Lessons learned - część 2
Wstęp
Mam nadzieję, że poprzednim wpisem skłoniłem Cię do refleksji na temat istotności procesu lessons learned, jego kluczowej, wręcz strategicznej roli w organizacji. Dzisiejszy wpis to próba zmierzenia się z zagadnieniem związanym z właściwym definiowaniem lessons. Kiedy możemy mówić o dobrych lessons identified, a konsekwencji lessons learned? Okazuje się, że można wskazać pewne elementy, które świadczą o tym, że poprawnie je zidentyfikowaliśmy. Oczywiście, by poprawnie identyfikować nasze lessons learned, wpierw musimy mieć zdefiniowany proces i co najważniejsze postępować zgodnie z nim.
W dzisiejszym wpisie poruszę następujące tematy:
- Jak wyglada proces lessons learned?
- Jakie cechy powinna mieć dobrze zdefiniowana lessons learned?
- Pułapki związane z lessons learned.
- Jak wdrożyć lessons identified by stały się lessons learned?
Gorąco zapraszam do lektury.
Proces lessons learned
Jak przyjrzymy się procesowi lessons learned, to raczej nie należy on do skomplikowanych. Można w nim wyróżnić trzy podstawowe etapy:
- identyfikacja lessons – na potrzeby tej serii wpisów będziemy je nazywać lessons identified,
- zdefiniowanie zadań do realizacji,
- realizacja zadań, zazwyczaj prowadząca do zmiany zachowania organizacji, a w konsekwencji uczynienia z lessons identified ostatecznie lessons learned.
Można by się zastanowić, który z elementów procesu jest najważniejszy dla całości procesu. Ja skłaniam się do stwierdzenia, że chyba ten ostatni. Jak już pisałem uprzednio, zmiana zachowania organizacji do łatwych nie należy. Z różnych powodów nie chcemy, nie możemy lub najzwyczajniej w świecie boimy się wprowadzać zmiany. Co nam więc po tym, jak świetnie określimy problemy, ba nawet zdefiniujemy zakres zadań, jak nic z tego ostatecznie nie zrobimy.
Wracając jednak do opisu procesu. W ramach identyfikacji lessons możemy wyróżnić trzy podetapy i na tym już koniec podziałów:
- Przegląd – polegający na określeniu co przysłowiowo poszło dobrze, a co źle;
- Analiza – skupiająca się na odnalezieniu pierwotnego problemu, który przyczynił się do wystąpienia incydentu bezpieczeństwa – już wspominałem o „root cause”.
- Generalizacja – polegająca na sformułowaniu ogólnej rekomendacji czy jak wolisz nazywać wniosku.
Tak na marginesie, to celowo nie chcę używać stwierdzenia wniosek, bo z tego nic nie wynika. Wniosek może być i tyle. Angielskie nazwy znacznie lepiej oddają istotę rzeczy.
Co to oznacza, że lessons learned są dobre?
Przede wszystkim powinny być:
- łatwe do zrozumienia i nauczenia. Oczywiście jest to pojęcie względne czy coś jest łatwe, czy nim nie jest. Myślę, że istotą jest, żeby nie przekombinować. Rozwiązania powinny ogólnie spełniać zasadę KISS (keep it simple stupid), czyli im prostsze, tym lepsze.
- zadania zdefiniowane w ramach lessons learned powinny być wykonywalne – nie ma sensu tworzyć zadań, które z natury, albo będę bardzo złożone i tym samym trudne w implementacji, albo najzwyczajniej za drogie w ujęciu biznesowym, gdzie koszty przekroczą potencjalne zyski.
- powinniśmy zadbać również o to, by rzeczywiście nasza lessons identified była rekomendacją, a nie czystą obserwacją. Co nam po stwierdzeniu jak jest? Istotne jest, by wypracować rozwiązanie, które zapewni nam wyeliminowanie lub przynajmniej zminimalizowanie skutków wystąpienia podobnego incydentu bezpieczeństwa w przyszłości.
Pułapki lessons learned
Jakość danych
Pamiętaj, że proces lessons learned, jak każdy inny proces, rządzi się tym samym prawem – „garbage in, garbage out”. Kto pisał raporty, ten wie, o czym mówię. Jeśli nie zapewnimy odpowiedniej jakości danych na wejściu procesu, to nie spodziewajmy się cudów na jego wyjściu, a w konsekwencji dobrej jakości lessons learned.
Wzajemne obwinianie się
To, w jaki sposób podejdziemy do przeglądu, zależy przede wszystkim od ogólnie panujących nastrojów w organizacji. Jeśli na przykład pracujesz w firmie, gdzie szuka się winnych, to raczej nikt nie będzie chętny do tego, by w otwarty sposób mówić o tym, co poszło nie tak. To chyba wydaje się naturalne, prawda? Jest jeszcze jedno stwierdzenie – „Szukanie winnych, karanie niewinnych”. Musisz wiedzieć, że jest to istotny problem dla organizacji, stąd też, jeśli planujesz wdrożyć proces, bezwzględnie musisz zadbać o przyjazne środowisko, gdzie ludzie będą mogli w nieskrępowany sposób rozmawiać z sobą, gdzie będzie panował wzajemny szacunek, zrozumienie.
Nauka tylko i wyłącznie na błędach
To, o czym często zapominamy, to powielanie dobrych zachowań. Może i robimy to intuicyjnie, ale zwróć uwagę na to, że jeśli ktoś robi coś dobrze i trzyma tę wiedzę tylko dla siebie, to organizacja jako całość, nie ma możliwości powielania dobrych wzorców.
zadbaj o przyjazne środowisko, gdzie ludzie będą mogli w nieskrępowany sposób rozmawiać z sobą, gdzie będzie panował wzajemny szacunek, zrozumienie.
Jak sprawić by lessons identified stały się lessons learned
Jednak zidentyfikowanie rekomendacji, ba nawet zadań to dopiero początek, niech będzie, to połowa sukcesu. Pozostaje teraz najtrudniejszy etap – „nauczenie” organizacji działać według nowych reguł, czyli wprowadzić zmianę. Oczywiście im mniej osób dotknie zmiana, tym lepiej dla nas. Mówię o tym, bo ma to związek z naturalnym oporem, który pojawia się wśród ludzi poddawanych zmianie. Stąd też im więcej osób poddanych zmianie, tym większy opór, no i prawdopodobieństwo, że nam się nie uda. Pisałem zresztą o tym w pierwszym wpisie tej serii. Nie pozostajemy jednak bezbronni i jako osoby wprowadzające zmianę w ramach lessons learned możemy posłużyć się pewną techniką.
Wytłumacz sens wprowadzanej zmiany
W pierwszej kolejności powinniśmy w jasny i klarowny sposób zakomunikować, co chcemy zrobić, dlaczego wprowadzenie zmiany ma znaczenie. Tak na marginesie uważam, że jest to najważniejszy element całości. Nie wiem jak dla Was, ale dla mnie istotą jest wytłumaczenie sensu zmiany. Nie mówię, że musi to być elaborat, po co dana zmiana jest wprowadzana. Uważam jednak, że ogólnie ludzie zasługują na to, by wytłumaczyć im sens poświęcania ich energii na jakieś czynności. Bez wątpienia tło incydentu może posłużyć za świetny business case i wytłumaczenie. Nic tak nie przemawia do ludzi, jak incydenty bezpieczeństwa z własnego podwórka. Kwestie zgodności z regulacjami, to kolejny przykład konieczności wdrażania rozwiązań.
Dostarcz narzędzia
Kolejnym elementem jest dostarczenie pracownikom odpowiednich narzędzi i w razie potrzeby przeszkolenie ich ze sposobu ich używania. Mówiąc o narzędziach, mam na myśli zarówno sprzęt, oprogramowanie, jak również procesy czy procedury postępowania.
Sprawdź realizacje zadania
Na koniec należy dokonać sprawdzenia, czy zadanie zostało w prawidłowy sposób wykonane? Tu samoistnie ciśnie się na usta określenie czynników sukcesu. Kiedy stwierdzimy, że dana lessons została learned? Pamiętasz, jak mówiłem o zmianie zachowania. To, w mojej ocenie, jest wyznacznikiem czy nauczyliśmy się czegoś, czy nie. Oczywiście do jakiego stopnia udało nam się nauczyć, przyswoić konkretną lessons learned, to inna sprawa. Spotkałem się ze stwierdzeniem, że jak dokonamy aktualizacji dokumentacji, to możemy już mówić o lessons learned. Owszem. Do pewnego stopnia tak może być. W zakresie napisania, zaktualizowania dokumentu, czegoś się nauczyliśmy. Jednak to zmiana zachowania pod dyktando procedury konstytuuje lessons learned i o tym należy pamiętać.
Podsumowanie
To, co sprawia, że organizacja wychodzi silniejsza z incydentu cyberbezpieczeństwa, to prawidłowo przeprowadzony proces lessons learned. Rekomendacje, jakie z niego płyną, mogą w sposób znaczący zminimalizować ryzyko ponownego wystąpienia podobnego incydentu w organizacji lub przynajmniej zminimalizować skutki jego wystąpienia. Kolejnym istotnym elementem związanym z lessons learned jest budowanie w organizacji wzajemnego zaufania i szacunku. Prawidłowo przeprowadzone spotkania lessons learned, powodują, że ludzie zaangażowani w obsługę incydentu, w otwarty, nieskrępowany sposób, często krytyczny w stosunku do samych siebie, omawiają przebieg incydentu. Takie postawy budują zaufanie, które jest nieocenione przy tworzeniu jedności zespołu.
Najistotniejsze elementy, które powinniście zapamiętać z tego wpisu, to:
- nawet najlepsze rekomendacje, bez wprowadzonych zmian, są niczym wartościowym,
- wdrożenie lessons learned to nic innego jak wprowadzenie zmiany w organizacji,
- dobrze zaimplementowany proces w organizacji sprzyja budowaniu wzajemnego zaufania.
Jeśli podobał Ci się wpis, podziel się swoją opinią lub napisz do mnie na adres marcin.sikorski@ctrust.me.