カジノサイト
変更管理で抵抗を準備に変える
完璧なセキュリティ導入、プロジェクト、プログラムなどというものはありません。最も適切に設計された展開であっても、脅威アクターだけでなく、破壊的な変化の力に対しても脆弱です。これらの力は、新しい規制要件、組織の優先順位の変更、または予期しないテクノロジーの更新という形で現れる可能性があります。セキュリティにおいて変化は唯一の恒常的なものであり、変化に対する計画を怠るとリスクが増大するだけです。
したがって、強力な変更管理が必要になります。
変更管理は、チームがどのように変化を予測し、コミュニケーションし、適応するかを説明する組織のフレームワークです。変更管理計画により、影響を受ける個人を積極的に特定し、トレーニングとコミュニケーションを各自の役割に合わせて調整することで、チームは潜在的なビジネスへの影響を理解し、対応できるようになります。目標は、セキュリティへの取り組みが意図した成果を確実に達成しながら、移行時に潜在的な脅威から組織を保護することです。
あなたの組織が、老朽化したカードベースのアクセス制御システムをアップグレードして、モバイル認証情報を使用できるようにしたと想像してください。あなたがこの変更を提唱したのは、従業員や訪問者の利便性を高めながらコストを削減できるからです。しかし、効果的な変更管理がなければ、抵抗、入り口での混乱、準備不足によるセキュリティのギャップに直面することになります。追加のリスクには、プロジェクトの遅延、範囲の拡大、コストの超過などが含まれる可能性があります。
逆に、変更管理プログラムは次のようになります:
- テクノロジーを管理している人から使用する人まで、影響を受ける関係者を特定する
- 潜在的な変更に関するコミュニケーションを開始し、影響を受けるチームにフィードバックを提供したり懸念事項をエスカレーションしたりするための定義されたチャネルを提供します
- パイロット グループとユーザー受け入れテスト (UAT) を導入して、完全な展開の前に構成を微調整する
- プロジェクトの範囲を維持し、将来の段階的なプロジェクト要件を回避するためにリソースを適切に割り当てます
- 役割別のトレーニングを実施し、各グループが新しいツールやプロセスに関連する責任を確実に理解できるようにする
- セキュリティの変化に効果的かつ積極的に適応するために必要なリソースと情報をエンド ユーザーに提供
プロックス カードからモバイル認証情報へのアップグレードは、変更管理を必要とする新しいツールとプロセスの両方の例です。ただし、変更管理の実装が同様に重要であるシナリオは他にもたくさんあります。改訂されたガバナンス、組織構造の変更、新しいコンプライアンス要件、さらには最新の変更管理を検討してください。言い換えれば、セキュリティを管理および操作する人々が責任、ワークフロー、または期待の変化を経験するあらゆるシナリオです。
変更管理は、プロジェクトの各段階で同様に利用されます。まだ進化していない新しいプロジェクトを計画する場合、潜在的な影響に備えてチームを準備するのは変更管理フレームワークです。テスト中に、関係者が適切なタイミングで参加し、有意義なフィードバックを提供できるようになります。また、導入時やその他の変曲点においては、シームレスな導入と関係者の信頼が促進されます。
しかし、おそらく、変更管理が展開後ほど重要になることはありません。この時点で、関係者は特定のテクノロジー、チーム、プロセスを扱うことに慣れています。行動の変化は、構造化されたアプローチを通じて指導および強化されない場合、エラーや抵抗につながり、最終的には取り組みの成功を損なうことになります。ここで、強力な変更管理プログラムの基礎であるコミュニケーションとトレーニングが鍵となります。
変化に対する従業員の抵抗は依然として大きな課題です。によると、従業員の 37% が組織変更管理の取り組みに抵抗しています。主な理由としては、組織に対する信頼の欠如 (41%)、なぜ変化が起こっているのかについての認識の欠如 (39%)、未知のことに対する恐怖 (38%)、情報の不足 (28%) などが挙げられます。このデータは、技術的かつ人間中心のプロセスとして変化に取り組むことの重要性を強調しています。これを効果的に行うには、組織は変更管理戦略に次の要素を組み込む必要があります。
所有権。プロジェクト マネージャーが新しいプロジェクトの展開を監督するのと同じように、専任の変更マネージャーが変更管理プログラムの実装を監督します。コミュニケーション、計画、実行を管理する担当者を 1 人に指名することで、チーム間の信頼と説明責任が高まります。この担当者はプロジェクトの完全な範囲と相互依存関係を理解しており、変更管理計画に役割を持つすべてのエンド ユーザーと関係者を特定します。組織の規模に応じて、これはフルタイムの役割となる場合もあれば、既存のプログラム管理の役割に組み込まれた責任となる場合もあります。
ガバナンス。変更管理責任者は、主要な関係者と緊密に連携して確立する明確なガバナンス構造。これらは一緒に役割を定義し、各役割がコア プロジェクトにどのように接続されるかをマッピングします。また、役割に変更を通知し、適切にトレーニングし、フィードバックを提供するためのチャネルを提供する方法も決定します。説明責任とコミュニケーションの明確な境界線を設けることで、組織は影響を受けるすべての関係者がなぜ変化が起こっているのかを理解し、効果的に対応するために必要な情報を提供できるよう支援します。
利害関係者の関与。変化の可能性に関して利害関係者チームと早期にコミュニケーションをとることで、重要な双方向の対話が確立されます。これは、関係者が将来のテクノロジーやプロセスの変更を予測するのに役立つだけでなく、変更マネージャーがプロジェクトのあらゆる段階で各チームに必要な関与のレベルを評価することもできます。このようにして、変更の影響、トレーニング、コミュニケーション、サポートがそれぞれの役割に合わせて調整されるため、不意を突かれるチームはありません。
文書化されたフレームワーク。変更管理プログラムを導入するということは、それをサポートする適切な文書を用意することも意味します。結局のところ、変更マネージャーの喪失がいつそれ自体の変更になるかはわかりません。したがって、現在の状態と将来の状態での役割の識別、役割に基づいた潜在的な使用例、各利害関係者グループの連絡先、グループごとのコミュニケーションのペースと方法、適用可能なプロジェクトの段階、役割ベースのタスクなど、プログラムの主要な要素を文書化することが不可欠です。
成功指標。変化の時代に成功を定義するのは難しい場合があります。ただし、明確で測定可能な基準すべての役割がそれに向けて取り組むことができる明確な目標を設定するのに役立ちます。これには、UAT のサインオフ、トレーニング計画の展開、更新されたドキュメントの配布、フィードバック チャネルの利用可能性、懸念事項に対処するための対応チームの活性化などのマイルストーンが含まれる場合があります。これらの指標は、進捗状況を評価するためのベンチマークを提供するだけでなく、プロジェクトが意図と説明責任を持って管理されているという関係者間の信頼を構築します。
何よりも、変更管理計画はプロジェクトの完了と実装後に持続可能である必要があります。変更は本番稼働日に終わるわけではありません。セキュリティ ツールは進化し、チームは変化し、プロセスは適応し続けます。継続的な変更管理専用のリソースを維持することで、チームがソリューションやプロセスの更新を確実に採用できるようになります。例としては、ドキュメントを活用して変更要求を把握し、変更マネージャーを関与させて変更要求を表面化して対処することが挙げられます。また、新しい変更管理プログラムが必要になる可能性があるソリューションやツールのサポートが終了するなど、将来の変更にチームがどのように適応するかも考慮してください。
プロジェクトのすべての段階と種類にわたって構造化された変更管理プログラムを採用すると、セキュリティへの取り組みを長期的な成功に導くことができます。セキュリティ リーダーとそのチームにとって、誰がどのように変化を管理するのかを理解することは、変化を受け入れるか潜在的な抵抗を生むかに大きな違いをもたらします。ユーザー グループにとって、それは自分たちの役割において十分な情報が得られ、権限が与えられていると感じることを意味し、よりスムーズな移行、中断の減少、そして組織の安全を保つシステムとプロセスに対するより強い信頼感につながります。
Mohammed Atif Shehzad は、 の創設者兼マネージング ディレクターです。、フルサービスのセキュリティ コンサルティング会社。彼は 30 年以上の経験があり、プログラム開発、戦略的マスター プランニング、およびエグゼクティブ レベルのプログラム スポンサーシップに携わってきました。シェザド氏の経験には、幼稚園から高校まで、高等教育、企業および多国籍企業、地方自治体、テクノロジー企業、製薬会社が含まれます。
