Корневая проблема управления защитой организаций - целеполагание
В теории топ-менеджмент организации устанавливает цели деятельности по защите организации, а менеджер(ы) по защите (по безопасности) организуют работу по достижению этих целей.
Эти цели коррелируют с целями деятельности организации, помогают им и не противоречат.
На практике часто происходит что-то из следующего:
1) Топ-менеджмент не понимает возможностей деятельности по защите и требует чуда безопасности = отсутствия инцидентов.
2) Топ-менеджмент не представляет себе стоимость безопасности.
3) Участники выбора целей подразумевают, что целей достаточно достичь один раз и забить.
4) Менеджер по защите не понимает бизнес и не может помочь руководству установить цели защиты, адекватные целям бизнеса.
А руководство, не будучи специалистами по защите, думает, что так и надо - не зря же они специалиста наняли.
5) Менеджмент безопасности кажется менеджеру или руководству бесполезным перекладыванием бумажек, потому что использование документов внутри организации не в культуре компании. Большая часть документов компании плоха по структуре, содержанию, неактуальна, да и совершенно неудобна в использовании. Это препятствует долгосрочным инициативам.
6) Бизнес организации и её контекст, её руководство меняются настолько часто, что процесс достижения целей защиты не приносит пользы и не достигает когда-то поставленных целей. Даже если цели защиты были скоррелированы с целями бизнеса.
В теории топ-менеджмент организации устанавливает цели деятельности по защите организации, а менеджер(ы) по защите (по безопасности) организуют работу по достижению этих целей.
Эти цели коррелируют с целями деятельности организации, помогают им и не противоречат.
На практике часто происходит что-то из следующего:
1) Топ-менеджмент не понимает возможностей деятельности по защите и требует чуда безопасности = отсутствия инцидентов.
2) Топ-менеджмент не представляет себе стоимость безопасности.
3) Участники выбора целей подразумевают, что целей достаточно достичь один раз и забить.
4) Менеджер по защите не понимает бизнес и не может помочь руководству установить цели защиты, адекватные целям бизнеса.
А руководство, не будучи специалистами по защите, думает, что так и надо - не зря же они специалиста наняли.
5) Менеджмент безопасности кажется менеджеру или руководству бесполезным перекладыванием бумажек, потому что использование документов внутри организации не в культуре компании. Большая часть документов компании плоха по структуре, содержанию, неактуальна, да и совершенно неудобна в использовании. Это препятствует долгосрочным инициативам.
6) Бизнес организации и её контекст, её руководство меняются настолько часто, что процесс достижения целей защиты не приносит пользы и не достигает когда-то поставленных целей. Даже если цели защиты были скоррелированы с целями бизнеса.
Прекрасная лекция Максима Ильяхова о письменных коммуникациях в компаниях
https://www.youtube.com/watch?v=4h1mXRTKkG0
https://www.youtube.com/watch?v=4h1mXRTKkG0
YouTube
Как писать, чтобы вас понимали. 5 принципов ясного текста для работы и жизни
Enjoy the videos and music you love, upload original content, and share it all with friends, family, and the world on YouTube.
Тем временем российские чиновники считают, что существует не просто безопасность, но даже "гарантированная безопасность":
😁1
Forwarded from Листок бюрократической защиты информации
Инфофорум-2021. Н. Мурашов (НКЦКИ) в развитие высказывания В. Лютикова (ФСТЭК России) о том, что риск-ориентированный подход не работает в Российской Федерации и никакое увеличение размера наказания не поможет: «Риск-ориентированный подход изживает себя. .... существует и другой подход: «Подход гарантированной безопасности». Защищённая система должна строиться как защищённая с самого начала.»
Зачем придумали риски
Я, конечно, не могу залезть в голову человеку, который придумал понятие риска. Но судя по тому, как это слово определяется в международных стандартах, и наиболее популярному значению по разным отраслям, говоря о риске, подразумевают возможный ущерб и шанс, что этот ущерб наступит.
Риск обычно так и выражается: ущерб от события х вероятность (частота) события.
То есть риск - это мера предполагаемого события или сценария, приводящего к потерям.
Часто слово "риск" употребляют неправильно. Например, сейчас в Москве в общественном транспорте крутят объявление о том, что в Москве высок риск заражения коронавирусом. Здесь более уместно слово "вероятность", потому что заражение не всегда приводит к заболеванию, многие болеют бессимптомно. К тому же объявляющий не может оценить уровень потерь, потери здесь будут очень субъективными у каждого заразившегося: кому-то будет всё равно, что он потерял обоняние, а для кого-то это будет трагедией.
То есть у двух разных людей даже при равных шансах заразиться будет разное понимание их собственного события потерь (иногда даже не до конца формализованного), связанного с заражением коронавирусом, и разные уровни риска. Поэтому кто-то носит респираторы, а кто-то не носит маску в общественных местах совсем - даже если эти люди одинаково проинформированы.
Я, конечно, не могу залезть в голову человеку, который придумал понятие риска. Но судя по тому, как это слово определяется в международных стандартах, и наиболее популярному значению по разным отраслям, говоря о риске, подразумевают возможный ущерб и шанс, что этот ущерб наступит.
Риск обычно так и выражается: ущерб от события х вероятность (частота) события.
То есть риск - это мера предполагаемого события или сценария, приводящего к потерям.
Часто слово "риск" употребляют неправильно. Например, сейчас в Москве в общественном транспорте крутят объявление о том, что в Москве высок риск заражения коронавирусом. Здесь более уместно слово "вероятность", потому что заражение не всегда приводит к заболеванию, многие болеют бессимптомно. К тому же объявляющий не может оценить уровень потерь, потери здесь будут очень субъективными у каждого заразившегося: кому-то будет всё равно, что он потерял обоняние, а для кого-то это будет трагедией.
То есть у двух разных людей даже при равных шансах заразиться будет разное понимание их собственного события потерь (иногда даже не до конца формализованного), связанного с заражением коронавирусом, и разные уровни риска. Поэтому кто-то носит респираторы, а кто-то не носит маску в общественных местах совсем - даже если эти люди одинаково проинформированы.
Техника "пре-мортем"
"Пре-мортем" означает "перед смертью". Техника заключается в том, чтобы вообразить нечто катастрофическое, которое произошло, и провести мысленное расследование, почему оно произошло.
Технику можно использовать в разных сферах как в работе, так и в обычной жизни.
Например, в ИБ вы можете вообразить, что ваша самая главная и важная база утекла, и теперь её продают в даркнете.
Почему так произошло?
💀Её слили изнутри? Кто мог это сделать?
💀Или это хакеры вас взломали?
Как они это сделали? Почему вы вовремя это не заметили?
💀А может, вас и ломать не нужно было, база гуглилась через поисковик?
Как так вышло? Почему вы не знали об этом?
Ответив на эти вопросы, вы получите дерево сценариев, которые приводят к одному итогу, и болевые точки, влияя на которые можно снизить вероятность этого итога.
"Пре-мортем" означает "перед смертью". Техника заключается в том, чтобы вообразить нечто катастрофическое, которое произошло, и провести мысленное расследование, почему оно произошло.
Технику можно использовать в разных сферах как в работе, так и в обычной жизни.
Например, в ИБ вы можете вообразить, что ваша самая главная и важная база утекла, и теперь её продают в даркнете.
Почему так произошло?
💀Её слили изнутри? Кто мог это сделать?
💀Или это хакеры вас взломали?
Как они это сделали? Почему вы вовремя это не заметили?
💀А может, вас и ломать не нужно было, база гуглилась через поисковик?
Как так вышло? Почему вы не знали об этом?
Ответив на эти вопросы, вы получите дерево сценариев, которые приводят к одному итогу, и болевые точки, влияя на которые можно снизить вероятность этого итога.
Когда риск путают со страхом
На картинке - выдержка из отчета, прогнозирующего риски для бизнеса на 2021 год.
2020 научил всех бояться болезней. Но насколько вероятно, что в 2021 году болезни будут так же сильно воздействовать на бизнес? Вероятно ли, что начнётся новая пандемия или текущая пандемия будет с такой же силой "воздействовать" на бизнес? И даже если так - что бизнес, переживший 2020, не переживет новые ограничения и заболевания персонала?
Мне такие оценки кажутся довольно натянутыми, и вот почему:
1. Наиболее пострадавшие от ковида бизнесы не занимаются оценкой рисков: это мелкий бизнес, который не живёт такими понятиями. В статистику risk score они точно не попадают.
2. Опыт ковида - первый опыт пандемии в современном мире. За прошедший год страны многому научились, увидели экономический эффект разных видов ограничений, и в следующий раз, скорее всего, ограничения при прочих равных будут носить более мягкий характер.
——->>
На картинке - выдержка из отчета, прогнозирующего риски для бизнеса на 2021 год.
2020 научил всех бояться болезней. Но насколько вероятно, что в 2021 году болезни будут так же сильно воздействовать на бизнес? Вероятно ли, что начнётся новая пандемия или текущая пандемия будет с такой же силой "воздействовать" на бизнес? И даже если так - что бизнес, переживший 2020, не переживет новые ограничения и заболевания персонала?
Мне такие оценки кажутся довольно натянутыми, и вот почему:
1. Наиболее пострадавшие от ковида бизнесы не занимаются оценкой рисков: это мелкий бизнес, который не живёт такими понятиями. В статистику risk score они точно не попадают.
2. Опыт ковида - первый опыт пандемии в современном мире. За прошедший год страны многому научились, увидели экономический эффект разных видов ограничений, и в следующий раз, скорее всего, ограничения при прочих равных будут носить более мягкий характер.
——->>
Да, я говорю это из России, где строгость закона компенсируется необязательностью его исполнения. В Европе тем временем всё не становится легче. Но западные страны не могут не стрелять себе в ногу.
3. Помимо того, что мы поняли последствия различных мер и ограничений, мы улучшили санитарные условия. Какие-то меры останутся "на постоянку" (может быть, ношение масок в самолёте, дистанцирование) и будут предупреждать распространение других болезней.
4. Пандемия всё ещё остается маловероятным событием.
Конечно, новости о новых найденных потенциально смертоносных вирусах быстро становятся популярными, и за прошедший год мы видели несколько таких. Но всё же заболеванию, которое может привести к пандемии, нужно обладать определенными параметрами - заразностью, летальностью, способами передачи, чтобы стать инициатором пандемии.
Факт, что событие произошло, сам по себе не увеличивает вероятность повторения события. Думать иначе - когнитивное искажение.
5. Вряд ли непосредственно "заболевание, не связанное с работой" так сильно повлияло на чей-либо бизнес, чтобы ставить его наибольшим риском среди возможных влияний на бизнес. Да, несколько снизило эффективность рабочей силы. Но не более того. Люди всегда болеют, просто в прошлом году - немного чаще.
6. Формулирование риска как "заболевание, не связанное с работой" некорректно, потому что неясно, кто заболевает, и как именно это влияет на бизнес.
Формулировка в отчете больше похожа на то, что больше всего боится бизнес, но не как проанализированный и оцененный риск.
К отчетам даже больших и уважаемых организаций стоит относиться со скептицизмом.
3. Помимо того, что мы поняли последствия различных мер и ограничений, мы улучшили санитарные условия. Какие-то меры останутся "на постоянку" (может быть, ношение масок в самолёте, дистанцирование) и будут предупреждать распространение других болезней.
4. Пандемия всё ещё остается маловероятным событием.
Конечно, новости о новых найденных потенциально смертоносных вирусах быстро становятся популярными, и за прошедший год мы видели несколько таких. Но всё же заболеванию, которое может привести к пандемии, нужно обладать определенными параметрами - заразностью, летальностью, способами передачи, чтобы стать инициатором пандемии.
Факт, что событие произошло, сам по себе не увеличивает вероятность повторения события. Думать иначе - когнитивное искажение.
5. Вряд ли непосредственно "заболевание, не связанное с работой" так сильно повлияло на чей-либо бизнес, чтобы ставить его наибольшим риском среди возможных влияний на бизнес. Да, несколько снизило эффективность рабочей силы. Но не более того. Люди всегда болеют, просто в прошлом году - немного чаще.
6. Формулирование риска как "заболевание, не связанное с работой" некорректно, потому что неясно, кто заболевает, и как именно это влияет на бизнес.
Формулировка в отчете больше похожа на то, что больше всего боится бизнес, но не как проанализированный и оцененный риск.
К отчетам даже больших и уважаемых организаций стоит относиться со скептицизмом.
В The Business Continuity Institute (BCI) началась неделя осведомленности в теме непрерывности бизнеса.
На сайте недели есть анонсы вебинаров, кейсы и даже подкаст.
Среди прочего есть постеры, которые можно скачать и повесить в офисе. Не думаю, что от того, что их повесишь, будет эффект, но забавно, что большая часть постеров относится скорее к теме ИБ:
- Достаточно ли надежен ваш пароль и блокируете ли вы компьютер?
- Безопасен ли ваш Wi-Fi?
- Относитесь ли вы к подозрительным ссылкам и письмам с осторожностью?
и т.д.
И мне тоже уже тяжело провести границу между ИБ и непрерывностью бизнеса. И надо ли?
https://www.thebci.org/event-detail/event-calendar/business-continuity-awareness-week--bcaw--2021.html
На сайте недели есть анонсы вебинаров, кейсы и даже подкаст.
Среди прочего есть постеры, которые можно скачать и повесить в офисе. Не думаю, что от того, что их повесишь, будет эффект, но забавно, что большая часть постеров относится скорее к теме ИБ:
- Достаточно ли надежен ваш пароль и блокируете ли вы компьютер?
- Безопасен ли ваш Wi-Fi?
- Относитесь ли вы к подозрительным ссылкам и письмам с осторожностью?
и т.д.
И мне тоже уже тяжело провести границу между ИБ и непрерывностью бизнеса. И надо ли?
https://www.thebci.org/event-detail/event-calendar/business-continuity-awareness-week--bcaw--2021.html
www.thebci.org
Business Continuity Awareness Week (BCAW) 2021
Магическое мышление
Иногда бизнес-владельцам процессов и систем, да, бывает, и руководству компании очень тяжело ответить на вопрос "Какие будут последствия для бизнеса, если произойдет Х?", где Х - это нарушение процесса, сбой, взлом, какая-то нештатная ситуация. Что-то плохое или не очень плохое, но точно не хорошее.
Причины могут быть разные - человек недостаточно глубоко знает процесс, о котором его спрашивают, не вполне понимает связь с другими процессами компании. Инцидентов таких не происходило, и сложно вообразить, какими могут быть последствия. Это не всегда говорит о некомпетентности специалиста - возможно, именно ему не требовалось об этом думать.
Иногда даже глубоко знающий процесс специалист может отказаться отвечать на такой вопрос. Ему может быть почти физически больно задумываться о том, что что-то может пойти не так, если до этого всё шло только так, как следует. Ему может казаться, что ответ на этот вопрос или даже размышления о нем могут привести к тому, что страшное произойдет.
Убежденность, что мысли или слова могут повлиять на реальность сами по себе, позиция "давайте думать только о хорошем" - это когнитивное искажение, которое называется магическое мышление.
Такая позиция специалиста - серьёзное препятствие для любых работ по оптимальной защите бизнеса от любых угроз. Нежелание думать о плохом только раздувает страх плохого. В моей практике часто встречается, что то, что изначально было "критично" и "ни в коем случае нельзя, чтобы.." после разбора возможных последствий превращалось в "не факт, что приведет к..." и "даже если и случится, вряд ли нам навредит".
У меня нет универсального рецепта, как поступать в этом случае, потому что так реагировать могут разные по психологии и иерархии компании люди. Также многое зависит от корпоративной культуры, статуса проекта или активности. Но несколько советов, что делать, у меня есть:
🔮 в первую очередь попробуйте объяснить, зачем вам нужна эта информация, и что безопасники не смогут без бизнеса понять риски и выставить приоритеты по их обработке, потому что они не эксперты в этой сфере бизнеса, а эксперт и единственный, кто в состоянии сказать об этом - тот самый специалист перед вами;
🔮 попробуйте предположить абсурдно ужасные (но релевантные) последствия. Это может расслабить эксперта, он скажет "нет, ну такого точно не будет", и будет более склонен назвать реалистичные последствия;
🔮 объясните эксперту, что без его ответа вы не сможете адекватно защищать его бизнес-процесс и его придется исключить из активностей по защите, поскольку у вас не будет формальных оснований для дальнейшей работы, что может как раз привести к негативным последствиям;
🔮 попробуйте найти другого эксперта по этой сфере бизнеса;
🔮 сошлитесь на авторитет куратора проекта из руководства;
🔮 если процесс очевидно неважный - исключите его из проекта;
🔮 если так говорит руководитель, инициировавший или спонсирующий проект - этот проект с большой вероятностью обречен на провал, и вам придется бороться с ветряными мельницами. Оно вам нужно?
Иногда бизнес-владельцам процессов и систем, да, бывает, и руководству компании очень тяжело ответить на вопрос "Какие будут последствия для бизнеса, если произойдет Х?", где Х - это нарушение процесса, сбой, взлом, какая-то нештатная ситуация. Что-то плохое или не очень плохое, но точно не хорошее.
Причины могут быть разные - человек недостаточно глубоко знает процесс, о котором его спрашивают, не вполне понимает связь с другими процессами компании. Инцидентов таких не происходило, и сложно вообразить, какими могут быть последствия. Это не всегда говорит о некомпетентности специалиста - возможно, именно ему не требовалось об этом думать.
Иногда даже глубоко знающий процесс специалист может отказаться отвечать на такой вопрос. Ему может быть почти физически больно задумываться о том, что что-то может пойти не так, если до этого всё шло только так, как следует. Ему может казаться, что ответ на этот вопрос или даже размышления о нем могут привести к тому, что страшное произойдет.
Убежденность, что мысли или слова могут повлиять на реальность сами по себе, позиция "давайте думать только о хорошем" - это когнитивное искажение, которое называется магическое мышление.
Такая позиция специалиста - серьёзное препятствие для любых работ по оптимальной защите бизнеса от любых угроз. Нежелание думать о плохом только раздувает страх плохого. В моей практике часто встречается, что то, что изначально было "критично" и "ни в коем случае нельзя, чтобы.." после разбора возможных последствий превращалось в "не факт, что приведет к..." и "даже если и случится, вряд ли нам навредит".
У меня нет универсального рецепта, как поступать в этом случае, потому что так реагировать могут разные по психологии и иерархии компании люди. Также многое зависит от корпоративной культуры, статуса проекта или активности. Но несколько советов, что делать, у меня есть:
🔮 в первую очередь попробуйте объяснить, зачем вам нужна эта информация, и что безопасники не смогут без бизнеса понять риски и выставить приоритеты по их обработке, потому что они не эксперты в этой сфере бизнеса, а эксперт и единственный, кто в состоянии сказать об этом - тот самый специалист перед вами;
🔮 попробуйте предположить абсурдно ужасные (но релевантные) последствия. Это может расслабить эксперта, он скажет "нет, ну такого точно не будет", и будет более склонен назвать реалистичные последствия;
🔮 объясните эксперту, что без его ответа вы не сможете адекватно защищать его бизнес-процесс и его придется исключить из активностей по защите, поскольку у вас не будет формальных оснований для дальнейшей работы, что может как раз привести к негативным последствиям;
🔮 попробуйте найти другого эксперта по этой сфере бизнеса;
🔮 сошлитесь на авторитет куратора проекта из руководства;
🔮 если процесс очевидно неважный - исключите его из проекта;
🔮 если так говорит руководитель, инициировавший или спонсирующий проект - этот проект с большой вероятностью обречен на провал, и вам придется бороться с ветряными мельницами. Оно вам нужно?
Бумажная безопасность
Для многих технарей документы в области безопасности кажутся раздражающими бесполезными бумажками. Эти бумажки обычно оказываются нужны только для того, чтобы показать их аудитору или регулятору, чтобы они удостоверились, что всё ок и в соответствии с требованиями.
Они противопоставляют "бумажную безопасность" "реальной безопасности", которая заключается в качественной работе средств защиты.
Такая ситуация возникает из-за того, что написанное на бумаге не соответствует действительности. Такая "бумага" имитирует идеальность, где всё в соответствии со всеми требованиями.
Но так бывает не всегда.
Документы могут приносить пользу, когда они выполняют свои функции:
📄 описывают реалистичный процесс. Если нет технической возможности коррелировать события и выявлять аномалии - не надо писать о необходимости это делать в действующем документе. Также не нужно рассчитывать на сверхусилия или сверхспособности работников.
📄 согласуются подразделениями, на которые действуют. Всегда неприятно выполнять "указки сверху", особенно, если они не стыкуются с текущими процессами. Процесс внятного внутреннего согласования помогает заранее убедиться в том, что все вовлеченные в процесс согласны в нем участвовать.
📄 демонстрируют управление и лидерство со стороны руководства. Руководство, утверждающее документ, должно понимать, что оно утверждает. Если у него нет времени на то, чтобы вникнуть в документ, попросить разъяснений со стороны разработчика, подпись становится фейковой. Возможно, что в таком случае неправильно выбран уровень утверждающего (например, председатель правления), а руководителю ниже (например, зампреду по ИТ), который действительно заинтересован в вопросе, не делегировано достаточно полномочий. Вдвойне грустно, если ответственность за деятельность фактически на зампреде.
📄 способны поддержать процесс при увольнении ключевых работников. Процесс описан полностью, без необходимости иметь сакральные знания. Приведены все ссылки. В текущей ситуации готовиться нужно не только к увольнению, о котором предупреждают заранее, но и к внезапной смерти. Поймет ли специалист извне, как продолжить процесс?
📄 понятны и доносят требования до всех задействованных работников. Документы написаны с адекватной для исполнителей сложностью. Инструкция по ИБ понятна рядовому бухгалтеру и оператору колл-центра. Инструкция всем разослана и доступна в корпоративном хранилище ВНД. Обо всех изменениях в инструкции оповещаются все работники.
📄 своевременно обновляются. А не когда параллельно вырос новый процесс, документ стал неактуальным, и у работников снизилось доверие к ВНД компании. В идеале - процесс во всей организации меняется только после того, как обновлен документ и новая версия утверждена.
Для многих технарей документы в области безопасности кажутся раздражающими бесполезными бумажками. Эти бумажки обычно оказываются нужны только для того, чтобы показать их аудитору или регулятору, чтобы они удостоверились, что всё ок и в соответствии с требованиями.
Они противопоставляют "бумажную безопасность" "реальной безопасности", которая заключается в качественной работе средств защиты.
Такая ситуация возникает из-за того, что написанное на бумаге не соответствует действительности. Такая "бумага" имитирует идеальность, где всё в соответствии со всеми требованиями.
Но так бывает не всегда.
Документы могут приносить пользу, когда они выполняют свои функции:
📄 описывают реалистичный процесс. Если нет технической возможности коррелировать события и выявлять аномалии - не надо писать о необходимости это делать в действующем документе. Также не нужно рассчитывать на сверхусилия или сверхспособности работников.
📄 согласуются подразделениями, на которые действуют. Всегда неприятно выполнять "указки сверху", особенно, если они не стыкуются с текущими процессами. Процесс внятного внутреннего согласования помогает заранее убедиться в том, что все вовлеченные в процесс согласны в нем участвовать.
📄 демонстрируют управление и лидерство со стороны руководства. Руководство, утверждающее документ, должно понимать, что оно утверждает. Если у него нет времени на то, чтобы вникнуть в документ, попросить разъяснений со стороны разработчика, подпись становится фейковой. Возможно, что в таком случае неправильно выбран уровень утверждающего (например, председатель правления), а руководителю ниже (например, зампреду по ИТ), который действительно заинтересован в вопросе, не делегировано достаточно полномочий. Вдвойне грустно, если ответственность за деятельность фактически на зампреде.
📄 способны поддержать процесс при увольнении ключевых работников. Процесс описан полностью, без необходимости иметь сакральные знания. Приведены все ссылки. В текущей ситуации готовиться нужно не только к увольнению, о котором предупреждают заранее, но и к внезапной смерти. Поймет ли специалист извне, как продолжить процесс?
📄 понятны и доносят требования до всех задействованных работников. Документы написаны с адекватной для исполнителей сложностью. Инструкция по ИБ понятна рядовому бухгалтеру и оператору колл-центра. Инструкция всем разослана и доступна в корпоративном хранилище ВНД. Обо всех изменениях в инструкции оповещаются все работники.
📄 своевременно обновляются. А не когда параллельно вырос новый процесс, документ стал неактуальным, и у работников снизилось доверие к ВНД компании. В идеале - процесс во всей организации меняется только после того, как обновлен документ и новая версия утверждена.
На сайте The BCI проходит месяц образования. Есть хорошие материалы и интригующие вебинары. https://www.thebci.org/event-detail/event-calendar/education-month-2021.html
www.thebci.org
Education Month 2021
У меня есть хорошая новость! Я выступаю на BCI World Virtual. Кажется, это самая большая конференция по непрерывности бизнеса в мире. Ужасно волнительно и очень горжусь собой.
Беда, которая есть примерно везде - дисбаланс полномочий и ответственности.
Forwarded from Тот, кто сидит в пруду
Пора написать что-то полезное про менеджмент, а не только про свой богатый внутренний мир.
Например, кое-что базовое про распределение ответственности и влияния на проекте. Ответственность за что-то (responsibility) - это значит, что с человека по какому-то вопросу спрос. Если что-то не так, то он в ответе, он лишится бонуса, он потеряет работу, он упадет в репутации. Влияние на что-то (power) - это уровень власти, который есть у человека, чтобы влиять на сферы, за которые он ответственнен (и не только на них).
Если ответственность есть, а павера нет, получается парадоксальная ситуация, когда человек выгребает за невыполнение чего-то, но при этом не имеет возможности влиять на ситуацию, потому что руль ему не отдали. Например, "как руководитель, ты должна следить, чтобы твои подчиненные были довольны" - это про ответственность. Но если при этом у руководителя нет влияния ни на зарплату, ни на отпуск, ни на возможность купить новый ноут сотруднику, короче, ни на что существенное - то этот рукводитель превращается в жилетку, а потом все равно проваливает свою сферу ответственности. Потому что у этого руководителя не существует влияния. Влияние, скорее всего, находится где-то выше по цепочке командования, у того, кто ответственности не несет - и может поступать, как заблагорассудится, ничем не ограничиваясь.
Вот на картинке снизу красиво показано, как человек с властью, но без ответственности, становится диктатором. А человек с ответственностью и без власти становится человеком с нервным срывом. Не говоря уже о том, что человек без того и другого вообще с большой вероятностью сваливает из организации, потому что зачем.
Для меня было когда-то парадоксальным осознание того, что нагрузить сотрудников властью и ответственностью одновременно - это способ удержать их (и в проекте, и в хорошем настроении). Но это и правда работает, с пометкой, что надо еще учитывать зрелость и не класть на человека больше, чем в него лезет - но то, что кладется, класть в балансе.
Например, кое-что базовое про распределение ответственности и влияния на проекте. Ответственность за что-то (responsibility) - это значит, что с человека по какому-то вопросу спрос. Если что-то не так, то он в ответе, он лишится бонуса, он потеряет работу, он упадет в репутации. Влияние на что-то (power) - это уровень власти, который есть у человека, чтобы влиять на сферы, за которые он ответственнен (и не только на них).
Если ответственность есть, а павера нет, получается парадоксальная ситуация, когда человек выгребает за невыполнение чего-то, но при этом не имеет возможности влиять на ситуацию, потому что руль ему не отдали. Например, "как руководитель, ты должна следить, чтобы твои подчиненные были довольны" - это про ответственность. Но если при этом у руководителя нет влияния ни на зарплату, ни на отпуск, ни на возможность купить новый ноут сотруднику, короче, ни на что существенное - то этот рукводитель превращается в жилетку, а потом все равно проваливает свою сферу ответственности. Потому что у этого руководителя не существует влияния. Влияние, скорее всего, находится где-то выше по цепочке командования, у того, кто ответственности не несет - и может поступать, как заблагорассудится, ничем не ограничиваясь.
Вот на картинке снизу красиво показано, как человек с властью, но без ответственности, становится диктатором. А человек с ответственностью и без власти становится человеком с нервным срывом. Не говоря уже о том, что человек без того и другого вообще с большой вероятностью сваливает из организации, потому что зачем.
Для меня было когда-то парадоксальным осознание того, что нагрузить сотрудников властью и ответственностью одновременно - это способ удержать их (и в проекте, и в хорошем настроении). Но это и правда работает, с пометкой, что надо еще учитывать зрелость и не класть на человека больше, чем в него лезет - но то, что кладется, класть в балансе.
Forwarded from Тот, кто сидит в пруду
Ещё забавно, что в самой бесполезной и любимой игре совковых руководителей "кто виноват?" виноватыми обычно назначают именно по ответственности, не принимая во внимание уровень власти, которым человек на самом деле обладал. Таким образом на проекте самым виноватым может оказаться джуниор QA, и все довольны (сарказм).
Но на самом деле, как правило, проблема в тех, у кого власть. Потому что они имеют реальное влияние на ситуацию. Поэтому если хочется, чтобы ответственные были действительно, по всем правилам, ответственны, приходится делиться с ними полномочиями.
Но на самом деле, как правило, проблема в тех, у кого власть. Потому что они имеют реальное влияние на ситуацию. Поэтому если хочется, чтобы ответственные были действительно, по всем правилам, ответственны, приходится делиться с ними полномочиями.
Сегодня хочу сказать пару слов о человеческих ресурсах.
Меня коробит рассмотрение людей, персонала, как ресурса бизнес-процесса. Люди - это всё же люди, и к ним нужно человеческое отношение.
С другой стороны, понимание компанией, что человек он не всегда в компании, у него есть своя жизнь, которую надо жить в свободное от работы время, что он может заболеть, что он в конце концов смертен, и это может повлиять на бизнес, иногда заставляет компании по-другому смотреть на их внутренние процессы и заставляет думать шире, чем необходимость технических мер ОНиВД.
Сейчас многие компании ощущают дефицит квалифицированных кадров. Причем это происходит как у нас, так и в мире в целом. В некоторых сферах уже работники диктуют работодателям условия, и это становится нормой, которая будет распространяться и на другие сферы. Молодое поколение больше ценит свободу, у многих личная жизнь не ограничивается отношениями, у них есть свои проекты, интересы, которые им важнее карьеры.
Но кадровые подразделения во многих организациях живут в прошлом. Даже если их называют эйчарами, часто они не выполняют полностью функцию подразделения, обеспечивающего бизнес человеческими ресурсами.
Я часто слышу и вижу, что вакансии висят открытыми годами, и на них не могут найти человека. А это значит, что потребность в человеке есть. И без него простаивает или идет со скрипом какой-то внутренний процесс. Это мы ещё не говорим о резерве на случай инцидентов.
И вряд ли такого человека нет на рынке труда. Его могут искать не там, где он обитает (на хедхантере нет смысла искать опытных специалистов в некоторых сферах, они там есть только когда у них опыт не больше двух лет), не могут обеспечить конкурентоспособные условия. Иногда рекрутеры не в состоянии нормально коммуницировать с людьми. Неудивительно, что начинают появляться такие истории https://slate.com/human-interest/2021/10/job-seeking-advice-hiring-trend-tight-economy.html
Если деятельность компании зависима от высококвалифицированных кадров, процесс найма должен очень пристально рассматриваться в работах по обеспечению непрерывности бизнеса.
Меня коробит рассмотрение людей, персонала, как ресурса бизнес-процесса. Люди - это всё же люди, и к ним нужно человеческое отношение.
С другой стороны, понимание компанией, что человек он не всегда в компании, у него есть своя жизнь, которую надо жить в свободное от работы время, что он может заболеть, что он в конце концов смертен, и это может повлиять на бизнес, иногда заставляет компании по-другому смотреть на их внутренние процессы и заставляет думать шире, чем необходимость технических мер ОНиВД.
Сейчас многие компании ощущают дефицит квалифицированных кадров. Причем это происходит как у нас, так и в мире в целом. В некоторых сферах уже работники диктуют работодателям условия, и это становится нормой, которая будет распространяться и на другие сферы. Молодое поколение больше ценит свободу, у многих личная жизнь не ограничивается отношениями, у них есть свои проекты, интересы, которые им важнее карьеры.
Но кадровые подразделения во многих организациях живут в прошлом. Даже если их называют эйчарами, часто они не выполняют полностью функцию подразделения, обеспечивающего бизнес человеческими ресурсами.
Я часто слышу и вижу, что вакансии висят открытыми годами, и на них не могут найти человека. А это значит, что потребность в человеке есть. И без него простаивает или идет со скрипом какой-то внутренний процесс. Это мы ещё не говорим о резерве на случай инцидентов.
И вряд ли такого человека нет на рынке труда. Его могут искать не там, где он обитает (на хедхантере нет смысла искать опытных специалистов в некоторых сферах, они там есть только когда у них опыт не больше двух лет), не могут обеспечить конкурентоспособные условия. Иногда рекрутеры не в состоянии нормально коммуницировать с людьми. Неудивительно, что начинают появляться такие истории https://slate.com/human-interest/2021/10/job-seeking-advice-hiring-trend-tight-economy.html
Если деятельность компании зависима от высококвалифицированных кадров, процесс найма должен очень пристально рассматриваться в работах по обеспечению непрерывности бизнеса.
Когда я читала лекции по управлению ИБ стажерам, я задавала им задачу вида:
«Представьте, что вы - начальник отдела ИБ. Вы решили провести фишинговый тест для работников. Сделали выборку из 100 человек и разослали им письма. По ссылке из письма зашли 90 раз. Ваши действия?»
Большая часть ответов стажеров начиналась с того, чтобы кого-то немедленно покарать: сделать выговор, оштрафовать, уволить.
Часть ответов была про то, что нужно обучить провинившихся или вообще всех.
Кто-то предлагал уволиться, потому что это явный провал работы ИБ.
Это всё логично и релевантно кейсу. Хотя может быть и не все из этих действий эффективны и полезны бизнесу. Но я не об этом.
Задавая эту задачу, я ждала, что отвечающий начнёт с проверки своего результата. Корректно ли сработал детектор? Действительно ли 90 заходов это 90 работников? Или это сисадмин показывал, какое он фишинговое письмо отловил, каждому из проходящих мимо коллег по нескольку раз? А, может, он искал баги в вашей страничке, желая отомстить хакерам, приславшим фишинг?
Нужно хотя бы иногда, а лучше как можно чаще задаваться вопросом "А не фигню ли я делаю?".
Проверять вводные, источники, логические связи. Бывает полезно подумать "об кого-то".
«Представьте, что вы - начальник отдела ИБ. Вы решили провести фишинговый тест для работников. Сделали выборку из 100 человек и разослали им письма. По ссылке из письма зашли 90 раз. Ваши действия?»
Большая часть ответов стажеров начиналась с того, чтобы кого-то немедленно покарать: сделать выговор, оштрафовать, уволить.
Часть ответов была про то, что нужно обучить провинившихся или вообще всех.
Кто-то предлагал уволиться, потому что это явный провал работы ИБ.
Это всё логично и релевантно кейсу. Хотя может быть и не все из этих действий эффективны и полезны бизнесу. Но я не об этом.
Задавая эту задачу, я ждала, что отвечающий начнёт с проверки своего результата. Корректно ли сработал детектор? Действительно ли 90 заходов это 90 работников? Или это сисадмин показывал, какое он фишинговое письмо отловил, каждому из проходящих мимо коллег по нескольку раз? А, может, он искал баги в вашей страничке, желая отомстить хакерам, приславшим фишинг?
Нужно хотя бы иногда, а лучше как можно чаще задаваться вопросом "А не фигню ли я делаю?".
Проверять вводные, источники, логические связи. Бывает полезно подумать "об кого-то".
👍6
О консалтинге
Консультант - понятие широкое. Консультировать можно физлиц, а можно юрлиц. Но контактировать консультант будет всё равно с человеком или с группой людей.
Консультант для юрлиц может быть внешний, наёмный, а может быть внутренний - например, оптимизатор бизнес-процессов, или рисковик.
Консультантом для физлица может быть психолог, тренер, врач.
Консультант - тот, кто помогает клиенту решить его проблему руками самого клиента. Консультант не делает за клиента ничего, он изучает проблему клиента, слушает его внимательно, пытается понять, что стоит за обращением клиента. После чего анализирует собранную информацию и дает клиенту варианты решения его проблемы.
Калгари-Кембриджская модель относится к медицинской консультации, но фреймворк, который она дает, может использоваться и в других видах консалтинга, в том числе в консалтинге бизнеса. Ведь цель консультации одна - дать клиенту понимание, как решать проблему. которую он не знает, как решать.
https://bewinner.biz/kalgari-kembridzhskaya-model-meditsinskoj-konsultatsii
Консультант - понятие широкое. Консультировать можно физлиц, а можно юрлиц. Но контактировать консультант будет всё равно с человеком или с группой людей.
Консультант для юрлиц может быть внешний, наёмный, а может быть внутренний - например, оптимизатор бизнес-процессов, или рисковик.
Консультантом для физлица может быть психолог, тренер, врач.
Консультант - тот, кто помогает клиенту решить его проблему руками самого клиента. Консультант не делает за клиента ничего, он изучает проблему клиента, слушает его внимательно, пытается понять, что стоит за обращением клиента. После чего анализирует собранную информацию и дает клиенту варианты решения его проблемы.
Калгари-Кембриджская модель относится к медицинской консультации, но фреймворк, который она дает, может использоваться и в других видах консалтинга, в том числе в консалтинге бизнеса. Ведь цель консультации одна - дать клиенту понимание, как решать проблему. которую он не знает, как решать.
https://bewinner.biz/kalgari-kembridzhskaya-model-meditsinskoj-konsultatsii
bewinner.biz
Калгари-Кембриджская модель медицинской консультации
Начиная с 1966 года и по сей день Калгари-Кембриджская модель считается самой успешной для проведении медицинских консультаций, поэтому в основе наших обучающих мероприятий для врачей лежит именно она.
👍1