Техника "пре-мортем"
"Пре-мортем" означает "перед смертью". Техника заключается в том, чтобы вообразить нечто катастрофическое, которое произошло, и провести мысленное расследование, почему оно произошло.
Технику можно использовать в разных сферах как в работе, так и в обычной жизни.
Например, в ИБ вы можете вообразить, что ваша самая главная и важная база утекла, и теперь её продают в даркнете.
Почему так произошло?
💀Её слили изнутри? Кто мог это сделать?
💀Или это хакеры вас взломали?
Как они это сделали? Почему вы вовремя это не заметили?
💀А может, вас и ломать не нужно было, база гуглилась через поисковик?
Как так вышло? Почему вы не знали об этом?
Ответив на эти вопросы, вы получите дерево сценариев, которые приводят к одному итогу, и болевые точки, влияя на которые можно снизить вероятность этого итога.
"Пре-мортем" означает "перед смертью". Техника заключается в том, чтобы вообразить нечто катастрофическое, которое произошло, и провести мысленное расследование, почему оно произошло.
Технику можно использовать в разных сферах как в работе, так и в обычной жизни.
Например, в ИБ вы можете вообразить, что ваша самая главная и важная база утекла, и теперь её продают в даркнете.
Почему так произошло?
💀Её слили изнутри? Кто мог это сделать?
💀Или это хакеры вас взломали?
Как они это сделали? Почему вы вовремя это не заметили?
💀А может, вас и ломать не нужно было, база гуглилась через поисковик?
Как так вышло? Почему вы не знали об этом?
Ответив на эти вопросы, вы получите дерево сценариев, которые приводят к одному итогу, и болевые точки, влияя на которые можно снизить вероятность этого итога.
Когда риск путают со страхом
На картинке - выдержка из отчета, прогнозирующего риски для бизнеса на 2021 год.
2020 научил всех бояться болезней. Но насколько вероятно, что в 2021 году болезни будут так же сильно воздействовать на бизнес? Вероятно ли, что начнётся новая пандемия или текущая пандемия будет с такой же силой "воздействовать" на бизнес? И даже если так - что бизнес, переживший 2020, не переживет новые ограничения и заболевания персонала?
Мне такие оценки кажутся довольно натянутыми, и вот почему:
1. Наиболее пострадавшие от ковида бизнесы не занимаются оценкой рисков: это мелкий бизнес, который не живёт такими понятиями. В статистику risk score они точно не попадают.
2. Опыт ковида - первый опыт пандемии в современном мире. За прошедший год страны многому научились, увидели экономический эффект разных видов ограничений, и в следующий раз, скорее всего, ограничения при прочих равных будут носить более мягкий характер.
——->>
На картинке - выдержка из отчета, прогнозирующего риски для бизнеса на 2021 год.
2020 научил всех бояться болезней. Но насколько вероятно, что в 2021 году болезни будут так же сильно воздействовать на бизнес? Вероятно ли, что начнётся новая пандемия или текущая пандемия будет с такой же силой "воздействовать" на бизнес? И даже если так - что бизнес, переживший 2020, не переживет новые ограничения и заболевания персонала?
Мне такие оценки кажутся довольно натянутыми, и вот почему:
1. Наиболее пострадавшие от ковида бизнесы не занимаются оценкой рисков: это мелкий бизнес, который не живёт такими понятиями. В статистику risk score они точно не попадают.
2. Опыт ковида - первый опыт пандемии в современном мире. За прошедший год страны многому научились, увидели экономический эффект разных видов ограничений, и в следующий раз, скорее всего, ограничения при прочих равных будут носить более мягкий характер.
——->>
Да, я говорю это из России, где строгость закона компенсируется необязательностью его исполнения. В Европе тем временем всё не становится легче. Но западные страны не могут не стрелять себе в ногу.
3. Помимо того, что мы поняли последствия различных мер и ограничений, мы улучшили санитарные условия. Какие-то меры останутся "на постоянку" (может быть, ношение масок в самолёте, дистанцирование) и будут предупреждать распространение других болезней.
4. Пандемия всё ещё остается маловероятным событием.
Конечно, новости о новых найденных потенциально смертоносных вирусах быстро становятся популярными, и за прошедший год мы видели несколько таких. Но всё же заболеванию, которое может привести к пандемии, нужно обладать определенными параметрами - заразностью, летальностью, способами передачи, чтобы стать инициатором пандемии.
Факт, что событие произошло, сам по себе не увеличивает вероятность повторения события. Думать иначе - когнитивное искажение.
5. Вряд ли непосредственно "заболевание, не связанное с работой" так сильно повлияло на чей-либо бизнес, чтобы ставить его наибольшим риском среди возможных влияний на бизнес. Да, несколько снизило эффективность рабочей силы. Но не более того. Люди всегда болеют, просто в прошлом году - немного чаще.
6. Формулирование риска как "заболевание, не связанное с работой" некорректно, потому что неясно, кто заболевает, и как именно это влияет на бизнес.
Формулировка в отчете больше похожа на то, что больше всего боится бизнес, но не как проанализированный и оцененный риск.
К отчетам даже больших и уважаемых организаций стоит относиться со скептицизмом.
3. Помимо того, что мы поняли последствия различных мер и ограничений, мы улучшили санитарные условия. Какие-то меры останутся "на постоянку" (может быть, ношение масок в самолёте, дистанцирование) и будут предупреждать распространение других болезней.
4. Пандемия всё ещё остается маловероятным событием.
Конечно, новости о новых найденных потенциально смертоносных вирусах быстро становятся популярными, и за прошедший год мы видели несколько таких. Но всё же заболеванию, которое может привести к пандемии, нужно обладать определенными параметрами - заразностью, летальностью, способами передачи, чтобы стать инициатором пандемии.
Факт, что событие произошло, сам по себе не увеличивает вероятность повторения события. Думать иначе - когнитивное искажение.
5. Вряд ли непосредственно "заболевание, не связанное с работой" так сильно повлияло на чей-либо бизнес, чтобы ставить его наибольшим риском среди возможных влияний на бизнес. Да, несколько снизило эффективность рабочей силы. Но не более того. Люди всегда болеют, просто в прошлом году - немного чаще.
6. Формулирование риска как "заболевание, не связанное с работой" некорректно, потому что неясно, кто заболевает, и как именно это влияет на бизнес.
Формулировка в отчете больше похожа на то, что больше всего боится бизнес, но не как проанализированный и оцененный риск.
К отчетам даже больших и уважаемых организаций стоит относиться со скептицизмом.
В The Business Continuity Institute (BCI) началась неделя осведомленности в теме непрерывности бизнеса.
На сайте недели есть анонсы вебинаров, кейсы и даже подкаст.
Среди прочего есть постеры, которые можно скачать и повесить в офисе. Не думаю, что от того, что их повесишь, будет эффект, но забавно, что большая часть постеров относится скорее к теме ИБ:
- Достаточно ли надежен ваш пароль и блокируете ли вы компьютер?
- Безопасен ли ваш Wi-Fi?
- Относитесь ли вы к подозрительным ссылкам и письмам с осторожностью?
и т.д.
И мне тоже уже тяжело провести границу между ИБ и непрерывностью бизнеса. И надо ли?
https://www.thebci.org/event-detail/event-calendar/business-continuity-awareness-week--bcaw--2021.html
На сайте недели есть анонсы вебинаров, кейсы и даже подкаст.
Среди прочего есть постеры, которые можно скачать и повесить в офисе. Не думаю, что от того, что их повесишь, будет эффект, но забавно, что большая часть постеров относится скорее к теме ИБ:
- Достаточно ли надежен ваш пароль и блокируете ли вы компьютер?
- Безопасен ли ваш Wi-Fi?
- Относитесь ли вы к подозрительным ссылкам и письмам с осторожностью?
и т.д.
И мне тоже уже тяжело провести границу между ИБ и непрерывностью бизнеса. И надо ли?
https://www.thebci.org/event-detail/event-calendar/business-continuity-awareness-week--bcaw--2021.html
www.thebci.org
Business Continuity Awareness Week (BCAW) 2021
Магическое мышление
Иногда бизнес-владельцам процессов и систем, да, бывает, и руководству компании очень тяжело ответить на вопрос "Какие будут последствия для бизнеса, если произойдет Х?", где Х - это нарушение процесса, сбой, взлом, какая-то нештатная ситуация. Что-то плохое или не очень плохое, но точно не хорошее.
Причины могут быть разные - человек недостаточно глубоко знает процесс, о котором его спрашивают, не вполне понимает связь с другими процессами компании. Инцидентов таких не происходило, и сложно вообразить, какими могут быть последствия. Это не всегда говорит о некомпетентности специалиста - возможно, именно ему не требовалось об этом думать.
Иногда даже глубоко знающий процесс специалист может отказаться отвечать на такой вопрос. Ему может быть почти физически больно задумываться о том, что что-то может пойти не так, если до этого всё шло только так, как следует. Ему может казаться, что ответ на этот вопрос или даже размышления о нем могут привести к тому, что страшное произойдет.
Убежденность, что мысли или слова могут повлиять на реальность сами по себе, позиция "давайте думать только о хорошем" - это когнитивное искажение, которое называется магическое мышление.
Такая позиция специалиста - серьёзное препятствие для любых работ по оптимальной защите бизнеса от любых угроз. Нежелание думать о плохом только раздувает страх плохого. В моей практике часто встречается, что то, что изначально было "критично" и "ни в коем случае нельзя, чтобы.." после разбора возможных последствий превращалось в "не факт, что приведет к..." и "даже если и случится, вряд ли нам навредит".
У меня нет универсального рецепта, как поступать в этом случае, потому что так реагировать могут разные по психологии и иерархии компании люди. Также многое зависит от корпоративной культуры, статуса проекта или активности. Но несколько советов, что делать, у меня есть:
🔮 в первую очередь попробуйте объяснить, зачем вам нужна эта информация, и что безопасники не смогут без бизнеса понять риски и выставить приоритеты по их обработке, потому что они не эксперты в этой сфере бизнеса, а эксперт и единственный, кто в состоянии сказать об этом - тот самый специалист перед вами;
🔮 попробуйте предположить абсурдно ужасные (но релевантные) последствия. Это может расслабить эксперта, он скажет "нет, ну такого точно не будет", и будет более склонен назвать реалистичные последствия;
🔮 объясните эксперту, что без его ответа вы не сможете адекватно защищать его бизнес-процесс и его придется исключить из активностей по защите, поскольку у вас не будет формальных оснований для дальнейшей работы, что может как раз привести к негативным последствиям;
🔮 попробуйте найти другого эксперта по этой сфере бизнеса;
🔮 сошлитесь на авторитет куратора проекта из руководства;
🔮 если процесс очевидно неважный - исключите его из проекта;
🔮 если так говорит руководитель, инициировавший или спонсирующий проект - этот проект с большой вероятностью обречен на провал, и вам придется бороться с ветряными мельницами. Оно вам нужно?
Иногда бизнес-владельцам процессов и систем, да, бывает, и руководству компании очень тяжело ответить на вопрос "Какие будут последствия для бизнеса, если произойдет Х?", где Х - это нарушение процесса, сбой, взлом, какая-то нештатная ситуация. Что-то плохое или не очень плохое, но точно не хорошее.
Причины могут быть разные - человек недостаточно глубоко знает процесс, о котором его спрашивают, не вполне понимает связь с другими процессами компании. Инцидентов таких не происходило, и сложно вообразить, какими могут быть последствия. Это не всегда говорит о некомпетентности специалиста - возможно, именно ему не требовалось об этом думать.
Иногда даже глубоко знающий процесс специалист может отказаться отвечать на такой вопрос. Ему может быть почти физически больно задумываться о том, что что-то может пойти не так, если до этого всё шло только так, как следует. Ему может казаться, что ответ на этот вопрос или даже размышления о нем могут привести к тому, что страшное произойдет.
Убежденность, что мысли или слова могут повлиять на реальность сами по себе, позиция "давайте думать только о хорошем" - это когнитивное искажение, которое называется магическое мышление.
Такая позиция специалиста - серьёзное препятствие для любых работ по оптимальной защите бизнеса от любых угроз. Нежелание думать о плохом только раздувает страх плохого. В моей практике часто встречается, что то, что изначально было "критично" и "ни в коем случае нельзя, чтобы.." после разбора возможных последствий превращалось в "не факт, что приведет к..." и "даже если и случится, вряд ли нам навредит".
У меня нет универсального рецепта, как поступать в этом случае, потому что так реагировать могут разные по психологии и иерархии компании люди. Также многое зависит от корпоративной культуры, статуса проекта или активности. Но несколько советов, что делать, у меня есть:
🔮 в первую очередь попробуйте объяснить, зачем вам нужна эта информация, и что безопасники не смогут без бизнеса понять риски и выставить приоритеты по их обработке, потому что они не эксперты в этой сфере бизнеса, а эксперт и единственный, кто в состоянии сказать об этом - тот самый специалист перед вами;
🔮 попробуйте предположить абсурдно ужасные (но релевантные) последствия. Это может расслабить эксперта, он скажет "нет, ну такого точно не будет", и будет более склонен назвать реалистичные последствия;
🔮 объясните эксперту, что без его ответа вы не сможете адекватно защищать его бизнес-процесс и его придется исключить из активностей по защите, поскольку у вас не будет формальных оснований для дальнейшей работы, что может как раз привести к негативным последствиям;
🔮 попробуйте найти другого эксперта по этой сфере бизнеса;
🔮 сошлитесь на авторитет куратора проекта из руководства;
🔮 если процесс очевидно неважный - исключите его из проекта;
🔮 если так говорит руководитель, инициировавший или спонсирующий проект - этот проект с большой вероятностью обречен на провал, и вам придется бороться с ветряными мельницами. Оно вам нужно?
Бумажная безопасность
Для многих технарей документы в области безопасности кажутся раздражающими бесполезными бумажками. Эти бумажки обычно оказываются нужны только для того, чтобы показать их аудитору или регулятору, чтобы они удостоверились, что всё ок и в соответствии с требованиями.
Они противопоставляют "бумажную безопасность" "реальной безопасности", которая заключается в качественной работе средств защиты.
Такая ситуация возникает из-за того, что написанное на бумаге не соответствует действительности. Такая "бумага" имитирует идеальность, где всё в соответствии со всеми требованиями.
Но так бывает не всегда.
Документы могут приносить пользу, когда они выполняют свои функции:
📄 описывают реалистичный процесс. Если нет технической возможности коррелировать события и выявлять аномалии - не надо писать о необходимости это делать в действующем документе. Также не нужно рассчитывать на сверхусилия или сверхспособности работников.
📄 согласуются подразделениями, на которые действуют. Всегда неприятно выполнять "указки сверху", особенно, если они не стыкуются с текущими процессами. Процесс внятного внутреннего согласования помогает заранее убедиться в том, что все вовлеченные в процесс согласны в нем участвовать.
📄 демонстрируют управление и лидерство со стороны руководства. Руководство, утверждающее документ, должно понимать, что оно утверждает. Если у него нет времени на то, чтобы вникнуть в документ, попросить разъяснений со стороны разработчика, подпись становится фейковой. Возможно, что в таком случае неправильно выбран уровень утверждающего (например, председатель правления), а руководителю ниже (например, зампреду по ИТ), который действительно заинтересован в вопросе, не делегировано достаточно полномочий. Вдвойне грустно, если ответственность за деятельность фактически на зампреде.
📄 способны поддержать процесс при увольнении ключевых работников. Процесс описан полностью, без необходимости иметь сакральные знания. Приведены все ссылки. В текущей ситуации готовиться нужно не только к увольнению, о котором предупреждают заранее, но и к внезапной смерти. Поймет ли специалист извне, как продолжить процесс?
📄 понятны и доносят требования до всех задействованных работников. Документы написаны с адекватной для исполнителей сложностью. Инструкция по ИБ понятна рядовому бухгалтеру и оператору колл-центра. Инструкция всем разослана и доступна в корпоративном хранилище ВНД. Обо всех изменениях в инструкции оповещаются все работники.
📄 своевременно обновляются. А не когда параллельно вырос новый процесс, документ стал неактуальным, и у работников снизилось доверие к ВНД компании. В идеале - процесс во всей организации меняется только после того, как обновлен документ и новая версия утверждена.
Для многих технарей документы в области безопасности кажутся раздражающими бесполезными бумажками. Эти бумажки обычно оказываются нужны только для того, чтобы показать их аудитору или регулятору, чтобы они удостоверились, что всё ок и в соответствии с требованиями.
Они противопоставляют "бумажную безопасность" "реальной безопасности", которая заключается в качественной работе средств защиты.
Такая ситуация возникает из-за того, что написанное на бумаге не соответствует действительности. Такая "бумага" имитирует идеальность, где всё в соответствии со всеми требованиями.
Но так бывает не всегда.
Документы могут приносить пользу, когда они выполняют свои функции:
📄 описывают реалистичный процесс. Если нет технической возможности коррелировать события и выявлять аномалии - не надо писать о необходимости это делать в действующем документе. Также не нужно рассчитывать на сверхусилия или сверхспособности работников.
📄 согласуются подразделениями, на которые действуют. Всегда неприятно выполнять "указки сверху", особенно, если они не стыкуются с текущими процессами. Процесс внятного внутреннего согласования помогает заранее убедиться в том, что все вовлеченные в процесс согласны в нем участвовать.
📄 демонстрируют управление и лидерство со стороны руководства. Руководство, утверждающее документ, должно понимать, что оно утверждает. Если у него нет времени на то, чтобы вникнуть в документ, попросить разъяснений со стороны разработчика, подпись становится фейковой. Возможно, что в таком случае неправильно выбран уровень утверждающего (например, председатель правления), а руководителю ниже (например, зампреду по ИТ), который действительно заинтересован в вопросе, не делегировано достаточно полномочий. Вдвойне грустно, если ответственность за деятельность фактически на зампреде.
📄 способны поддержать процесс при увольнении ключевых работников. Процесс описан полностью, без необходимости иметь сакральные знания. Приведены все ссылки. В текущей ситуации готовиться нужно не только к увольнению, о котором предупреждают заранее, но и к внезапной смерти. Поймет ли специалист извне, как продолжить процесс?
📄 понятны и доносят требования до всех задействованных работников. Документы написаны с адекватной для исполнителей сложностью. Инструкция по ИБ понятна рядовому бухгалтеру и оператору колл-центра. Инструкция всем разослана и доступна в корпоративном хранилище ВНД. Обо всех изменениях в инструкции оповещаются все работники.
📄 своевременно обновляются. А не когда параллельно вырос новый процесс, документ стал неактуальным, и у работников снизилось доверие к ВНД компании. В идеале - процесс во всей организации меняется только после того, как обновлен документ и новая версия утверждена.
На сайте The BCI проходит месяц образования. Есть хорошие материалы и интригующие вебинары. https://www.thebci.org/event-detail/event-calendar/education-month-2021.html
www.thebci.org
Education Month 2021
У меня есть хорошая новость! Я выступаю на BCI World Virtual. Кажется, это самая большая конференция по непрерывности бизнеса в мире. Ужасно волнительно и очень горжусь собой.
Беда, которая есть примерно везде - дисбаланс полномочий и ответственности.
Forwarded from Тот, кто сидит в пруду
Пора написать что-то полезное про менеджмент, а не только про свой богатый внутренний мир.
Например, кое-что базовое про распределение ответственности и влияния на проекте. Ответственность за что-то (responsibility) - это значит, что с человека по какому-то вопросу спрос. Если что-то не так, то он в ответе, он лишится бонуса, он потеряет работу, он упадет в репутации. Влияние на что-то (power) - это уровень власти, который есть у человека, чтобы влиять на сферы, за которые он ответственнен (и не только на них).
Если ответственность есть, а павера нет, получается парадоксальная ситуация, когда человек выгребает за невыполнение чего-то, но при этом не имеет возможности влиять на ситуацию, потому что руль ему не отдали. Например, "как руководитель, ты должна следить, чтобы твои подчиненные были довольны" - это про ответственность. Но если при этом у руководителя нет влияния ни на зарплату, ни на отпуск, ни на возможность купить новый ноут сотруднику, короче, ни на что существенное - то этот рукводитель превращается в жилетку, а потом все равно проваливает свою сферу ответственности. Потому что у этого руководителя не существует влияния. Влияние, скорее всего, находится где-то выше по цепочке командования, у того, кто ответственности не несет - и может поступать, как заблагорассудится, ничем не ограничиваясь.
Вот на картинке снизу красиво показано, как человек с властью, но без ответственности, становится диктатором. А человек с ответственностью и без власти становится человеком с нервным срывом. Не говоря уже о том, что человек без того и другого вообще с большой вероятностью сваливает из организации, потому что зачем.
Для меня было когда-то парадоксальным осознание того, что нагрузить сотрудников властью и ответственностью одновременно - это способ удержать их (и в проекте, и в хорошем настроении). Но это и правда работает, с пометкой, что надо еще учитывать зрелость и не класть на человека больше, чем в него лезет - но то, что кладется, класть в балансе.
Например, кое-что базовое про распределение ответственности и влияния на проекте. Ответственность за что-то (responsibility) - это значит, что с человека по какому-то вопросу спрос. Если что-то не так, то он в ответе, он лишится бонуса, он потеряет работу, он упадет в репутации. Влияние на что-то (power) - это уровень власти, который есть у человека, чтобы влиять на сферы, за которые он ответственнен (и не только на них).
Если ответственность есть, а павера нет, получается парадоксальная ситуация, когда человек выгребает за невыполнение чего-то, но при этом не имеет возможности влиять на ситуацию, потому что руль ему не отдали. Например, "как руководитель, ты должна следить, чтобы твои подчиненные были довольны" - это про ответственность. Но если при этом у руководителя нет влияния ни на зарплату, ни на отпуск, ни на возможность купить новый ноут сотруднику, короче, ни на что существенное - то этот рукводитель превращается в жилетку, а потом все равно проваливает свою сферу ответственности. Потому что у этого руководителя не существует влияния. Влияние, скорее всего, находится где-то выше по цепочке командования, у того, кто ответственности не несет - и может поступать, как заблагорассудится, ничем не ограничиваясь.
Вот на картинке снизу красиво показано, как человек с властью, но без ответственности, становится диктатором. А человек с ответственностью и без власти становится человеком с нервным срывом. Не говоря уже о том, что человек без того и другого вообще с большой вероятностью сваливает из организации, потому что зачем.
Для меня было когда-то парадоксальным осознание того, что нагрузить сотрудников властью и ответственностью одновременно - это способ удержать их (и в проекте, и в хорошем настроении). Но это и правда работает, с пометкой, что надо еще учитывать зрелость и не класть на человека больше, чем в него лезет - но то, что кладется, класть в балансе.
Forwarded from Тот, кто сидит в пруду
Ещё забавно, что в самой бесполезной и любимой игре совковых руководителей "кто виноват?" виноватыми обычно назначают именно по ответственности, не принимая во внимание уровень власти, которым человек на самом деле обладал. Таким образом на проекте самым виноватым может оказаться джуниор QA, и все довольны (сарказм).
Но на самом деле, как правило, проблема в тех, у кого власть. Потому что они имеют реальное влияние на ситуацию. Поэтому если хочется, чтобы ответственные были действительно, по всем правилам, ответственны, приходится делиться с ними полномочиями.
Но на самом деле, как правило, проблема в тех, у кого власть. Потому что они имеют реальное влияние на ситуацию. Поэтому если хочется, чтобы ответственные были действительно, по всем правилам, ответственны, приходится делиться с ними полномочиями.
Сегодня хочу сказать пару слов о человеческих ресурсах.
Меня коробит рассмотрение людей, персонала, как ресурса бизнес-процесса. Люди - это всё же люди, и к ним нужно человеческое отношение.
С другой стороны, понимание компанией, что человек он не всегда в компании, у него есть своя жизнь, которую надо жить в свободное от работы время, что он может заболеть, что он в конце концов смертен, и это может повлиять на бизнес, иногда заставляет компании по-другому смотреть на их внутренние процессы и заставляет думать шире, чем необходимость технических мер ОНиВД.
Сейчас многие компании ощущают дефицит квалифицированных кадров. Причем это происходит как у нас, так и в мире в целом. В некоторых сферах уже работники диктуют работодателям условия, и это становится нормой, которая будет распространяться и на другие сферы. Молодое поколение больше ценит свободу, у многих личная жизнь не ограничивается отношениями, у них есть свои проекты, интересы, которые им важнее карьеры.
Но кадровые подразделения во многих организациях живут в прошлом. Даже если их называют эйчарами, часто они не выполняют полностью функцию подразделения, обеспечивающего бизнес человеческими ресурсами.
Я часто слышу и вижу, что вакансии висят открытыми годами, и на них не могут найти человека. А это значит, что потребность в человеке есть. И без него простаивает или идет со скрипом какой-то внутренний процесс. Это мы ещё не говорим о резерве на случай инцидентов.
И вряд ли такого человека нет на рынке труда. Его могут искать не там, где он обитает (на хедхантере нет смысла искать опытных специалистов в некоторых сферах, они там есть только когда у них опыт не больше двух лет), не могут обеспечить конкурентоспособные условия. Иногда рекрутеры не в состоянии нормально коммуницировать с людьми. Неудивительно, что начинают появляться такие истории https://slate.com/human-interest/2021/10/job-seeking-advice-hiring-trend-tight-economy.html
Если деятельность компании зависима от высококвалифицированных кадров, процесс найма должен очень пристально рассматриваться в работах по обеспечению непрерывности бизнеса.
Меня коробит рассмотрение людей, персонала, как ресурса бизнес-процесса. Люди - это всё же люди, и к ним нужно человеческое отношение.
С другой стороны, понимание компанией, что человек он не всегда в компании, у него есть своя жизнь, которую надо жить в свободное от работы время, что он может заболеть, что он в конце концов смертен, и это может повлиять на бизнес, иногда заставляет компании по-другому смотреть на их внутренние процессы и заставляет думать шире, чем необходимость технических мер ОНиВД.
Сейчас многие компании ощущают дефицит квалифицированных кадров. Причем это происходит как у нас, так и в мире в целом. В некоторых сферах уже работники диктуют работодателям условия, и это становится нормой, которая будет распространяться и на другие сферы. Молодое поколение больше ценит свободу, у многих личная жизнь не ограничивается отношениями, у них есть свои проекты, интересы, которые им важнее карьеры.
Но кадровые подразделения во многих организациях живут в прошлом. Даже если их называют эйчарами, часто они не выполняют полностью функцию подразделения, обеспечивающего бизнес человеческими ресурсами.
Я часто слышу и вижу, что вакансии висят открытыми годами, и на них не могут найти человека. А это значит, что потребность в человеке есть. И без него простаивает или идет со скрипом какой-то внутренний процесс. Это мы ещё не говорим о резерве на случай инцидентов.
И вряд ли такого человека нет на рынке труда. Его могут искать не там, где он обитает (на хедхантере нет смысла искать опытных специалистов в некоторых сферах, они там есть только когда у них опыт не больше двух лет), не могут обеспечить конкурентоспособные условия. Иногда рекрутеры не в состоянии нормально коммуницировать с людьми. Неудивительно, что начинают появляться такие истории https://slate.com/human-interest/2021/10/job-seeking-advice-hiring-trend-tight-economy.html
Если деятельность компании зависима от высококвалифицированных кадров, процесс найма должен очень пристально рассматриваться в работах по обеспечению непрерывности бизнеса.
Когда я читала лекции по управлению ИБ стажерам, я задавала им задачу вида:
«Представьте, что вы - начальник отдела ИБ. Вы решили провести фишинговый тест для работников. Сделали выборку из 100 человек и разослали им письма. По ссылке из письма зашли 90 раз. Ваши действия?»
Большая часть ответов стажеров начиналась с того, чтобы кого-то немедленно покарать: сделать выговор, оштрафовать, уволить.
Часть ответов была про то, что нужно обучить провинившихся или вообще всех.
Кто-то предлагал уволиться, потому что это явный провал работы ИБ.
Это всё логично и релевантно кейсу. Хотя может быть и не все из этих действий эффективны и полезны бизнесу. Но я не об этом.
Задавая эту задачу, я ждала, что отвечающий начнёт с проверки своего результата. Корректно ли сработал детектор? Действительно ли 90 заходов это 90 работников? Или это сисадмин показывал, какое он фишинговое письмо отловил, каждому из проходящих мимо коллег по нескольку раз? А, может, он искал баги в вашей страничке, желая отомстить хакерам, приславшим фишинг?
Нужно хотя бы иногда, а лучше как можно чаще задаваться вопросом "А не фигню ли я делаю?".
Проверять вводные, источники, логические связи. Бывает полезно подумать "об кого-то".
«Представьте, что вы - начальник отдела ИБ. Вы решили провести фишинговый тест для работников. Сделали выборку из 100 человек и разослали им письма. По ссылке из письма зашли 90 раз. Ваши действия?»
Большая часть ответов стажеров начиналась с того, чтобы кого-то немедленно покарать: сделать выговор, оштрафовать, уволить.
Часть ответов была про то, что нужно обучить провинившихся или вообще всех.
Кто-то предлагал уволиться, потому что это явный провал работы ИБ.
Это всё логично и релевантно кейсу. Хотя может быть и не все из этих действий эффективны и полезны бизнесу. Но я не об этом.
Задавая эту задачу, я ждала, что отвечающий начнёт с проверки своего результата. Корректно ли сработал детектор? Действительно ли 90 заходов это 90 работников? Или это сисадмин показывал, какое он фишинговое письмо отловил, каждому из проходящих мимо коллег по нескольку раз? А, может, он искал баги в вашей страничке, желая отомстить хакерам, приславшим фишинг?
Нужно хотя бы иногда, а лучше как можно чаще задаваться вопросом "А не фигню ли я делаю?".
Проверять вводные, источники, логические связи. Бывает полезно подумать "об кого-то".
👍6
О консалтинге
Консультант - понятие широкое. Консультировать можно физлиц, а можно юрлиц. Но контактировать консультант будет всё равно с человеком или с группой людей.
Консультант для юрлиц может быть внешний, наёмный, а может быть внутренний - например, оптимизатор бизнес-процессов, или рисковик.
Консультантом для физлица может быть психолог, тренер, врач.
Консультант - тот, кто помогает клиенту решить его проблему руками самого клиента. Консультант не делает за клиента ничего, он изучает проблему клиента, слушает его внимательно, пытается понять, что стоит за обращением клиента. После чего анализирует собранную информацию и дает клиенту варианты решения его проблемы.
Калгари-Кембриджская модель относится к медицинской консультации, но фреймворк, который она дает, может использоваться и в других видах консалтинга, в том числе в консалтинге бизнеса. Ведь цель консультации одна - дать клиенту понимание, как решать проблему. которую он не знает, как решать.
https://bewinner.biz/kalgari-kembridzhskaya-model-meditsinskoj-konsultatsii
Консультант - понятие широкое. Консультировать можно физлиц, а можно юрлиц. Но контактировать консультант будет всё равно с человеком или с группой людей.
Консультант для юрлиц может быть внешний, наёмный, а может быть внутренний - например, оптимизатор бизнес-процессов, или рисковик.
Консультантом для физлица может быть психолог, тренер, врач.
Консультант - тот, кто помогает клиенту решить его проблему руками самого клиента. Консультант не делает за клиента ничего, он изучает проблему клиента, слушает его внимательно, пытается понять, что стоит за обращением клиента. После чего анализирует собранную информацию и дает клиенту варианты решения его проблемы.
Калгари-Кембриджская модель относится к медицинской консультации, но фреймворк, который она дает, может использоваться и в других видах консалтинга, в том числе в консалтинге бизнеса. Ведь цель консультации одна - дать клиенту понимание, как решать проблему. которую он не знает, как решать.
https://bewinner.biz/kalgari-kembridzhskaya-model-meditsinskoj-konsultatsii
bewinner.biz
Калгари-Кембриджская модель медицинской консультации
Начиная с 1966 года и по сей день Калгари-Кембриджская модель считается самой успешной для проведении медицинских консультаций, поэтому в основе наших обучающих мероприятий для врачей лежит именно она.
👍1
Пара аспектов, которые нужно учитывать при дизайне процессов:
1. Если процесс охватывает всех работников компании, с какого-то числа работников он просто не может работать на 100%, потому что с какого-то числа работников в их числе обязательно есть люди с особым взглядом на мир.
2. Следование процессам - это навык, он встречается далеко не у всех.
1. Если процесс охватывает всех работников компании, с какого-то числа работников он просто не может работать на 100%, потому что с какого-то числа работников в их числе обязательно есть люди с особым взглядом на мир.
2. Следование процессам - это навык, он встречается далеко не у всех.
👍4
В комментариях под прошлым постом было жаркое обсуждение, кто-то написал мне в личку, что я не права.
Прошлым постом я не выражала ничего оценочного. Это вещи, с которыми ты сталкиваешься, когда дизайнишь процессы, а потом их ведешь. Я перечислю несколько моментов, которые можно посоветовать для сферического в вакууме внедрения процесса в организации.
Нужно быть готовым к тому, что:
🍋 Сколько ни старайся сделать инструкцию понятной и подробной, обязательно найдутся люди, которые её не дочитают, прочитают по верхам, неправильно прочтут, неправильно прочтут отдельное слово. Просто примите это.
🍋 Неправильно понявшие могут как сообщить вам об этом (заложите запас времени на ответы!), так и не сообщить, и ваш процесс в каком-то месте не заработает, или заработает не так, как вы хотели (не ставьте сразу много на кон, через какое-то время проведите проверку, работает ли процесс, во всех ли случаях, когда должен, какие есть недочеты. Соберите отзывы участников).
🍋 Вы - специалист в вашей сфере, люди, которые будут участвовать в процессе, могут не быть в ней специалистами. У вас скорее всего есть разрыв в терминологии. Дайте подробный перечень терминов к описанию процесса, написанный человеческим языком.
🍋 Внедрение процессов, следовать которым у работника нет интереса, может быть тяжелым. Найдите интерес. Это может быть например снижение личных рисков, кажущееся снижение личных рисков, упрощение действий работника…
🍋 Если в компании не было процессов, и вы вдруг начали их внедрять, будет сопротивление просто потому что люди не привыкли. Сделайте им удобнее.
Если у вас есть дополнения - пишите в комментариях)
Прошлым постом я не выражала ничего оценочного. Это вещи, с которыми ты сталкиваешься, когда дизайнишь процессы, а потом их ведешь. Я перечислю несколько моментов, которые можно посоветовать для сферического в вакууме внедрения процесса в организации.
Нужно быть готовым к тому, что:
🍋 Сколько ни старайся сделать инструкцию понятной и подробной, обязательно найдутся люди, которые её не дочитают, прочитают по верхам, неправильно прочтут, неправильно прочтут отдельное слово. Просто примите это.
🍋 Неправильно понявшие могут как сообщить вам об этом (заложите запас времени на ответы!), так и не сообщить, и ваш процесс в каком-то месте не заработает, или заработает не так, как вы хотели (не ставьте сразу много на кон, через какое-то время проведите проверку, работает ли процесс, во всех ли случаях, когда должен, какие есть недочеты. Соберите отзывы участников).
🍋 Вы - специалист в вашей сфере, люди, которые будут участвовать в процессе, могут не быть в ней специалистами. У вас скорее всего есть разрыв в терминологии. Дайте подробный перечень терминов к описанию процесса, написанный человеческим языком.
🍋 Внедрение процессов, следовать которым у работника нет интереса, может быть тяжелым. Найдите интерес. Это может быть например снижение личных рисков, кажущееся снижение личных рисков, упрощение действий работника…
🍋 Если в компании не было процессов, и вы вдруг начали их внедрять, будет сопротивление просто потому что люди не привыкли. Сделайте им удобнее.
Если у вас есть дополнения - пишите в комментариях)
🔥3❤2
Грейды в ИБ
джун это «вот инструкция, делаю по ней»
миддл - «есть ТЗ, пишу инструкцию»
сеньор - «определяю, как решить задачу, пишу ТЗ»
лид «анахзачем вам делать эту задачу?»
CISO - «на какие из вороха задач мы можем себе позволить забить?»
джун это «вот инструкция, делаю по ней»
миддл - «есть ТЗ, пишу инструкцию»
сеньор - «определяю, как решить задачу, пишу ТЗ»
лид «а
CISO - «на какие из вороха задач мы можем себе позволить забить?»
🔥8
Риск-менеджмент 1 лвла
Часто вижу, как в компаниях, стартуя процесс риск-менеджмента, начинают с описания "правильного", классического процесса и разработки реестра рисков, желательно вообще всех, до которых дотянутся руки.
И процесс тормозится, никто ничего не делает, пока регламент не допилен, реестр собирается бесконечное количество времени или тяп-ляп, из него ничего не понятно.
А итог один -безблагодатность процесс не работает, максимум можно показать бумажки аудитору.
Что же делать, если вы хотите реально работающий процесс без больших трудо- и времязатрат?
👣 разрешите себе сделать плохо, на троечку, чтобы просто начало хоть как-то работать. Потом допилите.
👣 вспомните про цель риск-менеджмента - это информированное принятие решений. Процесс должен приводить к неким решениям (выборам), которые поняты и осознаны лицом, принимающим решения (ЛПР).
👣 в работающем процессе должно быть три составляющих:
- обнаружение и описание риска
- информирование ЛПР о риске (и возможно вариантах решений)
- принятие решения ЛПР
Всё, этого достаточно. Озаботьтесь тем, чтобы эти этапы работали.
👣 реестр рисков - это не обязательная составляющая работающего процесса. Это систематизация уже имеющейся информации. Не систематизируйте информацию, пока не поймете, зачем вам это нужно. Просто складывайте куда-нибудь (чтобы не потерять) и обкатывайте принятие решений.
👣 договоритесь с ЛПР, в каком виде и какая ему (им) нужна информация для принятия решений по тем рискам, которые вы будете на него выносить. Договоритесь о форме представления информации и сроках ответа.
👣 корректно выбирайте ЛПР для выявленных рисков - это должен быть человек, который будет нести всю полноту ответственности - в рамках распоряжаемых бюджетов в компании, и перед законом. А также ЛПР должен иметь достаточный авторитет и полномочия для принятия решений.
👣 занимайтесь поначалу только критичными рисками, которые могут принести значимый вред ЛПР или бизнесу.
👣 описывая риск, не склоняйте ЛПР к выбору того или иного решения. Это его забота, а не ваша. Если вы можете оценить потери или их составляющую в деньгах - оцените. Если не можете, и вам приходится оценивать словами "высокий", "масштабный" и прочими оценочными - приводите обоснвания, почему так.
Так же обосновывайте вероятность/частоту наступления рискового события.
Так вы стартуете процесс управления рисками, и приучите ЛПР принимать информированные решения. Что будет входить в лвл 2, решать вам - в зависимости от потребностей.
#risks #basics
Часто вижу, как в компаниях, стартуя процесс риск-менеджмента, начинают с описания "правильного", классического процесса и разработки реестра рисков, желательно вообще всех, до которых дотянутся руки.
И процесс тормозится, никто ничего не делает, пока регламент не допилен, реестр собирается бесконечное количество времени или тяп-ляп, из него ничего не понятно.
А итог один -
Что же делать, если вы хотите реально работающий процесс без больших трудо- и времязатрат?
👣 разрешите себе сделать плохо, на троечку, чтобы просто начало хоть как-то работать. Потом допилите.
👣 вспомните про цель риск-менеджмента - это информированное принятие решений. Процесс должен приводить к неким решениям (выборам), которые поняты и осознаны лицом, принимающим решения (ЛПР).
👣 в работающем процессе должно быть три составляющих:
- обнаружение и описание риска
- информирование ЛПР о риске (и возможно вариантах решений)
- принятие решения ЛПР
Всё, этого достаточно. Озаботьтесь тем, чтобы эти этапы работали.
👣 реестр рисков - это не обязательная составляющая работающего процесса. Это систематизация уже имеющейся информации. Не систематизируйте информацию, пока не поймете, зачем вам это нужно. Просто складывайте куда-нибудь (чтобы не потерять) и обкатывайте принятие решений.
👣 договоритесь с ЛПР, в каком виде и какая ему (им) нужна информация для принятия решений по тем рискам, которые вы будете на него выносить. Договоритесь о форме представления информации и сроках ответа.
👣 корректно выбирайте ЛПР для выявленных рисков - это должен быть человек, который будет нести всю полноту ответственности - в рамках распоряжаемых бюджетов в компании, и перед законом. А также ЛПР должен иметь достаточный авторитет и полномочия для принятия решений.
👣 занимайтесь поначалу только критичными рисками, которые могут принести значимый вред ЛПР или бизнесу.
👣 описывая риск, не склоняйте ЛПР к выбору того или иного решения. Это его забота, а не ваша. Если вы можете оценить потери или их составляющую в деньгах - оцените. Если не можете, и вам приходится оценивать словами "высокий", "масштабный" и прочими оценочными - приводите обоснвания, почему так.
Так же обосновывайте вероятность/частоту наступления рискового события.
Так вы стартуете процесс управления рисками, и приучите ЛПР принимать информированные решения. Что будет входить в лвл 2, решать вам - в зависимости от потребностей.
#risks #basics
🔥6❤2