Kompliciranje ali optimizacija?

Po organizacijah vidim precej težav in nerazumevanja pravega smisla sistemov vodenja. Zato sem se (že pred časom) odločil temeljito ugrizniti v ta izziv in poskusiti zaznane težave (čim bolje) odpraviti.

(Pre)zakomplicirano? | Vir

Z upoštevanjem vseh zaznanih težav poskušam (za začetek) oblikovati bolj konsistenten, povezan in celovit sistem vodenja informacijske varnosti. Žena ob tem pravi, da se boji, da pri tem (verjetno tako kot pri marsičem) preveč kompliciram.

Zanimivo izhodišče pri tem je, da najverjetneje tako misli, ker ne deli istega pogleda in izkušenj. Tako ne more razumeti, zakaj sem neke stvari zastavil tako, kot sem. Kar se mi zdi povsem normalno.

Ampak, enako velja za vse, ki se srečujejo s tovrstnimi težavami.

Ker mnogi nimajo časa (z)graditi ‘svojega’ intuitivnega sistema, se večinoma odločijo za sveženj dokumentov in zapisov, ki mu le pravijo ‘sistem‘. Tako dobijo že postavljeno stvar, ki je nimajo časa v celoti spoznati in razumeti, zato si pri upravljanju pogosto ‘lomijo zobe’.

Da bi žena (in ostali) lahko razumela, bi morala imeti vse moje izkušnje s posameznimi malimi ‘nitmi’, ki sistem držijo (ali še ne) skupaj.

. . .

Če bi na primer, v Oceni tveganj ‘zakompliciral’ in dodal polja, kamor je treba vpisati povezavo na korektivni ukrep, bi večina rekla, da (preveč) kompliciram.

Jasno; če ne vidijo povezave oziroma smisla. Ampak to je enako kot pri (ne)razumevanju sistemskih kontrol. Iz izkušenj upam trditi, da večina skrbnikov sistemov teh ne razume – ker nima izkušenj, zakaj bi jih sploh potrebovala. In tako v kontrolah vidi nepotrebno birokratiziranje.

Zakaj torej ‘kompliciram’? Vpisovanje referenčnega ID ukrepa je res videti – večini na prvi pogled povsem – nesmiselno in zgolj kot še eno nepotrebno dodatno opravilo.

V mnogih sistemih vodenja pa vidim, da skrbniki – ki izhajajo iz naslova zmanjševanja tveganj – ukrepov sploh ne spremljajo.

Seveda v tem ne vidijo težave, sicer bi jih že spremljali. Šele, ko ugotovijo, da jih je treba spremljati (sicer ni mogoče ugotoviti, ali so tveganje odpravili ali zmanjšali), lahko odgovorijo na vprašanje, zakaj je to smiselno.

In šele potem, ko to počnejo (ter s tem začnejo razumeti), lahko pridejo do naslednjega vprašanja: “Kako učinkovito spremljati?”

Ko mi, na primer, v oganizaciji predstavijo oceno tveganj, največkrat v tej ni navedenih in spremljanih nobenih ukrepov za zmanjšanje. Če pa že so, so nekje čisto drugje, v nekem povsem nepovezanem seznamu.

Ko jih prosim, da mi seznam ukrepov pokažejo, se večini ustavi povezati ukrepe s tveganji. Sicer so na svoj seznam ponosni, ampak pri poplavi ukrepov ne znajo ugotoviti, katera tveganja kateri ukrep naslavlja.

In za ta pojasnila porabijo po 15 do 20 minut na posamezni ukrep. Neučinkovo?

Si torej pri vsem svojih opravilih lahko privoščijo ‘loviti’ tveganja in ukrepe?
Bi bilo bolje, če bi imeli v tveganjih in v ukrepih kakšno dodatno malo ‘rdečo nit’, ki bi jih hitro pripeljala od enega k drugemu? Seveda, ampak dokler tega ne rabijo oziroma razumejo, se jim vse te ‘male niti’ v sistemu zdijo brezvezno kompliciranje.

. . .

In tu se lahko vrnem na začetek, kjer sem omenil, da večina skrbnikov pri vsem svojem delu nima časa oblikovati ‘lastnega’ intuitivnega sistema. Zato tega za vse gradimo mi.

Na njih je le, da se odločijo: ali bodo prevzeli naš sistem, v katerega bodo skrbno in podrobno vpeljani, saj želimo, da ga lahko sami upravljajo. Ali pa se odločijo za ‘instantno’ hitro rešitev, ki pa bo na dolgi rok zahteva več energije, podvajanje nalog, testiranja in prilagajanje sistema s tem omejenim pogledom, kako ga najhitreje pripeljati do optimalne celovitosti.

Borut Kmetič

Poklicno se ukvarjam s celovitim vodenjem informacijske varnosti, od načrtovanja in implementacije sistemov za varovanje informacij do izboljševanja in presojanja skladnosti z ISO standardi.

Kot zunanji svetovalec lahko pomagam pri razvoju varnostne strategije, implementaciji in upravljanju sistemov vodenja oziroma optimiziranju poslovnih procesov, ter zagotavljanju skladnosti s predmetno zakonodajo in regulativo.

Osebno veliko časa posvečam raznovrstnim oblikam optimizacije – biohackingu, osebni rasti, raziskovanju novih prebojnih idej in tehnologij, organizacijske kulture, eksponentnih organizacij, sistemskega razmišljanja in drugih naprednih metod za izboljšanje kakovosti življenja.

Borut@SmartAssets.it
Borut@Medium

The post Kompliciranje ali optimizacija? appeared first on Savus.