Zarządzanie

7 nawyków skutecznego zarządzania incydentami – zaczynaj z wizją końca

1 Comment

7 nawyków skutecznego zarządzania incydentami - zaczynaj z wizją końca

Wstęp

Drugi nawyk, który Covey wymienia w swoim opracowaniu, dotyczy posiadania wizji końca podejmowanych działań. By to zobrazować, zachęca do zrobienia ćwiczenia myślowego, mającego na celu wyobrażenie sobie siebie samego na własnym pogrzebie. Co chciałbyś usłyszeć o sobie od znajomych, współpracowników, szefa, rodziny, a w końcu najbliższych Ci osób? Na pierwszy rzut oka, przykład ten wydaje się dość przerażający. Po co za życia rozważać tego typu kwestie? Nie mniej jednak jest w tym głęboki sens. Jeśli coś robisz, pomyśl, jaki da Ci to wynik na końcu. Czy w ogóle warto było zaczynać? Na bazie kilku przykładów chciałbym przedstawić Ci, w jaki sposób podejście – zaczynaj z wizją końca, może pozytywne wpłynąć na zarządzanie incydentami cyberbezpieczeństwa?

System zarządzania wiedzą

Z pewnością temat na oddzielny wpis, z uwagi na jego ogromną wartość w procesie zarządzania incydentami cyberbezpieczeństwa. Tu tylko zasygnalizuję jeden element. Brak wiedzy na jakiś temat, nie ułatwia podjęciu decyzji. W zarządzaniu incydentami cyberbezpieczeństwa ciągle operujemy w obszarze niepewności. Jeśli na to nałożymy konieczność podejmowania decyzji w formie reakcji na incydent, to mamy gotowy przepis na sytuację wysoce stresującą. Sztuką jest, by redukować niepewność do takiego poziomu, który powoli nam na „w miarę” komfortowe podjęcie decyzji. W tej sprawie z pomocą przychodzą nam systemy zarządzania wiedzą. Starając się zastosować drugi nawyk, należy przy wyborze, a następnie projektowaniu, implementacji tego typu narzędzi, odpowiedzieć sobie na pytanie. O co tak naprawdę chcemy odpytać system? Czy zarządzając kolejnym incydentem, chcę wiedzieć jak obsługiwano podobny incydent w przeszłości, jakie podjęto kroki? Czy chcę mieć dostęp do ustrukturyzowanych „Lessons Learned”? Wiem, że może pytania te są tendencyjne, ale odpowiedzi na nie już nie są. Warto więc zadać sobie tego typu pytania przed wyborem narzędzia, które ma nas wspierać w procesie podejmowania decyzji.

Im wyższa jakość dostarczonych informacji, tym dokładniejsza i wyważona odpowiedź na zaistniały incydent.

Plany reakcji

W poprzednim wpisie 7 nawyków skutecznego działania w zarządzaniu incydentami cyberbezpieczeństwa – bądź proaktywny wymieniłem plany reakcji na incydent, jako element bycia proaktywnym. Obecnie chciałbym skupić Waszą uwagę na świadomym określeniu „wizji/celu” takiego planu. Myślę, że warto zadać sobie kilka pytań, a w szczególności jedno najważniejsze, które brzmi: „Po co w ogóle tworzymy plany reakcji?” Czy to kolejny dokument z serii tzw. „pułkowników” – no wiecie, napisany i odstawiony na półkę, czy raczej ma czemuś służyć? Uważam więc, że tak zadane pytanie i szczera odpowiedź na nie ukierunkuje dalsze działania. Chciałbym podkreślić w tym miejscu, że nie ważne jest, jaką masz odpowiedź, każda z nich jest poprawna. Tu z pomocą przychodzi nam zarządzanie ryzykiem. Jeśli z naszego punktu widzenia najważniejsze jest bycie zgodnym z regulacjami, co niekoniecznie znaczy posiadanie solidnych zdolności w zakresie zarządzania incydentami cyberbezpieczeństwa i akceptujemy ryzyko, że mamy tzw. „paper security”, niech tak będzie. Jeśli z kolei mamy świadomość faktu, że nasz biznes eksponowany jest na cyber zagrożenia a każdy poważny atak może zakończyć się dla nas przykrymi konsekwencjami w postaci np. bardzo wysokich kar lub nawet zamknięciem naszej działalności, to z pewnością dużą wagę przyłożymy do tego, by nasze plany reakcji były skuteczne. Pamiętaj jednak, że działania, które podejmujemy podlegają wielu ograniczeniom, funkcjonujemy w otoczeniu różnego poziomu ryzyka, mamy inne cele do spełnienia.

System rejestracji incydentów

Podobne pytania należy zadać sobie w zakresie wyboru oraz konfiguracji systemu rejestracji incydentów. Co na końcu chcemy osiągnąć? Czy wystarczy nam przysłowiowy Excel, czy jednak potrzebujemy platformy do współpracy, wymiany myśli, wiedzy, w którym to możemy zaplanować przepływy informacji? W mojej ocenie i z pewnością nie jest to nic odkrywczego, na końcu powinniśmy osiągnąć w pełni sprawne narzędzie, które będzie wspierało system decyzyjny. Kilka słów o tym znajdziecie w poniższym wpisie coś o systemie informacyjnym. Dla mnie właśnie obsługa incydentów to przede wszystkim:

  • ciągłe zasilanie w informacje, budowanie świadomości tzw. operacyjnej.
  • podejmowanie decyzji na różnych szczeblach organizacji.

Im wyższa jakość dostarczonych informacji, tym dokładniejsza i wyważona odpowiedź na zaistniały incydent.

Plan komunikacji

Wydzieliłem to jako odrębny element, gdyż w mojej ocenie plan komunikacji jest jednym z kluczowych elementów zdolności organizacji w zakresie zarządzania incydentami cyberbezpieczeństwa. Tylko znów pojawia się pytanie co rozumiemy poprzez plan komunikacji. Co chcemy osiągnąć na końcu? Czy to tylko i wyłącznie lista kontaktowa na wypadek wystąpienia incydentu cyberbezpieczeństwa, mówiąca o tym, kiedy zadzwonić do CISO, a kiedy do Prezesa, no i w którym momencie powiadomić regulatora? Tu z kolei zaczynają piętrzyć się kolejne pytania. Czy komunikować o wszystkim, czy może tylko o wybranych zdarzeniach? A jeśli o wybranych, to o których? Istotnym jest tutaj posługiwanie się wspólnym słownikiem definicji i pojęć, by nie dochodziło do nieporozumień. Jeśli nie mieliście jeszcze okazji zapoznać się z tymi zagadnieniami, odsyłam Was do tego wpisu „Zdarzenie, alert, incydent”.

Ostatnio natknąłem się na bardzo ciekawy webinar, w którym poruszana była kwestia projektowania komunikacji.

Myślę, że można dojść do bardzo interesujących wniosków, np. do takiego, że de facto wszystko praktycznie co tworzymy jest formą komunikacji. Uważam więc, że projektując procesy zarządzania incydentami cyberbezpieczeństwa, należy uwzględniać element komunikacji na każdym etapie i w każdym szczególe. Żeby to osiągnąć, musimy zaczynać z wizją końca.

Podsumowanie

Uważam, że podejście – zaczynaj z wizją końca, jest bardzo ciekawym i dającym wiele korzyści. Wiedząc, co chcemy osiągnąć na końcu, przede wszystkim nie błądzimy, nie marnujemy energii na  zbędne czynności w myśl zasady – robić, żeby robić. Jeśli podobał Ci się wpis, zostaw komentarz pod wpisem, podziel się swoją opinią lub napisz do mnie na adres marcin.sikorski@ctrust.me

7 nawyków skutecznego zarządzania incydentami – zaczynaj z wizją końca Read More »

7 nawyków skutecznego zarządzania incydentami – bądź proaktywny

Zostaw komentarz

7 nawyków skutecznego zarządzania incydentami - bądź proaktywny

Wstęp

„7 nawyków skutecznego działania” to książka o rozwoju osobistym, którego autora, dla osób interesujących się tym zagadnieniem, nie muszę przedstawiać. Stephen Covey, o którym mowa, opisuje zasady postępowania, które w znaczący sposób mogą wpłynąć na poprawę jakości naszego życia. Zainspirowany lekturą książki, przyszło mi na myśl, że skoro opisywane nawyki są ponadczasowe, a rzeczywiście są, dlaczego nie zastosować ich w ramach procesów zarządzania incydentami cyberbezpieczeństwa? 

Dalsze rozmyślania na ten temat, tylko i wyłącznie utwierdziły mnie w przekonaniu, że „7 nawyków skutecznego działania”, można by potraktować jak swego rodzaju pryncypia, czyli podstawowe wartości, jakie zawsze powinny być obecne w ramach budowanych zdolności zarządzania incydentami cyberbezpieczeństwa w organizacji. Kto wie? Może właśnie wymyśliłem jakąś nową metodykę?

Covey w swojej książce dość szczegółowo, z przykładami opisuje tytułowe 7 nawyków, do których zalicza:

Tym artykułem chciałbym rozpocząć serię wpisów, w ramach których pokażę moje spojrzenie na zarządzanie incydentami, w ujęciu poszczególnych nawyków.

Bądź proaktywny

Z pewnością nie jest wielkim odkryciem stwierdzenie, że postawa proaktywna jest w zdecydowanej większości dużo lepsza niż postawa reaktywna. Można by powiedzieć, że samo stwierdzenie „reagowanie na incydenty”, nacechowane jest raczej postawą reaktywną, wyczekującą niż proaktywną, poszukującą. Chociażby z tego powodu wyłoniła się domena w cyberbezpieczeństwie nazwana threat huntingiem, czyli aktywnym poszukiwaniem zagrożeń w infrastrukturze organizacji. Nie o tym dziś będzie, a o tym, w jaki sposób proaktywnie podejść do kwestii zarządzania incydentami cyberbezpieczeństwa.

Proaktywność vs Reaktywność

Tu należy jeszcze zrobić małą dygresję. Covey stawia znak równości pomiędzy proaktywnością a odpowiedzialnością. Według niego człowiek proaktywny, to taki, który nie szuka wymówek, usprawiedliwień. On po prostu działa. W każdej sytuacji, której doświadcza, upatruje szansy na rozwój. To osoba, która zajmuje się rzeczami, na które ma realny wpływ i jednocześnie ignoruje te, na które wpływu nie ma. Działa racjonalnie w stosunku do sytuacji. Tym właśnie postawa proaktywna różni się od postawy reaktywnej. Ta druga to przede wszystkim ciągłe narzekanie, obwinianie innych za powstałe błędy, negatywne reakcje na pojawiające się sytuacje. Znacie może tego typu zachowania z Waszego otoczenia? Napiszcie w komentarzu, bo naprawdę jestem zainteresowany, z jakimi postawami mieliście częściej do czynienia.

Proaktywność w zarządzaniu

Myślę, by stwierdzić stanowczo, że stosuję się do zasady bycia proaktywnym, zacząłbym od następujących kwestii.

Analiza ryzyka

Uważam, że istotnym elementem w proaktywnym podejściu do zarządzania incydentami cyberbezpieczeństwa jest prowadzenie ciągłej analizy ryzyka ich wystąpienia. Tak na marginesie wymóg ten regulowany jest Ustawą o Krajowym Systemie Cyberbezpieczeństwa. Nie wiem czemu, panuje ogólne przekonanie, że analiza ryzyka to zło konieczne, albo wróżenie z fusów. Oczywiście nie jesteśmy w stanie przewidzieć każdego wariantu. Jednak pamiętaj, że to jest proces ciągły. Może nie masz dziś pełnej wiedzy o wszystkich zagrożeniach. Może potrzebujesz większej „widoczności” w eksploatowanych systemach w postaci rozszerzenia monitoringu. Istotne jest, że wartość, jaka płynie z przeprowadzenia takiego ćwiczenia to budowanie Twojej świadomości, świadomości Twoich przełożonych, klientów biznesowym w zakresie potencjalnego ryzyka. Od tego już tylko krok do podejmowania świadomych decyzji w zakresie reagowania na zaistniałe incydenty cyberbezpieczeństwa, ale przede wszystkim trwałe, długoterminowe budowanie odporności organizacji na cyberzagrożenia. Świadome decyzje z kolei, to odpowiedni, adekwatny do ryzyka, dobór mechanizmów bezpieczeństwa. Nie chce się dalej rozpisywać na temat płynących korzyści, w tym finansowych.

Plany reakcji

Opracowanie zawczasu planów reakcji na poszczególne typy incydentów i ich rzeczywiste, okresowe testowanie, to oszczędność czasu, pieniędzy, jak również nerwów. Już pisałem o tym, że w sytuacji wystąpienia poważnego incydentu cyberbezpieczeństwa, panująca atmosfera wśród personelu jest często daleka od pożądanej określana w potocznym języku stwierdzeniem „pożar w b******”. Oczywiście konsekwencją tego jest również szukanie za wszelką cenę winnego. Znów mała dygresja. Przy tej okazji gorąco polecam książkę „Ekstremalne przywództwo. Elitarne praktyki NAVY Seals w zarządzaniu”.

Ok. Czyli plany reakcji i koniecznie ich testowanie. Celem testów jest wyuczenie w nas określonych nawyków, które pozwolą, w trakcie wystąpienia incydentu, na racjonalne spojrzenie na sprawę i zastosowanie adekwatnych środków odpowiedzi na incydent. Unikamy wtedy pośpiechu i zmniejszamy prawdopodobieństwo popełnienia błędów. Pamiętaj czasem wolniej, znaczy szybciej.

Pamiętaj czasem wolniej znaczy szybciej.

Uczenie się na błędach - Lessons Learned

Bardzo ważny temat, niestety dość często zaniedbywany. Dzieje się tak dlatego, że dotyczy usprawnień procesu, a co za tym idzie, konieczności zmiany naszych zachowań. A czy zgadzamy się, czy nie, człowiek jest z natury leniwy. Do każdej zmiany, która wymaga wysiłku, podchodzi z niechęcią. Myślę, że kwestią Lessons learned zajmę się w oddzielnym wpisie, z uwagi na ich ogromne znaczenie w całym procesie zarządzania incydentami cyberbezpieczeństwa. Swoją drogą bardzo ciekawa książka, którą polecam w tej tematyce – Lessons Learned Practical Approaches to Learning from Experience 1st Edition

Podsumowanie

Proaktywność jest pierwszym nawykiem, który powinniśmy utrwalać, by stała się naszym naturalnym zachowaniem. Postawą proaktywną powinny cechować się wszystkie osoby realizujące czynności w ramach procesu zarządzania incydentami cyberbezpieczeństwa, a w szczególności  osoby odpowiedzialne za kwestie zarządzania, będące dyrektorami, kierownikami czy po prostu liderami w swoich zespołach, które nadają kierunki rozwoju zdolnościom organizacji w zakresie zarządzania incydentami cyberbezpieczeństwa.

7 nawyków skutecznego zarządzania incydentami – bądź proaktywny Read More »