So richten Sie die Ereignisberichterstattung ein (1/2)
Unfälle passieren so gut wie nie ohne Vorwarnung. Jeder hat schon einmal einen Beinahe-Unfall versucht: Du bist fast auf dein Fahrrad gefallen und bist gegen den Bordstein geprallt – aber zum Glück hast du es nicht getan. Du seufzt erleichtert auf, lernst daraus und gehst weiter. In einem Unternehmen gilt die gleiche Logik. In diesem Fall kann Ihr Unternehmen durch die Meldung von Vorfällen lernen und möglicherweise zukünftige Unfälle verhindern.
In diesem Artikel werde ich mein Bestes tun, um Ihnen bei der Vorbereitung auf unerwartete Ereignisse zu helfen. Ich gehe davon aus, dass Ihr Ziel darin besteht, ihre Auswirkungen zu reduzieren und zu verhindern, dass sie jemals wieder passieren.
In diesem ersten Teil gebe ich Ihnen eine Einführung in Schadensbericht und im zweiten Teil zu Vorfallmanagement . Sie erfahren auch, wie Sie wertvolle Lektionen von Ihren Kollegen gewinnen können.
Auf unserem Weg werden wir uns von der Meldung von Vorfällen in den Normen zu diesem Bereich inspirieren lassen: Gesundheit, Sicherheit und Umwelt (ISO 45001-Standard) und Informationssicherheit (ISO 27002-Standard).
ISO-Normen
- Lerne mehr über ISO 27002-Standard
- Lerne mehr über ISO 45001-Standard
Abschließend gebe ich Ihnen eine Schritt-für-Schritt-Anleitung, wie Sie mit der Prozessmanagement-Plattform Gluu einen Prozess zur Meldung von Vorfällen erstellen können.
Was sind eigentlich Vorfälle, Nichtkonformitäten oder Abweichungen?
Der Einfachheit halber werden wir das Thema auf hohem Niveau angehen. Es gibt viele Definitionen in diesem Bereich und dieser Artikel wird sie berücksichtigen und verwenden, um einen brauchbaren Prozess zu erstellen.
Die Prozessliteratur und ISO-Normen haben die folgenden Definitionen, die wir verwenden können:
- Nichtkonformität
„Nichterfüllung einer Anforderung“ - Abweichung
„Abweichen von einer genehmigten Anweisung oder einem etablierten Standard“ - Vorfall
„Betriebsereignis, das nicht zum Standardbetrieb gehört“ - Nichtkonformität
„Mangel an einer Eigenschaft, die die Qualität eines Produkts inakzeptabel, unbestimmt oder nicht den spezifizierten Anforderungen entsprechend macht“
Das Obige scheint ein paar Eigenschaften zu haben (ja – hier vereinfachen wir ein wenig):
- Ein ungeplantes Ereignis tritt ein,
- Eine geplante Veranstaltung findet nicht statt.
Die „Nichtkonformität“ ist in diesem Fall produktorientiert und beschreibt eher die Wirkung des unerwünschten Ereignisses als die Ursache. Wenn man über das eigentliche Produkt hinausschaut, sind die Auswirkungen eines unerwünschten Ereignisses alles von Beinaheunfällen, Personenschäden und Unfällen, Compliance-Problemen bis hin zu verpassten Gelegenheiten.
Darüber hinaus sind Vorfälle im Gesundheitswesen (üblicherweise als “unerwünschte Ereignisse” bezeichnet) sowohl kostspielig, schädlich und bis zu einem gewissen Grad vermeidbar.
„Schätzungen zeigen, dass in Ländern mit hohem Einkommen bis zu einem von zehn Patienten während der Krankenhausbehandlung einen Schaden erleidet. Der Schaden kann durch eine Reihe von unerwünschten Ereignissen verursacht werden, von denen fast 50 % als vermeidbar gelten.“
WER
Alle sind sich einig, dass Unfälle vermieden werden sollten. Wenn niemand einen Unfall will, warum wird dann nicht jedes Mal eine korrekte Vorfallbehandlung durchgeführt?
Leider gibt es mehrere Faktoren, die einer effizienten Meldung von Vorfällen entgegenstehen.
Im Folgenden finden Sie einen tiefen Einblick in drei der Hauptgründe, warum die Meldung von Vorfällen schwieriger ist, als es sein sollte.
Wieso den nicht Ihren Kollegen helfen?
Wer will der Idiot sein, der zugibt, dass es einen Vorfall gab?
In einer Schuldzuweisungskultur will niemand zugeben, dass er versagt hat.
Wenn der Vorfall niemanden direkt betraf – warum sollte man ihn melden und in einem negativen Licht hervortreten?
Denken Sie daran: Wenn Sie ein System zur Meldung von Vorfällen einrichten, muss das Unternehmen eine Kultur der Offenheit und des Vertrauens fördern. Vorfälle müssen als Gelegenheiten für organisationales Lernen gesehen werden und nicht als individuelles Versagen.
Die IT kann helfen, indem sie die Anonymität sicherstellt und potenzielle Strafen für den Berichterstatter beseitigt. Dies widerspricht jedoch dem Ziel, eine Kultur der Offenheit zu schaffen, in der alle auf ein gemeinsames Ziel der systematischen Verbesserung hinarbeiten.
Das Management muss diesen Kulturwandel vorantreiben und das Innovations- und Verbesserungspotenzial von Incidents nutzen. Lesen Sie dazu den Harvard Business Review auf „Der fehlertolerante Führer“ .
Fehler sind schließlich besser als sich wiederholende Fehler.
Es ist zu schwierig, einen Vorfall zu melden
Wenn das Melden eines Vorfalls zu mühsam ist, besteht eine gute Chance, dass er überhaupt nicht gemeldet wird. Jeder, der Vorfallanalysen durchführt, möchte mehr Daten, aber denken Sie daran, dass Mitarbeiter an vorderster Front fleißige Bienen sind. Wenn der Vorfall nicht kurz nach der Veranstaltung gemeldet wird, gehen die Mitarbeiter zur nächsten Aufgabe auf ihrer Todo-Liste über.
„Bürokratie ist die Kunst, das Mögliche unmöglich zu machen“
Jemand desillusioniert
Um die benötigten Daten zu erhalten, ist es wichtig, ein Gleichgewicht zwischen dem Erhalten von genügend Daten, um den Vorfall zu verstehen, und der Gestaltung des Prozesses so gering wie möglich zu halten, um sicherzustellen, dass er abgeschlossen wird.
Benutzerfreundlichkeit für alle ist entscheidend, um überhaupt Daten zu erhalten.
Keine Reaktion oder Auswirkung des Vorfallsberichts
Bei allen Bemühungen ist es wichtig zu sehen, dass Ihre Eingabe wichtig ist. Wenn das Gefühl besteht, dass das Management die gemeldeten Vorfälle einfach ignoriert, besteht die Möglichkeit, dass zukünftige Vorfälle nicht gemeldet werden.
„Danke“ für den Bericht zu sagen und zu benachrichtigen, wenn er bearbeitet (oder sogar umgesetzt) wird, ist eine einfache, effektive und kostengünstige Möglichkeit, Wertschätzung zu zeigen. Dankbarkeit muss nicht unbedingt monetär sein, insbesondere wenn Ereignismeldungen dem gesamten Unternehmen helfen.
Nochmals – ohne Meldung von Vorfällen durch Mitarbeiter gibt es keine Daten, um zukünftige Unfälle zu vermeiden. Behalten Sie also diese kulturellen Faktoren im Hinterkopf.
Schauen wir uns nun eine mögliche Lösung an!
Eine Anleitung für die Meldung von Vorfällen in Gluu
Der gesunde Menschenverstand
Lassen wir die ISO-Normen und die ausgefallenen Worte für einen Moment beiseite. Worum geht es hier wirklich?
Die meisten Menschen haben ein tolles Bauchgefühl, wenn etwas nicht stimmt. Wenn das aus der Wand hängende Kabel seltsame Geräusche macht, werden die meisten Leute es bemerken.
Glücklicherweise haben die meisten Menschen auch die Fähigkeit, nur mit gesundem Menschenverstand zu helfen. Schalten Sie den Schalter aus oder suchen Sie jemanden, der sich auskennt.
Nach dem “Puh – ich bin froh, dass niemand gestorben ist” – Moment müssen wir alles aufräumen und sicherstellen, dass es nicht wieder passiert.
In diesem ganzen Artikel geht es darum, aus den Erfahrungen anderer Menschen zu lernen. Ein Blick auf den ISO 45001-Standard und den ISO 27002-Standard ist genau das, da es sich um einen formalen, erfahrungsbasierten Ansatz für den gesunden Menschenverstand handelt.
Zwei Hauptarten von Vorfällen
Um auf die Prozessebene zu gelangen, müssen wir in zwei sehr unterschiedliche Arten von Vorfällen eintauchen, um zu sehen, was wir daraus lernen können.
Dies sind zwei sehr unterschiedliche Arten von Vorfällen, die in jeder Organisation auftreten können. Jeder wird durch seinen eigenen ISO-Standard abgedeckt:
- Vorfälle im Bereich Gesundheit, Sicherheit und Umwelt (HSE)
(ISO 45001-Norm)
Ein Ereignis, das keinen Schaden verursacht, aber unter ähnlichen Bedingungen zu Verletzungen, Verlust von Eigentum oder Material oder Unfällen führen kann. Zum Beispiel keinen Helm auf einer Baustelle zu tragen. An sich spielt es keine Rolle, aber aufgrund der gefährlichen Umgebung ist der Schutz der Schlüssel zur Vermeidung von Unfällen. - IT-Cyber-Sicherheitsvorfälle
(ISO 27002)
Im Gegensatz zu einer tatsächlichen Datenschutzverletzung bedeutet ein Cyber-Sicherheitsvorfall nicht unbedingt, dass Informationen kompromittiert werden; es bedeutet nur, dass Informationen bedroht sind. Beispielsweise hat eine Organisation, die einen Cyberangriff erfolgreich abwehrt, einen Vorfall, aber keinen Verstoß erlebt.
Basierend auf den Erkenntnissen aus den Normen ISO 27002 und ISO 45001 werden wir in Gluu einen Prozess zur Meldung von Vorfällen erstellen.
Erster Schritt: Verhindern, dass aus dem Vorfall ein Unfall wird
Die erste Aktivität sollte immer darin bestehen, (wenn möglich) etwas Schlimmes zu stoppen. Lassen Sie mich Ihnen einige Beispiele geben.
Was ist zu beachten HSE-Vorfälle ?
Gesundheits- und Sicherheitsvorfälle erfordern in der Regel physische Eingriffe:
- Stecker halb raus?
– wieder einlegen. - Maschine außer Kontrolle?
– schalte es aus. - Seife auf dem Schiffsdeck?
– mach es sauber.
Bitte denken Sie daran, dass Sie sich dabei selbst schützen müssen!
Sichern Sie den Tatort, indem Sie den Bereich nach Möglichkeit absperren und verhindern Sie jeden weiteren Zutritt, um Ihre Kollegen vor Schaden zu bewahren.
Was ist zu beachten IT-Vorfälle ?
Cyberkriminalität ist schwerer zu entdecken. Es gibt selten maskierte Leute, die den Serverraum durchsuchen. Intervention gibt es in vielen Formen – wenn sie überhaupt möglich ist.
Sie können möglicherweise verhindern, dass Phishing-E-Mails weitergeleitet werden (oder Warn-E-Mails an alle gesendet werden) und wenn Sie vermuten, dass jemand das Root-Passwort hat, ist es möglicherweise ein guter Zeitpunkt, es zu ändern.
So richten Sie einen Prozess zur Meldung von Vorfällen in Gluu . ein
Basierend auf dem Artikel “Wie man eine einfache Prozesszuordnung macht” Ich habe einen Prozess namens “Vorfall melden” erstellt. Das angestrebte Ergebnis des Prozesses lautet einfach: „Vorfall wurde erfolgreich gemeldet“.
Wie bereits erwähnt, liegt die Meldung von Vorfällen in der Verantwortung aller. Um jedem Zugriff (und die Pflicht) zu geben, Vorfälle zu melden, wird durch die Verwendung der Rolle „Stammmitarbeiter“ sichergestellt, dass alle Mitarbeiter Zugriff haben.
Selbst mit den besten Absichten und einem starken gesunden Menschenverstand weiß niemand mit allem umzugehen. Spezielle Situationen erfordern manchmal Spezialwissen.
Sobald der „normale Mitarbeiter“ vorweggenommen hat, was verhindert werden kann, sollte die Verantwortung an jemanden im Außendienst übertragen werden. Ein Vorgesetzter kann den Bulldozer ausschalten, ohne weiteren Schaden anzurichten.
Wie bei allem im Leben – niemand ist außerhalb seiner Fähigkeiten verantwortlich.
Die Aufteilung der Aktion auf zwei Rollen stellt hoffentlich sicher, dass eine weitere Eskalation verhindert wird.
- “ Erkenntnisse aus der Analyse und Lösung von Informationssicherheitsvorfällen sollten genutzt werden, um die Wahrscheinlichkeit oder Auswirkungen zukünftiger Vorfälle zu reduzieren.“
- „Identifizierung, Sammlung, Erwerb und Bewahrung von Informationen, die als Beweismittel dienen können.“
Teil zwei der ISO 27002-Prioritäten ist für einen möglichen Rechtsstreit gedacht, auf den wir in diesem Artikel nicht eingehen.
Beiden gemeinsam ist die Notwendigkeit einer ordnungsgemäßen Berichterstattung, um ein Wiederauftreten zu verhindern: Alle verfügbaren Informationen müssen für weitere Analysen gesichert werden, wenn dies unter den gegebenen Umständen möglich ist. Dies könnte ein wenig im Widerspruch zur Eskalationsprävention stehen, da die Prävention wertvolle Dokumentation abdecken oder zerstören könnte. Aber insgesamt scheint es ein vernünftiger Kompromiss zu sein – insbesondere, wenn Ihr Kollege in Flammen steht.
Es ist unmöglich, eine vollständige Liste zu erstellen, was gesichert werden soll. In diesem Fall sollten Sie Bildschirmauszüge, Audio, Fotos, Protokolldateien berücksichtigen – denn alles zählt.
Die Arbeitsanweisung auf hohem Niveau ist ganz einfach: „Sichere alle Informationen, die du kannst“. Im Laufe der Zeit lernt die Organisation sowohl aus den Ursachen als auch aus den (nachteiligen) Wirkungen und wäre in der Lage, die Arbeitsanweisung allein aufgrund der Erfahrungen aus der Vergangenheit zu verbessern.
Die Berichterstattung über Prozessvorfälle erfordert gelegentliche Überarbeitungen, um mit der Realität in Kontakt zu bleiben.
Es ist im Allgemeinen keine gute Idee, dass dieselbe Rolle zwei Aktivitäten direkt hintereinander hat. Der Einfachheit halber sollten sie kombiniert werden, um eine bessere Übersicht zu schaffen.
In diesem Fall sind die Tätigkeiten thematisch sehr unterschiedlich und damit auch ihre Arbeitsanweisungen. Daher sind zwei getrennte Aktivitäten sinnvoll.
Die Aktivität „Informationen sichern“ sollte folgende Aufgaben für den Vorgesetzten beinhalten, um genügend Informationen für die weitere Analyse bereitzustellen:
- Bilder / Screendumps des Vorfalls (visuell)
- Beschreibung des Geschehens (Text)
The “Secure information” tasks in Gluu
Die letzte Aktivitätsaufgabe: “Füllen Sie den Vorfallbericht aus” ist ein Gluu-Asset-Build im Formularersteller die Inputs auf vordefinierte und strukturierte Weise sammeln können.
Die ISO 27002 (Abschnitt 16.1.2) stellt bestimmte Anforderungen an die Berichterstattung zur Kategorisierung.
Wir können dem HSE-Formular eine Kategorisierung mit gesundem Menschenverstand hinzufügen, da wir wissen, dass im Laufe der Zeit weitere Ursachen hinzugefügt werden können.
ISO 27002 und ISO 45001 Standardformulare
ISO 27002 form in Gluu
ISO 45001 form in Gluu
Zum Abschluss des Prozesses fügen wir einen schönen Endpunkt hinzu, um zu veranschaulichen, dass der beobachtete Vorfall jetzt gemeldet wurde – was zunächst unser gewünschtes Prozessergebnis war.
Von der Meldung von Vorfällen zum Management von Vorfällen
Wenn man die breitere Perspektive betrachtet, können wir noch mehr tun. Jetzt, da die Vorfallberichterstattung eingerichtet ist, ist es Zeit für das Vorfallmanagement. Um zu sehen, wie dies gemacht wird, lesen Sie diesen Artikel Wie man mit Incident Management umgeht.