I n f o S e c & D a t a S t o r a g e C o n f e r e n c e К и б е р с и г у р н о с т и к у л т у р а и з г р а ж д а н е н а ч о в е ш к а т а з а щ и т н а с т е н а Светлозар Каранешев, Лаборатория по риск култура
Организационна култура - набор от споделени основни допускания (ценности, убеждения, отношения, ниво на осъзнатост), извлечени от една група, при решаване на проблемите с външната адаптация и вътрешната интеграция, която е работила достатъчно добре, за да бъде смятана за валидна и следователно да бъде предавана на новите членове като правилния начин да възприемат, мислят и чувстват във връзка с тези проблеми. Културата не е просто един аспект на играта, културата е играта. Louis V. Gerstner, Jr., chairman of the board of IBM from April 1993 until his retirement in December 2002 ПЪРВА ЛАБОРАТОРИЯ ПО РИСК КУЛТУРА СОФИЯ 15.11.2017 Организационната култура
З а щ о е в а ж н о д а р а з б и р а м е к ул т у р а т а? Културата има значение, защото е мощен, мълчалив и често несъзнателен набор от сили, които определят нашето индивидуално и колективно поведение, начини за възприемане, мисловни модели и ценности. Организационната култура е особено важна, защото културните елементи определят стратегията, целите и начините на действие.
Ако не управляваш културата, тя те управлява Edgar Schein a Society of Sloan Fellows Professor of Management Emeritus and a Professor Emeritus at the MIT Sloan School of Management. Edgar Schein is well known for his ground breaking work on the Organizational culture model. Keith Darcy, Independent Senior Advisor, Deloitte & Touche, LLP
К а к д а у п р а в л я в а м е к ул т у р а т а? Промяна на цялата система Стъпка 1: а) Оценка на ценностите посредством инструментите за културна трансформация б) Бизнес оценка Стъпка 2: Създайте визия и мисия Стъпка 3: Изберете ценности и поведение Стъпка 4: Оценете организационната гъвкавост Стъпка 5: Разработете убедителни причини за промяна Стъпка 6: Проучете световните визии и ключовите движещи сили Стъпка 7: Разработете стратегия за изпълнение Стъпка 8: Разработете цели и ключови показатели за ефективност Стъпка 9: Структурно изравняване Стъпка 10: Оценяване на лидерските ценности и поведение на висшата изпълнителна група (главен изпълнителен директор и директно докладващи), коучинг и планове за действие Стъпки 11, 12 и 13: Програми за персонално развитие, Групово- Кохезионни програми, Коучинг Стъпка 14: Програма за повишаване на осведомеността Бързо дешифриране - многостранен групов процес Стъпка 1: Поемане на ангажимент за лидерство Стъпка 2: Избиране на групи за самооценка Стъпка 3: Избиране на подходяща рамка (среда) за груповата самооценка Стъпка 4: Разясняване на целта на срещата на групата Стъпка 5: Кратка лекция за това как да мислим за културата Стъпка 6: Извличане на описанията на артефактите Стъпка 7: Идентифициране на изброените стойности Стъпка 8: Идентифициране на споделените основни предположения Стъпка 9: Идентифициране на културните помощни средства и пречките Стъпка 10: Решения за следващите стъпки
Какво трябва да прави една успешна програма за управление на културата Личностно съответствие съответствие между ценностите на индивида и неговото поведение; Структурно съответствие ценностите на групата и нейното поведение са в съотвествие с политики, правила и процедури; Съответствие на ценностите съответствие на ценностите на индивида с ценностите на групата; Съответствие на мисията съответствие на усещането на индивида за мисия с обявената мисия на групата; Групова кохезия едновременно съответствие на ценностите и съответствие на мисията.
Културата е като Dave Gray, Co-founder of X plane and author of Gamestorming, and The Connected Company Културата е като градина. Градинaта може да бъде проектирана, но в същото време тя е естествена и се развива органично. Добрата култура, като добра градина, отразява както намеренията на дизайнерите, така и естествения, органичен растеж. Добрата култура не е случайност. Тя се постига, когато има един или повече добри "градинари на културата".
Ние видяхме врага и врагът беше...... служителите са найголямата заплаха за компаниите...... заплахите на киберпрестъпниците се фокусираха върху хората и техните роли в организацията... Сега ние се сблъскваме с рискове, свързани с поведението...
Киберсигурност и култура Културата, етиката и поведението на индивидите и организацията са важен, но подценяван фактор за управлението (governance & management) на информационните технологии. КОБИТ 5 трансформира киберсигурността по системен начин. При оценката на заплахите, уязвимостта и свързаните с това рискове трябва да се имат предвид културните рискове. Хората остават най-слабото звено във веригата за сигурност и инвестирането и развиването на културата на киберсигурността в организациите може да намали риска на човешкия фактор.
Култура на киберсигурност в организациите Концепцията за култура на киберсигурността (CSC) се отнася до знанията, вярванията, възприятията, нагласите, допусканията, нормите и ценностите на хората по отношение на киберсигурността и как те се проявяват в поведението на хората във връзка с информационните технологии. Хората остават най-слабото звено във веригата за сигурност и инвестирането и развиването на културата на киберсигурността в организациите може да намали риска на човешкия фактор, да окаже положително въздействие върху ефективността и сигурността, като същевременно смекчи финансовите рискове. Културата е уникална за всяка организация и за създаването на стабилна и устойчива култура на киберсигурност изисква задълбочено познаване на организацията, нейната цялостна култура, стратегии, политики, практики и процеси на служителите. За да бъде успешна, културата на киберсигурност трябва да бъде вградена в организационната култура и трябва да отчита нуждите и практиките на служителите.
ПЪРВА ЛАБОРАТОРИЯ ПО РИСК КУЛТУРА СОФИЯ 15.11.2017 К а к д а у п р а вл я в а м е н а к ул т у р ат а н а к и б е р с и г у р н о с т?
О р г а н и з а ц и о н н а к ул т у р а и к ул т у р а н а к и б е р с и г у р н о с т т а
Култура, риск култура, култура на киберсигурност Организационна култура - набор от споделени основни допускания (ценности, убеждения, отношения, ниво на осъзнатост), извлечени от една група, при решаване на проблемите с външната адаптация и вътрешната интеграция, която е работила достатъчно добре, за да бъде смятана за валидна и следователно да бъде предавана на новите членове като правилния начин да възприемат, мислят и чувстват във връзка с тези проблеми. Риск култура съвкупност от ценности, убеждения, отношения, ниво на осъзнатост, представи за риска, споделени от група хора с обща цел. Тя определя колективната им способност да идентифицират, обсъждат, реагират на настоящи и бъдещи рискове на организацията. Култура на киберсигурност знанията, вярванията, възприятията, нагласите, допусканията, нормите и ценностите на хората по отношение на киберсигурността и как те се проявяват в поведението на хората във връзка с информационните технологии.
Лаборатория за риск култура Лабораторията за риск култура е инициатива, чиято цел е да създаде възможности чрез поредица от събития и проекти да свързва експерти, да изгражда знания, да подпомага и споделя най-добрите практики и опит в областта на културата и риска. Тя е общност с отворен формат и разширяването и ще отразява интереса и готовността на отделните хора и организации да се присъединят и да допринесат за инициативата.
ПЪРВA ЛАБОРАТОРИЯ ПО РИСК КУЛТУРА 15.11.2017
Риск работилница 2018 Проблемът. Възможно ли е такава тема като риска в банковия сектор да бъде разглеждана чрез методите на участието и диалога? Как да ангажираме колективната интелигентност на служителите за решаване на сериозни предизвикателства пред бизнеса? Процесът. Структурирахме дискусията в четири основни направления: (1) дефиниция и потвърждаване на проблема (вкл. коментар за правилото, което се нарушава); (2) идентифициране на последствията; (3) анализ на причините и генериране на идеи за решения и (4) оценка на риска. Целият формат проведохме под формата на фасилитирана дискусия и диалог, в който всеки участник имаше възможност да се включи - както чрез споделяне в голямата група, така и в работа в малки групи и попълване на индивидуални оценки. Резултатът. Упяхме да постигнем: изследване на темата от разнообразни перспективи; потвърждение на хипотезата на организаторите за наличие на проблема; оценка на последствията от неспазване на правилото - изведена от груповата дискусия; анализ на причините - изведена от груповата дискусия; оценка на риска по скалата ефект/същественост - групова оценка и оценка от всеки участник индивидуално; повишаване на знанията и осъзнатостта за конкретния риск у всички участници и повишаване на тяхната ангажираност за прилагане на бъдещи мерки за минимизиране на риска.
Дизайн мислене за риск култура - подготовка Проблемът. Възможно ли посредством дизайн мислене да се промени поведението на екип, с цел подобряване на управлението на специфичен риск (и/или група рискове)? Процесът Очаквани езултати. Постигане на съгласие за екипни ценности, правила и норми за поведение при на специфичен риск (и/или група рискове); разработване на социални механизми на управление на риска; разработване на карта за опита на служителите
Discover Design D 3 п од ход к ъ м у п р а в л е н и е н а р и с к к ул т у р а т а ( D i s c o v e r, d e s i g n a n d d e l i v e r ) Deliver Discover Design Deliver Какво Как (инструменти) Discover Design Deliver Изучаване на съществуващата култура Дизайн мислене Работилници (риск, култура, риск култура) Интервюта Проучвания чрез въпросници Проектиране на целева култура Дизайн мислене Работилници (риск, култура, риск култура) Промяна в поведението Дизайн мислене Работилници (риск, култура, риск култура) Програми за личностно и лидерско развитие Социални системи на координация Карта за опита на служителя
Проектиране на подход, който: Модел генеричен, адаптира се към нуждите на клиента Роля на консултанта подпомагаме процеса, не го изпълняваме Процес стегнат и гъвкав (lean & agile) Фокус промяна в поведението, бърз и видим ефект Обхват мащабируемост, устойчив резултат и естествено развитие Инструменти основани на методите на участие и лчиностно развитие
Ще работи ли D 3 подходът за културата на киберсигурността? Има един начин да провериш дали един парашут работи като скочиш...
Благодаря за вниманието! Светлозар Каранешев е ръководител вътрешен одит на Българо Американска кредитна банка. Има над 25 години опит в сферата на риска и финансите. Съосновател на Лаборатория по риск култура. svetlozar.karaneshev@gmail.com