Lessons learned
Wstęp
W pierwszym wpisie serii „7 nawyków skutecznego zarządzania incydentami” poruszyłem zagadnienie dotyczące procesu lessons learned. Tak na marginesie zastanawiałem się, czy jest konieczność szukania polskiego odpowiednika tego angielskojęzycznego stwierdzenia. W branży cyber to określenie stało się na tyle popularne i tak wrosło do słownika pojęć, w szczególności, w obszarze zarządzania incydentami cyberbezpieczeństwa, że chyba nikt nie zadaje sobie obecnie trudu, by znaleźć jego polskie znaczenie. Zauważyłem również, że lessons learned odmieniane jest przez wszystkie możliwe przypadki i podkreślane jest jego istotne znaczenie w procesie zarządzania incydentami. Jednak gdy zgłębiłem tę tematykę, zacząłem zadawać, wydaje się, bardzo podstawowe, lecz uważam trafne pytania? Kiedy lessons są learned, a kiedy nie? Co skłania nas do podejmowania działań naprawczych? Na te i inne pytania postaram się opowiedzieć Wam w kolejnych wpisach tej serii, wpisach, gdyż już wiem, że na jednym się nie skończy.
Przy opracowaniu materiału posłużyłem się głównie lekturą książki „The Lessons Learned Handbook: Practical approaches to learning from experience” autorstwa Nicka Miltona. Uważam, że tytuł ten jest jak najbardziej trafiony. Praktyczne podejście od pierwszych stron. Dzisiejszy wpis proszę, potraktujcie jak wstęp do czegoś większego. Będę chciał w nim poruszyć kilka podstawowych, wręcz fundamentalnych kwestii procesu lessons learned. W szczególności chciałbym rozpocząć dyskusję w następujących tematach:
- Czym jest proces lessons learned?
- Kiedy lessons są learned?
- Psychologia zmiany.
- Rola kadry kierowniczej w procesie lessons learned.
- Kryzys napędza wszystko.
Czym jest proces lessons learned?
Najprościej rzecz ujmując, lessons learned jest procesem analizy doświadczeń, zarówno tych pozytywnych, jak i negatywnych, które zebraliśmy podczas realizacji określonych czynności np. związanych z zarządzaniem incydentem cyberbezpieczeństwa. Rezultatem tego procesu jest zestaw wniosków/rekomendacji, które mogą posłużyć nam w przyszłości do usprawnień w obszarze wykonywanych czynności. Celowo użyłem stwierdzenia „mogą nam posłużyć”, gdyż to, co często uważamy za lessons learned, w praktyce, tu przepraszam za angielskie sformułowanie, jest lessons identified — czyli zidentyfikowaliśmy wnioski/rekomendacje, ale się do nich jeszcze nie zastosowaliśmy. Jak się okazuje, stąd jeszcze daleka droga do lessons learned, a może nie daleka, ale często „bolesna”. Dlaczego postawiłem taką tezę?
Kiedy lessons są learned?
Nauczenie się czegoś lub inaczej mówiąc wyciągnięcie wniosków z danej sytuacji, wymaga zmiany naszego zachowania. Ucząc się, stosując nowe metody podejścia do realizacji czegoś, dokonujemy zmiany. Kiedy mówimy, że może coś zmienimy w naszym podejściu, bo robiliśmy coś źle lub chcemy wzmocnić nasze zachowanie, bo robiliśmy coś dobrze, ale nie idą za tym żadne czyny, to tak jakbyśmy się niczego nie nauczyli. Istnieje wtedy bardzo duże prawdopodobieństwo, że w przyszłości, w podobnej sytuacji, popełnimy podobne błędy lub nie będziemy powielać dobrych zachowań.
Psychologia zmiany
Dlatego stwierdziłem, że droga do lessons learned bywa bolesna, gdyż z definicji, ludzie nie lubią zmian. Nawet najlepiej przygotowana zmiana powoduje, że prędzej czy później, na jakimś jej etapie doświadczymy negatywnych emocji związanych z jej wprowadzeniem. Nie zagłębiając się na tym etapie w szczegóły procesu zmiany, istnieje kilka jej faz, których warto być świadomym, że występują i są to:
- szok,
- zaprzeczenie,
- gniew,
- targowanie się (z sobą),
- smutek,
- akceptacja i otwartość na nową zmianę.
Jak możecie zauważyć, z większością z nich związane są raczej negatywne niż pozytywne uczucia. Dlatego też tak niechętnie zmieniamy nasze zachowania. Tu nasuwa mi się analogia do nawyku. Jednak od reguły bywają wyjątki. W książce, która posłużyła za tło tego wpisu, opisywana jest historia piętnastowiecznych, zamorskich wypraw Portugalczyków i ustanowienia instytucji, której celem było wymiana doświadczeń, powtórzę się: tych negatywnych, ale w dużej mierze tych pozytywnych. Zdano sobie sprawę, że tylko dzięki temu możliwe jest powiększenie zysków oraz minimalizowanie ryzyka utraty zdrowia i życia. Co jest jednak istotne w całym tym procesie, to zaangażowanie się najważniejszej osoby w państwie — króla.
jedyną pewną rzeczą w życiu jest zmiana
heraklit z efezu
Rola kadry kierowniczej
To w interesie króla była dbałość o należycie realizowany proces lessons learned. Jest to idealny przykład zaangażowania się najwyższej kadry zarządzającej w utrzymanie i rozwój tego procesu. Bo kto spróbowałby sprzeciwić się królowi? A tak serio to myślę, że ten element, pomimo swej istotności, był jednak mniej istotny niż fakt pożegnania się z życiem, w wyniku nieprzepracowania wniosków „kolegów” z innych wypraw. To chyba bardzo motywująco wpływało na chęć nauki, wyciągania wniosków, stosowania dobrych praktyk, unikania najczęstszych błędów. Wielokrotnie zastanawiałem się, jak w dzisiejszych czasach, można przekonać kadrę kierowniczą do ważności tego procesu. Tu jeszcze mała dygresja. Jak pisałem wcześniej, samo mówienie wszem wobec o lessons learned, bez konkretnych działań, jest tylko i wyłączenie gadaniem i niczym więcej.
Kryzys napędza wszystko
To, co przyszło mi na myśl, zastanawiając się, dlaczego w tamtych czasach jednak można było wyciągać wnioski i uczyć się na nich, to sytuacja kryzysowa, z jaką mogli się mierzyć marynarze podczas rejsów. Odnosząc się do cyberbezpieczeństwa, można odnaleźć bardzo podobne sytuacje, jak na przykład atak ransomware. Analogie chyba same się nasuwają. Brak odpowiedniego przygotowania do rejsu, nieprzestudiowanie map, itp. mógł skutkować śmiercią. W przypadku wystąpienia ataku ransomware może być podobnie. Brak odpowiednich backupów, ich testowania, może spowodować, w sytuacji wystąpienia ataku, „śmierć biznesową„ dla organizacji — wyłączenie jej z biznesu na długi czas. O ransomware będę pisał w innym czasie. Teraz chciałbym podkreślić jedno, że może taka refleksja skłoni firmy, instytucje do przygotowania się na tego typu atak. Może na poziomie organizacji zadziała instynkt samozachowawczy i spowoduje wymuszenie działań przygotowawczych.
Podsumowanie
Dziękuję, że jesteś ze mną i zgłębiasz tajniki cyberbezpieczeńśtwa, w trochę inny, niż standardowy sposób. Uważam, że nawet w tak technicznej domenie należy rozmawiać o tzw. elementach miękkich – jak np. psychologia zmiany. Będąc świadomy występowania tego typu zjawisk, dużo łatwiej będzie Wam wdrożyć np. działania naprawcze w ramach zidentyfikowanych rekomendacji. Najistotniejsze elementy, które powinniście zapamiętać z tego wpisu, to:
- bez zmiany nie możemy mówić o lessons learned,
- najwyższe kierownictwo odgrywa kluczową rolę w promowaniu ważności procesu lessons learned,
- sytuacje kryzysowe często popychają nas do zmiany, ale chyba lepiej przygotować się zawczasu.
Jeśli podobał Ci się wpis, zostaw komentarz pod wpisem, podziel się swoją opinią lub napisz do mnie na adres marcin.sikorski@ctrust.me