Вспомните, когда последний раз вы выступали в своей компании с критикой чего-либо или кого-либо? Причем речь идет о позитивной критике, направленной на устранение какого-нибудь негативного момента в развитии компании, подразделения или продукта?
К сожалению, у нас очень развита самоцензура. «У нас» я имею ввиду современного человека, а не Россию. Многим гораздо проще молчать «в тряпочку», чем высказать, может и нелицеприятное, но все-таки важное мнение. И даже «анонимные ящики для общения с руководством» или возможность послать анонимное сообщение по e-mail ситуацию не меняют. Многие предпочитают «не выступать», считая «авось целее буду». Проблема в отсутствии культуры коммуникаций.
Большинство просто боится указывать не проблемы и недостатки; еще больше боятся предложить улучшение. Сотрудники боятся осложнений в любом их проявлении. Либо накажут за правду, либо заставят реализовывать свое же предложение. В любом случае спокойное течение офисной жизни нарушается. А это для многих хуже некуда. Инстинкт самосохранения…
Какое это отношение имеет к безопасности? Самое прямое. У нас поэтому многие ИБ-компании так и развиваются, как они развиваются. Перефразируя известное выражение из курса истории «Верхи не знают, а низы не хотят». На прошлой работе приходилось с этим сталкиваться. Был проект, детище руководителя компании. Задумка была неплоха, но ее реализация была далека от идеальной. На одном из совещаний я высказал свое мнение о том, что думаю. В ответ фонтан эмоций, преимущественно негативных, описываемых в двух словах так: «Не твое дело», «Не суйся», «Сам бы попробовал, а потом советовал» и т.д. И так по ряду вопросов. В итоге желание генерить идеи, советовать что-то пропадает. Климат это не улучшает; коллектив чувствует напряжение. В итоге руководство находится в плену своих идей, далеких от реальности. А сотрудники не готовы идти и выкладывать «правду-матку». Вот в результате у нас и появляется большое количество мертворожденных или абсолютно ненужных и неэффективных проектов и продуктов в области безопасности.
Можно ли изменить ситуацию? Можно. Но всякие «горячие линии» с руководством, почтовые ящики для предложений, центры идей — это всего лишь механизмы, которые ничто без более глубоких изменений в культуре самой организации. Именно в культуре, как бы пафосно это не звучало. Сотрудники должны понимать, как их предложение скажется на развитии компании. Они должны быть уверены, что их не накажут за «свободомыслие», а в случае удачной идеи даже поощрят.
Неадвно прочитал пару книжек Р.Фарсона «Менеджмент абсурда» и «Парадоксы лидерства». Там есть интересные мысли о способах эффективной коммуникации в различных компаниях. В какой-то степени, подобные подходы к менеджменту можно расценивать к «уровни развития» компаний…
Ну, если выходить за рамки ИБ, так это вообще классика: третий из семи смертных грехов менеджмента качества — еще сам Деминг сформулировал.
Ну ограничиваться ИБ тоже неправильно. Всегда надо выходить за ее рамки. Тем более, что в смежных областях придумано уже много чего всякого разного.
Это да.
Если понимать, что управление ИБ — это менеджмент, и не так уж важно, каких процессов это менеджмент, как то, что это менеджмент, тогда познавательного вокруг много.
И чем проработаннее область менеджмента, тем больше из нее можно почерпнуть о менеджменте вообще и любом.
Вон около менеджмента качества столько понаписано, что только толковых статей тысячи.
Практически любую можно превращать в ИБ-шную простой автозаменой в Ворде.
Даже странно, что этого еще никто не делает.