W ostatnim czasie prowadziłem kilka ciekawych rozmów o tym, jak powinny wyglądać firmy, które chcą wdrażać a następnie certyfikować SZBI. Poniżej chciałbym podsumować moje przemyślenia w tym temacie.
Przede wszystkim uważam, że wdrażaniem SZBI powinny zainteresować się dopiero te organizacje, które osiągnęły na tyle duży poziom dojrzałości zarządzania, że rozumieją, że dla skutecznego zarządzanie organizacją niezbędne jest wprowadzenie pewnych ram.
Zarządzanie polega na planowaniu tego co się chce osiągnąć, realizacji, a następnie weryfikowania czy plany są (i powinny być) realizowane, a następnie podejmowaniu odpowiednich dalszych kroków w zależności od wyników. Teoretycznie jest to banał, ale w rzeczywistości wiele, szczególnie mniejszych, organizacji koncentruje się wyłącznie na sprawności "realizacji" zapominając o pozostałych elementach.
Organizacje często chcą być dynamiczne i elastyczne i łączą to (niestety) z brakiem jakichkolwiek konkretnych celów, uporządkowanych ról i procesów, zapisów potwierdzających wykonane czynności. To nie tak!
- Brak celów nie pozwoli podążać w ich kierunku. Cele można zmieniać, ale powinny istnieć i być zrozumiałe w organizacji.
- Brak ról powoduje rozmywanie się odpowiedzialności. Póki jest dobrze, wszyscy są szczęśliwi, ale gdy okażę się, że pewne istotne czynności nie są wykonywane "bo to nie mój obowiązek", a organizacja poniesie z tego powodu szkody - przestanie być tak miło.
- Procesy pomagają zapewnić by czynności były realizowane w podobny sposób. Uzależnienie się od kluczowego pracownika może być dla organizacji tragiczne w skutkach.
- Zapisy pomagają w zarządzaniu - można sprawdzić kiedy (czy w ogóle) istotne czynności miały miejsce, można na podstawie zapisów analizować istotne problemy, które trapią organizacje i starać się znaleźć rozwiązanie.
Kwestią otwartą pozostaje za to na ile rozbudowane powinny być te procesy/ role/ zapisy/ cele.
Poprawne odpowiedź brzmi - to zależy. Powinno to być na tyle rozbudowane by wyraźnie widoczna byłą wartość dodana, która płynie z tych mechanizmów (pod warunkiem ich właściwego określenia).
Po drugie, choć oczywiście bardzo powiązane z poprzednim, najwyższe kierownictwo powinno zmienić sposób podejmowania decyzji. Często podejmowane one są "na czuja". Może to być oczywiście bardzo skuteczne, wcale nie musi być całkowicie zaniechane, ale podstawą dla funkcjonowania organizacji powinny być wnioski w zakresie ryzyka - naprawdę warto pomagać swojej intuicji. To co robi organizacja powinno być odpowiedzią na wprost zidentyfikowaną potrzebę biznesową (ryzyko lub szansę). Separowanie wniosków płynących z analizy ryzyka od rzeczywistej działalności organizacji jest bardzo dużym błędem. Model zarządzania ryzykiem wprowadzony w organizacji przede wszystkim powinien być praktyczny - powinien pozwalać na identyfikowanie problemów, regularną aktualizację danych oraz podejmowanie dobrych decyzji.
Po trzecie - należy przyjąć filozofię stałego doskonalenia. Oznacza ona m.in. że w organizacji w sposób jawny będzie się mówić o porażkach, błędach, pomyłkach, incydentach... Będą one analizowanie NIE w celu wyciąganie konsekwencji, a by zapewnić, że podobna sytuacja nie pojawi się ponownie. Odejście od kultury obwiniania (np. zwalniania) winowajcy będzie jednak mniej trudne niż przypilnowanie by w organizacji wszystkie porażki, nawet te celowe, spotykały się z całkowitą pobłażliwością prowadząc do prowizorki, nieróbstwa i bylejakości.
Reasumując... Wiele organizacji dobrze sobie radzi załatwiając wszystko "na gębę". W wielu z nich wszystkimi czynnościami jednoosobowo kieruje prezes/właściciel. W innych już jest tak dobrze, że nie może lepiej lub pracownicy po prostu boją się odezwać z obawy, że stracą pracę. Takie organizacje nie skorzystają z projektu w zakresie wdrażania SZBI, jeżeli naprawdę nie będą chciały się zmienić.
Dodam jednak, że po dobrym wdrożeniu SZBI wartość będzie bardzo widoczna w całej organizacji, a nie tylko w obszarze bezpieczeństwa informacji
Brak komentarzy:
Prześlij komentarz
Dzień dobry. Komentarze na tym forum są moderowane