سازمان خود را طوری طراحی کنید که در برابر بلایای آینده مقاومت باشند-روش های آموزش سازمان هاروارد
چکیده:وقتی شرکتها برای بحرانها آماده میشوند، اغلب نمیتوانند یک قدم به عقب بردارند و یک سوال ساده بپرسند: ما چگونه طراحی شدهایم؟ نویسنده سالها به آموزش و مشاوره شرکتها در زمینه مدیریت و آمادگی در بلایا پرداخته است و به این باور رسیده است که آمادگی خوب به دنبال سازمان خوب است – و معمولاً آمادگی بد را میتوان با سازمان بد توضیح داد. رهبران شرکت باید فهرستی از “معماری آمادگی” خود را تهیه کنند. این بدان معناست که در ابتدا کمتر بر آموزش، پروتکلها، رهبری و ارتباطات و بیشتر بر گزارشدهی داخلی و ساختار حاکمیت شرکت تمرکز کنید. سوال اساسی برای همه شرکتها اکنون، در عصر فجایع مکرر، این است که آیا طراحی مدیریت و رهبری آنها ایمن است یا خیر. رهبران برای طراحی ساختار مدیریت شرکت خود برای پاسخگویی بهتر به بحران ها، باید بر سه حوزه تمرکز کنند: موقعیت، دسترسی و وحدت تلاش.
وقتی شرکتها برای بحرانها آماده میشوند، اغلب نمیتوانند یک قدم به عقب بردارند و یک سوال ساده بپرسند: ما چگونه طراحی شدهایم؟ من سالها صرف آموزش و مشاوره شرکتها در زمینه مدیریت و آمادگی در بلایا کردهام و به این باور رسیدهام که آمادگی خوب به دنبال سازمان خوب است – و آمادگی بد معمولاً با سازمان بد قابل توضیح است.
بدیهی است که با ورود به سال سوم واکنش به کووید، همه ما اکنون تا حدودی مدیران بحران هستیم. تهدیدهایی که ما با آن روبرو هستیم – برای زندگی، تداوم کسب و کار، دارایی، و شهرت – با از بین رفتن نقاب ما پایانی نخواهد داشت. رهبران شرکت باید فهرستی از “معماری آمادگی” خود را تهیه کنند. این بدان معناست که در ابتدا کمتر بر آموزش، پروتکلها، رهبری و ارتباطات و بیشتر بر گزارشدهی داخلی و ساختار حاکمیت شرکت تمرکز کنید. سوال اساسی برای همه شرکتها اکنون، در عصر فجایع مکرر، این است که آیا طراحی مدیریت و رهبری آنها ایمن است یا خیر.
در مطالعه بلایا و پیامدهای آنها برای کتابم، شیطان هرگز نمیخوابد: یادگیری زندگی در عصر بلایا، چندین نقص طراحی را شناسایی کردم که باید قبل از وقوع بحرانهای بعدی – نه اگر – برطرف شوند. رهبران برای طراحی ساختار مدیریتی شرکت خود برای پاسخگویی بهتر به بحران ها، باید بر سه حوزه زیر تمرکز کنند.
موقعیت
شرکت ها به ندرت دارای پرسنل امنیتی در نقش های رهبری دائمی هستند. تعداد کمی از هیئت مدیره شرکت های دولتی دارای یک فرد از بخش امنیت یا امنیت سایبری هستند. این صرفاً یک چالش نمادین نیست: به آن حرفهای میگوید که مهارتها یا تخصص آنها جزء رهبری شرکت نیست. این می تواند بر ظرفیت هدایت اولویت های بودجه و کارکنان تأثیر بگذارد، زیرا مدیران منابع محدود را تقسیم می کنند. این موضوع ارتباط را رد می کند: یک صندلی پشت میز. و اگر موضوعی توسط مدیریت ضروری تلقی نشود، کارمندان نیز آن را ضروری نبینند. امنیت باید با طراحی حاکمیتی افزایش یابد که نشان میدهد به همان اندازه در آینده یک شرکت یکپارچه است.
اغلب، برای جبران این ایرادات طراحی یا مسئول جلوه دادن در برابر دنیای خارج، بسیاری از شرکتها، بهویژه شرکتهای فناوری جدیدتر، هیئتهای «اعتماد» یا «مشاوره اعتماد» را ایجاد میکنند. نمی دانم به این دلیل است که «اعتماد» کمتر از «امنیت» ترسناک به نظر می رسد. این هیئتها معمولاً مملو از متخصصان و مقامات دولتی سابق هستند (من در چند نفر خدمت کردهام!)، اما نام – یک تعبیر – و مکان – خارج از سازمان – گویای است. آنها صرفاً مشورت می کنند و توصیه می کنند و مهمتر از آن نمی توانند اقدامی را مطالبه کنند. آنها به معنای واقعی کلمه کنار هم هستند و اغلب برای نمایش هستند. معماری امنیتی چیز جدی است و نمی توان آن را به اندازه جدول بچه ها در روز شکرگزاری کاهش داد. اگر مدیران هیئتمدیره یا رهبران داخلی نتوانند برنامهریزی و قابلیتهای آمادگی را پیش ببرند، آنوقت انجام نمیشود..
دسترسی داشته باشید
در دنیای امنیت، ظرفیت دستگاه ایمنی برای گفتن در برنامهریزی و اولویتهای کسبوکار، در دسترس بودن نامیده میشود. آیا تیم امنیتی در زمانی که بیشترین اهمیت را دارد در دسترس است؟ بسیاری از رهبران سازمانی میگویند بله، که میدانند اگر مشکلی پیش آمد با چه کسی تماس بگیرند. این نشان می دهد که رهبری امنیت را به عنوان یک عامل توانمند نمی بیند، بلکه بیشتر به عنوان یک مزاحم ضروری یا یک افزونه، چیزی که باید نامیده می شود به جای بافت همبند برای شرکت نگاه می کند. ساختارهای پیچیده گزارشدهی، با پرسنل ایمنی توزیع شده به گونهای که آنها به بخشهای مختلف ساختار مدیریتی مانند قانونی، ریسک یا استراتژی گزارش میدهند، تأثیر و قابلیتهای آنها را به حداقل میرساند.
تلقی کردن پرسنل امنیتی به عنوان کارهای بعدی از طریق محدود کردن دسترسی آنها به رهبری، کوته فکری و خودباختگی است. به عنوان مثال، تلاش طولانی شهر اوکلند برای ساختن یک استادیوم جدید برای تیم بیسبال خود، Oakland Athletics، در ترمینال هوارد را در نظر بگیرید (تلاشی که آنقدر به طول انجامید که به آن “سفر هزار قدمی” می گویند). . از زمانی که گروه سرمایه گذاری Oakland Athletics در سال 2018 سایت هاوارد ترمینال را انتخاب کرد، این پروژه با تأخیرها و موانع زیادی روبرو شد، که یکی از آنها کشف آسیب پذیری های ایمنی متعددی بود که باید قبل از انتخاب آنها مشاهده می شد.
این سایت برای نیازهای تفریحی و سرمایه گذار عالی بود. اما از آنجایی که از یک طرف توسط آب احاطه شده است و فقط چند جاده خروجی دارد (برخی از آنها به طور مداوم توسط راهآهن و بار مسدود میشدند)، بررسی مشاورهای که من در مورد آن ارائه کردم مشخص شد که در صورت وقوع فاجعهبار هیچ راهی برای خروج ایمن از مردم وجود ندارد ( زلزله، آتش سوزی، وضعیت تیرانداز فعال و غیره) رخ می دهد. آنقدر جریان امن و مطمئن بندر اصلی اوکلند را تهدید کرد که راهآهن اتحادیه پاسیفیک حتی مخالفتهایی را برانگیخت.
تیم ایمنی گروه سرمایه گذاری کجا بود؟ صحبتی در مورد آن وجود نداشت، و تلاش اندکی در قسمت جلویی برای تعامل با سایر شرکت ها، از جمله راه آهن و باربری، و ساکنانی که خطرات و چالش های سایت را درک می کردند، صورت گرفت.
هیچ معماری یکسانی وجود ندارد. در حالت ایدهآل، یک رئیس ارشد ایمنی یا امنیت مستقیماً به مدیر عامل یا یکی از اعضای ارشد تیم رهبری گزارش میدهد. آن مقام امنیتی بر تمام جنبه های سیاست ریسک نظارت خواهد داشت و بودجه و پرسنل را با حمایت از بالا هدایت می کند. امنیت موضوعی بسیار مهم است که نمیتوان آن را در نمودار سازمانی پنهان کرد یا به «کارشناسان» خارجی واگذار کرد. اگر با توجه به اندازه یا ساختار یک شرکت این امکان پذیر نیست، مدیر عامل و تیم رهبری باید اطمینان حاصل کنند که امنیت همیشه در تصمیمات تجاری و بودجه و اولویتدار قبل از تصمیمگیری نشان داده میشود.
همچنین ضروری است که رهبران زمانی که پرسنل امنیتی درخواست حضور آنها را در تمرینات روی میز یا آموزش می دهند، مایل و درگیر باشند. یک جلسه توجیهی ماهانه ارزشمند است، زیرا خطرات اغلب تغییر می کنند. این نوع آشنایی باعث میشود رهبر در فضایی که کلید مأموریت اوست، روان و راحت باشد، حتی اگر کسی نباشد که دفاع سایبری را خریداری کند یا دروازههای اطراف ساختمان را بسازد.
من زمانی برای یک رهبر سیاسی به عنوان رئیس امنیت داخلی او کار می کردم، اما طبق قانون، گزارش مستقیمی نبودم. من به سادگی به او گفتم که «شما در انتخابات من برنده نمی شوید، اما احتمالاً در آن انتخابات شکست خواهید خورد. وقتی نیاز دارم تو را ببینم، مطمئن شو که دیده می شوم.» او موافق بود و به تیمش هم همین را گفت. این واقعیت که هیچ کس به ایمنی اهمیت نمی دهد تا زمانی که همه اهمیت دهند، باید دسترسی یک رهبر را آگاه کند.
وحدت تلاش
پس از حملات تروریستی 11 سپتامبر، بسیاری از شرکت ها به درستی یک CSO، افسر ارشد امنیتی را ارتقا دادند یا استخدام کردند. در طول دهه بعد، زمانی که شرکتها حملات سایبری و آسیبپذیریها را تجربه میکردند، یک رهبر جدید ظهور کرد: CISO، افسر ارشد امنیت اطلاعات. اکنون، به دلیل همهگیری، بسیاری از شرکتهای بزرگ CMO یا CHO، افسران ارشد پزشکی یا بهداشت را استخدام میکنند. این تعداد زیادی از افراد C هستند.
این احساس ستودنی است، اما تلاش بدون بافت همبند معنای کمی دارد. یک راه حل این است که یک رئیس امنیت یا آمادگی را تعیین کنید که بر این تلاش ها نظارت کند. اگرچه تمام این نقشهای C بر روی تهدیدات مختلف متمرکز شدهاند، پاسخ یک رهبر اساساً یکسان خواهد بود، چه تیرانداز فعال، زلزله، نفوذ سایبری یا ویروس: برنامهای را اجرا کنید، تأثیر را به حداقل برسانید و شرکت را رهبری کنید. با تلاشها، تمرکزها و کار تقسیم شده، “رئیس” اغلب در سیلوهای مختلف گزارشگری و مدیریتی هستند. مشکل این است: هرچه کشتی سقوط کند، کل کشتی در حال سقوط است.
برای مثال، حمله باجافزاری به خط لوله استعماری در ماه مه ۲۰۲۱ را در نظر بگیرید، که منجر به این شد که اپراتور خط لوله مجبور شود تحویل گاز و نفت را به تقریباً ۴۵ درصد از ساحل شرقی برای بیش از یک هفته متوقف کند. تحلیلگران تمایل دارند بپرسند که چگونه این شرکت تا این حد آسیب پذیر بوده است. سوال بهتر این است: چگونه میتوانستند برنامهای نداشته باشند که چگونه اختلال سایبری اجتنابناپذیر بر قابلیتهای آنها تأثیر میگذارد و با بسته شدن زنجیره تأمین منجر به بحران انرژی کوتاهمدت میشود؟
این شرکت چارهای جز خاموش کردن کل سیستم نداشت، زیرا نمیتوانست جریان گاز را به طور موثر نظارت کند. شرکت ها به طور کلی سیستم ها را بین عملیات و فناوری اطلاعات تقسیم می کنند. آنها به یکدیگر وابسته هستند، به این معنی که خطر برای یکی خطر دیگری است. اگر Colonial یک رهبر ارشد داشت که بر کل مجموعه پیامدهای بالقوه نظارت می کرد، ممکن بود شرکت آمادگی بیشتری داشت. ممکن است افزونگی ایجاد کند یا نیازهای داده کلیدی – مانند موارد مربوط به عملیات و توزیع – را از موارد تجاری – مانند حقوق و دستمزد – در شبکه جدا کند. ممکن است تلاشهای پیچیدهتری برای بازیابی برنامهریزی کرده باشد که بر حرکت سریع خطوط لوله بزرگ متمرکز شده و برای تحویل محلی به کامیونها و سایر اشکال حملونقل متکی است. در عوض، آنچه که میتوانست یک اختلال جزئی معمول در فضای مجازی باشد، تبدیل به یک چالش ملی تامین انرژی شد.
هیچ دیدگاهی نوشته نشده است.