Trust or zero trust. Oto jest pytanie?

Wstęp

Wiecie, że według badań CBOS z b.r. aż 73 procent Polek i Polaków, sądzi, że w stosunku do innych trzeba być bardzo ostrożnym. Z kolei raport IPSOS z 2022 r. jednoznacznie wskazuje, że jesteśmy w niechlubnej czołówce narodów, które najmniej ufają w różnych aspektach życia. Niestety takie społecznie nastawienie ma swoje daleko idące negatywne konsekwencje jak na przykład: izolacja, wycofanie, unikanie interakcji z innymi, a w pracy: brak zaangażowania, brak odpowiedzialności za cele i wyniki organizacji, obniżona jakość relacji, brak klimatu do wspólnej pracy.

Jaki to ma związek z cyberbezpieczeństwem? Uważam, że spory. Problem, jaki dostrzegam, polega na tym, że wyszukując terminów takich jak: trust, zaufanie czy cybersecurity, przeglądarka zwraca linki głównie do stron dotyczących koncepcji Zero Trust. Dla tych, którzy po raz pierwszy słyszą ten termin, można go sprowadzić do stwierdzenia – ‚nie ufaj, ciągle sprawdzaj”. Takie podejście, skądinąd słuszne w zakresie architektur bezpieczeństwa systemów, może mieć przykre konsekwencje, gdy zostanie potraktowane dosłownie w codziennym funkcjonowaniu zespołów bezpieczeństwa i jego otoczenia. Może to budować przeświadczenie, że w cyberbezpieczeństwie nie ma przestrzeni na zaufanie, że jest wręcz czymś niepożądanym, niebezpiecznym. Pytanie, jakie można więc postawić, zresztą iście szekspirowskie, brzmi: ufać czy nie ufać?

Dziś chciałbym porozmawiać o roli zaufania: w zespole, organizacji, do partnerów biznesowych. Tematu z pewnością nie wyczerpię, bo jest zbyt szeroki, ale mam nadzieję, że wystarczająco Was zainteresuję i zachęcę do dalszej eksploracji. Chciałbym podyskutować o tym, jak obecność lub brak zaufania wpływa na funkcjonowanie zespołu bezpieczeństwa, na jego wydajność, trwałość w czasie. Chciałbym również spojrzeć na to zagadnienie z perspektywy funkcjonowania organizacji i na rolę zaufania w relacjach z podmiotami zewnętrznymi – głównie z dostawcami usług. Bardzo dużo mówi się obecnie o bezpieczeństwie łańcucha dostaw. Żeby osadzić dyskusję w węższym kontekście, ograniczę się do obszaru zarządzania incydentami bezpieczeństwa. Zacznijmy więc od początku. Powiedzmy wpierw, czym ogólnie jest zaufanie i dlaczego jest ważne?

Czym jest zaufanie i dlaczego jest ważne?

Jedna z definicji zaufania mówi, że to pewność, jaką mamy w stosunku do innych ludzi. Z kolei na poziomie organizacji, mówiąc o zaufaniu, można powiedzieć, że jest ono stopniem, w jakim członkowie jednej organizacji darzą kolektywnym zaufaniem drugą organizację. Dlaczego więc zaufanie jest aż tak ważne?

Po pierwsze, zaufanie w zespole to podstawa, swoisty fundament jego funkcjonowania. Sprzyja efektywnej współpracy i otwartej komunikacji. Bez zaufania pracownicy nie będą w stanie i przede wszystkim nie będą chcieli w pełni wykorzystać swojego potencjału i możliwości.

Po drugie, mam nadzieję, że zgodzicie się ze stwierdzeniem, że każdej firmie zależy na tym, by klienci czy partnerzy biznesowi postrzegali ją jako godną zaufania. Dlaczego? Bo to właśnie dzięki solidnemu zaufaniu organizacja może nie tylko utrzymać dotychczasowych klientów, partnerów czy inwestorów, ale i przyciągnąć nowych.

Po trzecie, każda organizacja chce współpracować z firmami, którym może zaufać. Chyba nikt z Was nie wybrałby dostawcy MSSP (Managed Security Service Provider) czy innego podmiotu świadczącego usługi bezpieczeństwa, którzy mają wątpliwą reputację? Nikt przecież obecnie nie działa w izolacji.Tak więc zaufanie w cyberbezpieczeństwie to absolutne „must have”, zwłaszcza w dzisiejszych czasach.  W tej sytuacji potrzeba zaufania w cyberbezpieczeństwie nabiera jeszcze większego i głębszego znaczenia.

Zaufanie w zespole bezpieczeństwa

Zacznijmy od zaufania w zespole. Można je określić jako przekonanie członków zespołu co do intencji i zachowań pozostałych osób, że będą realizować to, co obiecali, zadeklarowali. Przekładając to na obsługę incydentów, chcemy mieć pewność, że każda z osób, która ma przypisaną role, tak à propos zdefiniowaną w planie reakcji na incydenty bezpieczeństwa, będzie tę rolę wypełniać z należytą starannością. Co jest warte podkreślenia, że w sytuacji wystąpienia incydentu – typowy scenariusz piątek wieczór – taka osoba będzie najzwyczajniej w świecie dostępna, a nie jak czasem się zdarza, jedyne co usłyszymy to: „Abonent czasowo niedostępny” lub coś podobnego. Mówię o tym nie bez powodu.

Problem dystansu i praca zdalna

Współczesne zespoły bezpieczeństwa to bardzo często zespoły rozproszone geograficznie, operujące w różnych miastach, państwach czy nawet strefach czasowych. Dystans fizyczny, jak się okazuje, nie sprzyja budowaniu trwałych relacji, a to z kolei bezpośrednio przedkłada się na poziom zaufania. Szereg badań z zakresu psychologii społecznej potwierdza tę regułę. Jeśli dołożymy do tego zasadę „follow the sun”, bo są zespoły, które pracują w tym modelu, to może się okazać, że członkowie zespołu nigdy nie spotkają się na żywo. Przykre, prawda?

Kolejny czynnik, który nie sprzyja budowaniu zaufania, który ściśle łączy się z rozproszeniem geograficznym, to zdalne spotkania. Ograniczają komunikację zarówno tę werbalną, jak i niewerbalną. Można więc powiedzieć, że w zdalnych zespołach będą występowały i nasilały się trudności w rozwijaniu relacji opartych na zaufaniu, które jak wskazują badacze, są istotnym społecznym spoiwem. A skoro tak, to jako konsekwencja pojawia się kolejny istotny problem – spadek zaangażowania oraz brak współodpowiedzialności wśród członków zespołu, brak poczucia za cele zespołu czy cele organizacji.

Na koniec warto zapamiętać, że silne zaufanie zapobiega przekształcaniu się dystansu fizycznego, w dystans psychologiczny, dlatego warto dbać o jego wysoki poziom

Wpływ na obsługę incydentów poważnych

Obsługa incydentów bezpieczeństwa w większości przypadków to zadanie grupowe, zwłaszcza jeśli mówimy o incydentach poważnych. Wymaga zaangażowania, poświęcenia, współpracy oraz współodpowiedzialności wielu ludzi.  Zespół bezpieczeństwa nie funkcjonuje w próżni. Obsługa incydentu bezpieczeństwa to współpraca pomiędzy wieloma zespołami w organizacji: IT, dział prawny, HR, biznes, komunikacja, czyli daleko poza struktury zespołu bezpieczeństwa. Sprawna obsługa wymaga, by pomiędzy zespołami istniało wzajemne zaufanie. Tego nie zastąpią najlepsze narzędzia bezpieczeństwa.

Organizacja godna zaufania

Autorzy wielu badań są zgodni co do oceny, że zaufanie jest wartością organizacji i jest jej kluczowym czynnikiem sukcesu, zapewniającym efektywność pracowników. Ja bym dodał, że to najważniejsza wartość w organizacji, bo ma bezpośredni wpływ na osiągane przez nią wyniki. Praktycy tematu są zgodni, że zaufanie w organizacji zaczyna się od góry. Istotnym zatem jest promowanie kultury zaufania. Co ciekawe kluczową rolę ma tu odpowiedni dobór wiarygodnej kadry menedżerskiej. Rolą jej jest budowanie tej kultury. Jak się okazuje, co potwierdzają badania, istnieje silna relacja między zaufaniem a efektywnym przywództwem. Zaufanie pojawia się wówczas, gdy przełożeni są szczerzy, uczciwi i dotrzymują słowa, jak również nie wykorzystują oni swojej przewagi i zależności służbowej, szczególnie w sytuacji kryzysowej, a tych w obszarze zarządzania incydentami nie brakuje. Można więc powiedzieć, że budowa zaufania zaczyna się od postawy zarządzających.

Organizacja godna zaufania to taka, której kultura organizacji oparta jest na zaufaniu. Przejawem zaufania jest szacunek do pracowników. Z kolei zaufanie pracowników do organizacji przejawia się w wysokim poziomie zadowolenia z pracy, co też skutkuje ich gotowością do ponoszenia większego wysiłku na jej rzecz. Bardzo ważnym elementem, od którego to wszystko się zaczyna to zaufanie w relacji przełożony – podwładny. Już o tym mówiłem, ale warto powtórzyć. Im większe zaufanie w tej relacji, tym większa satysfakcja pracownika z wykonywanej pracy, co widać w jego zaangażowaniu, większej lojalności i wydajności w pracy. Domyślacie się więc, że brak zaufania można bardzo łatwo zaobserwować na przykład: częstszą niż zwykle rotacją pracowników czy obniżoną produktywnością.

Poniżej lista typowych błędów obniżających poziom zaufania, których zdecydowanie warto unikać w organizacjach.

Typowe błędy, które nie sprzyjają zaufaniu

  • obraźliwe zachowanie,
  • obwinianie za problemy,
  • niesłuchanie,
  • niezaspokajanie oczekiwań, niespełnianie obietnic,
  • naruszenie poufności i przyjętych zasad,
  • nieskuteczne przywództwo,
  • „szukanie winnych a karanie niewinnych”,
  • faworyzowanie,
  • brak chęci do rozwiązywania problemów,
  • nieprzestrzeganie podstawowych wartości moralnych – jedno myślę, drugie mówię a co innego robię.

Zaufany partner biznesowy

Posiadanie zaufanych partnerów biznesowych to nieodzowny element współczesnego funkcjonowania firm. To znacznie więcej niż dostawca usług – to strategiczny sojusznik w ochronie wartości organizacji.

Trudno i długo buduje się zaufanie. Niestety bardzo łatwo i szybko można je stracić. Chcąc być konkurencyjnym na rynku, firmy powinny wyróżniać się w jakiś szczególny sposób, na przykład poprzez budowanie pozycji zaufanego partnera biznesowego. Tylko co to właściwie oznacza w kontekście zarządzania incydentami bezpieczeństwa?

Każdej organizacji zdarzały się, zdarzają i będą się zdarzać incydenty bezpieczeństwa. Próba ich całkowitego wyeliminowania jest w praktyce niemożliwa, a jeśli już zdecydujemy się na taki krok, to najprawdopodobniej poniesione koszty znacząco przewyższą uzyskane korzyści. Jednak są rzeczy, nad którymi warto pracować. Nie kosztują zbyt wiele i uważam, że wnoszą ogromną wartość w zakresie budowania wizerunku zaufanego partnera i są to:

  • jasne i transparentne procedury zarządzania incydentami bezpieczeństwa, które odpowiednio zakomunikowane, pomogą utwierdzić partnerów biznesowych w przekonaniu, że w pełni potrafimy kontrolować obsługę incydentu,
  • transparentna i regularna komunikacja – wiele badań wskazuje, że częsta komunikacja sprzyja budowaniu trwałych relacji.

Podsumowanie

Zaufanie jest kluczowym elementem funkcjonowania zarówno zespołów bezpieczeństwa, jak i całych organizacji. Jego brak prowadzi do licznych negatywnych konsekwencji, takich jak obniżenie zaangażowania, trudności w komunikacji czy spadek produktywności. Jednocześnie zaufanie w relacjach zewnętrznych, zwłaszcza z dostawcami usług, buduje reputację firmy i przyczynia się do jej sukcesu.

W obszarze zarządzania incydentami bezpieczeństwa zaufanie wzmacnia współpracę w zespole oraz pozwala na skuteczniejsze radzenie sobie z trudnymi sytuacjami. Kluczowe dla jego budowania jest stosowanie jasnych procedur, transparentna komunikacja i dbanie o rozwój relacji między członkami zespołu, nawet w zdalnym środowisku pracy.

Budowanie zaufania wymaga czasu i świadomego działania, zaczynając od liderów organizacji, którzy powinni być wzorem uczciwości, szacunku i dotrzymywania słowa. Praca nad kulturą zaufania przynosi organizacjom wymierne korzyści, zarówno w wymiarze wewnętrznym, jak i w relacjach z partnerami biznesowymi. To nie tylko wartość sama w sobie, ale także istotny czynnik sukcesu w dynamicznym środowisku cyberbezpieczeństwa.

Jeśli podobał Wam  się ten wpis, zostawcie komentarz, podzielcie się swoją opinią, udostępnijcie go innym lub napiszcie do mnie na adres marcin.sikorski@ctrust.me. Jestem ciekawy jakie Wy macie spostrzeżenia. Zachęcam również do współpracy.

Serdecznie pozdrawiam,

Marcin Sikorski

Bibliografia

Rudzewicz, A. (2018). Zaufanie wewnątrzorganizacyjne a staż pracy pracowników. Zeszyty Naukowe. Organizacja i Zarządzanie/Politechnika Śląska, (117), 485-499.

Samul, J., Szpilko, D., & Szydło, J. (2021). Samoprzywództwo i zaufanie a wyniki wirtualnej pracy zespołowej. Krakow Review of Economics and Management, (1 (991)), 89-104.

Stecko, J., & Baran, M. (2013). Zarządzanie przez zaufanie we współczesnych przedsiębiorstwach-weryfikacja mitów,”. Modern Management Review, 4.

https://www.ipsos.com/sites/default/files/ct/news/documents/2022-03/Global%20Advisor%20-%20Interpersonal%20Trust%202022%20-%20Graphic%20Report_1.pdf