Oldalunkon sütiket (cookie) használunk, amelyekről adatkezelési tájékoztatónkban olvashat.
Részletek Rendben
     
    Egy paranoid CISO hazavághatja cége kiberbiztonságát
    Bitport2025.01.04.Közösség & HR
    Keskeny a mezsgye a szükséges és a beteges bizalmatlanság, a szabályok következetes betartatása és az értelmetlen, öncélú vagy önigazoló szigorkodás között.

    A kiberbiztonsági szakértő nem felkent próféta, nem a végső igazság letéteményese, hanem szakember, aki akkor látja el a feladatát jól, ha a napi tevékenységét szigorúan szakmai alapokon végzi, valamint pontosan ismeri – és el is fogadja – helyét és szerepét a szervezetben. Ez hangsúlyozottan érvényes a kiberbiztonságot irányító CISO-ra, akinek a szakmai kompetenciái mellett vezetői képességeit is bizonyítania kell.

    Amióta felértékelődött a kiberbiztonság szerepe, egyre gyakoribb, hogy a CISO-kban mégis csak felhorgad a felkentség érzése, és úgy viselkednek, mintha élet és halál urai lennének a szervezetben. Ennek pedig egyenes következménye, hogy a kiberbiztonsági csapaton belül mérgező légkör alakul ki, ami akár tovább is terjedhet a szervezetben például beteges paranoia formájában. Csakhogy ez kontraproduktív, állítja a Forrester Research vezető elemzője, Jinan Budge, aki évek óta kutatja a toxikus kiberkultúra kialakulásának okait és hatását a vállalatok működésére.

    A mérgező légkör már rövid távon növeli a dolgozói elégedetlenséget, és előbb-utóbb belső harcokhoz, összességében a csapat teljesítményének drámai romlásához vezet, állítja a kutató egy 2020-ban megjelent tanulmányában. Az ilyen helyzetek önmagában is súlyos biztonsági kockázatot jelentenek.

    Túlkompenzáló CISO-k

    A probléma egye gyakoribb. Kezeléséhez pedig mindenekelőtt az okokat kell feltárni, melyek Budge szerint a kiberbiztonság sajátos helyzetében gyökereznek:

    ● a terület viszonylag fiatal kulcsszereplője a vállalati digitális ökoszisztémának, ezért a CISO-k többségének még mindig meg kell küzdenie azért, hogy meghallgassák és megfontolják a javaslatait;

    ● az ebből eredő feszültségeket felerősíti, hogy sok cégnél a menedzsment a (kiber)biztonságot még mindig a szükséges rossz kategóriába sorolja (pl. compliance, ami a pénzt viszi, ám nem hoz semmit), és ezt éreztetik is a kiberbiztonsági csapattal;

    ● a CISO-k folyamatosan éles helyzetben, nyomás alatt dolgoznak, és mivel a támadási vektorok állandóan és gyorsan változnak, soha nem lehetnek biztosak benne, hogy teljes mértékben felkészültek az új támadástípusokra. Sokan az ebből eredő bizonytalanságukat egyfajta "messiáskomplexussal" próbálják leplezni;

    ● a biztonsági csapatok általában kis létszámúak, ezért a CISO és beosztottai között is közvetlenebb a kapcsolat, mint népesebb részlegeken a vezetők és beosztottaik között, ám éppen ezért vezetői képességeinek hiánya erősebben kiütközik, és esetleges frusztrációi közvetlenebbül hatnak a csapatára;

    ● hiába forog közszájon évek óta "az ember a leggyengébb láncszem" elv, a kiberbiztonságot a szervezetek mind a mai napig elsősorban technikai kérdésnek tekintik, és ennek megfelelően választanak CISO-t, figyelmen kívül hagyva a soft skilleket.

    Nem kell különösebb vezetői tapasztalat ahhoz, hogy belássuk: a fentiek miatt könnyen alakulhat ki mérgező légkör, amely látványosan ronthatja a szervezetek teljesítményét, növeli a fluktuációt, rombolja a cég megítélését, miáltal nehezebb is pótolni a távozókat, csökken a termelékenység stb.

    Lefordítva kiberbiztonságra

    Mi történik, ha egy kiberbiztonsági csapatban kialakul ez a helyzet? A lehető legrosszabb: a csapat elveszíti a képességét arra, hogy egy támadás esetén gyorsan hozzon optimális döntéseket. Mindenki bizonytalanná válik, a csapat tagjainak figyelmét a belső intrikák kötik le, ha probléma van, azért mindenki a másikat hibáztatják – a munka pedig elvégzetlenül marad. Ez pedig már önmagában is jelentős kiberbiztonsági kockázat.

    Budge szerint a menedzsmentnek tisztában kell lenni azzal, hogy a kiberbiztonság területén miért kontraproduktív – sőt veszélyes –, ha a CISO-nak hiányoznak a csapat vezetéséhez szükséges soft skilljei. Ezek hiányában a kiberbiztonsági vezető, akinek folyamatosan az egészséges bizalmatlanság és a beteges paranoia közti nagyon vékonyka mezsgyén kell egyensúlyoznia, hamar elveszítheti a nyitottságát, rugalmasságát, empátiáját stb. Gyorsan kialakulhat olyan hangulat, ahol a csapat tagjainak az az alapélménye, hogy egy negatív vélemény a védelmi rendszerek hatékonyságáról vagy akár egy technikai részletkérdés kezeléséről akár megtorlással – megszégyenítéssel, szankciókkal stb. – is járhat. Ilyen környezetben senki sem foglalkozik majd a kibervédelem hatékonyságának javításával, főleg nem a felismert problémák és nehézségek jelentésével, hiszen a rossz hír hozóját megbüntetik. Ugyanakkor önvédelemből a kollégák jelentenek minden incidensnek tűnő eseményt, még ha azt amúgy szakmai szempontból jelentéktelennek is gondolják. A Forrester kutatásai szerint a "toxikus szervezetekben" a globális átlagnál mintegy 3,5-szer több a jelentett belső incidensek száma.

    Akik toxikus környezetben dolgoznak, gyakrabban érzik magukat túlterheltnek, jellemzően elégtelennek érzik a munkavégzésükhöz biztosított erőforrásokat. Emiatt úgy érzik, képtelenek is elhárítani az egyre komplexebb támadásokat. Ez pedig egyenes út a gyors kiégéshez.

    A megoldás: az őszinteséghez való jog

    Egy amerikai szervezetfejlesztési pszichológus, a Harvard Business Schoolon tanító Amy Edmondson, aki több mint két évtizede kutatja a munkahelyi csoportok működését, ezért tartja fontosnak a csapatok ún. pszichológiai biztonságát. A fogalom alatt Edmondson az őszinteségre való jogot érti. A csapat tagjainak az kell legyen a közös élménye, hogy vállalhatnak kockázatot, szabadon megfogalmazhatják ötleteiket – és félelmeiket –, feltehetik a kérdéseiket. És beismerhetik hibáikat, mert nem kell retorziótól tartaniuk.
     

    Megvan-e a pszichológiai biztonság?

    Amy Edmondson szerint a pszichológiai biztonság megteremtése inkább művészet mint tudomány. Szükségesek hozzá az általános vezetői skillek, meg még valami. Alap azonban a jó vezetési gyakorlat: világos normák és elvárások, kiszámíthatóság, nyílt kommunikáció, az alkalmazottak aktív meghallgatása, a csapattagok támogatása, munkájuk elismerése stb.

    A Harvard Business School professzora kiindulásként egy felmérést javasol, ami alapján meghatározható a csapat állapota. A beosztottaknak az alábbi állításokat kell értékelniük.

    ● Ez egy olyan csapat, amelynek a tagjai képesek felvetni a problémákat és a nehéz kérdéseket.
    ● Az ebben a csapatban dolgozók néha elfogadják kollégáik másságát.
    ● Ez a csapat biztonságos hátteret ad ahhoz, hogy lehessen kockáztatni.
    ● Nem nehéz ennek a csapatnak a többi tagjától segítséget kérni.
    ● Ebben a csapatban senki sem csinálna szándékosan olyant, amivel aláásná az erőfeszítéseimet.
    ● Ebben a csapatban értékelik és hasznosítják egyéni képességeimet és tehetségemet.

    A válaszok kiértékelésénél nem a pontszámok abszolút értékét kell figyelembe venni, hanem a szórást, hiszen mindenki a saját elvárásai szerint értékel, azaz ahhoz képest ítéli jónak vagy rossznak a csapata működését, hogy mit tartana ideálisnak.


    A pszichológiai biztonság nem arról szól, hogy egymással kedvesnek, udvariasnak kell lenni. Az ugyanis Edmondson szerint gyakran csupán annak elkendőzésére szolgál, hogy nem vagyunk egymáshoz őszinték. És a pszichológiailag biztonságos környezet nem is az, ahol mindig jól kell éreznünk magunkat. Hanem épp ellenkezőleg: az ilyen csapatokban nyíltan ki lehet mondani azt is, amitől más talán rosszul érzi magát, hiszen a tanulás, a hibázás és a hibákra való rámutatás általában kényelmetlen. A pszichológiai biztonság azonban épp azt garantálja, hogy a kényelmetlen dolgok kimondása nem jár sérüléssel.

    Edmondson állítása az, hogy bár a pszichológiai biztonságot egyénileg éljük át, az valójában a csapatok "pszichés" tulajdonsága. Azaz ha létrejön, a csapattagokra is visszahat függetlenül egyéni kommunikációs képességeiktől (és kommunikációra való hajlandóságuktól). Nőnek az egyéni teljesítmények, gyorsul a döntéshozatal, és javul a minősége, erősödik a csapat tanulási képessége.

    Ennyi nem elég? Iratkozzon fel hírlevelünkre!
    Közösség & HR

    CES 2025: indul a világ legnagyobb MI-vezérelte kütyübazárja?

    Hivatalosan kedden nyitja kapuit a világ első számú konzumer elektronikai kiállítása Las Vegasban, de a lapok a Bloombergtől a TechCrunch-on át a Quartzig már mintha összegzéseket közölnének: CES = MI-esített kütyübazár.
     

    Kilátás az SD-WAN-ra az informatikai vezetők székéből

    Egy cég legacy rendszerei, fejlődési tervei mellett a belső kompetenciái és a beruházási készsége is befolyásolják, hogy milyen SD-WAN modellt érdemes választania.

    a melléklet támogatója a Yettel

    "EU-kapcsolatok nélkül nem tudom elképzelni a BME modellváltását"

    Régen minden jobb volt? A VMware licencelési változásai

    Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

    Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

    Az IT-projektmenedzsment új varázsszava: proof of concept

    Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

    Sok hazai cégnek kell szorosra zárni a kiberkaput

    Impresszum

    Médiaajánlat

    Adatkezelés
    Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
    © 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.