o pierwsze: incydenty.

Uzyskaj dostęp do informacji o incydentach, najlepiej występujących w Twojej firmie. Sprawdź jak używasz tej wiedzy konfrontując swoje praktyki z poniższymi faktami, zanotuj uwagi.

  • Brak zarejestrowanych incydentów bezpieczeństwa oznacza, że process ich wykrywania nie jest skuteczny;
  • Wiedza o incydentach jest najcenniejszym elementem analizy ryzyka i ma istotny wpływ na podejmowane decyzje biznesowe;
  • Proces zarządzania incydentami pozwala racjonalizować wydatki na bezpieczeństwo priorytetyzując zagrożenia „w zasięgu”;
  • Analiza przyczyn incydentu w większości przypadków zawiera błąd ludzki co błędnie prowadzi do poszukiwania winnych zamiast eliminacji realnej przyczyny problemu;
  • Powtarzające się incydenty o małym znaczeniu świadczą o poważnym problemie i powinny być szybko eskalowane w celu zapobiegania incydentom o krytycznym znaczeniu.

Przejrzyj notatki. Dla incydentów z udziałem ludzi podziel je w grupy zgodnie z listą „pechowej dwunastki” najczęstrzych sytuacji prowadzących do błędów z udziełem ludzi:

  • Roztargnienie i brak uwagi
  • Przecenianie siebie
  • Brak zaangażowania
  • Brak komunikacji i konsultacji
  • Brak wiedzy niezbędnej do wykonania zadania
  • Brak pracy zespołowej
  • Zmęczenie
  • Brak zasobów
  • Presja
  • Stres
  • Brak świadomości kontekstu
  • Brak lub błędne wdrożenie norm

Teraz dla każdej z grup, wróć do szczegółów incydentów i zastosuj metodę wywiadu informacyjnego. Poszukaj odpowiedzi na pytanie DLACZEGO to zdarzenie wystąpiło. Zanotuj odpowiedź, stanowi ona punkt wyjścia do zadania kolejnego pytania DLACZEGO. Postępuj zgodnie z tą metodą zadając nie więcej niż pięć pytań DLACZEGO. Trzymaj się meritum problemu. Nie rozwiążesz wszystkich zidentyfikowanych problemów w jednej analizie. Jeśli wnioski nie mają sensu, w stosunku do pierwszego pytania, cofnij się do punktu gdzie jeszcze miały.

To podejście pozwala dostrzec, że praktycznie wszystkie incydenty z udziałem człowieka są jedynie objawami problemów podstawowych, między innymi zarządzania zasobami, wizerunkiem, komunikacją, itp. Mogą też wynikać ze strategii biznesowej, strategii rozwoju itd.

Podsumowując pierwszy krok: bazując na wiedzy o incydencie jako faktu naruszenia zabezpieczeń możesz określić podatność Twojej organizacji która doprowadziła do badanego incydentu. Zebranie podobnych incydentów pozwala skoncentrować się na kontekście i wyeliminować nieistotne dla problemu szczegóły, które mogą prowadzić do mylnych wniosków. Konkretnie mogą mylić symptomy (błędy ludzkie) z prawdziwymi przyczynami tych błędów.