OPS03-BP02 授權團隊成員在成果有風險時採取動作
由領導階層注入的文化擁有權行為,會鼓勵任何員工覺得自己該代表整個公司挺身而出,而不受其定義的角色和問責所約束。員工可以在風險出現時主動識別風險並採取適當的行動。這種文化使員工能夠依當下情況判斷而做出高價值的決策。
例如,Amazon 以領導原則
期望的結果:領導者已帶起一種新文化,允許個人和團隊在緊要關頭做出決定,即使他們在組織內的職階較低 (因為長決策是透過可審核的權限和安全機制定義的)。失敗沒什麼大不了,團隊會反覆學習改善決策和反應,以因應未來類似的情況。如果某人的改進行為可以使其他團隊受益,那麼他們就會主動分享這些行為的相關知識。領導者會衡量營運改善進度,並激勵個人和組織採用這類模式。
常見的反模式:
-
組織中沒有明確的指引或機制來說明確定風險時該怎麼做。例如,當員工注意到網路釣魚攻擊時,因他們未及時向資安防護團隊通報,導致組織內大部分成員都受到攻擊。這會導致資料洩露。
-
您的客戶抱怨服務無法使用,這主要是由於部署失敗所致。您的 SRE 團隊負責部署工具,其長期藍圖中包含部署作業自動復原。在最近推出的一款應用程式中,其中一名工程師設計了一種解決方案,可自動將其應用程式恢復到舊版本。儘管他們的解決方案可以變成 SRE 團隊的模式,但由於沒有流程可追蹤此類改進,其他團隊並未採用。該組織繼續受到部署失敗的困擾,影響客戶並導致進一步的負面情緒。
-
為了保持合規性,您的 infosec 團隊會監督一個長期的流程,代表連接到其 Amazon EC2 Linux 執行個體的操作員定期輪換共享 SSH 金鑰。infosec 團隊需要幾天才能完成輪換金鑰,而且您無法連線到這些執行個體。infosec 內部或外部沒有人建議使用 AWS 上的其他選項來達到相同的結果。
建立這種最佳實務的優勢:透過下放決策權並授權您的團隊做出關鍵決策,您可以更快速解決問題,並提高成功率。此外,團隊開始意識到擁有感,並且失敗是可以接受的。實驗成為文化支柱。高層主管和總監並不覺得他們在工作的每個方面都受到微觀管理。
未建立此最佳實務時的風險暴露等級:中
實作指引
-
發展一個能夠接受失敗發生之可能性的文化。
-
為組織內各種職能領域定義明確的擁有權和責任。
-
向每個人傳達擁有權和責任,以便他們知道誰可以幫助他們推動分散式決策。
-
定義您的單向和雙向門決策,以幫助個人知道何時需要向上呈報。
-
建立組織意識,讓所有員工在結果面臨風險時,都有能力在不同層面採取行動。為您的團隊成員提供文件管控、許可權、工具和機會,以讓其練習有效回應所需的技能。
-
讓您的團隊成員有機會練習回應各種決策所需的技能。定義決策層級後,請執行「演練日」以驗證所有個別貢獻者是否了解並能展示流程。
-
提供替代的安全環境,讓員工在其中可測試和訓練流程及程序。
-
確認並建立認知,讓團隊成員明白自己在結果出現預先定義的風險等級時有權採取行動。
-
透過指派許可和對其支援的工作負載和元件的存取權,定義團隊成員採取動作的許可權限。
-
-
提供團隊分享學習心得的能力 (營運成功和失敗)。
-
讓團隊有能力挑戰現狀,並提供機制來追蹤和衡量改進,以及其對組織的影響。
實作計畫的工作量:中
資源
相關的最佳實務:
相關文件:
相關影片:
相關範例:
