Procesy

Negatywne zjawiska grupowe w zespole cyberbezpieczeństwa

Negatywne zjawiska grupowe w zespole cyberbezpieczeństwa

Wstęp

Obsługa incydentów cyberbezpieczeństwa, w szczególności incydentów poważnych, wymaga zaangażowania grupy wielu specjalistów. Ma to związek z kompleksowością współczesnych incydentów, koniecznością ich obsługi na wielu płaszczyznach: technicznej, prawnej czy komunikacyjnej. W takich sytuacjach współpraca zespołowa wydaje się niezbędna — jedna osoba nie jest w stanie objąć wszystkich niezbędnych obszarów, jednocześnie zapewniając wysoką jakość i terminowość działań.

Jednak praca zespołowa, mimo wielu zalet, niesie za sobą pewne ryzyko. Grupy, zwłaszcza pod presją, mogą być podatne na negatywne zjawiska społeczne, które obniżają ich efektywność. Zespoły bezpieczeństwa są tu doskonałym przykładem. W dalszej części omówię trzy najistotniejsze problemy, które mogą dotknąć zespoły zajmujące się incydentami cyberbezpieczeństwa oraz zaproponuję mechanizmy przeciwdziałania tym zjawiskom.

Myślenie grupowe: pułapka jednomyślności

Jest to pojęcie stworzone przez Irvinga Janisa w 1982r., które określił wręcz mianem patologii procesu decyzyjnego grupy. Jak pokazała historia, wystąpienie tego zjawiska w grupie doprowadziło do podjęcia błędnych a często tragicznych w skutkach decyzji np. katastrofa wahadłowca Challengera w styczniu 1986r.

Myślenie grupowe jest typowe dla grup cechujących się wysoką spójnością. Wspominałem o tym przy okazji  trwałości zespołu cyberbezpieczeństwa. Członkowie grupy najczęściej odrzucają osoby – efekt „czarnej owcy”, które ośmielają się mieć odmienne zdanie. Zjawisko to wzmacniane jest poprzez autorytarny styl przywództwa, który narzuca grupie jedynie słuszny sposób myślenia. Konsekwencją tego jest odejście z grupy wszystkich tych, którzy nie rozumują tak jak pozostali. W mniemaniu grupy, osoby o odmiennych poglądach nie pasują do reszty. W ten sposób grupa coraz bardziej się izoluje, odbiera również ludziom z zewnątrz prawo do zadawania pytań czy kwestionowania zachowań wewnątrzgrupowych. Przywódca takiej grupy ma zazwyczaj silną osobowość lub takiego gra. Z kolei członkowie grupy pilnują się wzajmnie, by w grupie nie nastąpił wyłom. Izolacja sprawia, że grupa nabiera przekonanie o swej nieomylności. Nawet jeśli znajdzie się choć jedna osoba, która ma wątpliwości w jakiejś sprawie, to zazwyczaj ich nie ujawni. Jednym z powodów jest dojście do wniosku, że wątpliwości są nieuzasadnione. Skoro tylko ja tak myślę, a reszta nie, to chyba się jednak mylę. Drugi powód może być związany z byciem świadkiem, jak inna osoba w przeszłości próbowała kwestionować pogląd grupy i została „spacyfikowana” w ten czy inny sposób przez przywódcę grupy. Uważam, że jeszcze innym powodem jest brak zaufania w stosunku do członków grupy do wypowiadania konstruktywnej krytyki.

Jak przeciwdziałać myśleniu grupowemu?

  • Otwartość na zewnętrzne opinie: Regularne konsultacje z ekspertami spoza zespołu mogą pomóc w przełamaniu schematów myślowych.
  • Zachęcanie do krytycznego myślenia: Lider powinien aktywnie wspierać konstruktywną krytykę i różnorodność opinii.
  • Rola adwokata diabła: Wprowadzenie tej roli w zespole, przydzielanej rotacyjnie, pozwala na systematyczne podważanie proponowanych rozwiązań, co pomaga w identyfikowaniu słabych punktów.
  • Lider przedstawia swoje zdanie na końcu: To zmusza zespół do wyrażenia własnych opinii, zanim pojawi się wpływ autorytetu lidera.

Polaryzacja grupowa

Zjawisko polaryzacji grupowej to nic innego jak uskrajnianie poglądów grupy po przedyskutowaniu jakiegoś tematu. Jeśli pierwotnie grupa była za jakimś rozwiązaniem, to po dyskusji jej nastawienie będzie bardziej pozytywne i odwrotnie. Pierwotna niechęć do jakiejś sprawy, po dyskusji, potęguje jeszcze bardziej tę niechęć. Na tej podstawie można wyjaśnić, dlaczego wiele działań podejmowanych przez grupę, nigdy nie zostałoby podjętych przez jednostkę. Byłyby w jej mniemaniu albo zbyt ryzykowne lub zbyt zachowawcze.

Badacze nie mają wątpliwości, że takie zjawisko występuje, natomiast bardzo ciekawym pytaniem jest, dlaczego ono występuje, co je wyzwala i od czego zależy kierunek polaryzacji? Istnieje kilka teorii, które próbują tłumaczyć to zjawisko. Jedna z nich głosi, że za polaryzację odpowiadają naciski jednakowo te o charakterze informacyjnym czy normatywnym, czyli w wielkim skrócie konformizm. Inna teoria mówi o rozproszonej odpowiedzialności. Jeśli nie czujemy się osobiście odpowiedzialni np. za podjęcie decyzji, to jesteśmy bardziej skłonni do podejmowania ryzykownych, bardziej skrajnych decyzji.

Jak przeciwdziałać polaryzacji grupowej?

  • Analiza ryzyka: Przed podjęciem decyzji warto ocenić, na ile jest ona ryzykowna, a na ile zachowawcza.
  • Adwokat diabła: Ponownie, wprowadzenie tej roli może pomóc w obiektywnej ocenie decyzji grupy.
  • Rozważanie alternatyw: Zachęcanie zespołu do analizowania przeciwnych scenariuszy i alternatywnych rozwiązań, co zmniejsza ryzyko uskrajnienia poglądów.

Próżniactwo społeczne

Jest to zjawisko, w którym osoba, pracując nad zadaniem w grupie, wkłada w nie mniej wysiłku, bo ma świadomość, że nie da się jednoznacznie ocenić efektów jej pracy. W konsekwencji jedna lub kilka osób próżnują i pozwalają innym wykonywać większość pracy za nie. Zjawisko to nasila się wraz ze zwiększeniem liczebności grupy oraz gdy zadanie jest łatwe. W pierwszym przypadku można powiedzieć, że osoba uprawiająca próżniactwo społeczne wtapia się w tłum, ginie w nim. Ciężko wtedy odróżnić czy pracuje czy nie. Z kolei w drugim przypadku może mieć to związek z motywacją wewnętrzną danej osoby. która może dojść do wniosku, że skoro coś jest proste do zrobienia, to po co ma marnować na to swój czas. Niech inni robią.

Jak przeciwdziałać próżniactwu społecznemu?

  • Wyzwania: Zadania powinny być wymagające i angażujące, co zmniejsza prawdopodobieństwo pojawienia się próżniactwa.
  • Motywacja wewnętrzna: Pokazanie sensu pracy oraz jej wpływu na sukces całego zespołu zwiększa zaangażowanie.
  • Odpowiedzialność indywidualna: Jasne przypisanie odpowiedzialności za konkretne wyniki sprawia, że każdy czuje się zobowiązany do pełnego zaangażowania.

Podsumowanie

Praca zespołowa w obsłudze incydentów cyberbezpieczeństwa niesie za sobą zarówno korzyści, jak i zagrożenia. Zjawiska takie jak myślenie grupowe, polaryzacja grupowa czy próżniactwo społeczne mogą znacząco obniżyć efektywność zespołu, jeśli nie zostaną odpowiednio rozpoznane i zneutralizowane. Kluczową rolę w przeciwdziałaniu tym problemom odgrywają liderzy zespołów, którzy powinni promować otwartą komunikację, odpowiedzialność oraz konstruktywną krytykę.

Zrozumienie tych zjawisk i wprowadzenie praktycznych mechanizmów ochronnych pozwala zespołom działać sprawniej, podejmować lepsze decyzje i unikać typowych błędów wynikających z dynamiki grupy.

Jeśli podobał Ci się ten wpis, zostaw komentarz, podziel się swoją opinią, udostępnij go innym. Jeśli chcielibyście nawiązać współpracę napisz do mnie na adres marcin.sikorski@ctrust.me. 

Serdecznie pozdrawiam,

Marcin Sikorski

Bibliografia

Oyster, C.K.(2000). Grupy, Zysk i S-ka Wydawnictwo.

Negatywne zjawiska grupowe w zespole cyberbezpieczeństwa Read More »

Delegowanie zadań

2 komentarze

Delegowanie zadań

Wstęp

Zapewne wielokrotnie słyszeliście, że cyberbezpieczeństwo jest grą zespołową. Poruszałem ten temat we wpisie 7 nawyków skutecznego zarządzania incydentami – synergia. W każdym zespole mamy formalną lub nieformalną relację przełożony – podwładny, starszy – młodszy. Nieodłącznym elementem, który się wtedy pojawia, jest delegowanie zadań w takiej czy innej formie. Jeszcze się taki nie urodził, co byłby w stanie wykonać wszystko samodzielnie. Zresztą, gdyby tak było, to po co byliby mu potrzebni pracownicy czy współpracownicy, no i nie byłoby wtedy mowy o grze zespołowej.

Wydawałoby się, że czynność delegowania zadań, jest czymś prostym, wręcz trywialnym. Po prostu mówisz komuś, co ma zrobić i na kiedy ma coś zrobić. Proste? W ten sposób rozumiejąc proces delegowania, wydaje się zadaniem nieskomplikowanym, gdzie wszystko powinno przebiegać bez zakłóceń. Tylko pojawia się jeden problem. Wraz z delegowaniem zadania może dojść do sytuacji, gdzie nie nastąpi udzielenie zwierzchnictwa nad zadaniem, tzn. odpowiedzialność tak, ale możliwość podejmowania decyzji to już nie – brak sprawczości nad zadaniem. To jest jeden ze sposobów rozumienia umiejętności delegowania zadania.

Dla mnie bliższym jest inne podejście. Intuicyjnie i nieświadomie stosuję je przez lata. Od momentu przeczytania książki „Pięć dysfunkcji pracy zespołowej” Patricka Lencioni, jestem już w stanie nazwać to podejście. Mowa o delegowaniu na bazie wzajemnego zaufania i o tym będzie dzisiejszy wpis.

Czym jest delegowanie?

Można powiedzieć, że delegowanie nie jest zwykłym przypisaniem zadania, na zasadzie przekaż zadanie i zapomnij o nim, a raczej przekazaniem komuś części władzy, zwierzchnictwa do zrobienia czegoś, co normalnie jest w gestii odpowiedzialności osoby, która takie zadanie zleciła. Wymaga to nie lada odwagi ze strony delegującego. Ostatecznie to osoba delegująca odpowiada za sukces bądź porażkę zleconego zadania. Zatem, żeby do czynności delegowania doszło, w jakimś stopniu jesteśmy zmuszeni ufać, że osoba, której oddelegowaliśmy zadanie, sprosta jego wykonaniu. Tu pojawia się kluczowy element – wzajemne zaufanie. Z jednej strony zaufanie do osoby, że zadanie wykona. z drugiej zaś zaufanie osoby do lidera, że będzie miała w nim wsparcie, że jest przestrzeń na popełnianie błędów, pytania, wątpliwości, nawet krytykę.

Zaufanie

Zaufanie jest najistotniejszym elementem. Tak uważam i nie jest to z pewnością żaden „buzz word”. Zbudowanie środowiska wzajemnego szacunku i zaufania stanowi fundament w zakresie delegowania. Tak naprawdę stanowi ono fundament każdej relacji. Pojawia się naturalnie pytanie. W jaki sposób zbudować zaufanie, zwłaszcza w zespole? Mówiłem na początku, że cyberbezpieczeństwo to gra zespołowa.

Pierwszą rzeczą, która może przyjść na myśl, coś, co wydaje się oczywiste, to zatrudnianie ludzi, którym ufasz a oni tobie. Nie jest to łatwe zadanie, ale na pewno możliwe do wykonania. Tu z kolei istotnym jest prawidłowy proces rekrutacji i skrupulatna „analiza” potencjalnych kandydatów do zespołu. Tak na marginesie, w jednej z książek „Jak czytać ludzi. Radzi agent FBI” autorstwa Robina Dreeke’a oraz Camerona Stauth’a wyczytałem bardzo ciekawe zdanie: „Najważniejsze jest przewidywanie. Zaufanie to dopiero jego następstwo”. Jeśli osoba jest przewidywalna, czyli wiemy, czego możemy się po niej spodziewać, to w naturalny sposób przyjdzie nam tej osobie zaufać.

Częściej jednak mamy do czynienia z sytuacją, w której my jako szefowie, kierownicy jesteśmy postawieni przed faktem dokonanym – dostajesz pod opiekę zespół i co wtedy?

Rolą prawdziwego lidera jest „wydobyć” z ludzi to, co w nich najcenniejsze, umieć wskazać im, jeśli nie są świadomi, ich mocnych stron. To pierwszy krok w delegowaniu. Następnie lider powinien delegować im te zadania, w których będą mogli użyć wspomnianych mocnych stron. Jednak wpierw musi ich poznać. Uważam, że wymaga to zaangażowania się lidera tak na dwieście procent.

Zaufanie jest podstawą, fundamentem każdej relacji.

Sprawczość

Jedną z podstawowych potrzeb każdego człowieka jest mieć sprawczość w zakresie wykonywanych zadań. To pierwotna potrzeba, podobnie jak ta, by być częścią grupy. Można by powiedzieć, że w kontekście sprawczości osoba ma pełną, bądź prawie pełną władzę i kontrolę nad wykonywanym zadaniem. Zna oczekiwany wynik, ale drogi dojścia pozostają w jej gestii. Brak sprawczości można by przedstawić jako sytuacja, w której zadanie jest „delegowane” i non stop słyszysz, co masz zrobić i jak masz to zrobić. To raczej nie ma to nic wspólnego z delegowaniem zadania, a raczej z tzw. mikromanagementem. W tym przypadku zaczynamy odczuwać brak sprawczości, czyli nasza pierwotna potrzeba pozostaje niezaspokojona. Wywołuje to drastyczny spadek zaangażowania się danej osoby w wykonywanie zadań. Jaki jest związek między jednym i drugim?

Jeśli pomiędzy liderem a osobą, do której zostało oddelegowane zadanie, istnieje zaufanie, to lider nie będzie się obawiał przekazania części jego władzy, zwierzchnictwa. W tej sytuacji osoba realizująca zadanie, posiadając wspomnianą sprawczość, w pełni zaangażuje się w wykonanie zadania. Taka sytuacja często występuje we wszelkiego rodzaju wolontariatach. Przecież nikt nikomu nie każe czegoś robić. Ludzie sami z siebie chcą pracować, przypadek? Nie sądzę. Pojawia się więc kolejne pytanie. Czemu jednak boimy się oddelegowywać zadania?

Dlaczego więc obawiamy się delegować zadania?

Powód wydaje się oczywisty. Wszechogarniający strach, że zadanie nie zostanie wykonane tak, jak byśmy my sobie tego życzyli, z należytą nam i tylko nam starannością. Można powiedzieć, że to strach przed porażką. Na wspomnianą sytuację składać się mogą inne czynniki jak:

  • kultura organizacyjna, której głównym elementem jest unikanie błędów za wszelką cenę.
  • poprzednie porażki, które niejako trauma paraliżują nasze obecne działanie.

Czy istnieje zatem jakiś sposób na delegowanie zadań, by wyeliminować lub zminimalizować niepożądane sytuacje?

Co oznacza delegować skutecznie?

Jak już zasygnalizowałem na początku, tryb „fire – forget” – wystrzel i zapomnij raczej nie zadziała. Efektywne delegowanie to czynność, w ramach której dobry lider powinien skupić się na następujących kwestiach:

  • przeanalizować zadanie i upewnić się, że właściwa osoba została do niego przydzielona. Na jakiej podstawie wiemy, że konkretna osoba jest tą właściwą do wykonania zadania? Dobry lider powinien znać swoich. ludzi. Nie chodzi tu tylko i wyłącznie o to, jakie twarde umiejętności posiada dana osoba, ale również i cały zestaw umiejętności miękkich.
  • umieć zdefiniować i zrozumieć cel zadania oraz określić jego oczekiwany wynik. W metodyce Agile nazywa się to „definition of done”. Ponadto mówiłem już o posiadaniu wizji końca zadań, które realizujemy. Więcej informacji znajdziecie we wpisie 7 nawyków skutecznego zarządzania incydentami – zaczynaj z wizją końca.
  • zastanowić się, jaki zestaw uprawnień powinien być udzielony osobie realizującej zadanie.
  • zdefiniować w jasny i przystępny sposób, kiedy i w jaki sposób będzie dokonywany przegląd postępów oddelegowanego zadania.
  • określić priorytet, czyli ważność i pilność zadania i w odpowiedni sposób to zakomunikować. O tym z kolei mówiłem w części 7 nawyków skutecznego zarządzania incydentami – rób wpierw to, co najważniejsze.

Oczywiście powyższe nie zadziała w przypadku braku relacji zaufania. Pamiętaj o tym.

Podsumowanie

Dziś było trochę więcej psychologii, no ale o tym w końcu traktuje ten blog. Świadomość istnienia omawianych elementów: zaufania oraz sprawczości może, choć oczywiście wcale nie musi, wspomóc każdego lidera w procesie delegowania. Mówię, że nie musi, bo jedno to być świadomym, wiedzieć o czymś, a drugie to stosować posiadaną wiedzę.

Najważniejsze do zapamiętania to:

  • Zaufanie jest podstawą, fundamentem każdej relacji.
  • Poczucie sprawczości powoduje, że ludzie chętniej wykonują powierzone im zadania.
  • Delegowanie polega na przekazaniu części władzy, zwierzchnictwa do zrobienia zadania.

Jeśli podobał Ci się wpis, zostaw komentarz pod wpisem, podziel się swoją opinią lub napisz do mnie na adres marcin.sikorski@ctrust.me

Delegowanie zadań Read More »

Lessons learned część 3

Zostaw komentarz

Lessons learned - część 3

Wstęp

Najtrudniej jest przejść od teorii do praktyki. Kolejny wpis z serii „Lessons learned” chcę poświęcić praktycznym zagadnieniom związanym z prowadzeniem warsztatów lub jak wolicie wywiadów w ramach procesu. Psychologia gra tu pierwsze skrzypce.

W ramach zdefiniowanych zadań bardzo ważnym elementem jest wskazanie osoby odpowiedzialnej za realizację pojedynczego zadania, jak również konkretnej lessons identified. Pamiętacie zapewne, że na tym etapie nie możemy jeszcze mówić o lessons learned. O tym możecie przeczytać w pierwszym wpisie Lessons learned.

W dalszej części chcę poruszyć zagadnienie związane z częstością prowadzenia warsztatów, wywiadów. Bazą do rozważań jest klasyczny opis procesu obsługi incydentu bezpieczeństwa i miejsce lessons learned w tym procesie.

Na koniec pragnę omówić główne czynniki sukcesu wdrożenia procesu lessons learned w organizacji lub w najgorszym przypadku, dzięki którym znacząco zwiększy się prawdopodobieństwo jego wdrożenia. Wiecie. W niektórych, szczególnych przypadkach nawet najlepsze techniki i metody nie zadziałają, jeśli nieodpowiednio do nich podejdziecie.

Podsumowując wstęp, dzisiejszy wpis opowiada o tym:

  • W jaki sposób prowadzić rozmowę w ramach lessons learned?
  • Jak przypisać właściciela do zadania?
  • Jak często przeprowadzać sesje lessons learned?
  • Jakie możemy wyróżnić czynniki sukcesu w zakresie wdrażanego procesu?

Jak prowadzić rozmowę w ramach warsztatów, wywiadów lessons learned?

Przeprowadzając rozmowę w ramach warsztatów lessons learned, powinniśmy pamiętać o kilku istotnych faktach:

  • zbudujcie nic porozumienia ze swoim rozmówcą,
  • nie oceniajcie wypowiedzi – każda myśl, opinia, sugestia mogą być bardzo cenne,
  • dajcie szansę uczestnikom się wypowiedzieć. Nie uwierzycie, jak bardzo ludzie uwielbiają mówić i być wysłuchanymi,
  • moderujcie spotkanie w ten sposób, by żaden z uczestników „nie przejął” spotkania na własność i zagłuszył innych.

Podstawowe zasady

Przechodząc do warsztatów, wywiadów na ich wstępie:

  • poinformujcie uczestników o celu i formie spotkania,
  • poproście uczestników, by każdy z nich przedstawił się w celu przypomnienia wszystkim swojej roli pełnionej w trakcie obsługi incydentu bezpieczeństwa,
  • poinformujcie, że istotą warsztatów nie jest szukanie winnych, a określenie faktów: co się stało, kiedy, dlaczego, co poszło nie tak, co było w porządku,
  • przypomnijcie wszystkim o zasadzie wzajemnego poszanowania, nieużywaniu agresywnego języka w stosunku do uczestników spotkania,
  • w przypadku pojawienia się pytań, poproście o nieprzerywanie osobie, która się wypowiada. Zaproponuj zapisanie pytania na później,
  • starajcie się trzymać faktów i głównego wątku. W przypadku dygresji poproście osobę do powrotu do głównego tematu, nie mniej jednak poruszony wątek warto zapisać, gdyż może być ciekawym elementem dalszej analizy.

Rozmowa

Kolejnym etapem jest już sama rozmowa. Tu ważne jest, by nie przerywać. Pozwólcie wypowiedzieć się. Jeśli macie pytanie lub ktokolwiek z uczestników je ma, zanotujcie je. Zadacie je, gdy dana osoba skończy swą wypowiedź. Takie podejście to nic innego jak aktywne słuchanie. Stosujcie więc wszystkie możliwe techniki aktywnego słuchania, by rozmowa była jak najbardziej konstruktywna. À propos aktywnego słuchania, możecie o tym przeczytać w serii 7 nawyków skutecznego zarządzania incydentami – staraj się najpierw zrozumieć, potem być zrozumiany.

Ważne jest, by w trakcie rozmowy nie pomijać nikogo z obecnych. Zachęcające do dyskusji, a nawet do konstruktywnych konfliktów. Z kolei takie podejście zostało bardzo dokładnie opisane w książce Pięć dysfunkcji pracy zespołowej Patricka Lencioni – konflikt jako narzędzie do wypracowania decyzji zespołu. Książkę bardzo polecam. Uważam, że powinna stanowić podstawową lekturę każdego lidera.

Zakończenie

Na koniec warto podziękować wszystkim za spotkanie, dokonać podsumowania. Jeśli zdefiniowaliśmy zadania do realizacji, to jedna najważniejsza rzecz – określcie ich właścicieli i upewnijcie się, że akceptują to właścicielstwo. Kolejna kwestia to wyznaczenie, jeśli konieczne, następnego spotkania.

Jak przypisać właściciela do zadania?

Jak pisałem powyżej, dla każdego zadania, które zdefiniowaliśmy w ramach omawianych lessons identified, powinniśmy określić ich właściciela. I nie chodzi tu o to, żeby na przysłowiową „sztukę” wskazać kogoś, kto będzie miał do zrobienia jakieś zadanie. Nie. To musi być osoba, która weźmie pełną odpowiedzialność za wykonanie zadania. Oczywiście, żeby tak się stało, ważne jest, by wskazana osoba miała odpowiedni poziom sprawczości w organizacji i chyba co najważniejsze w mojej ocenie, będzie jej zależało na zrealizowaniu zadania. Ja podchodzę do tego w ten sposób, że wykonawca musi rozumieć sens danej czynności.

A co jeśli nie jesteśmy w stanie przypisać właściciela do konkretnego zadania. No cóż. I takie rzeczy się zdarzają. Tu z pomocą przychodzi nam eskalacja problemu na odpowiedni poziom kadry zarządzającej. Im wyżej, tym lepiej. Oczywiście nie będziemy z każdym takim przypadkiem od razu „biegać” do CEO, choć i takie skrajne sytuacje mogą mieć miejsce. Nie bójmy się eskalować. 

Jak często przeprowadzać sesje lessons learned?

Teoria

Standardowe lub jak wolisz klasyczne podejście do procesu obsługi incydentów bezpieczeństwa, zakłada, że etap identyfikacji lessons learned występuje w jego końcowej fazie. Analiza przeprowadzana jest wspólnie, przez wszystkich członków zespołu obsługujących dany incydent bezpieczeństwa. Teoria mówi, że takie spotkanie powinno odbyć się najszybciej jak to możliwe, nie później niż od jednego do dwóch tygodni. Takie podejście ma na celu uniknięcie sytuacji, w której najzwyczajniej w świecie zapomnimy o szczegółach z obsługiwanego incydentu bezpieczeństwa i w konsekwencji, nic się „nie nauczymy” jako organizacja.

Praktyka

Praktyka jednak pokazuje inaczej. Okazuje się, że im więcej przeprowadzimy spotkań i wcześniej zainicjujemy ten proces, tym zdecydowanie mniej nam umknie. Można pójść dalej. Dobrą praktyką jest, przetestowane w praktyce, by spisywać w formie dziennych notatek wszystkie obserwacje, rekomendacje, które udało nam się zidentyfikować podczas realizacji czynności obsługi incydentu bezpieczeństwa. Pozwala to na bieżąco dokonywać korekt naszych działań. Mowa tu oczywiście o drobnych korektach czynności. Nikt zapewne nie będzie dokonywał zmian całego procesu czy jego znacznej części tylko i wyłącznie po jednym dniu obserwacji, czy na bazie rekomendacji jednej osoby. Jak już wiecie z poprzednich wpisów, zmiana procesu to zmiana naszych zachowań, a te wymagają szerszej akceptacji i zrozumienia.

Pamiętaj. Im więcej spotkań, tym lepiej. Jako minimum przyjąłbym: spotkanie na początku obsługi incydentu bezpieczeństwa, w trakcie oraz na końcu jego obsługi. Liczba spotkań powinna zależeć od czasu trwania incydentu bezpieczeństwa. Zastanawiasz się, dlaczego na początku? Odpowiedź jest bardzo prosta. Znając kontekst incydentu bezpieczeństwa, warto sięgnąć do już utrwalonych „Lessons learned”, Polecam również analizę lessons learned w ramach incydentów bezpieczeństwa, których doświadczyły inne organizacje, a które upubliczniły ten fakt do szerszej wiadomości. Mam świadomość tego, że publikowane raporty z incydentów bezpieczeństwa mogą nie zawierać prawdopodobnie wszystkich faktów, lub są odpowiednio „wygładzone”, nie mniej jednak i tak mogą stanowić cenne źródło informacji.

Osobną kwestią są zapewne incydenty poważne, gdzie istnieje duża dynamika działań. Dla tych incydentów zalecałbym przeprowadzanie spotkań lessons learned w cyklu dziennym.

Najważniejszym czynnikiem sukcesu jest zaangażowanie się kierownictwa organizacji we wdrożenie procesu

Jakie możemy wyróżnić czynniki sukcesu wdrożenia procesu lessons learned?

W najprostszym ujęciu możemy dokonać podziału czynników sukcesu wdrożenia procesu lessons learned na takie, które mają wysoki, średni lub niski wpływ. Intuicja nam podpowiada, że skupienie się na tych z najwyższym wpływem, pozwoli na osiągnięcie dość szybkich efektów, przy stosunkowo małym „koszcie”. Tylko uwaga. Nie są to tzw. „low hanging fruits”. Nic z tego. Często rzeczy z pozoru najprostsze, okazują się bardzo trudne w realizacji.

Przejdźmy jednak do konkretów. W zakresie czynników sukcesu o wysokim stopniu wpływu na sukces wdrożenia procesu można wyróżnić:

  • określenie jawnych oczekiwań od wyższego kierownictwa w zakresie ich zaangażowania we wdrażanie procesu w organizacji,
  • definiowanie zadań do realizacji w ramach lessons identified,
  • określenie sposobu oceny czy zadanie zostało zrealizowane w całości, czy też nie,
  • określenie procesu uzgadniania zadań do realizacji,
  • określenie procesu wyznaczania osoby odpowiedzialnej do realizacji zadań.

I na tym bym zakończył. Są oczywiście czynniki o średnim i niskim wpływie na sukces wdrożenia procesu. Uważam jednak, że i w tym przypadku będzie miała zastosowanie zasada Pareta 80/20, tzn. czynniki o najwyższym stopniu wpływu przyczynią się w największym stopniu do wdrożenia z sukcesem procesu lessons learned w organizacji. Nie ma w tym nic nadzwyczajnego, biorąc pod uwagę, o jakich czynnikach mówimy. W mojej ocenie, gdyby przyszło mi wskazać ten najważniejszy, to z wyżej opisanych byłoby to jawnie określenie oczekiwań wobec wyższego kierownictwa w stosunku do ich zaangażowania się we wdrożenie procesu. Na bazie różnych doświadczeń, zarówno moich, jak i tych wyczytanych w literaturze czy usłyszanych w środowisku cyber, bez wsparcia i zaangażowania wyższego kierownictwa, ciężko jest z sukcesem zrealizować wdrożenie jakiegokolwiek procesu, a proces lessons learned nie stanowi wyjątku od tej reguły.

Podsumowanie

Tym wpisem chciałbym zakończyć serię „Lessons learned”. Jestem głęboko przekonany, że materiał, który mieliście okazję czytać do tej pory, pozwoli Wam zaimplementować z sukcesem proces w Waszej organizacji. Jeśli potrzebujecie więcej wiedzy, odsyłam Was do fachowej literatury, która posłużyła za tło wpisów. Jeśli potrzebujecie konsultacji, zapraszam do kontaktu. Jeśli macie doświadczenie w tym obszarze, zapraszam do dyskusji i wymiany doświadczeń.

Jeśli podobał Ci się wpis, zostaw komentarz pod wpisem, podziel się swoją opinią lub napisz do mnie na adres marcin.sikorski@ctrust.me.

Lessons learned część 3 Read More »

Lessons learned część 2

Zostaw komentarz

Lessons learned - część 2

Wstęp

Mam nadzieję, że poprzednim wpisem skłoniłem Cię do refleksji na temat istotności procesu lessons learned, jego kluczowej, wręcz strategicznej roli w organizacji. Dzisiejszy wpis to próba zmierzenia się z zagadnieniem związanym z właściwym definiowaniem lessons. Kiedy możemy mówić o dobrych lessons identified, a konsekwencji lessons learned? Okazuje się, że można wskazać pewne elementy, które świadczą o tym, że poprawnie je zidentyfikowaliśmy. Oczywiście, by poprawnie identyfikować nasze lessons learned, wpierw musimy mieć zdefiniowany proces i co najważniejsze postępować zgodnie z nim.

W dzisiejszym wpisie poruszę następujące tematy:

  • Jak wyglada proces lessons learned?
  • Jakie cechy powinna mieć dobrze zdefiniowana lessons learned?
  • Pułapki związane z lessons learned.
  • Jak wdrożyć lessons identified by stały się lessons learned?

Gorąco zapraszam do lektury.

Proces lessons learned

Jak przyjrzymy się procesowi lessons learned, to raczej nie należy on do skomplikowanych. Można w nim wyróżnić trzy podstawowe etapy:

  • identyfikacja lessons – na potrzeby tej serii wpisów będziemy je nazywać lessons identified,
  • zdefiniowanie zadań do realizacji,
  • realizacja zadań, zazwyczaj prowadząca do zmiany zachowania organizacji, a w konsekwencji uczynienia z lessons identified ostatecznie lessons learned.

Można by się zastanowić, który z elementów procesu jest najważniejszy dla całości procesu. Ja skłaniam się do stwierdzenia, że chyba ten ostatni. Jak już pisałem uprzednio, zmiana zachowania organizacji do łatwych nie należy. Z różnych powodów nie chcemy, nie możemy lub najzwyczajniej w świecie boimy się wprowadzać zmiany. Co nam więc po tym, jak świetnie określimy problemy, ba nawet zdefiniujemy zakres zadań, jak nic z tego ostatecznie nie zrobimy.

Wracając jednak do opisu procesu. W ramach identyfikacji lessons możemy wyróżnić trzy podetapy i na tym już koniec podziałów:

  • Przegląd – polegający na określeniu co przysłowiowo poszło dobrze, a co źle;
  • Analiza – skupiająca się na odnalezieniu pierwotnego problemu, który przyczynił się do wystąpienia incydentu bezpieczeństwa – już wspominałem o „root cause”.
  • Generalizacja – polegająca na sformułowaniu ogólnej rekomendacji czy jak wolisz nazywać wniosku.

Tak na marginesie, to celowo nie chcę używać stwierdzenia wniosek, bo z tego nic nie wynika. Wniosek może być i tyle. Angielskie nazwy znacznie lepiej oddają istotę rzeczy.

Co to oznacza, że lessons learned są dobre?

Przede wszystkim powinny być:

  • łatwe do zrozumienia i nauczenia. Oczywiście jest to pojęcie względne czy coś jest łatwe, czy nim nie jest. Myślę, że istotą jest, żeby nie przekombinować. Rozwiązania powinny ogólnie spełniać zasadę KISS (keep it simple stupid), czyli im prostsze, tym lepsze.
  • zadania zdefiniowane w ramach lessons learned powinny być wykonywalne – nie ma sensu tworzyć zadań, które z natury, albo będę bardzo złożone i tym samym trudne w implementacji, albo najzwyczajniej za drogie w ujęciu biznesowym, gdzie koszty przekroczą potencjalne zyski.
  • powinniśmy zadbać również o to, by rzeczywiście nasza lessons identified była rekomendacją, a nie czystą obserwacją. Co nam po stwierdzeniu jak jest? Istotne jest, by wypracować rozwiązanie, które zapewni nam wyeliminowanie lub przynajmniej zminimalizowanie skutków wystąpienia podobnego incydentu bezpieczeństwa w przyszłości.

Pułapki lessons learned

Jakość danych

Pamiętaj, że proces lessons learned, jak każdy inny proces, rządzi się tym samym prawem – „garbage in, garbage out”. Kto pisał raporty, ten wie, o czym mówię. Jeśli nie zapewnimy odpowiedniej jakości danych na wejściu procesu, to nie spodziewajmy się cudów na jego wyjściu, a w konsekwencji dobrej jakości lessons learned.

Wzajemne obwinianie się

To, w jaki sposób podejdziemy do przeglądu, zależy przede wszystkim od ogólnie panujących nastrojów w organizacji. Jeśli na przykład pracujesz w firmie, gdzie szuka się winnych, to raczej nikt nie będzie chętny do tego, by w otwarty sposób mówić o tym, co poszło nie tak. To chyba wydaje się naturalne, prawda? Jest jeszcze jedno stwierdzenie – „Szukanie winnych, karanie niewinnych”. Musisz wiedzieć, że jest to istotny problem dla organizacji, stąd też, jeśli planujesz wdrożyć proces, bezwzględnie musisz zadbać o przyjazne środowisko, gdzie ludzie będą mogli w nieskrępowany sposób rozmawiać z sobą, gdzie będzie panował wzajemny szacunek, zrozumienie.

Nauka tylko i wyłącznie na błędach

To, o czym często zapominamy, to powielanie dobrych zachowań. Może i robimy to intuicyjnie, ale zwróć uwagę na to, że jeśli ktoś robi coś dobrze i trzyma tę wiedzę tylko dla siebie, to organizacja jako całość, nie ma możliwości powielania dobrych wzorców.

zadbaj o przyjazne środowisko, gdzie ludzie będą mogli w nieskrępowany sposób rozmawiać z sobą, gdzie będzie panował wzajemny szacunek, zrozumienie.

Jak sprawić by lessons identified stały się lessons learned

Jednak zidentyfikowanie rekomendacji, ba nawet zadań to dopiero początek, niech będzie, to połowa sukcesu. Pozostaje teraz najtrudniejszy etap – „nauczenie” organizacji działać według nowych reguł, czyli wprowadzić zmianę. Oczywiście im mniej osób dotknie zmiana, tym lepiej dla nas. Mówię o tym, bo ma to związek z naturalnym oporem, który pojawia się wśród ludzi poddawanych zmianie. Stąd też im więcej osób poddanych zmianie, tym większy opór, no i prawdopodobieństwo, że nam się nie uda. Pisałem zresztą o tym w pierwszym wpisie tej serii. Nie pozostajemy jednak bezbronni i jako osoby wprowadzające zmianę w ramach lessons learned możemy posłużyć się pewną techniką.

Wytłumacz sens wprowadzanej zmiany

W pierwszej kolejności powinniśmy w jasny i klarowny sposób zakomunikować, co chcemy zrobić, dlaczego wprowadzenie zmiany ma znaczenie. Tak na marginesie uważam, że jest to najważniejszy element całości. Nie wiem jak dla Was, ale dla mnie istotą jest wytłumaczenie sensu zmiany. Nie mówię, że musi to być elaborat, po co dana zmiana jest wprowadzana. Uważam jednak, że ogólnie ludzie zasługują na to, by wytłumaczyć im sens poświęcania ich energii na jakieś czynności. Bez wątpienia tło incydentu może posłużyć za świetny business case i wytłumaczenie. Nic tak nie przemawia do ludzi, jak incydenty bezpieczeństwa z własnego podwórka. Kwestie zgodności z regulacjami, to kolejny przykład konieczności wdrażania rozwiązań.

Dostarcz narzędzia

Kolejnym elementem jest dostarczenie pracownikom odpowiednich narzędzi i w razie potrzeby przeszkolenie ich ze sposobu ich używania. Mówiąc o narzędziach, mam na myśli zarówno sprzęt, oprogramowanie, jak również procesy czy procedury postępowania.

Sprawdź realizacje zadania

Na koniec należy dokonać sprawdzenia, czy zadanie zostało w prawidłowy sposób wykonane? Tu samoistnie ciśnie się na usta określenie czynników sukcesu. Kiedy stwierdzimy, że dana lessons została learned? Pamiętasz, jak mówiłem o zmianie zachowania. To, w mojej ocenie, jest wyznacznikiem czy nauczyliśmy się czegoś, czy nie. Oczywiście do jakiego stopnia udało nam się nauczyć, przyswoić konkretną lessons learned, to inna sprawa. Spotkałem się ze stwierdzeniem, że jak dokonamy aktualizacji dokumentacji, to możemy już mówić o lessons learned. Owszem. Do pewnego stopnia tak może być. W zakresie napisania, zaktualizowania dokumentu, czegoś się nauczyliśmy. Jednak to zmiana zachowania pod dyktando procedury konstytuuje lessons learned i o tym należy pamiętać.

Podsumowanie

To, co sprawia, że organizacja wychodzi silniejsza z incydentu cyberbezpieczeństwa, to prawidłowo przeprowadzony proces lessons learned. Rekomendacje, jakie z niego płyną, mogą w sposób znaczący zminimalizować ryzyko ponownego wystąpienia podobnego incydentu w organizacji lub przynajmniej zminimalizować skutki jego wystąpienia. Kolejnym istotnym elementem związanym z lessons learned jest budowanie w organizacji wzajemnego zaufania i szacunku. Prawidłowo przeprowadzone spotkania lessons learned, powodują, że ludzie zaangażowani w obsługę incydentu, w otwarty, nieskrępowany sposób, często krytyczny w stosunku do samych siebie, omawiają przebieg incydentu. Takie postawy budują zaufanie, które jest nieocenione przy tworzeniu jedności zespołu.
Najistotniejsze elementy, które powinniście zapamiętać z tego wpisu, to:

  • nawet najlepsze rekomendacje, bez wprowadzonych zmian, są niczym wartościowym,
  • wdrożenie lessons learned to nic innego jak wprowadzenie zmiany w organizacji,
  • dobrze zaimplementowany proces w organizacji sprzyja budowaniu wzajemnego zaufania.

Jeśli podobał Ci się wpis, podziel się swoją opinią lub napisz do mnie na adres marcin.sikorski@ctrust.me.

Lessons learned część 2 Read More »

Lessons learned

Zostaw komentarz

Lessons learned

Wstęp

W pierwszym wpisie serii „7 nawyków skutecznego zarządzania incydentami” poruszyłem zagadnienie dotyczące procesu lessons learned. Tak na marginesie zastanawiałem się, czy jest konieczność szukania polskiego odpowiednika tego angielskojęzycznego stwierdzenia. W branży cyber to określenie stało się na tyle popularne i tak wrosło do słownika pojęć, w szczególności, w obszarze zarządzania incydentami cyberbezpieczeństwa, że chyba nikt nie zadaje sobie obecnie trudu, by znaleźć jego polskie znaczenie. Zauważyłem również, że lessons learned odmieniane jest przez wszystkie możliwe przypadki i podkreślane jest jego istotne znaczenie w procesie zarządzania incydentami. Jednak gdy zgłębiłem tę tematykę, zacząłem zadawać, wydaje się, bardzo podstawowe, lecz uważam trafne pytania? Kiedy lessons są learned, a kiedy nie? Co skłania nas do podejmowania działań naprawczych? Na te i inne pytania postaram się opowiedzieć Wam w kolejnych wpisach tej serii, wpisach, gdyż już wiem, że na jednym się nie skończy. 

Przy opracowaniu materiału posłużyłem się głównie lekturą książki „The Lessons Learned Handbook: Practical approaches to learning from experience” autorstwa Nicka Miltona. Uważam, że tytuł ten jest jak najbardziej trafiony. Praktyczne podejście od pierwszych stron. Dzisiejszy wpis proszę, potraktujcie jak wstęp do czegoś większego. Będę chciał w nim poruszyć kilka podstawowych, wręcz fundamentalnych kwestii procesu lessons learned. W szczególności chciałbym rozpocząć dyskusję w następujących tematach:

  • Czym jest proces lessons learned?
  • Kiedy lessons są learned?
  • Psychologia zmiany.
  • Rola kadry kierowniczej w procesie lessons learned.
  • Kryzys napędza wszystko.

Czym jest proces lessons learned?

Najprościej rzecz ujmując, lessons learned jest procesem analizy doświadczeń, zarówno tych pozytywnych, jak i negatywnych, które zebraliśmy podczas realizacji określonych czynności np. związanych z zarządzaniem incydentem cyberbezpieczeństwa. Rezultatem tego procesu jest zestaw wniosków/rekomendacji, które mogą posłużyć nam w przyszłości do usprawnień w obszarze wykonywanych czynności. Celowo użyłem stwierdzenia „mogą nam posłużyć”, gdyż to, co często uważamy za lessons learned, w praktyce, tu przepraszam za angielskie sformułowanie, jest lessons identified — czyli zidentyfikowaliśmy wnioski/rekomendacje, ale się do nich jeszcze nie zastosowaliśmy. Jak się okazuje, stąd jeszcze daleka droga do lessons learned, a może nie daleka, ale często „bolesna”. Dlaczego postawiłem taką tezę?

Kiedy lessons są learned?

Nauczenie się czegoś lub inaczej mówiąc wyciągnięcie wniosków z danej sytuacji, wymaga zmiany naszego zachowania. Ucząc się, stosując nowe metody podejścia do realizacji czegoś, dokonujemy zmiany. Kiedy mówimy, że może coś zmienimy w naszym podejściu, bo robiliśmy coś źle lub chcemy wzmocnić nasze zachowanie, bo robiliśmy coś dobrze, ale nie idą za tym żadne czyny, to tak jakbyśmy się niczego nie nauczyli. Istnieje wtedy bardzo duże prawdopodobieństwo, że w przyszłości, w podobnej sytuacji, popełnimy podobne błędy lub nie będziemy powielać dobrych zachowań.

Psychologia zmiany

Dlatego stwierdziłem, że droga  do lessons learned bywa bolesna, gdyż z definicji, ludzie nie lubią zmian. Nawet najlepiej przygotowana zmiana powoduje, że prędzej czy później, na jakimś jej etapie doświadczymy negatywnych emocji związanych z jej wprowadzeniem. Nie zagłębiając się na tym etapie w szczegóły procesu zmiany, istnieje kilka jej faz, których warto być świadomym, że występują i są to:

  • szok,
  • zaprzeczenie,
  • gniew,
  • targowanie się (z sobą),
  • smutek,
  • akceptacja i otwartość na nową zmianę.

Jak możecie zauważyć, z większością z nich związane są raczej negatywne niż pozytywne uczucia. Dlatego też tak niechętnie zmieniamy nasze zachowania. Tu nasuwa mi się analogia do nawyku. Jednak od reguły bywają wyjątki. W książce, która posłużyła za tło tego wpisu, opisywana jest historia piętnastowiecznych, zamorskich wypraw Portugalczyków i ustanowienia instytucji, której celem było wymiana doświadczeń, powtórzę się: tych negatywnych, ale w dużej mierze tych pozytywnych. Zdano sobie sprawę, że tylko dzięki temu możliwe jest powiększenie zysków oraz minimalizowanie ryzyka utraty zdrowia i życia. Co jest jednak istotne w całym tym procesie, to zaangażowanie się najważniejszej osoby w państwie — króla.

jedyną pewną rzeczą w życiu jest zmiana

heraklit z efezu

Rola kadry kierowniczej

To w interesie króla była dbałość o należycie realizowany proces lessons learned. Jest to idealny przykład zaangażowania się najwyższej kadry zarządzającej w utrzymanie i rozwój tego procesu. Bo kto spróbowałby sprzeciwić się królowi? A tak serio to myślę, że ten element, pomimo swej istotności, był jednak mniej istotny niż fakt pożegnania się z życiem, w wyniku nieprzepracowania wniosków „kolegów” z innych wypraw. To chyba bardzo motywująco wpływało na chęć nauki, wyciągania wniosków, stosowania dobrych praktyk, unikania najczęstszych błędów. Wielokrotnie zastanawiałem się, jak w dzisiejszych czasach, można przekonać kadrę kierowniczą do ważności tego procesu. Tu jeszcze mała dygresja. Jak pisałem wcześniej, samo mówienie wszem wobec o lessons learned, bez konkretnych działań, jest tylko i wyłączenie gadaniem i niczym więcej.

Kryzys napędza wszystko

To, co przyszło mi na myśl, zastanawiając się, dlaczego w tamtych czasach jednak można było wyciągać wnioski i uczyć się na nich, to sytuacja kryzysowa, z jaką mogli się mierzyć marynarze podczas rejsów. Odnosząc się do cyberbezpieczeństwa, można odnaleźć bardzo podobne sytuacje, jak na przykład atak ransomware. Analogie chyba same się nasuwają. Brak odpowiedniego przygotowania do rejsu, nieprzestudiowanie map, itp. mógł skutkować śmiercią. W przypadku wystąpienia ataku ransomware może być podobnie. Brak odpowiednich backupów, ich testowania, może spowodować, w sytuacji wystąpienia ataku, śmierć biznesową dla organizacji — wyłączenie jej z biznesu na długi czas. O ransomware będę pisał w innym czasie. Teraz chciałbym podkreślić jedno, że może taka refleksja skłoni firmy, instytucje do przygotowania się na tego typu atak. Może na poziomie organizacji zadziała instynkt samozachowawczy i spowoduje wymuszenie działań przygotowawczych.

Podsumowanie

Dziękuję, że jesteś ze mną i zgłębiasz tajniki cyberbezpieczeńśtwa, w trochę inny, niż standardowy sposób. Uważam, że nawet w tak technicznej domenie należy rozmawiać o tzw. elementach miękkich – jak np. psychologia zmiany. Będąc świadomy występowania tego typu zjawisk, dużo łatwiej będzie Wam wdrożyć np. działania naprawcze w ramach zidentyfikowanych rekomendacji. Najistotniejsze elementy, które powinniście zapamiętać z tego wpisu, to:

  • bez zmiany nie możemy mówić o lessons learned,
  • najwyższe kierownictwo odgrywa kluczową rolę w promowaniu ważności procesu lessons learned,
  • sytuacje kryzysowe często popychają nas do zmiany, ale chyba lepiej przygotować się zawczasu.

Jeśli podobał Ci się wpis, zostaw komentarz pod wpisem, podziel się swoją opinią lub napisz do mnie na adres marcin.sikorski@ctrust.me

Lessons learned Read More »

7 nawyków skutecznego zarządzania incydentami – ostrzenie piły

Zostaw komentarz

7 nawyków skutecznego zarządzania incydentami - ostrzenie piły

Wstęp

Tym wpisem kończę serię 7 nawyków skutecznego zarządzania incydentami. Metaforyczne „ostrzenie piły” to nawyk, dzięki któremu, możliwe jest realizowanie pozostałych sześciu. Stephen Covey mówi o czterech wymiarach „ostrzenia piły”: fizycznym, umysłowym, społeczno-emocjonalnym, duchowym. To chyba będzie najtrudniejszy do opisania nawyk. Dotyczy on obszarów, które na pierwszy rzut oka nie kojarzą się z zarządzaniem incydentami bezpieczeństwa. Co byście powiedzieli, gdybym na przykład zaproponował Wam medytację lub praktykę mindfulness jako jedno z narzędzi poprawy skuteczności w zarządzaniu incydentami? Ma to sens czy raczej brzmi jak kiepski żart? Może sami się przekonajcie.

Ostrzenie piły - Wymiar fizyczny

Każdy z nas choć raz doświadczył sytuacji ogólnego przemęczenia organizmu. Przypomnijcie sobie tę chwilę i sposób, w jaki postrzegaliście świat, jak szybko przetwarzaliście docierające do Was informacje oraz oceńcie jakość podejmowanych przez Was decyzji. Zresztą daleko szukać. Długotrwała jazda samochodem może być dobrym przykładem, jak zmęczenie „tępi” zmysły, powoduje, że nasze reakcje są opóźnione. Ostrzenie piły w wymiarze fizycznym to nic innego jak dbanie o stan swojego zdrowia, niedoprowadzanie się do sytuacji fizycznego przeciążenia organizmu.

Praktyczna implementacja

Jak więc podejść do wymiaru fizycznego będąc osobą odpowiedzialną za zarządzanie incydentami bezpieczeństwa? Przede wszystkim dbaj o Swoje zdrowie fizyczne i zdrowie Twojego zespołu, nie przeciążaj Siebie oraz Swojego zespołu, nie dokładaj zbędnych zadań. Pamiętaj o trzecim nawyku – rób wpierw to, co najważniejsze. Angażuj do obsługi incydentów bezpieczeństwa tyle personelu, ile rzeczywiście jest potrzebne. Ni mniej, ni więcej. Nic chyba tak nie frustruje, jak sytuacja, w której jeden robi, a reszta się patrzy no i nie wie, po co właściwie na przykład została po godzinach. Pewnie z punktu widzenia osoby kierującej obsługą incydentu bezpieczeństwa, im więcej osób wokoło niej, tym lepiej? Ja jestem zdecydowanie innego zdania. No bo przecież takie „nic nierobienie” też jest męczące. A tak wracając do sedna sprawy, dbając o odpowiednią kondycję, regenerację możemy dużo sprawniej, skuteczniej realizować zadania związane z zarządzaniem incydentami bezpieczeństwa.

Ostrzenie piły - Wymiar umysłowy

„Ostrzenie piły” w wymiarze umysłowym to ciągła nauka, zdobywanie nowych i podtrzymywanie już nabytych umiejętności. Tak jak w wymiarze fizycznym, naszym celem, nawykiem jest dbanie o nasze zdrowie, tak w wymiarze umysłowym, uwagę powinniśmy skupić na trenowaniu naszego mózgu.

Praktyczna implementacja

Poznawanie nowych technik ataku, metod detekcji i monitoringu, nabywanie umiejętności w zakresie przeprowadzania analizy czy efektywniejszych metod komunikowania powinno być stałym elementem naszego planu rozwoju. Powinniśmy również pamiętać o wymiarze umysłowym całego zespołu. Tu nieodłącznym elementem jest prowadzenie okresowych warsztatów z zarządzania incydentami bezpieczeństwa, im więcej, tym lepiej. Jak mawiało stare przysłowie: „Im więcej potu na poligonie, tym mniej krwi na polu walki”. Celem jest wyrobienie nawyku uczenia się. Dzięki nim nabywanie nowych umiejętności będzie dla nas czymś naturalnym. Uważam, że ważnym jest nie tylko zdobywanie tak zwanych umiejętności twardych – technicznych, ale również umiejętności miękkich – jak na przykład umiejętności sprawnego komunikowania. Śmiem twierdzić, że to od tych drugich zdecydowanie zależy jakość obsługi incydentów bezpieczeństwa.

Ostrzenie piły - Wymiar społeczno-emocjonalny

Nie wiem jak dla Was, ale dla mnie kwestie relacji międzyludzkich, emocji, jakie temu towarzyszą, mają istotne znaczenie, zwłaszcza w pracy. Spędzamy zresztą w niej większą część naszego życia. Praca w domenie zarządzania incydentami bezpieczeństwa obarczona jest dodatkowo wysokim ryzykiem pojawienia się stresu. Spowodowane jest to na przykład koniecznością podejmowania często bardzo trudnych decyzji, w ograniczonym czasie, przy braku pełnych danych. Praca ta grozi również szybkim wypaleniem zawodowym. Ważne jest więc dbanie o ten wymiar.

Praktyczna implementacja

Uważam, że kwintesencją „ostrzenia piły” w wymiarze społeczno-emocjonalnym jest okazywanie sobie wzajemnego szacunku. Możemy to osiągnąć poprzez empatyczne podejście do drugiego człowieka. Tu w sposób naturalny nasuwa się nawyk związany z aktywnym słuchaniem – słuchaniem empatycznym. Omawiałem szerzej ten aspekt w tym wpisie – 7 nawyków skuteczne go zarządzania incydentami – staraj się najpierw zrozumieć, potem być zrozumiany.

Zastąp REAKCJĘ REFLEKSJĄ

Ostrzenie piły - Wymiar duchowy

To praca w obszarze Twojego systemu wartości. Dla mnie ma on bardzo duże znaczenie. Być integralnym, postępować w zgodzie z sobą, szanować siebie, jak również drugiego człowieka. Tu z pomocą może przyjść wspomniana na początku medytacja uważności. Pracuję nad tym, by stała się ona stałym elementem mojego dnia. Praktyka pozwala dostrzec rzeczy na pierwszy rzut oka niedostrzegalne, skupić uwagę i wysiłek na rzeczach istotnych, ważnych, ale nie pilnych. Pozwala zwolnić tempo i zamiast reakcji wyzwolić refleksję. Jestem ciekaw, kto z Was uśmiechnie się w tym momencie pod nosem? Jaki to ma związek?

Praktyczna implementacja

Ja uważam, że ma i to szalenie istotny. W ramach różnych szkoleń w obszarze zarządzania incydentami bezpieczeństwa jednym wciąż z powtarzanych jak mantra zachowaniem jest – zachowaj spokój, zastanów się, jaka jest najlepsza reakcja na zaistniały incydent. Żeby to uczynić, należy zrobić przysłowiowy krok w tył i bez zbędnych emocji ocenić zaistniałą sytuację z szerszej perspektywy. Pośpiech jest w tym momencie najgorszym doradcą. Oczywiście od każdej reguły są wyjątki. Może się jak najbardziej zdarzyć, że sytuacja, przed którą staniemy, będzie wymagała od nas podjęcia natychmiastowych decyzji. Może się tak zdarzyć. Nie unikniemy tego. Nie mniej jednak warto być zawczasu przygotowanym, mieć gotowe scenariusze działania i działać w spokoju.

Podsumowanie

Kiedyś nie doceniałem „ostrzenia piły”. Wydawało mi się, że jest to strata czasu. Obecnie swój wysiłek skupiam właśnie na tym nawyku, bo pozwala mi rozwijać pozostałe sześć. Zachęcam Was do praktykowania i rozwijania się we wszystkich czterech wymiarach, a efekty tej pracy z pewnością Was zadziwią. Tym wpisem kończę serię 7 nawyków. Mam nadzieję, że ich lektura pozwoli Wam skutecznie zarządzać incydentami bezpieczeństwa.

Książka stała się dla mnie bardzo ciekawą inspiracją i równie interesującym eksperymentem – jak zastosować w praktyce wiedzę z obszaru psychologii w cyberbezpieczeństwie. Mam nadzieję, że mi się to udało.

Jeśli podobał Ci się wpis, zostaw komentarz, podziel się swoją opinią, udostępnij go innym lub napisz do mnie na adres marcin.sikorski@ctrust.me. Zachęcam do współpracy.

Pozdrawiam Was,

Marcin

7 nawyków skutecznego zarządzania incydentami – ostrzenie piły Read More »

7 nawyków skutecznego zarządzania incydentami – synergia 

1 Comment

7 nawyków skutecznego zarządzania incydentami - synergia

Wstęp

Z terminem synergia zapewne zetknęliście się niejeden raz. Znacie to stwierdzenie. Jeden dodać jeden równa się trzy, czasem pięć a może i dużo więcej. Przyznam się Wam, że przez dłuższy czas rozumiałem to pojęcie dokładnie w taki sposób – „… całość jest czymś więcej niż sumą poszczególnych części” jak stwierdził Stephen Covey w swojej książce, opisując szósty nawyk. Jednak oprócz tego powiedział coś jeszcze i to coś, zupełnie zmieniło mój sposób patrzenia na tematykę synergii.

W dzisiejszym wpisie chciałbym Ci opowiedzieć o istocie synergii, czyli o docenianiu różnic: umysłowych, emocjonalnych, psychologicznych w zespole. Przecież wiesz, że każdy z nas jest wyjątkowy, inny na swój sposób. Dzięki tej różnorodności, pracując w zespole, możemy osiągnąć znacznie więcej i dojść dużo dalej niż działając w pojedynkę.

Team, team, team, …

Wielbiciele brytyjskiego serialu The IT Crowd pamiętają słowa, które wypowiedział Denholm Reynholm do trójki bohaterów, a właściwie do dwójki z nich, gdy przyszli uprzejmie donieść, że jednak nie po drodze im z nową szefową. Do tej pory oglądając tę scenę, mam niezły ubaw.

W scenie tej, mimo że to czysta groteska, zawarto dość ważną ideę. Podstawą skutecznego działania jest praca zespołowa. Nie pracujesz zespołowo, wypadasz z gry. Zaryzykuję stwierdzenie, zwłaszcza w odniesieniu do dzisiejszych czasów, że tak powinno być za każdym razem. Oczywiście jestem również zwolennikiem dawania drugiej szansy, żeby nie było.

Mówię o tym, bo cyberbezpieczeństwo, obsługa incydentów bezpieczeństwa jest bez wątpienia grą zespołową. W ramach zespołu, jej członkowie pełnią określone role. Różne role wymagają różnych umiejętności tych twardych, jak i równie ważnych — umiejętności miękkich. Nie ma możliwości stworzenia skutecznego zespołu, gdzie każdy myśli w ten sam, identyczny sposób. To nawet jest zwyczajnie w świecie nudne.

Różnorodność w zespole

Dzięki różnorodności, analizując kierunki działania, możliwe jest wypracowanie najlepszej odpowiedzi na incydent. To różnorodność sprawia, że patrzymy na dane zagadnienie z różnych perspektyw. Czy oznacza to, że ktoś ma rację, a ktoś nie? Spójrz na poniższy rysunek autorstwa duńskiego psychologa pod tytułem „Złudzenie Rubina”. Co przedstawia?

Okazuje się, że to, co widzimy, w małym stopniu zależy od wzroku. To mózg interpretuje obraz i w zależności od tego, w jaki sposób spojrzymy na obraz, jaką zastosujemy perspektywę, jakie mamy doświadczenia, taki o to rysunek ujrzymy na pierwszym planie. W tym miejscu nie jest istotne, co ujrzałeś(aś) pierwsze. Ideą jest dowieść, że każdy z nas, daną sytuację czy jak w tym przypadku obraz, może interpretować w inny sposób. Zwróć uwagę, że każda z osób patrzących na obraz ma rację. Sztuką jest jednak dostrzec ten drobny szczegół. Jesteśmy po prostu różni. Co by było, gdybyśmy patrzyli na wszystko w identyczny sposób? Czy zgodzisz się ze stwierdzeniem, że „jeśli dwie osoby mają taką samą opinię, jedna jest niepotrzebna”?

Istotą synergii jest dbanie o różnorodność

Zagrożenia w zespole

Co w przypadku kiedy osoba z zespołu nie doświadczyła efektu synergii, która nastawiona jest na chronienie siebie, której wpojono brak zaufania do innych ludzi? Wydaje się, że nie jest w stanie spojrzeć na sprawę z perspektywy drugiej osoby, przez co traci i to bardzo dużo. Zatraca dodatkową perspektywę.

A co się dzieje w przypadku osób decyzyjnych o ograniczonych perspektywach? Po pierwsze mają ogromną potrzebę duplikowania ludzi na swoje podobieństwo, lepienia ich na swój sposób. Myślą błędnie, że ujednolicenie tworzy jedność. Ponieważ nie rozumieją lub nie dopuszczają do siebie, że siła leży w możliwości innego spojrzenia na sprawę, wypierają tę fakt, przez co cierpią na brak danych, bo bazują tylko i wyłącznie na swoim doświadczeniu.

Szanse dla zespołu

Różnorodność jest szansą dla zespołu. Warunkiem jednak jest, by każdy z jego przedstawicieli z pokorą przyjmował własne ograniczenia w postrzeganiu i z szacunkiem doceniał poglądy innych ludzi. Osoby z takim podejściem cenią różnorodność, bo rozumieją, że tylko w ten sposób są w stanie powiększać swoją wiedzę na temat otaczającego je świata, jak i zrozumieć rzeczywistość. W przypadku obsługi incydentów bezpieczeństwa, podejście takie otwiera perspektywę i pozwala szerzej spojrzeć dla przykładu na kwestię tzw. root cause. Dlaczego w ogóle doszło do incydentu bezpieczeństwa ? Co było pierwotnym problemem, który przyczynił się do tego?

Podsumowanie

Pozwolę sobie powtórzyć raz jeszcze, że cyberbezpieczeństwo jest grą zespołową. By skutecznie reagować na incydenty bezpieczeństwa, potrzeba jest posiadania w zespole osób o różnym profilu psychologicznym, z różnorodnym wachlarzem umiejętności, bo tylko wtedy można rozszerzyć perspektywę analizowanego przypadku. Rolą kierowników zespołów jest pielęgnować różnorodność, mimo że może budzić pewne obawy. Obawy związane z tym, że może decyzje, pomysły kierownika mogą być podważane, kwestionowane, wystawiane na próbę. Osobiście uważam, że nie ma w tym nic złego, pod warunkiem wzajemnego szacunku do siebie osób prowadzących dyskusję.

Jeśli podobał Ci się wpis, zostaw komentarz pod wpisem, podziel się swoją opinią lub napisz do mnie na adres marcin.sikorski@ctrust.me

7 nawyków skutecznego zarządzania incydentami – synergia  Read More »

7 nawyków skutecznego zarządzania incydentami – staraj się najpierw zrozumieć, potem być zrozumiany 

Zostaw komentarz

7 nawyków skutecznego zarządzania incydentami - staraj się najpierw zrozumieć, potem być zrozumiany

Wstęp

Czy zdarzyło Ci się kiedykolwiek słuchać drugiej osoby, ale nie słyszeć tego, co tak naprawdę ma Ci do powiedzenia? Brzmi znajomo? Pewnie, że tak. Chyba każdy z nas miał choć raz w życiu taką sytuację – być myślami gdzie indziej w trakcie rozmowy, lekceważąco podchodzić do swojego rozmówcy czy zamiast słuchać uważnie, w myślach zawczasu budować odpowiedź, nie biorąc pod uwagę przywoływanych przez rozmówcę argumentów.

Istnieje pięć poziomów słuchania – od poziomu, gdzie całkowicie ignorujemy drugą stronę, po słuchanie empatyczne – de facto słuchamy „sercem”, słuchamy emocji. Jak zaznacza autor książki „7 nawyków …” zdolność komunikacji stanowi najważniejszą umiejętność życiową. Praktykujemy ją nieustannie. Obsługa incydentów cyberbezpieczeństwa nie stanowi tu wyjątku. Uważam, że aby podjąć właściwe decyzje w ramach odpowiedzi na incydent, trzeba wpierw usłyszeć głosy ludzi bezpośrednio zaangażowanych w jego obsługę, ludzi posiadających doświadczenie, wiedzę. Inny punkt widzenia pozwala ujrzeć często to, czego sami nie jesteśmy w stanie dostrzec. Jednak wpierw musimy usłyszeć.

Z dzisiejszego wpisu dowiesz się:

  • o pięciu poziomach słuchania;
  • czym jest słuchanie aktywne i dlaczego jest tak ważne w pracy związanej z obsługą incydentów bezpieczeństwa;
  • jakie są dostępne „techniki” aktywnego słuchania;
  • jakich błędów w zakresie słuchania się wystrzegaj.

Jeśli jest to pierwszy wpis tej serii, który czytasz, zachęcam Cię do lektury poprzednich. Pozwoli Ci to zbudować sobie szerszy kontekst. Linki znajdziesz poniżej:

5 poziomów słuchania

Jak już wspomniałem we wstępie, istnieje pięć poziomów słuchania:

  • słuchanie ignorowane – słyszeć nie znaczy że usłyszysz;
  • słuchanie udawane;
  • słuchanie selektywne
  • słuchanie z uwagą – słuchanie faktów
  • słuchanie empatyczne – słuchanie by zrozumieć /słuchanie emocji

Tak naprawdę, te, na których powinno nam zależeć, to słuchanie z uwagą – słuchanie faktów oraz słuchanie empatyczne – słuchanie emocji. Myślę, że nie ma sensu rozpisywać się o pierwszych trzech. Nazwy mówią same za siebie. Warto jednak być świadomym ich istnienia i skutecznie je eliminować ze swojego życia. Zastanów się. Czy nie jest denerwującym fakt, jak Twój rozmówca w trakcie rozmowy np. przegląda telefon, albo potakuje głową, ale gdy spytasz go o zdanie lub opinię, to w odpowiedzi prosi Cię o powtórzenie pytania? Denerwuje Cię to, prawda? Mnie również. Tu warto jeszcze wspomnieć o intencji, z jaką podchodzimy do swojego rozmówcy w trakcie słuchania. Czy jest to intencja poznawcza, czy może do zbicia argumentów?

Słuchanie aktywne

Można powiedzieć, że słuchanie aktywne zaczyna się od poziomu czwartego – słuchanie z uwagą. Dlaczego mimo to nie jest w pełni aktywnym słuchaniem? Okazuje się, że nawet wtedy może dojść do sytuacji, gdzie tracimy uwagę, rozpraszamy się. Sposobem na to jest słuchanie empatyczne. Czym zatem jest? Najprościej można je scharakteryzować poprzez:

  • koncentrowanie się na rozmówcy;
  • stworzenie przestrzeni dla rozmowy;
  • zaangażowanie się swoją postawą w rozmowę;
  • przyglądanie się rozmówcy;
  • zadawanie pytań, parafrazowanie, dopytywanie.

Słuchanie aktywne w procesie obsługi incydentów bezpieczeństwa

Nieocenionym okazuje się umiejętność aktywnego słuchania w trakcie obsługi incydentu bezpieczeństwa. O ile sztuką jest zadawanie pytań w celu poznania obiektywnej prawdy, o tyle jeszcze trudniejsze okazuje się usłyszeć, co tak w rzeczywistości druga strona chciała powiedzieć. Myślę, że ma to znaczenie na każdym etapie obsługi incydentu – od chwili jego zgłoszenia do momentu poszukiwania prawdziwej przyczyny jego wystąpienia, tzw. the root cause – przyczyna podstawowa. Słuchanie więc ma ogromne znaczenie. Jeśli nie usłyszymy tego co rzeczywiście powinniśmy usłyszeć, to przecież możemy błędnie zarejestrować incydent, źle skategoryzować, doprowadzić do błędnych decyzji, które mogą mieć daleko idące konsekwencje finansowe czy odpowiedzialności prawnej. Zatem ważne jest by słyszeć.. Wiem, nie jest to łatwe. Nic jednak nie stoi na przeszkodzie by systematycznie ćwiczyć aktywne słuchanie. W tym mogą Ci pomóc narzędzia aktywnego słuchania.

istnieje różnica między słuchać a słyszeć

Techniki aktywnego słuchania

Jak to mówią, w prostocie siła. To, co Ci zaproponuję, nie jest niczym wyrafinowanym, ale działa. Poniżej znajdziesz listę technik, które pozwolą Ci praktykować aktywne słuchanie. Korzystaj z nich do woli. Baw się nimi. Istotą jest, by dotrzeć do sedna wypowiedzi swojego rozmówcy. Tak na marginesie, lista ta nie jest w żaden sposób uporządkowana, więc każda z tych technik wydaje się tak samo skuteczna:

  • pytania precyzujące – zadawaj pytania, jeśli, czegoś nie rozumiesz, nie wiesz. To nie jest wstyd czegoś nie wiedzieć. Wstydem jest nie pytać i udawać, że się na wszystkim znasz i wszystko wiesz.
  • klaryfikacja – wyjaśnij kwestie, które nie są do końca zrozumiałe, skąd powstała jakaś opinia, na jakiej podstawie, na bazie jakich faktów.
  • podsumowanie -zbierz wszystkie wątki- podsumowuj rozmowę, rób ustalenia.
  • parafraza – powtarzaj czyjeś słowa własnymi słowami. „Twierdzisz, że…”, „Jeśli dobrze rozumiem Cię, to chciałeś powiedzieć, że…”.
  • notowanie – skrupulatnie rób notatki.

Jestem pewny, że znalazłoby się jeszcze wiele innych technik. Myślę jednak byś zaczął od tych wymienionych. Wdróż je w życie, a korzyści przyjdą same.

Błędy w procesie słuchania

Na koniec kilka błędów, które niestety zdarzają się dość często w trakcie słuchania drugiej osoby. Przeanalizuj czy nie zdarza Ci się ich popełniać:

  • pseudosłuchanie – podzielność uwagi to mit;
  • zbyt wczesne dawanie rad i rozwiązań;
  • osądzanie – nikt nie lubi być osądzanym, można się co najwyżej nie zgodzić z tezą, stwierdzeniem;
  • brak reakcji na czyjeś słowa;
  • okazywanie zniecierpliwienia;
  • wyciąganie pochopnych wniosków;
  • wtrącanie się w trakcie wypowiedzi innej osoby;
  • kończenie zdania za kogoś;
  • przerywanie – nie zabijaj ciszy za wszelką cenę.

Podsumowanie

Słuchanie aktywne nie należy do najprostszych czynności. Wymaga od nas dużo skupienia i bez wątpienia treningu. Na szczęście, jak każda inna umiejętność da się ją wytrenować. Oczywiście wpierw musi Ci się chcieć. 

Jeśli podobał Ci się wpis, zostaw komentarz pod wpisem, podziel się opinią lub napisz do mnie na adres marcin.sikorski@ctrust.me

7 nawyków skutecznego zarządzania incydentami – staraj się najpierw zrozumieć, potem być zrozumiany  Read More »

7 nawyków skutecznego zarządzania incydentami – myśl w kategoriach wygrana – wygrana

Zostaw komentarz

7 nawyków skutecznego zarządzania incydentami - myśl w kategoriach wygrana - wygrana

Wstęp

Myśl w kategoriach wygrana – wygrana (z ang. win-win situation) zalicza się do filozofii życiowej, pewnego sposobu myślenia. Takie podejście nazywane jest często filozofią obfitości. Wyrasta ono bowiem z przeświadczenia, że dla każdego starczy przy podziale przysłowiowego tortu. W dzisiejszych czasach trudno o taką postawę, a to z prostej przyczyny. Ogólnie rzecz ujmując, jesteśmy skupieni na sobie, na zaspokajaniu swoich potrzeb, zabezpieczaniu swoich interesów w życiu prywatnym, w życiu zawodowym. Prawdą jest też, że nie ma w tym nic dziwnego. Przecież z punktu widzenia naszego ego, jesteśmy najważniejsi, liczymy się tylko i wyłącznie my.

Nawyk, do którego będę się dziś odnosił, dotyczy relacji międzyludzkich, określa sposób, w jaki powinniśmy podchodzić do negocjacji. Pamiętaj, że negocjujemy wszędzie i praktycznie z każdym: w domu, w pracy. Zdarza się, że niekiedy jesteśmy tego zupełnie nieświadomi. Wypracowanie decyzji to też negocjacje. Przekonanie kogoś do swoich racji, to też negocjacje. Jak zapewne wiesz, zarządzanie incydentami bezpieczeństwa to przede wszystkim ciągłe podejmowane różnorakich decyzji, nieustanna współpraca z ludźmi. Jednak nawet w najlepszych organizacjach dochodzi do różnicy zdań pomiędzy pracownikami. Odmienne poglądy prowadzą do dyskusji, dochodzi do mniej lub bardziej otwartych konfliktów, choć mówi się, że i one są potrzebne. To, jaką postawę przyjmiesz, będzie miało znaczenie czy będziesz skuteczny w zarządzaniu incydentami bezpieczeństwa, czy też nie. Dla tych. którzy nie mieli okazji przeczytać poprzednich wpisów tej serii, pragnę przypomnieć, że pierwsze trzy: 7 nawyków skutecznego zarządzania incydentami – bądź proaktywny7 nawyków skutecznego zarządzania incydentami – zaczynaj z wizją końca, 7 nawyków skutecznego zarządzania incydentami – rób wpierw to, co najważniejsze dotyczą pracy nad sobą.

Rodzaje postaw

Skoro myślenie w kategoriach wygrana-wygrana jest tym, do czego powinniśmy dążyć w negocjacjach, domyślasz się już zapewne, że istnieją inne, zgoła odmienne sposoby myślenia. Możemy więc wyróżnić następujące podejścia:

  • wygrana – przegrana
  • przegrana – wygrana
  • przegrana – przegrana
  • wygrana-wygrana albo nie robimy interesów.

Zanim jednak przejdę do krótkiego opisu powyższych filozofii życiowych, pytanie, jak to można odnieść do zarządzania incydentami bezpieczeństwa. Jak zapewne pamiętasz pierwsze trzy nawyki, o których możesz przeczytać we wcześniejszych wpisach tej serii, jeśli jeszcze tego nie zrobiłeś, dotyczą pracy nad sobą, budowaniu wewnętrznej dyscypliny, niezależności. O tyle ten nawyk i dwa kolejne, które w swojej książce opisuje Covey, dotyczą naszej współzależności. Jak wspomniałem we wstępie, zarządzanie incydentami bezpieczeństwa jest grą zespołową. Można to rozpatrywać na różnych płaszczyznach. Jedną z nich jest współpraca w ramach zespołu bezpieczeństwa. Mowa tu o ścieraniu się idei, wizji, w jaki sposób budować bezpieczeństwo organizacji. Które pomysły realizować, a które nie? Jak je realizować? Jakimi zasobami? W jaki sposób dokonywać podziału zadań? Jakby nie było to negocjacje. Kolejną płaszczyzną do rozważenia jest współpraca lub jej próby z zespołem IT. Pamiętaj, że zespół bezpieczeństwa nie jest zawieszony w próżni. To, w jaki sposób będziemy budować relacje, mając, jakby nie było często odmienne cele do realizacji od innych zespołów, będzie miało bezpośredni wpływ na sposób obsługi incydentów bezpieczeństwa. Wróćmy jednak do podziału w odniesieniu do naszego głównego wątku, czyli obsługi incydentów bezpieczeństwa.

Wygrana - przegrana

To klasyczny przykład gdzie nie interesuje Cię zdanie innych. Uważasz, że tylko i wyłącznie Ty masz rację, Twoje pomysły czy sposób obsługi incydentu jest jedynie słuszny. Oczywiście spore znaczenie ma, w jakiej roli występujesz w organizacji, jaka jest Twoja pozycja. Mówię o tym, bo skutki tego typu zachowania mogą być skrajnie odmienne. Co by jednak nie było, to i tak tracisz na takiej postawie, pomimo tego, że pozornie wygrywasz. Tracisz, bo prędzej czy później nikt nie będzie chciał z Tobą pracować. Jeśli, mimo wszystko, ktoś nadal będzie chciał „współpracował” z Tobą, to z pozycji przegranego „wycofa się” na bezpieczne pozycje, „okopie” i grzecznie będzie przytakiwał każdemu Twojemu pomysłowi. Czy rzeczywiście chciałbyś pracować w ten sposób?

Przegrana - wygrana

Postawa przegrana – wygrana przejawia się w byciu uległym – tzw. syndrom miłej osoby. Robię wszystko, zgadzam się na wszystko, by być lubianą osobą. Ma to swoje katastrofalne skutki, zwłaszcza gdy występujesz w roli przełożonego, a Twoi podwładni „wchodzą” Ci na głowę. Załóżmy, że jesteś szefem zespołu odpowiedzialnego za obsługę, reagowanie na incydenty bezpieczeństwa. Masz sytuację kryzysową, trzeba porozdzielać, skoordynować działania i nagle dowiadujesz się, że ktoś z Twojego zespołu nie chce czegoś zrobić, na zasadzie nie, bo nie. Ty działając w duchu filozofii przegrana – wygrana, nadal próbujesz budować wizerunek miłej osoby i nadzwyczajnie poddajesz się, a na koniec zrobisz zadanie przydzielone tej osobie, bo nie chcesz wyjść na tego złego.

Przegrana - przegrana

Ta postawa chyba mówi sama za siebie. To jest konfrontacja, pójście na przysłowiową wojnę. Żadna ze stron nie zamierza odpuścić drugiej. Jeśli ja nie zyskam, to i druga strona nie zyska. Myślę, że to sytuacja najbardziej destrukcyjna ze wszystkich. Tu nie ma mowy o współpracy, dążeniu do wspólnego celu. Taka wojna na wyniszczenie przeciwnika.

Wygrana - wygrana albo nie robimy interesów

Postawa, która jest prawie zbliżona do oczekiwanej. Oczywiście to prawie, jak w reklamie, robi różnicę. Sytuacja jest w miarę prosta. Szukamy rozwiązania, przy którym obie strony są przeświadczone, że osiągnęły zamierzony cel, są „win-win”. Jeśli jednak nie da się znaleźć takiego rozwiązania, to lepiej nie wchodzić w układ. Przyznam otwarcie, że ciężko mi tu odnieść się do jakiejś sytuacji, która mogłaby zaistnieć w zakresie zarządzania incydentami i taki scenariusz mógłby zaistnieć. Jak coś znajdę, to zrobię update artykułu. Jakby nie było, co by nie mówić i jak robić, jednak incydent należy obsłużyć i nie może być tu mowy o sytuacji, że jak się nie dogadamy, to nie działamy.

Kompromis

Na wstępie przedstawiłem pokrótce ogólne wartości, jakimi kierują się ludzie wyznający filozofię wygrana-wygrana. Istnieje opinia, która mówi o tym, że wygrana – wygrana to pójście na kompromis. Nic bardziej mylnego. Prawdą jest, że jeżeli dwie strony kończą negocjacje w poczuciu, że każda z nich musiała z czegoś ustąpić, to jak pewnie się domyślasz, obydwie z nich tak naprawdę przegrały. Oczywiście nie możemy tego bezpośrednio odnieść do opisywanej wcześniej postawy przegrana – przegrana. Tamta po prostu jest mniej lub bardziej otwartym konfliktem.

Kompromis to w rzeczywistości sytuacja przegrana - przegrana

Rywalizacja

Od młodych lat jesteśmy wychowywaniu w duchu wzajemnej rywalizacji. Pewnie znajdą się badacze pisma, którzy stwierdzą, że o co mi chodzi. Czy jest coś w tym złego? W pewnych sytuacjach oczywiście, że nie. W trakcie wszelakich rozgrywek, turniejów, żeby ktoś mógł triumfować, ktoś musi przegrać. Problem pojawia się z chwilą, gdy tego typu zachowania przenosimy na kanwę zawodową. Jak to się przejawia? Walczenie o zasługi, budowanie „czarnego PR” swoim współpracownikom z pracy, swoim przełożonym.

Wygrana - wygrana

Czym jest zatem wygrana – wygrana? Jest wyjściem poza utarty schemat, w którym, żeby jedno zyskało, to drugie musi stracić. To dojrzała asertywność. To szczera wiara w to, że wszystkiego jest w nadmiarze. Przejawia się to postawą, w ramach której dzielimy się wiedzą, delegujemy uprawnienia, niejako pozbywamy się części władzy. Nie dbamy o to, kto zdobędzie zasługi, bo mamy świadomość tego, że wszyscy grają na dobro jednego zespołu. Mam świadomość tego, że pisząc ten wpis, brzmi to trochę science-fiction, ale prawdą jest, że sytuacja wygrana – wygrana jest możliwa do osiągnięcia. Trzeba ją tylko poszukać. Wymaga pewnej odwagi, a odwagę czerpiemy z poczucia własnej wartości. Tylko proszę, pamiętaj, że poczucie własnej wartości nie pochodzi z zewnątrz. Nie buduj jej poprzez umniejszanie innym. Od tego nie staniesz się lepszy.

Podsumowanie

Myśl w kategoriach wygrana – wygrana to pewna recepta na budowanie silnego, zgranego zespołu. To postawa, w której szanujemy zdanie innych, szukamy wzajemnych korzyści i nie idziemy na kompromis za cenę utraty części korzyści. Żeby myśleć w kategoriach wygrana – wygrana, musisz być osobą, która nie jest zawistna, która widzi wartość we współpracy, która dzieleni się wiedzą, deleguje uprawnienia. Jak już podkreślałem, nie jest to łatwy nawyk do wdrożenia, zwłaszcza dla tych, którzy uwielbiają rządzić i nie chcą się pozbyć nawet części władzy.

Jeśli podobał Ci się wpis, zostaw komentarz, podziel się nim ze swoimi znajomymi lub jeśli masz ochotę współpracować napisz do mnie na adres marcin.sikorski@ctrust.me.

7 nawyków skutecznego zarządzania incydentami – myśl w kategoriach wygrana – wygrana Read More »

7 nawyków skutecznego zarządzania incydentami – rób wpierw to, co najważniejsze

Zostaw komentarz

7 nawyków skutecznego zarządzania incydentami - rób wpierw to, co najważniejsze

Wstęp

Rób wpierw to, co najważniejsze. W kontekście opisywanych nawyków skutecznego działania według Covey’a ten wydaje mi się jednym z trudniejszych a może i najtrudniejszym do realizacji. Dlaczego tak uważam? W mojej ocenie główny problem wynika z kilku powodów:

  • braku zdefiniowanych celów,
  • braku jasnozdefiniowanych celów,
  • błędnie zakomunikowanych celów.

Problem ten dotyka zarówno nasze życie prywatne, zawodowe, jak również dotyczy samych organizacji, dla których pracujemy.
W pierwszym przypadku brak wiedzy na temat tego, co chcę osiągnąć w życiu, co mnie motywuje, co mnie napędza do działania, co definiuje moje szczęście, sprawia, że marnujemy energię na rzeczy nieistotne, nieważne. Przysłowiowo kręcimy się w kółko. Rozważając organizacje, zdarza się czasem, że przestajemy widzieć sens naszej pracy, następuje tzw. wypalenie zawodowe, a reszty chyba się już domyślasz. Pozwól, że w dalszej części skupię się na celach organizacji, w kontekście zarządzania incydentami. Tu jeszcze mała dygresja. Uważam, że ten nawyk bardzo mocno łączy się z poprzednim nawykiem – zaczynaj z wizją końca. No wiesz. Jeśli wiem, co ma być na końcu mojego działania, wiem, do czego dążę, to wiem z kolei, które działania przybliżają mnie do celu, które są ważne, a które najzwyczajniej w świecie są istną stratą czasu. Proste? Wydaje się bardzo proste. A jak to się ma do zarządzania incydentami?

Priorytetyzacja

Jednym z elementów skutecznego zarządzania incydentami jest określenie właściwego priorytetu obsługiwanych zdarzeń. Dla przypomnienia pamiętaj, że każdy incydent jest zdarzeniem, ale nie każde zdarzenie jest incydentem. Zanim jednak przejdziemy dalej, w tym miejscu chciałbym zwrócić Twoją uwagę na termin priorytet, a właściwie na pochodzenie tego słowa. Powstałe z łacińskiego słowa prior, pierwotnie oznaczające pierwszy, rzecz najważniejszą. Pewnie domyślasz się, do czego dążę? Z logicznego punktu widzenia, w jednym momencie, może istnieć tylko jedno, najważniejsze zdarzenie w obsługiwanej kolejce. Jakie kryteria przyjmiemy, szeregując od najważniejszego do najmniej istotnego zdarzenia, jest często sprawą indywidualną każdego biznesu. Z pewnością priorytet, tu jeszcze raz powtórzę, czyli ten pierwszy, najważniejszy powinien z czegoś wynikać. Intuicja chyba podpowiada Ci, co to może być? Owszem. Analiza ryzyka wystąpienia incydentu. Jeśli nie miałeś okazji przeczytać, wspominałem o tym w pierwszym wpisie tej serii – 7 nawyków skutecznego zarządzania incydentami – bądź proaktywny

Przykłady kryteriów wyboru priorytetu

Kryteria powinny być proste. Kryteria winny wynikać z analizy ryzyka wystąpienia incydentu. Inaczej podejdziemy do incydentu związanego na przykład z ransomware propagującym się w naszej infrastrukturze, inaczej zaś do oprogramowania złośliwego, które zostało ściągnięte, ale skutecznie wykryte i zablokowane przez system klasy EDR (Endpoint Detection and Response). W przytoczonym przykładzie mamy do czynienia z kryterium ograniczenia skutków wystąpienia incydentu (z ang. Containment).
Innym kryterium może być źródło pochodzenia zagrożenia. Z pomocą mogą nam przyjść informacje pozyskane z kanałów CTI (Cyber Threat Intelligence), na bazie których możemy dokonać próby atrybucji zagrożenia, czyli określenia, kto tak naprawdę nas atakuje, jaki jest potencjalny poziom motywacji zagrożenia.
Oczywiście nie zapominajmy o kwestiach biznesowych. W zupełnie inny sposób podejdziemy do incydentu, gdzie zagrożona jest ciągłość procesu krytycznego – czyli na przykład kryterium ważności procesu, a inaczej gdy zagrożony jest jakiś proces poboczny. W tym pierwszym przypadku potencjalnie w grę może wchodzić nasze być albo nie być na rynku.
Jednym z klasycznych kryteriów, może być na przykład konieczność bycia zgodnym z regulacjami i obowiązkiem zgłoszenia incydentu do instytucji nadzorującej.

Metody ustalania priorytetu

Jedną z metod, która zasługuje na uwagę, jest matryca Eisenhowera – koncepcja świadomego zarządzania sobą w czasie. Wspominam o niej z kilku powodów:

  • jest intuicyjna,
  • prosta w implementacji, bo posiada tylko cztery, a w praktyce dwa obszary, które wymagają naszej uwagi.

Matryca oparta jest na dwóch kryteriach: pilności oraz ważności zadania. Jednym z najczęstszych błędów, jaki popełniamy, jest mylenie tych dwóch pojęć. Generał mawiał: „To, co ważne, rzadko bywa pilne, a to, co pilne, rzadko bywa ważne”. To pamiętne zdanie wyraża całą istotę rzeczy. Oczywiście, zawsze od reguły są pewne wyjątki. O tym jednak może trochę później.

To, co ważne, rzadko bywa pilne, a to, co pilne, rzadko bywa ważne

Dwight Eisenhower

Pilność

Na jednej osi matrycy mamy pilność. Pilność to nic innego jak czas. Na tej podstawie zadania dzielimy na: pilne i niepilne.

Ważność

Na drugiej osi mamy ważność danego zadania. Ważność jednak rządzi się innymi prawami. To czy coś jest ważne, zależy od następujących kryteriów:

  • czy zadanie zbliża mnie do realizacji celu, a jeśli jest ich kilka, to które z nich bardziej i na tym powinienem skupić swoją uwagę?
  • kto mi to zadanie delegował/zlecił – jak ważna jest ta osoba w organizacji? Im osoba mniej ważna, tym zadanie mniej ważne.
  • czy tylko ja jestem w stanie wykonać to zadanie? Czy zadanie może być delegowane?
  • jakie są konsekwencje niewykonania. Co się stanie, jak tego zadania nie zrobię?
źródło: www.dreamtime.com

Na podstawie powyższego, zadania możemy podzielić na:

  • pilne i ważne,
  • niepilne i ważne,
  • pilne i nieważne,
  • niepilne i nieważne.

Nie będę rozpisywał się na temat każdej z tych kategorii. Skupmy się na dwóch pierwszych. Podświadomie czujesz, że pilne i nieważne oraz niepilne i nieważne, to te zadania, którymi zdecydowanie nie powinieneś się zajmować, nie przybliżają Cię do zamierzonego celu, nie skutkują żadnymi konsekwencjami. Na poziomie organizacji jest podobnie. Te zadania można porównać do stwierdzenia, że chcemy gonić króliczka, ale niekoniecznie go złapać. Taki istny zapychacz czasu.

Incydenty pilne i ważne

Próbując zastosować powyższe podejście, do tej kategorii zaliczyłbym wszystkie incydenty, które:

  • realnie wpływają na ciągłość działania Twojego biznesu,
  • wymagają zgłoszenia do regulatora w ustalonym czasie,
  • powodują materializację ryzyka, skutkując stratami na przykład: utratą wizerunku, stratami finansowymi.

Z kolei w kontekście budowania zdolności organizacji w zakresie zarządzania incydentami cyberbezpieczeństwa, nie upatrywałbym w tej ćwiartce, zadań pilnych i ważnych. No dobrze mogą się tam znaleźć, pod warunkiem, że w ustalonym, wyznaczonym czasie, nie zrealizujesz zadań z ćwiartki niepilne a ważne. To ten wyjątek od reguły, o którym wspomniałem wcześniej.

Incydenty niepilne i ważne

Do tej kategorii zaliczyłbym wszystkie incydenty, które zostały zmitygowane, jednak z jakichś powodów należałoby usprawnić np. metody detekcji, dokonać przeglądów obowiązujących polityk, opracować stałe procedury operacyjne itp. Jednym słowem, rzeczy te są ważne, bo systematyczne ich zaniedbywanie, w przyszłości może powodować powstawanie tzw. „pożarów”, których gaszenie wymaga dużo więcej energii i zasobów.

Tu upatrywałbym dużą część zadań związanych z tzw. Lessons Learned – czyli wniosków wyciągniętych po obsłużonym incydencie. Bądźmy otwarci. Większość, jak nie wszystkie, są to zadania średnio i długoterminowe, Nie wymagają często natychmiastowej reakcji. Dotyczą często zmian procesów, a zmiana procesu wymaga czasu, bo to zmiana naszych zachowań.

Podsumowanie

Najważniejsze wnioski do zapamiętania to przede wszystkim:

  • zwrócenie uwagi na niemylenie pilności z ważnością realizowanego zadania. Pilność zadania często wynika z priorytetu innej osoby. Pilność to czas. To, że coś jest pilne, nie znaczy, że jest ważne.
  • zapamiętanie, że jednym z kryteriów ustalenia priorytetu zadania jest cel. Czy nam się to podoba, czy nie, nie wszyscy mamy te same cele. Bardzo dobrze uwidacznia się to w organizacjach, gdzie działy bezpieczeństwa rywalizują z działami utrzymania infrastruktury IT. Nie mówię, że jest tak wszędzie, ale zdarza się od czasu do czasu. 

Jeśli podobał Ci się wpis, zostaw komentarz pod wpisem, podziel się swoją opinią lub napisz do mnie na adres marcin.sikorski@ctrust.me

7 nawyków skutecznego zarządzania incydentami – rób wpierw to, co najważniejsze Read More »