Thiết kế tổ chức của bạn để chống chọi với thảm họa trong tương lai

Trong tài liệu kinh doanh về quản lý khủng hoảng và thảm họa, người ta tập trung rất nhiều vào các chủ đề như lãnh đạo, truyền thông và lập kế hoạch. Nhân viên an ninh và những người được giao nhiệm vụ đảm bảo các công ty đã chuẩn bị sẵn sàng có xu hướng quan tâm hơn đến công nghệ và thiết bị cần thiết để giảm thiểu rủi ro vật lý và không gian mạng. Nhưng giữa khả năng lãnh đạo khủng hoảng và hoạch định chiến thuật, một khoảng cách cơ bản thường tồn tại – một hố sâu nguy hiểm giữa những người phụ trách và những người trên mặt đất.

Khi các công ty chuẩn bị cho khủng hoảng, họ thường không lùi bước và đặt một câu hỏi đơn giản: Chúng tôi được thiết kế như thế nào? Tôi đã dành nhiều năm đào tạo và tư vấn cho các công ty về quản lý và chuẩn bị cho thiên tai và tôi tin rằng sự chuẩn bị tốt đi sau tổ chức tốt – và sự chuẩn bị tồi thường có thể được giải thích bởi tổ chức tồi.

Rõ ràng, bước vào năm thứ ba của phản ứng Covid, ở một mức độ nào đó chúng ta đều là những nhà quản lý khủng hoảng. Những mối đe dọa mà chúng ta phải đối mặt – đối với cuộc sống, sự liên tục trong kinh doanh, tài sản và danh tiếng – sẽ không kết thúc khi mặt nạ của chúng ta lộ ra. Các nhà lãnh đạo công ty phải kiểm kê “cấu trúc chuẩn bị sẵn sàng” của họ. Điều này có nghĩa là lúc đầu tập trung ít hơn vào đào tạo, giao thức, lãnh đạo và truyền thông và nhiều hơn nữa vào cấu trúc quản trị và báo cáo nội bộ của công ty. Câu hỏi cơ bản đối với tất cả các công ty hiện nay, trong thời đại thiên tai lặp đi lặp lại, là liệu ban quản lý và lãnh đạo của họ thiết kế là an toàn.

Khi nghiên cứu các thảm họa và hậu quả của chúng đối với cuốn sách của tôi, Ác quỷ không bao giờ ngủ: Học cách sống trong thời đại thảm họa, Tôi đã xác định một số lỗi thiết kế cần được giải quyết trước khi – không phải nếu – các cuộc khủng hoảng tiếp theo xảy ra. Để thiết kế cơ cấu quản lý của công ty mình nhằm ứng phó tốt hơn với các cuộc khủng hoảng, các nhà lãnh đạo nên tập trung vào ba lĩnh vực sau đây.

Chức vụ

Khi tôi dạy về quản lý khủng hoảng tại Trường Kennedy của Harvard, lớp học đầu tiên của tôi là về thiết kế, bởi vì “phần xương” (tức là cấu trúc cơ bản) của một tổ chức là vấn đề. Tôi hỏi một câu hỏi đơn giản mà hàng năm đều gặp phải những phỏng đoán hoang đường và những cái nhìn trống rỗng: Trong chính phủ Hoa Kỳ, Sở Lâm nghiệp Hoa Kỳ được đặt ở đâu? Ngay lập tức, một số sinh viên tự tin sẽ hét lên “Bộ Nội vụ”. Không thành công, những người khác đề xuất EPA. Câu trả lời là Sở Nông nghiệp. Hãy suy nghĩ về điều đó có nghĩa là gì, vị trí đó tiết lộ điều gì về cách chính phủ đã từng xem (và vẫn xem) rừng: như một loại hàng hóa nông nghiệp, giống như bò, ngô hoặc đậu nành. Theo thiết kế, cây cối và rừng rậm nằm trong một cơ quan chính phủ mà ưu tiên của nó không phải là môi trường hay bảo vệ các vùng đất lịch sử. Vị trí này quan trọng vì nó thông báo cho các ưu tiên của Sở Lâm nghiệp.

Các công ty hiếm khi có nhân viên an ninh được đặt trong vai trò lãnh đạo thường trực. Rất ít hội đồng quản trị của các công ty đại chúng có một cá nhân duy nhất từ ​​lĩnh vực bảo mật hoặc an ninh mạng. Đây không chỉ là một thách thức mang tính biểu tượng: Nó nói với những chuyên gia rằng kỹ năng hoặc chuyên môn của họ không thể thiếu đối với sự lãnh đạo của công ty. Nó có thể ảnh hưởng đến năng lực hướng dẫn các ưu tiên về ngân sách và nhân sự, khi các giám đốc điều hành phân chia các nguồn lực hạn chế. Nó phủ nhận sự liên quan: một chỗ ngồi tại bàn. Và nếu một vấn đề không được cấp quản lý xem là điều cần thiết, thì nhân viên cũng sẽ không xem vấn đề đó là cần thiết. Bảo mật phải được nâng cao bởi thiết kế quản trị cho thấy rằng nó không thể thiếu đối với tương lai của một công ty cũng như điểm mấu chốt của nó.

Thông thường, để bù đắp cho những sai sót thiết kế này hoặc để có vẻ có trách nhiệm với thế giới bên ngoài, nhiều công ty, đặc biệt là những công ty công nghệ mới hơn, đang tạo ra cái mà họ gọi là hội đồng “tin cậy” hoặc “tư vấn tin cậy”. Tôi không biết liệu điều này có phải là vì “sự tin tưởng” có vẻ ít đáng sợ hơn “bảo mật”. Các hội đồng này có xu hướng chứa đầy đủ các loại chuyên gia và cựu quan chức chính phủ (tôi đã từng phục vụ cho một vài người!), Nhưng cái tên – một cách nói uyển chuyển – và địa điểm – bên ngoài tổ chức – đang nói lên điều đó. Họ chỉ đơn giản là tham khảo ý kiến ​​và đưa ra các khuyến nghị, và quan trọng là không thể yêu cầu hành động. Chúng thực sự lệch sang một bên và thường để trưng bày. Kiến trúc bảo mật là một thứ nghiêm túc và nó không thể được xếp hạng tương đương với bàn dành cho trẻ em tại Lễ Tạ ơn. Nếu ban giám đốc hoặc lãnh đạo nội bộ không thể thúc đẩy việc lập kế hoạch và năng lực chuẩn bị, thì điều đó sẽ không thể hoàn thành.

Truy cập

Bất kể nhân viên an ninh cư trú ở đâu trong một tổ chức, tôi thường hỏi các CEO về tần suất họ gặp gỡ với các thành viên khác nhau trong nhóm của họ. Phản ứng của họ đang tiết lộ. Nhiều người nói rằng họ gặp COO vài lần một ngày, giám đốc tài chính ít nhất vài lần một tuần, tổng cố vấn nếu họ phải. Nhưng đối với giám đốc an ninh hoặc tương đương, câu trả lời thường là một số biến thể của: “Chà, anh ấy là cựu FBI, vì vậy anh ấy biết mình đang làm gì.” Đây là câu trả lời sai. Nếu một Giám đốc điều hành không thể chấp nhận được việc ủy ​​quyền tất cả trách nhiệm tài chính hoặc pháp lý cho những người khác trong công ty, điều này cũng đúng với sự chuẩn bị sẵn sàng. Một giám đốc điều hành chuẩn bị sẵn sàng là người hiểu rằng cách họ tập trung sự chú ý và yêu cầu của mình thông báo những gì công ty cho là có giá trị.

Trong thế giới an ninh, năng lực của bộ máy an toàn có tiếng nói trong việc lập kế hoạch kinh doanh và các ưu tiên được gọi là khả dụng. Nhóm bảo mật có thể truy cập khi nó quan trọng nhất không? Nhiều nhà lãnh đạo thể chế sẽ nói có, rằng họ biết phải gọi cho ai nếu có vấn đề gì xảy ra. Điều này cho thấy rằng ban lãnh đạo không coi an ninh là một yếu tố gây khó chịu, mà coi đó là một sự phiền toái cần thiết hoặc một tiện ích bổ sung, thứ được gọi hơn là mô liên kết cho công ty. Cấu trúc báo cáo phức tạp, với nhân viên an toàn được phân bổ để họ báo cáo cho các bộ phận khác nhau của cơ cấu quản lý, chẳng hạn như pháp lý, rủi ro hoặc chiến lược, giảm thiểu ảnh hưởng và khả năng của họ.

Đối xử với nhân viên an ninh như những kẻ đi sau bằng cách hạn chế quyền tiếp cận lãnh đạo của họ là thiển cận và tự chuốc lấy thất bại. Ví dụ: hãy xem xét nỗ lực lâu dài của thành phố Oakland để xây dựng một sân vận động mới cho đội bóng chày của họ, Oakland Athletics, tại Nhà ga Howard (một nỗ lực kéo dài đến mức nó được gọi là “hành trình một nghìn bước”) . Dự án đã gặp phải nhiều sự chậm trễ và trở ngại kể từ khi Tập đoàn đầu tư điền kinh Oakland chọn địa điểm Howard Terminal vào năm 2018, một trong số đó là việc phát hiện ra nhiều lỗ hổng an toàn đáng ra phải xem trước khi họ đưa ra lựa chọn.

Trang web hoàn hảo cho nhu cầu giải trí và nhà đầu tư. Nhưng bởi vì nó được bao quanh một bên là nước và chỉ có một số đường thoát ra (một số trong số đó thường xuyên bị chặn bởi đường sắt và hàng hóa), bài đánh giá tư vấn mà tôi phục vụ đã phát hiện ra rằng không có cách nào để mọi người rời đi an toàn nếu có điều gì đó tai họa ( xảy ra động đất, hỏa hoạn, tình huống bắn súng đang hoạt động, v.v.). Nó đe dọa đến dòng chảy an toàn và đảm bảo của cảng chính của Oakland đến nỗi công ty đường sắt Union Pacific thậm chí còn gây ra sự phản đối.

Đội an toàn của Investment Group đã ở đâu? Không có gì để nói, và có rất ít nỗ lực ở phía trước để thu hút sự tham gia của các công ty khác, bao gồm cả đường sắt và hàng hóa, và những cư dân hiểu rõ rủi ro và thách thức của địa điểm.

Không có kiến ​​trúc một kích thước phù hợp với tất cả. Lý tưởng nhất là người đứng đầu cấp cao về an toàn hoặc bảo mật sẽ báo cáo trực tiếp với Giám đốc điều hành hoặc một thành viên cấp cao của nhóm lãnh đạo. Quan chức an ninh đó sẽ giám sát tất cả các khía cạnh của chính sách rủi ro và hướng dẫn ngân sách và nhân sự với sự hỗ trợ từ cấp trên. Vấn đề bảo mật là quá quan trọng để ẩn nó xuống sơ đồ tổ chức hoặc ủy quyền cho các “chuyên gia” bên ngoài. Nếu điều đó không khả thi với quy mô hoặc cấu trúc của công ty, CEO và đội ngũ lãnh đạo phải đảm bảo rằng tính bảo mật luôn được thể hiện trong ngân sách và các quyết định kinh doanh ưu tiên trước chúng được tạo ra.

Điều cần thiết là các nhà lãnh đạo phải sẵn sàng và tham gia khi nhân viên an ninh yêu cầu sự hiện diện của họ trong các cuộc tập trận hoặc đào tạo trên bàn. Một cuộc họp giao ban hàng tháng rất có giá trị, vì rủi ro thường thay đổi. Sự quen thuộc này làm cho một nhà lãnh đạo thông thạo và thoải mái trong một không gian then chốt cho sứ mệnh của họ, ngay cả khi họ không phải là người mua hệ thống phòng thủ mạng hoặc xây dựng cổng xung quanh một tòa nhà.

Tôi đã từng làm việc cho một nhà lãnh đạo chính trị với tư cách là người đứng đầu bộ phận an ninh quê hương của ông ấy, nhưng theo luật, tôi không phải là người trực tiếp báo cáo. Tôi đã nói với anh ấy đơn giản rằng “bạn không thắng cuộc bầu cử trên bảng xếp hạng của tôi, nhưng bạn có khả năng thua họ trên đó. Khi tôi cần gặp bạn, hãy đảm bảo rằng tôi có thể được nhìn thấy ”. Anh ấy cũng đồng tình và nói với nhóm của mình như vậy. Thực tế là không ai quan tâm đến an toàn cho đến khi mọi người quan tâm nên thông báo khả năng tiếp cận của nhà lãnh đạo.

Đoàn kết nỗ lực

Những thay đổi thiết kế này không chỉ đơn giản là sắp xếp lại ghế ngồi trên tàu Titanic. Họ muốn đảm bảo rằng, nếu một tổn hại xảy ra, hậu quả có thể được giảm thiểu và tác hại có thể được giảm bớt. Và điều đó chỉ có thể xảy ra nếu một công ty thiết kế sự đồng tâm hiệp lực để đề phòng thảm họa tiếp theo.

Sau vụ khủng bố 11/9, nhiều công ty đã thăng chức hoặc thuê một CSO, giám đốc an ninh một cách hợp pháp. Trong suốt thập kỷ tiếp theo, khi các công ty đang trải qua các cuộc tấn công mạng và lỗ hổng bảo mật, một nhà lãnh đạo mới đã xuất hiện: CISO, giám đốc an ninh thông tin. Hiện nay, do đại dịch, nhiều công ty lớn đang thuê CMO hoặc CHOs, giám đốc y tế hoặc nhân viên y tế. Đó là rất nhiều người C.

Tình cảm là đáng khen ngợi, nhưng nỗ lực có nghĩa là rất ít nếu không có một số mô liên kết. Một giải pháp là chỉ định một giám đốc an ninh hoặc bộ phận sẵn sàng giám sát những nỗ lực này. Mặc dù tất cả các vai trò C đó đều tập trung vào các mối đe dọa khác nhau, phản ứng của nhà lãnh đạo về cơ bản sẽ giống nhau cho dù đó là một game bắn súng đang hoạt động, động đất, vi phạm mạng hoặc vi rút: Thực hiện một kế hoạch, giảm thiểu tác động và lãnh đạo công ty. Với những nỗ lực, trọng tâm và lao động được phân chia, các “trưởng nhóm” thường ở trong các hầm báo cáo và quản lý khác nhau. Vấn đề là: Tuy nhiên con tàu đi xuống, cả con tàu đang đi xuống.

Ví dụ, hãy xem xét cuộc tấn công ransomware vào Colonial Pipeline vào tháng 5 năm 2021, dẫn đến việc nhà điều hành đường ống phải ngừng cung cấp khí đốt và dầu cho gần 45% Biển Đông trong hơn một tuần. Các nhà phân tích có xu hướng hỏi làm thế nào mà công ty lại có thể dễ bị tổn thương như vậy. Câu hỏi hay hơn là: Làm thế nào họ có thể không có kế hoạch cho việc gián đoạn mạng không thể tránh khỏi sẽ ảnh hưởng đến năng lực của họ như thế nào và dẫn đến một cuộc khủng hoảng năng lượng ngắn hạn khi chuỗi cung ứng ngừng hoạt động?

Công ty không có lựa chọn nào khác ngoài việc đóng cửa toàn bộ hệ thống vì nó không thể giám sát hiệu quả lưu lượng khí đốt. Các công ty thường phân chia hệ thống giữa hoạt động và công nghệ thông tin. Chúng phụ thuộc lẫn nhau, có nghĩa là rủi ro đối với người này là rủi ro đối với người khác. Nếu Colonial có một lãnh đạo cấp cao giám sát toàn bộ mảng hậu quả tiềm ẩn, thì công ty có thể đã chuẩn bị kỹ càng hơn. Nó có thể đã xây dựng dự phòng hoặc tách các nhu cầu dữ liệu quan trọng – chẳng hạn như những nhu cầu liên quan đến hoạt động và phân phối – khỏi những nhu cầu kinh doanh – chẳng hạn như bảng lương – trên mạng. Nó có thể đã lên kế hoạch cho một nỗ lực khôi phục phức tạp hơn, tập trung vào việc đưa các đường ống lớn di chuyển nhanh chóng và dựa vào xe tải và các hình thức vận chuyển khác để giao hàng tại địa phương. Thay vào đó, những gì có thể là một gián đoạn nhỏ phổ biến trong không gian mạng đã trở thành một thách thức cung cấp năng lượng quốc gia.

. . .

Thiết kế, cũng như một kế hoạch PR tốt hoặc đào tạo hiệu quả, là một khía cạnh cần thiết của sự chuẩn bị sẵn sàng trong thời đại mà thảm họa sẽ tiếp tục ập đến. Trước khi một công ty đầu tư vào sản phẩm bảo mật mới thú vị tiếp theo hoặc chỉ định một ban cố vấn mới ưa thích, trước tiên công ty đó nên kiểm tra kiến ​​trúc của chính mình. Sự chuẩn bị tốt đến từ hệ xương chắc khỏe.