Umgang mit Incident Management (2/2)
Sie haben einen Vorfallbericht. Was jetzt? Dieser zweite Artikel über Incidents zeigt den Weg zu einem effektiven Incident Management auf, ohne zu viel Zeit dafür aufzuwenden.
In diesem Artikel werde ich mein Bestes tun, um Ihnen beim Incident Management zu helfen, einen Incident-Handling-Prozess einzurichten sowie das Wissen, das Sie aus Ihrem Incident-Reporting-Prozess erhalten, zu analysieren und umzusetzen. Es ist eine Fortsetzung meines kürzlich erschienenen Artikels “How to set up incident reporting“. Ich empfehle Ihnen dringend, diesen Artikel vor diesem zu lesen – es sei denn, Sie haben bereits eine Vorfallberichterstattung eingerichtet.
Auch hier tauchen wir in die beiden Normen ein, die das Thema abdecken: ISO 27002, ISO 45001. (Diese Standards sind gut zu lesen, um ein tieferes Verständnis des Incident Managements zu erlangen.)
Im letzten Teil des Artikels gebe ich Ihnen eine Schritt-für-Schritt-Anleitung, wie Sie Gedanken in die Tat umsetzen und einen Incident-Management-Prozess mit der Geschäftsprozessmanagement-Plattform von Gluu erstellen können.
Ein Vorfallbericht ist also im Posteingang von jemandem gelandet. Wie geht es jetzt weiter? Hier kommt das Incident Management ins Spiel.
IntelligentesManagement beginnt mit der “Grundursache”
Zuerst müssen wir den Vorfall verstehen. Dies beginnt mit der Suche nach der “Grundursache”. Was ist passiert – und vor allem – warum ist der Vorfall passiert? Mit diesen Informationen können wir uns daran machen, einen neuen, ähnlichen Vorfall zu verhindern.
ISO 45001 enthält eine hervorragende Beschreibung der Ursachenanalyse:
“Die Ursachenanalyse bezieht sich auf die Praxis, alle möglichen Faktoren zu untersuchen, die mit einem Vorfall oder einer Nichtkonformität verbunden sind, indem gefragt wird, was passiert ist, wie es passiert ist und warum es passiert ist, um den Input dafür zu liefern, was getan werden kann, um zu verhindern, dass es wieder passiert.”
Und weiter: “Diese Analyse kann mehrere mitwirkende Fehler identifizieren, einschließlich Faktoren im Zusammenhang mit Kommunikation, Kompetenz, Ermüdung, Ausrüstung oder Verfahren.”
Wie Sie sich vielleicht aus dem Artikel über die Meldung von Vorfällen erinnern, haben wir ein Gluu-Formular erstellt, um so viele Informationen wie möglich zu sammeln. Wenn Sie später feststellen, dass Sie nicht über genügend Informationen verfügen, um ein erneutes Auftreten zu verhindern, ist es ein guter Zeitpunkt, zurückzugehen und das Formular mit Ihren neu erkannten Anforderungen zu aktualisieren.
Sobald die wahre Ursache gefunden wurde, müssen Korrekturmaßnahmen ergriffen werden. Diese muss nach ISO 45001: “. . den Auswirkungen oder potenziellen Auswirkungen der aufgetretenen Vorfälle oder Nichtkonformitäten angemessen sein.”
So richten Sie Ihren Incident-Management-Prozess in Gluu ein
Ein Incident-Handling-Prozess ist nicht das Ziel, aber er bietet eine klare Arbeitsweise für alle und wird von den Standards gefordert. Dies ist der Prozess zur Meldung von Vorfällen, den wir aus unserem letzten Artikel haben. Es ist der erste Teil unseres gesamten Incident-Management-Flows:
Um von der Berichterstellung zur Analyse und zum Management überzugehen, füge ich zwei neue Prozesse zur Behandlung von Vorfällen hinzu: “HSE-Vorfall analysieren” und “IT-Vorfall analysieren”. Die Basis ist jedoch die gleiche. So sieht der Prozess jetzt aus:
Da beide Analysefelder unterschiedliche Rollen haben, um die Aufgabe zu erledigen, ist es sinnvoll, sie als Unterprozesse zu diesem Prozess anzulegen. Andernfalls wäre diese Prozesslandkarte einfach zu groß, um sie zu verstehen. Beachten Sie, dass ich sie getrennt halte, da verschiedene Rollen mit ihnen arbeiten und unterschiedliche Methoden für die Analyse erforderlich sind.
Ergreifen von Korrekturmaßnahmen, um den Vorfall zu entschärfen
Sobald die wahre Ursache gefunden wurde, müssen Korrekturmaßnahmen ergriffen werden. Diese muss nach ISO 450001: “. . den Auswirkungen oder potenziellen Auswirkungen der aufgetretenen Vorfälle oder Nichtkonformitäten angemessen sein.”
Korrekturmaßnahmen sind Maßnahmen, die darauf abzielen, genau dieses unerwünschte Ereignis zu verhindern, indem die Ursache des Problems beseitigt (oder verbessert) wird. Ohne übermäßig etwas zu tun.
In Gluu können wir es als separaten Teilprozess sowohl für HSE als auch für IT behandeln, da die Aktivitäten, die organisatorische Eskalation, die Änderungen usw. erfordern unterschiedliche Rollen und (möglicherweise) Arbeitsanweisungen.
Die ISO-Normen schlagen gemeinsam vor:
- Änderungen an allen relevanten Managementsystemen vornehmen
- Implementierung neuer Technologien oder Software
- Überprüfung bestehender Verfahren / Prozesse / Handbücher
- Überarbeitetes Training
Diese Aktion kann viele verschiedene Formen annehmen. Einige sind effektiver als andere. Schauen wir uns die Leitprinzipien für die Umsetzung der Änderungen an, die zur Risikominderung erforderlich sind.
Auswahl einer Strategie für Korrekturmaßnahmen
Im HSE-Bereich gilt das Prinzip der “Hierachy of Controls”, um die Initiativen zu priorisieren.
Im Mittelpunkt des Incident Managements steht das Ziel, ein erneutes Auftreten zu verhindern. Aber Sie brauchen einen ausgewogenen Lösungsansatz. An einem Ende können Sie die Gefahr beseitigen, es wird sehr effektiv sein, da niemand mehr auf die Situation stoßen wird. Auf der anderen Seite nimmst du die Gefahr so hin, wie sie ist, und schützt deine Kollegen davor, zu sehr mit ihr in Berührung zu kommen. Die logische Konsequenz zur Unfallvermeidung ist dann, alle Gefahren auszuschließen. Aber ist das immer möglich? Kaum.
Nehmen wir an, Sie arbeiten mit Offshore-Ölbohrungen: Dieses Arbeitsfeld birgt viele vererbte Risiken, die nicht beseitigt werden können, ohne die eigentliche Arbeit zu verhindern.
Aus IT-Sicht könnten Sie den Zugriff auf E-Mails unterbinden, um Phishing-E-Mail-Probleme zu vermeiden. Dies mag sehr effektiv sein, würde es aber den Mitarbeitern erschweren, die Arbeit zu erledigen. In Wirklichkeit können Sie Software installieren, um alle eingehenden E-Mails zu scannen und so viele bösartige E-Mails wie möglich zu stoppen.
Beim Incident Management geht es auch darum, einen ausgewogenen Ansatz zu wählen.
Managen Sie Risiken, ohne das Geschäft zu schließen
Sowohl für HSE als auch für IT scheint es sehr vernünftig zu sein, dass die Heilung nicht schlimmer sein darf als das Problem. Wie finden Sie also den Punkt, an dem eine weitere Senkung des Risikos aus geschäftlicher Sicht nicht gerechtfertigt werden kann?
Dies wird durch ein Prinzip namens “ALARP” (As Low As Reasonably Practicable) abgedeckt. Obwohl der Begriff aus dem Sicherheitsmanagement stammt, ist der Begriff für alle Formen des Risikomanagements ein wesentliches:
Innerhalb der IT müssen Sie akzeptieren, dass Ihre Kollegen das Intranet nutzen müssen und dass sie sich von außen in das VPN einloggen müssen. Und dass ihr Passwort manchmal der Name ihres Hundes ist 🙂
Dies sollte sie nicht daran hindern, das Netzwerk überhaupt zu nutzen.
Eine einfache Strategie zur Risikominderung besteht darin, Anforderungen für die Länge und Komplexität des Kennworts festzulegen. Und wie oft sie es ändern müssen. Dies erfordert nicht viele Ressourcen und reduziert das Risiko erheblich. Also der Name ihres Hundes plus ein paar Sonderzeichen 🙂
Zurück zum Incident-Handling-Prozess in Gluu
Wie fügen sich diese Kontrollen in unseren Incident-Handling-Prozess ein? In Gluu definieren wir für jeden Arbeitsbereich zwei Teilprozesse, da die Arbeitsanweisungen und Rollen unterschiedlich sind.
Die am besten geeignete Person, um die eigentliche Änderung umzusetzen, ist der Superviser oder Vorgesetzte, da er über das tägliche Arbeitswissen auf diesem Gebiet verfügt.
Wie in “Wie man mit der Meldung von Vorfällen umgeht” erwähnt, ist es wichtig, den Fluss der Vorfallberichte konstant zu halten. Die Aktivität “Korrekturmaßnahmen umsetzen” sollte auch Feedback (ein nettes “Dankeschön”) an die Person enthalten, die es gemeldet hat.
Das Hinzufügen der letzten Aktivität zur Rolle des Vorgesetzten ist in Gluu einfach.
Ich hoffe, Sie haben etwas über Incident Management, Reporting und die Erstellung eines Incident Handling Prozesses gelernt. Wenn du es ernst meinst, dann biete ich dir gerne ein kostenloses und persönliches Feedbackgespräch an, in dem ich dir auf deinem Weg weiterhelfen kann. Hier können Sie direkt in meinem Kalender einen Termin buchen.