnio natknąłem się na bardzo ciekawy webinar, w którym poruszana była kwestia projektowania komunikacji.

Myślę, że można dojść do bardzo interesujących wniosków, np. do takiego, że de facto wszystko praktycznie co tworzymy jest formą komunikacji. Uważam więc, że projektując procesy zarządzania incydentami cyberbezpieczeństwa, należy uwzględniać element komunikacji na każdym etapie i w każdym szczególe. Żeby to osiągnąć, musimy zaczynać z wizją końca.

Podsumowanie

Uważam, że podejście – zaczynaj z wizją końca, jest bardzo ciekawym i dającym wiele korzyści. Wiedząc, co chcemy osiągnąć na końcu, przede wszystkim nie błądzimy, nie marnujemy energii na  zbędne czynności w myśl zasady – robić, żeby robić. Jeśli podobał Ci się wpis, zostaw komentarz pod wpisem, podziel się swoją opinią lub napisz do mnie na adres marcin.sikorski@ctrust.me

7 nawyków skutecznego zarządzania incydentami – zaczynaj z wizją końca Read More »

7 nawyków skutecznego zarządzania incydentami – bądź proaktywny

Zostaw komentarz

7 nawyków skutecznego zarządzania incydentami - bądź proaktywny

Wstęp

„7 nawyków skutecznego działania” to książka o rozwoju osobistym, którego autora, dla osób interesujących się tym zagadnieniem, nie muszę przedstawiać. Stephen Covey, o którym mowa, opisuje zasady postępowania, które w znaczący sposób mogą wpłynąć na poprawę jakości naszego życia. Zainspirowany lekturą książki, przyszło mi na myśl, że skoro opisywane nawyki są ponadczasowe, a rzeczywiście są, dlaczego nie zastosować ich w ramach procesów zarządzania incydentami cyberbezpieczeństwa? 

Dalsze rozmyślania na ten temat, tylko i wyłącznie utwierdziły mnie w przekonaniu, że „7 nawyków skutecznego działania”, można by potraktować jak swego rodzaju pryncypia, czyli podstawowe wartości, jakie zawsze powinny być obecne w ramach budowanych zdolności zarządzania incydentami cyberbezpieczeństwa w organizacji. Kto wie? Może właśnie wymyśliłem jakąś nową metodykę?

Covey w swojej książce dość szczegółowo, z przykładami opisuje tytułowe 7 nawyków, do których zalicza:

Tym artykułem chciałbym rozpocząć serię wpisów, w ramach których pokażę moje spojrzenie na zarządzanie incydentami, w ujęciu poszczególnych nawyków.

Bądź proaktywny

Z pewnością nie jest wielkim odkryciem stwierdzenie, że postawa proaktywna jest w zdecydowanej większości dużo lepsza niż postawa reaktywna. Można by powiedzieć, że samo stwierdzenie „reagowanie na incydenty”, nacechowane jest raczej postawą reaktywną, wyczekującą niż proaktywną, poszukującą. Chociażby z tego powodu wyłoniła się domena w cyberbezpieczeństwie nazwana threat huntingiem, czyli aktywnym poszukiwaniem zagrożeń w infrastrukturze organizacji. Nie o tym dziś będzie, a o tym, w jaki sposób proaktywnie podejść do kwestii zarządzania incydentami cyberbezpieczeństwa.

Proaktywność vs Reaktywność

Tu należy jeszcze zrobić małą dygresję. Covey stawia znak równości pomiędzy proaktywnością a odpowiedzialnością. Według niego człowiek proaktywny, to taki, który nie szuka wymówek, usprawiedliwień. On po prostu działa. W każdej sytuacji, której doświadcza, upatruje szansy na rozwój. To osoba, która zajmuje się rzeczami, na które ma realny wpływ i jednocześnie ignoruje te, na które wpływu nie ma. Działa racjonalnie w stosunku do sytuacji. Tym właśnie postawa proaktywna różni się od postawy reaktywnej. Ta druga to przede wszystkim ciągłe narzekanie, obwinianie innych za powstałe błędy, negatywne reakcje na pojawiające się sytuacje. Znacie może tego typu zachowania z Waszego otoczenia? Napiszcie w komentarzu, bo naprawdę jestem zainteresowany, z jakimi postawami mieliście częściej do czynienia.

Proaktywność w zarządzaniu

Myślę, by stwierdzić stanowczo, że stosuję się do zasady bycia proaktywnym, zacząłbym od następujących kwestii.

Analiza ryzyka

Uważam, że istotnym elementem w proaktywnym podejściu do zarządzania incydentami cyberbezpieczeństwa jest prowadzenie ciągłej analizy ryzyka ich wystąpienia. Tak na marginesie wymóg ten regulowany jest Ustawą o Krajowym Systemie Cyberbezpieczeństwa. Nie wiem czemu, panuje ogólne przekonanie, że analiza ryzyka to zło konieczne, albo wróżenie z fusów. Oczywiście nie jesteśmy w stanie przewidzieć każdego wariantu. Jednak pamiętaj, że to jest proces ciągły. Może nie masz dziś pełnej wiedzy o wszystkich zagrożeniach. Może potrzebujesz większej „widoczności” w eksploatowanych systemach w postaci rozszerzenia monitoringu. Istotne jest, że wartość, jaka płynie z przeprowadzenia takiego ćwiczenia to budowanie Twojej świadomości, świadomości Twoich przełożonych, klientów biznesowym w zakresie potencjalnego ryzyka. Od tego już tylko krok do podejmowania świadomych decyzji w zakresie reagowania na zaistniałe incydenty cyberbezpieczeństwa, ale przede wszystkim trwałe, długoterminowe budowanie odporności organizacji na cyberzagrożenia. Świadome decyzje z kolei, to odpowiedni, adekwatny do ryzyka, dobór mechanizmów bezpieczeństwa. Nie chce się dalej rozpisywać na temat płynących korzyści, w tym finansowych.

Plany reakcji

Opracowanie zawczasu planów reakcji na poszczególne typy incydentów i ich rzeczywiste, okresowe testowanie, to oszczędność czasu, pieniędzy, jak również nerwów. Już pisałem o tym, że w sytuacji wystąpienia poważnego incydentu cyberbezpieczeństwa, panująca atmosfera wśród personelu jest często daleka od pożądanej określana w potocznym języku stwierdzeniem „pożar w b******”. Oczywiście konsekwencją tego jest również szukanie za wszelką cenę winnego. Znów mała dygresja. Przy tej okazji gorąco polecam książkę „Ekstremalne przywództwo. Elitarne praktyki NAVY Seals w zarządzaniu”.

Ok. Czyli plany reakcji i koniecznie ich testowanie. Celem testów jest wyuczenie w nas określonych nawyków, które pozwolą, w trakcie wystąpienia incydentu, na racjonalne spojrzenie na sprawę i zastosowanie adekwatnych środków odpowiedzi na incydent. Unikamy wtedy pośpiechu i zmniejszamy prawdopodobieństwo popełnienia błędów. Pamiętaj czasem wolniej, znaczy szybciej.

Pamiętaj czasem wolniej znaczy szybciej.

Uczenie się na błędach - Lessons Learned

Bardzo ważny temat, niestety dość często zaniedbywany. Dzieje się tak dlatego, że dotyczy usprawnień procesu, a co za tym idzie, konieczności zmiany naszych zachowań. A czy zgadzamy się, czy nie, człowiek jest z natury leniwy. Do każdej zmiany, która wymaga wysiłku, podchodzi z niechęcią. Myślę, że kwestią Lessons learned zajmę się w oddzielnym wpisie, z uwagi na ich ogromne znaczenie w całym procesie zarządzania incydentami cyberbezpieczeństwa. Swoją drogą bardzo ciekawa książka, którą polecam w tej tematyce – Lessons Learned Practical Approaches to Learning from Experience 1st Edition

Podsumowanie

Proaktywność jest pierwszym nawykiem, który powinniśmy utrwalać, by stała się naszym naturalnym zachowaniem. Postawą proaktywną powinny cechować się wszystkie osoby realizujące czynności w ramach procesu zarządzania incydentami cyberbezpieczeństwa, a w szczególności  osoby odpowiedzialne za kwestie zarządzania, będące dyrektorami, kierownikami czy po prostu liderami w swoich zespołach, które nadają kierunki rozwoju zdolnościom organizacji w zakresie zarządzania incydentami cyberbezpieczeństwa.

7 nawyków skutecznego zarządzania incydentami – bądź proaktywny Read More »