OK יועצים לניהול

ניוזלטר זה כתוב בראש שונה.

רוב הפעולות שאנו עושים הן פעולות אוטומטיות. ברוב המקרים, הפעילות והמחשבה האוטומטיים חשובים לנו להישרדות. יחד עם זאת, חשוב לאתגר את החשיבה האוטומטית שלנו, כדי לפתח ייחודיות חיובית.

ניוזלטר זה שואל את השאלות, ומגדיר את התשובות הסטנדרטיות כתשובות לא מדייקות. הכוונה היא שהתשובה הסטנדרטית היא לא טעות, אלא חסרת דיוק. מטרתי, לחדד את הראייה ולהוסיף לדיוק הסטנדרטי. לכל שאלה קישור המוביל לתשובה היותר מדייקת. מוזמנים ללכת בעקבות הקישורים.

שאלה: מה עלינו לעשות כדי להיות חדשניים?

תשובה לא מדייקת – לחשוב מחוץ לקופסה!

תשובה מדייקת – רוצים להצליח בגדול? אל תחשבו מחוץ לקופסה! תחשבו בתוך הקופסה 

.

שאלה: מה יוצא לי מהיוזמה שלכם? מה התועלת?

תשובה לא מדייקת – עונה ישירות לשאלה ומתארת את התועלת מהיוזמה.

תשובה מדייקת –  מה התועלת של התועלת?

.

שאלה: כמה עולה לי השינוי / היוזמה החדשה?

תשובה לא מדייקת – עונה במונחים של החזר השקעה כספי Return on Investment

תשובה מדייקת –  מתמקדת במשאב הכי חשוב שקשה לקנותו בכסף. מהו? התשובה כאן

.

מה חדש בחברת OK יועצים לניהול?

חוג הלקוחות שלנו גדל כל הזמן. ספרתי לפחות 536 לקוחות. כשליש מהם הם לקוחות קבועים או חוזרים. משמח אותנו מאד כיוון שהדבר מעיד על רמת אמון גבוהה ומערכת יחסים מתמשכת עם הלקוחות שלנו.

אנו כל הזמן מחפשים יועצי פרילאנס להצטרף לצוות היועצים שלנו, במיוחד בתחומים הקשורים לאבטחת מידע, אבטחת הפרטיות, תקנים ורגולציות שונות ומגוונות בתחום הרפואי ובתחום המזון. מודה מראש לפניות או הפניות.

מאחלת לכולנו קיץ נעים ושקט

שלכם,
אורנה קמין
OK יועצים לניהול

ארגונים רבים מטמיעים תקן 27001:2022 ISO כדי לבנות תרבות ארגונית לניהול אבטחת מידע.  מסתבר שלא מספיק להקים מערכת לניהול מערכת אבטחת מידע, לכתוב נהלים ולהטמיע תהליכים במחלקת אבטחת מידע ולשגר אותם לשאר העובדים.  כדי להבטיח יישום לאורך ולרוחב הארגון נדרשת מודעות ומעורבות עובדים לנושאים אלה. למרות ההבנה לחשיבות הנושא עדיין מאתגר לבנות תרבות ארגונית כזו.

מהם המכשולים שארגונים נתקלים בהם בדרכם לבנות תרבות ארגונית מודעת לא"מ? כיצד מתמודדים עם אתגרים אלה? כיצד יוצרים אחריות משותפת של עובדים ומנהלים לנושא? על כל אלה מוזמנים לקרוא במאמר שלהלן.

מחסומים בדרך לבניית תרבות ארגונית לאבטחת מידע

החלטתי לא להשתמש במילה המכובסת "אתגרים" אלא להסתכל ללבן בעיניים של המחסומים..

חוסר מודעות והבנה של העובדים לחשיבות הנושא

לא תמיד העובדים מודעים להשפעת מעשיהם על אבטחת המידע של הארגון כולו. העובדים מתרכזים בעבודה השוטפת שלהם והמודעות לאבטחת מידע ארגוני רגיש לא תמיד במודעות שלהם. עובדים עלולים לחשוב בטעות שמערכות המידע של הארגון מגינות על מידע רגיש ופחות לחשוב על האחריות האישית שלהם בנושא. מה כבר יכול לקרות מחוסר תשומת לב של עובד אחד?

אתגר מס 1 – כיצד להעלות את מודעות העובדים לנושא?

חוסר בהדרכות מודעות עובדים לנושא

נניח שהעובדים מודעים לנושא. ייתכן שחסר להם את הידע הנדרש כיצד לשמור על המידע הרגיש תוך כדי עיסוקם בפעילות השוטפת שלהם.

אתגר מס 2 – כיצד ארגונים יכולים לבנות מומחיות של עובדים בנושא אבטחת מידע?

התנגדות לשינוי

בסופו של דבר, הכנסת הרגלים בנושא אבטחת מידע היא שינוי של ההרגלים הקודמים. כל יוזמה חדשה נתקלת בהתנגדות, גם אם היא לא מובעת בקול. בעניין שלנו, אימוץ שיטות אבטחת מידע יכולות להיתקל בהתנגדות של כל מי שלא רוצה שיזיזו לו את הגבינה בדמות הנחיות חדשות.

אתגר מס 3 – כיצד להתגבר על התנגדות ולהניע עובדים לאמץ שיטות אבטחת מידע?

אסטרטגיות להצלחה על ידי תמיכת הנהלה, מתן הדרכות וחיזוקים חיוביים

מנהיגות ותמיכת הנהלה כל הדרך עד לאחרון העובדים

ההנהלה הבכירה מתכננת ומוציאה לפועל קמפיין שיווקי פנימי כדי לחנך את העובדים לגבי החשיבות של אבטחת מידע, באמצעות העברת מסרים, שימוש בערוצים ארגוניים, כגון: דוא"ל, פורטל ואפילו פוסטרים מעניינים שתלויים על הקירות.

נזכור, שהדוגמה האישית חשובה.  Walk the Talk. כמובן שתקשור הנושא לעובדים זה חשוב אך לא מספיק לשלוח דוא"ל או להפריח סיסמאות במפגשי עובדים. חשובה הדוגמה האישית.

כיצד עושים זאת? משתתפים באופן פעיל בהדרכות יחד עם העובדים ובכך מהווים דוגמה אישית.

מתן הדרכה מותאמת לארגון ולבעלי תפקידים בארגון

מתן תוכניות הדרכה מותאמות לבעלי תפקידים / מחלקות בחברה, ולא רק להסתפק בהדרכה כלל-ארגונית שמתאימה לכולם. הדרכה מותאמת מלווה בדוגמאות פרקטיות, מקרי בוחן, סימולציות שעוזרות להבין את הרלוונטיות הספציפית לכל בעל תפקיד ועוזרות ביישום עקרונות א"מ במהלך העבודה השוטפת.

משחוק ותגמול 

הלמידה של נושאי א"מ הופכת להיות מהנה ומעניינת באמצעות שילוב אלמנטים של משחוק ותגמול.

עובדים המשתתפים באופן פעיל ביוזמות א"מ או מדווחים על פגיעויות אפשריות, מתוגמלים על כך. התגמול לא בהכרח חייב להיות כספי. אפשר להוקיר תודה פומבית ולהעלות את תחושת הגאווה של מצטיינים בתחום.

תגמול יכול להיות גם שלילי. יכולה לשתף שכאשר הייתי שכירה השארתי מחשב פרוץ והלכתי לדרכי. כשחזרתי נבהלתי לגלות שהמחשב איננו. לאחר כמה דקות של חיפושים הסתבר שהקב"ט החרים אותו. נאלצתי לעבוד "חינוך מחדש" 😊 כדי לקבל את המחשב שלי בחזרה.

שמירת מודעות לנושא בצורה שוטפת

אבטחת מידע צריכה להיות כל הזמן במודעות כדי לא להירדם בשמירה. הארגון מיידע תקופתית את העובדים בעדכונים, איומים חדשים שהתגלו בארגונים אחרים ואזהרה מפני מקרים דומים, וכמובן גם סיפורי הצלחה. כל הפעולות שתוארו לעיל: קמפיינים שיווקיים פנימיים, הדרכות, משחוק, תחרויות וכדומה כדאי שייעשו מספר פעמים בשנה, כל פעם בצורה שונה ומפתיעה כדי לשמור על עירנות.

תרגיל פישינג

אחד האמצעים לבדוק שמירת מודעות לנושא א"מ היא ביצוע תרגיל פישינג.

תרגיל פישינג מעלה על פני השטח מצבים של ערנות או חוסר ערנות של עובדים לנושא א"מ. למשל: פתיחה של מייל זדוני שפתיחתו תגרום לפשיעת סייבר עקב חדירת גורם זר לארגון.

סיכום

בניית תרבות אבטחת מידע חזקה היא תהליך מתמשך הדורש התגברות על אתגרים ושיתוף עובדים בכל הרמות. המאמר הביא מספר אסטרטגיות להעלאת המודעות לחשיבות א"מ בצורה עקבית ומתמשכת, תוך חיזוק כל הנוגעים בדבר.

תשובה טובה: ההשקעה שלנו תלויה באיכות היוזמה, המסר והתזמון

סוכני שינוי / מנהלי איכות בארגונים חשים לעיתים קרובות שאין רצון להקשיב להם / אין הבנה בארגון בצורך לשינוי שהם מציעים. פעמים רבות אני אפילו שומעת טרוניות שההנהלה לא מבינה באיכות.
ברוב המקרים, האחריות על חידוד המסר וההנעה לפעולה היא של סוכן השינוי עצמו. להלן הצעה לבחון את יוזמת השינוי, לאור שלושה גורמי ההצלחה, שנדרש שיתקיימו:
יוזמה טובה – יוזמה שבאמת נדרשת לארגון עם פוטנציאל שיפור והחזר על השקעה חיובי.
מסר – היכולת של סוכן השינוי להעביר את המסר בנחיצות היוזמה לארגון, כך ש"בעל המאה" ישתכנע להשקיע משאבים ולקדם את הנושא, ושאר בעלי העניין יבינו את הצורך והתועלת וישתפו פעולה.
תזמון – האם הזמן העכשווי מתאים ? יש בכלל פניות ורצון להשקיע ביוזמה?

יוזמה טובה, מסר טוב, תזמון גרוע
יהיה קשה מאד להתקדם. לשקול להמתין לתקופה טובה יותר.

יוזמה לא מדויקת, מסר טוב, תזמון טוב
אפשר להתקדם, אבל ייתכן שלא בכיוון הנכון. קיים סיכון של בזבוז אנרגיה וחוסר רצון בעתיד להקשיב ליוזמות טובות. כדאי לדייק ולחדד את היוזמה.

יוזמה טובה, מסר לא טוב, תזמון טוב
הארגון לא בשל / לא מוכן לשמוע על יוזמת השינוי. אם הבעיה היא באופן העברת המסר – נדרש להתאים את המסר לקהל כך שיהיה קל להבין ולרצות להטמיע את השינוי. במקרים שכאלה, על סוכן השינוי / מנהל האיכות לקחת אחריות על התוצאה ולנסות להסביר ל"לקוח" שלו מדוע היוזמה חשובה, ולא רק בגלל ש"צריך".

חשבו על יוזמות שהצליחו, ויוזמות שלא הצליחו. האם ההצלחה או אי ההצלחה נבעה מקיום / אי קיום של הגורמים הנ"ל? אשמח לשמוע.

סוכני שינוי, בבואם להציג להנהלה שלהם יוזמה חדשה שלדעתם תשפר את מצב הארגון, תמיד ייתקלו בשאלה – "כמה זה עולה לנו", או "האם עכשיו אנו יכולים להשקיע משאבים ביוזמה המדוברת כאשר יש נושאים הרבה יותר בוערים?

עצתי לסוכני השינוי, לדבר במונחים של השקעה מניבה ולא במונחים של עלות. השקעה מניבה, כשמה כן היא: היא מניבה פירות ולא רק שואבת משאבים. מציעה לשקול שימוש של מדד – Return on Time Investment, במקום המדד: Return on Investment שמודד את ההשקעה גם במונחי הזמן שנחסך ולא רק במונחים כספיים. ברוב הארגונים משאב הזמן יקר יותר ממשאב הכסף. למרות שגם משאב הזמן מתורגם לכסף בסופו של יום, מדידת החיסכון במונחי זמן נותנת זווית נוספת למדידת ההשקעה.

עצה נוספת, לחלק את ההשקעה ל"תשלומים". כלומר – לבנות תכנית עם צעדים קטנים והדרגתיים, עם אבני דרך במקום תכנית אחת גדולה ובכך להתמודד עם החשש מתוכניות שיפור גדולות. רצוי ביותר להתחיל עם הצוותים החזקים ומשתפי הפעולה כדי לייצר מומנטום של הצלחה, ולצבור קרדיט להמשך.

מה אתם אומרים? משחק מילים או שיש לנאמר ערך ?

ספרו לי. מצפה לשמוע מיכם.

א

א

א

א

א

א

א

הכה את המומחית (זוכרים שזה ביטוי, בלי מכות בבקשה..)  מספר 2

מנהלים, סוכני שינוי בארגונים מכינים מראש מענה לשאלה שיישאלו – מה יוצא לי מהיוזמה שלכם? מה התועלת?

ובכן, לא זאת השאלה!

השאלה שצריכה להישאל היא: מה התועלת של התועלת?

מנהלים, סוכני שינוי בארגונים יוזמים שינוי ומכינים בנק של תשובות לשאלות שצפויות להגיע.

שאלות כמו מדוע כדאי להטמיע את השינוי, מי צריך את זה? אפשר לדחות למועד אחר (עד שנשכח מזה ונוותר)? כמה זה עולה לי?… נענות בתשובה: הלקוחות דורשים את זה, המתחרים כבר מזמן עושים את זה, נעשה את הפעולות הרגילות שלנו מהר יותר, באיכות טובה יותר.
תשובות האלה הן טובות, אבל לא תמיד הן מספיקות כדי להניע את הספינה לכיוון שונה ממה שכרגע היא שטה. תשובות טובות יותר הן כאלה שמראות את התועלת של התועלת.

למשל, במקרה שלקוחות דורשים לעבוד בשיטת עבודה מסוימת (תקן או מודל), אפשר להראות את הרווחים האמיתיים הנובעים מהשינוי, ולא רק לעשות כי הלקוחות רוצים. הלקוחות דורשים עבודה בשיטה מסוימת, לפי מודל מסוים, כדי להבטיח שהספק שלהם עובד בצורה איכותית ועומד בזמנים. לא קשה למצוא במקרה שכזה את התועלת של התועלת, מעבר ל"זה מה שדורשים מאיתנו".

ולא נשכח שגם המנהל המאשר הוא בן אדם. כדי שהמנהל שלכם ישקיע ברעיון שלכם הוא צריך להבין קודם כל – מה ייצא לו אישית מזה בנוסף לתועלות הארגוניות. כן, כן – גם למנהל יש אג'נדה אישית. הבינו את הצורך הסמוי והראו כיצד היוזמה תקדם אותו. מה מניע אותו – גאווה? פחד? אגו? מוטיבציה? מבחינתו השיפור יכול להתבטא בתוצאות מספריות, ביוקרה שיזכה בה, התרגשות מיוזמה חדשנית, או מיליון סיבות אחרות. מצאו את הדרך לגייס אותו רגשית לתהליך.

עכשיו תורכם – איזה שינוי אתם רוצים לעשות בארגונכם? מה התועלת של השינוי? ומה התועלת של התועלת?

אני פוגשת מנהלים בארגונים שמרגישים שתהליכי העבודה שלהם מעכבים את ההתקדמות שלהם. מרגישים ולא מחליטים לשנות. התרגלו למצב הקיים. מספרים לעצמם סיפורים מדוע לא לעשות שינוי. עובדים מסביב לשעון, אך לא בהכרח מתקדמים בכיוון ובקצב הרצוי.

קיימים בספרות מודלים רבים לשינוי. מציעה במאמר זה את מודל משולש השינוי שמייצג את מה שהשכלתי מכל מלמדי.

משולש השינוי

משולש השינוי מכיל את האלמנטים הבאים:

• מחליטים לשנות ומקצים משאבים
• יוצרים תהליך / שיטת עבודה
• מטמיעים את התהליך

וחוזר חלילה.

ניסיוני הקט לימד אותי שזה לא תהליך כמו DMAIC שבו מתקדמים בטור משלב לשלב וגם לא תהליך עגול של שיפור מתמיד. זוויות המשולש מייצגות דרך חתחתים שלצערי מגיעים אליה במקרים רבים רק שנדחפים לפינות (קודקודי המשולש) ושלושת התהליכים (צלעות המשולב) מתקיימים בו זמנית.

מחליטים לשנות ומקצים משאבים

במקרים רבים, בחיי ארגונים, כמו בחיים האישיים מחליטים לשנות רק כשמגיעים עם הגב לפינה, כאשר רואים ששיטת העבודה הקיימת אינה מטיבה עימנו.

חלק גדול מהארגונים מחליטים לשנות כתוצאה מאירוע חיצוני, למשל: לקוח דורש שיוכיחו לו שהארגון הטמיע שיטת עבודה המבוססת על תקינה או מודל נדרש. ישנם מודלים מורכבים לתעשיות ספציפיות כמו תעופה ורכב וישנם מודלים או תקנים מורכבים פחות. המודלים או התקנים מגדירים איך ארגון איכותי אמור לעבוד, וכל ארגון יוצר את שיטת העבודה שמתאימה לו וגם עונה לדרישות המודל או התקן.

חלק מסוים מהארגונים מחליט לשנות כתוצאה מהבנה שהישארות במצב הקיים גובה מחיר יקר.

כמובן שתמיכה הנהלה ביוזמת השינוי היא הכרחית ובלעדיה אין טכם לצאת לדרך.

לאחר שהוחלט לעשות שינוי מגדירים מטרות במונחי תוצאות. כלומר – לא מספיק להגדיר את השגת תקן כיעד כדי להשביע את רצון הלקוח שדורש זאת, אלא להגדיר מה התוצאות הרצויות לנו. איפה אנו היום?(המצב המצוי מה לשמר ומה לשנת), ולאן אנו רוצים להגיע (המצב הרצוי מפורט לפי נושאים).

יוצרים תהליך / שיטת עבודה

השלב זה כולל יצירת תכנית עבודה כדי להגדיר ולהטמיע את שיטת העבודה שתסגור את הפער בין המצב הרצוי למצב המצוי. התכנית נעשית על ידי גזירה לאחור של הפעולות שיביאו לתוצאות הרצויות.

שיטת העבודה היא אוסף של נהלים, תבניות (Templates), מדריכים (Guidelines),  רשימות תיוג (Checklists) וכלים (Tools) המחייבת את הארגון.

שילוב יועץ מומחה בשלב זה יכול להאיץ את קצב השינוי כיוון שהיועץ מכיר מודלים שונים ושיטות עבודה ויכול להתאימן לארגון; היועץ בונה עם הארגון שיטת עבודה פרקטית המבוססת על ניסיונו תוך התאמת סט הכלים שברשותו לצרכים הספציפיים של הארגון. היועץ שמוקצה למשימה מקדיש לכך את זמנו, לעומת יועצים פנימיים שמוסתים לפעילויות אחרות.

מטמיעים את התהליך

זהו השלב שבו שיטת העבודה שהוגדרה מוטמעת ביחידות הרלוונטיות בארגון. הטמעה היא תהליך שדורש יישום של שיטת העבודה החדשה וכן ביצוע של מבדקים פנימיים המוודאים שהשינוי מוטמע כהלכה. לעיתים פערים ביכולת ההטמעה של השיטה החדשה דורשים שינוי בהגדרת השיטה.

שילוב יועץ מומחה בשלב זה מאיץ את קצב הטמעת השינוי. מדובר באותו יועץ שעסק בהגדרת שיטת העבודה החדשה. כאמור, כל ניסיונו וזמנו מוקדש לשינוי, כולל שינויים הנדרשים בשיטה כדי להקל על ההטמעה.

 .. וחוזר חלילה

החזרה על תהליך השינוי היא חשובה מאד. ישמה ציפייה שתהליך השינוי יהיה חד פעמי ודרמטי. לא כך הוא. השינוי נעשה בצעדים. כמו שמחשבים רווח על ידי חישוב של ריבית דה-ריבית, כך נעשה שינוי דה שינוי. כל פעם קצת אבל בטווח ארוך השינוי מצטבר לשיטת עבודה חדשה ומיטבית.

אשמח לשמוע מניסיונכם: כיצד אתם מנהלים שינוי? מה המניע לעשות שינוי? איך אתם מגדירים את השינוי הנדרש? איך אתם מטמיעים את השינוי הנדרש?