Sempre più fondamentale, a mio avviso, dove possibile è il lavorare per obiettivi. Ma cosa significa e come può essere applicato anche nel contesto della sicurezza dei sistemi SAP?
Cosa significa la sigla OKR e perché ad esempio è diversa da MBO?
Si tratta di un acronimo inglese che significa Objectives & Key Results. Come spesso accade con la traduzione di un acronimo non si riesce, probabilmente a coglierne il significato e l'applicazione.
Tuttavia, è possibile immaginarlo come un metodo che permette di definire degli obbiettivi e dei risultati "chiave" che permettono di controllare, misurare e arrivare agli obiettivi strategici o personali definiti in azienda.
Non sempre ed in ogni situazione è possibile, tuttavia, in molti contesti lo è. Permette ad ognuno di noi, a mio avviso, di provare ad identificare delle piccole mete (più o meno facili da raggiungere) che ci portano ad ottenere un risultato.
Credo sia fondamentale ragionare sempre in modo oggettivo e non soggettivo nella definizione di questi obiettivi, ragionando per piccoli risultati chiave.
Nel contesto della sicurezza dei sistemi SAP qualche esempio potrebbe essere il seguente:
Ecco questi esempi, forse, sono troppo generici. Come sappiamo, nel primo caso, la parola SAP Security, ormai è un piccolo mondo dentro il quale sono presenti moltissime sfaccettature (superfici di attacco o in inglese Attack Surface) che possono/devono essere affrontate.
Quindi meglio scendere un po' nel dettaglio provando a modificare questo approccio e definendo ad esempio dei risultati chiave o sotto-obiettivi.
Negli esempi sopra si identifica in maniera precisa uno specifico risultato. Che può far parte di un obiettivo più grande come quello del "Mettere in sicurezza un sistema SAP" ma con una certa specifica azione o sequenza di azioni.
Rendere oggettivo il risultato è quindi un primo punto fondamentale, nella definizione della strategia legata agli obiettivi.
Come spesso accade, all'inizio è facile farsi trasportare. A volte pensare che poco sia mediocre ci spinge a definire una lista estesa. Tuttavia, in questi casi non è così semplice, poi fare tutto. Si rischia di non riuscire a fare nulla oppure farlo male.
Meglio quindi partire con pochi obiettivi, tre/quattro, ben chiari. A noi ed ai nostri referenti (colleghi, superiori etcc). Un processo di controllo costante ci aiuterà poi a capire come stanno andando le cose. In questo caso potrebbe essere chiaramente utile uno strumento per permetterci di tenere sotto controllo gli aggiornamenti.
Sono due strategie per obiettivi che hanno dei punti in comune ma anche delle divergenze chiaramente. I Management by objectives (MBO) hanno una natura e finalità diversa, ma esistono in diverse realtà da un po' più di tempo rispetto agli OKR.
Credo che nel contesto della sicurezza informatica, possa essere più applicabile ragionare con il metodo OKR, per quali motivi?
Questo articolo è stato ispirato dal libro "Rivoluzione OKR" di Jonh Doerr. Voi approfondire l'argomento? Acquista qui.