SlideShare a Scribd company logo

Dirty 12 of Human Errors for Business Continuity/Incident Response

Download as PPTX, PDF
Artur Marek Maciąg
Artur Marek Maciąg

Based on data driven security (Verizon DBIR2019) and Incident Response ported from aviation, we analysed cognitive biases of underlying cybersecurity incidents and data breaches building action plan that covers human factors detected. Illustrated with Equifax data breach reach reports.

Technology
1 of 37
Artur Marek Maciąg toperzak@gmail.com Pechowa dwunastka błędów ludzkich w centrum ciągłości działania biznesu
Inicjatywa Kultury Bezpieczeństwa
thinkers
brown bag:  Data breaches requires deeper analysis based on data and facts, not surface review  Perspective shift is required for Incident Response process (grey box testing)  Technology issues are symptoms not root cause of data breach incidents  Processes are critically dependent on people habits  People are not guided how to mitigate Dirty Dozen of human error factors  Golden Triangle of People, Processes and Technology is in reality cognitive biased
data breach & hacking https://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
https://enterprise.verizon.com/resources/reports/ 2019-data-breach-investigations-report.pdf let’s see what we have here… IncidentA security event that compromises the integrity, confidentiality or availability of an information asset. BreachAn incident that results in the confirmed disclosure—not just potential exposure—of data to an unauthorized party.
https://enterprise.verizon.com/resources/reports/ 2019-data-breach-investigations-report.pdf how? C-suite Mobile GUI
https://enterprise.verizon.com/resources/reports/ 2019-data-breach-investigations-report.pdf how and where?
https://enterprise.verizon.com/resources/reports/ 2019-data-breach-investigations-report.pdf crown jewels as low hanging fruits?
perspective shift
https://www.ccn-cert.cni.es/publico/InfraestructurasCriticaspublico/CPNI-Guia-SCI.pdf shaded state of the mind… Testing as User Testing as User with Access to Internals Testing as Developer As human brain user we can do that always To do that we need more knowledge about our behavior factors leading to errors That is out of our reach as we don’t design our brain (still, we can try, as lifehackers)
https://www.csoonline.com/article/2130877/the-biggest-data-breaches-of-the-21st-century.html testing as a user… When Who How What 2018 Marriott Acquired hacked company (Starwood) 500 million 2017 Equifax Hacking (platform vulnerability) 143 million 2016 Adult Friend Finder Hacking (Local File Inclusion) 412 million 2016 Uber AWS credentials on Github 57 million 2015 Anthem Phishing/malware 78 million 2014 eBay User credentials 145 million JP Morgan Chase Hacking 83 million Home Depot Malware/trojanAV 56 million 2013 Yahoo User account hacked 3 billion 2012 Target Stores Third party HVAC system 110 million 2008 OPM Hacking 22 million 2006 Sony Hacking 77 million
dirty dozen of human errors is root cause of all cyber incidents.
testing as User with Access to Internals …Who How Why Marriott Acquired hacked company (Starwood) Lack of communication, norms, lack of team work, lack of knowledge Equifax Hacking (platform vulnerability) Lack of resources, pressure, lack of team work, lack of awareness Adult Friend Finder Hacking (Local File Inclusion) Lack of resources, pressure, lack of team work, lack of awareness, stress Uber AWS credentials on Github Norms, complacency, pressure, lack of resources, lack of team work Anthem Phishing/malware Lack of assertiveness, stress, pressure, fatigue, complacency, lack of awareness eBay User credentials Norms, lack of awareness, pressure, fatigue, lack of resources JP Morgan Chase Hacking Lack of resources, pressure, lack of team work, lack of awareness, stress Home Depot Malware/trojanAV Lack of resources, pressure, lack of team work, lack of awareness, stress Yahoo User account hacked Norms, lack of awareness, pressure, fatigue, lack of resources Target Stores Third party HVAC system Lack of communication, norms, lack of team work, lack of knowledge OPM Hacking Lack of resources, pressure, lack of team work, lack of awareness, stress Sony Hacking Lack of resources, pressure, lack of team work, lack of awareness, stress
cybersecurity Dunning-Kruger Effect confidence vs competence What you really know Realized lack of knowledge You are sure you are safe You think you know, but still don’t know what you don’t know You think you are safe But you don’t know what you don’t know You find your self vulnerable You know what you don’t know External audit, penetration tests, awareness exercise or cyber incident You know what to do to feel safe You know, what you need to know to minimalize impact on you from what you don’t know yet
EQUIFAX data breach: lessons learned?
testing as a user…
https://republicans-oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdfhttps://www.marketwatch.com/story/the-equifax-data-breach-in-one-chart-2018-09-07 context of Equifax data breach
impact of Equifax data breach  loss or theft of resources, including money and intellectual property, and identity theft  harm to national security  loss of privacy, emotional distress, or reputational harm  loss of public confidence  inappropriate access to and disclosure, modification, or destruction of sensitive information  use of computer services for unauthorized purposes or to launch an attack on other computer systems  damage to networks and equipment  high costs to remediate the effects of the breach Security budget Oct 2017 $38 mln
testing as User with Access to Internals B. Failed traffic inspection caused by expired certificate A. Ineffective CISO location https://www.gao.gov/assets/700/694158.pdf https://republicans-oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf
timeline of events: https://www.gao.gov/assets/700/694158.pdf https://republicans-oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf
EQUIFAX data breach: under the surface…
timeline of events: https://www.gao.gov/assets/700/694158.pdf https://republicans-oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf https://www.gracefulsecurity.com/equifax-breach-timeline/ 2016 Jan Equifax’s network encrypted traffic inspection system SSL certificate is expired 2017 Mar 7 CVE-2017-5638 Apache Struts and patch announcement Mar 8 US-CERT sends Equifax an alert to patch Apache Struts software Mar 9 Equifax’s internal communication to apply the critical patch within 48 hours Mar 10 First evidence of malicious activity (system commands execution) at Equifax network Mar 15 Equifax based on security scans failed to find any vulnerability on external systems May 13 Repeated malicious activity at ACIS application and dropping about 30 web-shells in network Hackers gained unauthorized access to Equifax databases through an Equifax legacy environment. Malicious actor leverage clear text credentials to access over 50 Equifax databases Attackers perform approximately 9,000 queries to sensitive databases within Equifax system. Jul 29 Equifax renews the expired security certificate, found and block suspicious traffic Jul 30 Equifax’s detect additional malicious activity, disable the ACIS system. Internal incident notification. Jul 31 Equifax’s CIO informs CEO about incident with impacted PII Aug 2 Equifax engages law firm King and Spalding, hires cybersecurity firm Mandiant and informs the FBI Aug 24 Mandiant confirms volume of PII accessed Sept 7 Equifax notifies the public of the breach Sept 9 Equifax twitter account accidentally and repeatedly directs users to phishing/research site Sept 15 Equifax CIO and CSO announce their retirements Sept 26 Equifax CEO announces his retirement Oct 12 Equifax announces it has removed malicious software from its Credit Assistance site. 2018 Mar 1 Equifax releases updated information on the 2017 breach Equifax time to patch: 138 Days Equifax time to notice compromise: 78 Days Equifax time to notify public: 117 Days
Findings: https://republicans-oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf A.Equifax IT Management Structure Lacked Accountability and Coordination B.Equifax Had Serious Gaps between IT Policy Development and Execution C.Equifax Ran Business Critical Systems on Legacy IT with Documented Security Risks PEOPLE PROCESSES TECHNOLOGY
documented risks before data breach: https://republicans-oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf Security Concern 1 There is no segmentation between the Sun application servers and the rest of the [Equifax] network. An attacker that gains control of the application server from the internet can pivot to any other device, database, or server within the [Equifax] network, globally. Security Concern 2 File Integrity Monitoring (FIM) is not in place on either the application or webservers, which would allow for alerting and detecting of any unauthorized changes within either environment. Security Concern 3 The Sun systems have a shared file system across the environment that allows for access to any of the administrator files from one system to the next. This allows for any notes or configuration files from one system to be accessed from any other system. Security Concern 4 Logging of the web servers is only retained for 14 days, and 30 days online, making it difficult, to impossible, to reconstruct any malicious activity. Security Concern 5 A complete software inventory of the resources used within the application is not maintained. This requires a complete code review to identify any potential weaknesses, rather than rapid identification of individual component vulnerabilities, as the individual open source components are not well understood or documented. Security Concern 6 Consistent and timely patching of [the legacy Sun/Solaris] systems as a general observation is a concern.
EQUIFAX data breach: money issue?
https://republicans-oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf
EQUIFAX data breach: people issue?
https://republicans-oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf
https://republicans-oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf
creates, implements and maintains PROCESSES designs TECHNOLOGY to support PROCESSES uses TECHNOLOGY to run BUSINESSPEOPLE PEOPLE REAL GOLDEN TRIANGLE
norms pressure lack of teamwork lack of assertiveness lack of communication lack of awareness Action plan:  Use Checklists  Ask questions  Have doubt  Confirm when in doubt  Don’t try (know what to do)  Update yourself  Challenge others  Consider diversity  Have a plan  Don’t accept if not agree  Do what’s right, not easy  Welcome feedback  Take a brake  Never cross your rules  Take care of yourself Dirty Dozen Human Errors Triangle
THANK YOU! AND STAY SAFE…
Brak komunikacji personalny Słaba lub nieistniejąca komunikacja Przekłamania w komunikacji Odbiorca informacji tworzy założenia odnośnie treści komunikacji Powinieneś wiedzieć, że zrozumiałe jest tylko 30% komunikacji werbalnej Powinieneś wiedzieć, że zwykle zapamiętany i zrozumiany jest tylko początek i koniec wiadomości Język ciała jest źle rozumiany lub lekceważony w komunikacji międzyludzkiej Zapisz złożone instrukcje Używaj list kontrolnych, dzienników, aby informować o postępie pracy Nigdy nie zakładaj, że praca została zakończona Zapytaj, jeśli nie rozumiesz Potwierdź, jeśli nie jesteś pewien Strzeż się wpływu kultury na interpretację wiadomości Zwróć uwagę na język ciała Zawsze powtarzaj najbardziej krytyczną część komunikatu na końcu Brak wiedzy organizacyjny Działanie w oparciu o przestarzałą dokumentację może spowodować chaos lub błąd w procesie Wykonywanie pracy bez wcześniejszego szkolenia może narazić pracownika na ryzyko i zaszkodzić reputacji firmy Próba rozwiązania problemu bez wiedzy i umiejętności skutecznego działania może zmienić problem w kryzys Wykonuj tylko zadanie, do którego jesteś przeszkolony Nie próbuj pomagać, jeśli nie wiesz jak Jeśli nie wiesz, poproś o pomoc Zaktualizuj swoją wiedzę i dokumentację do aktualnego stanu Brak pracy zespołowej organizacyjny Pojedynczy punkt awarii, pięta achillesowa Wiedza, siła, koncentracja działań - tworzenie sytuacji: szyjki butelki, wąskiego przesmyku Marnowanie zasobów z powodu braku zrozumienia wspólnego celu Degradacja komunikacji z powodu problemów społecznych lub braku zasobów ludzkich Marnowanie zasobów z powodu dowodzenia kompetencji Zachęcaj do gry zespołowej i komunikacji Wszyscy członkowie zespołu muszą rozumieć wspólny cel i sposób radzenia sobie z nim, w tym swoje obowiązki Promuj współpracowników którzy myślą o bezpieczeństwie Promuj dyskusję, aby rozwiązać problemy Urozmaicaj umiejętności i punkty widzenia Zachęcaj do wyzwania Świętuj sukces Brak zasobów organizacyjny Obawy dotyczące bezpieczeństwa i jakości ze względu na improwizowane lub przestarzałe zasoby Presja na pracownika, która wzmacnia negatywne efekty innych elementów błędów ludzkich Przekraczanie wyznaczonej granicy lub wymuszona kreatywność pracowników prowadząće do szkodliwego wpływu na zgodność i bezpieczeństwo Planuj wykorzystanie zasobów, utrzymuj zasoby i zapasy Zarządzaj cyklem życia zasobów Optymalizuj wykorzystanie zasobów Proś o zasoby, jeśli może to mieć wpływ na bezpieczeństwo Nie zgadzaj się z naruszeniami bezpieczeństwa - prawdopodobnie weźmiesz na siebie odpowiedzialność, gdy coś pójdzie nie tak Zwyczaje personalny Przekroczenie wyznaczonych standardami zasad w większości przypadków jest błędnym pomysłem i powoduje straty i potencjalną szkodę dla pracownika Utrzymywanie niewłaściwej normy jako standardowej procedury działania lub cichej umowy pracownika może poważnie zaszkodzić pracownikowi, wpłynąć na proces lub firmę Upewnij się, że wszyscy przestrzegają tego samego standardu Nawet jeśli coś wygląda normalnie, nie oznacza to automatycznie że jest poprawne Najłatwiejszy sposób osiągnięcia czegoś nie koniecznie musi być tym co zaleca standard Wyeliminuj negatywne standardy, dyskutując na ten temat Brak asertywności personalny Tłumienie obaw, uczuć, opini, przekonań i potrzeb Stosowanie kultury strachu i fałszywej odpowiedzialności Fałszowanie lub nieudana komunikacja i unikanie rozwiązania głównej przyczyny problemu Tworzenie fałszywego obrazu poprzez uogólnienia Nigdy nie łam swoich standardów Zapewnij wyraźną informację zwrotną, gdy ryzyko lub zagrożenie są postrzegane Wypowiadaj się zachowując spokój, racjonalnie i używając konkretnych przykładów zamiast uogólnień Jeśli krytykujesz, to zawsze działania i ich konsekwencje, a nie ludzi i ich osobowości Przyjmij opinię i informację zwrotną Zdaj sobie sprawę, że to Twój obowiązek, twoja decyzja i przyszłość
Brak świadomości personalny Brak świadomości co do piastowanej roli i zrozumienia jej wpływu może wyrządzić szkody pracownikowi lub firmie Brak szerszej perspektywy i dostępu do informacji może prowadzić do selektywnego postrzegania i wpływać na wykonywane czynności w tym ich skuteczność Brak przewidywania skuktów może prowadzić do poważnych incydentów wpływających na ludzkie życie lub markę firmy Używaj list kontrolnych, dzienników itp. Nie zakładaj sytuacji, poproś o wyjaśnienie, poproś o sprawdzenie Ciągłe pytaj „co jeśli ...?” Promuj doświadczenie poprzez dzielenie się wiedzą i świadomość sytuacyjną Promuj rozwój oceny konsekwencji Przecenianie siebie personalny Poleganie na zwyczaju, przyzwyczajeniu lub nawyku Posiadanie nadmiernego optymizmu z tendencją do ignorowania oczywistych informacji Przecenianie sił, wiara w niezawodność Ignorowanie znaków ostrzegawczych, działanie wbrew rozsądkowi w imię nawyku Zawsze oczekuj, że coś pójdzie nie tak Nigdy nie podpisuj się pod czymś, co nie zostało w pełni zweryfikowane lub dostarczone Zawsze sprawdzaj swoją pracę Nigdy nie narażaj się na ryzykowną sytuację, licząc na szczęście lub doświadczenie Utrata uwagi personalny Rozproszony pracownik może łatwo przegapić część procesu i doprowadzić do błędu Może być spowodowana lub wzmocniona przez inne czynniki, takie jak zmęczenie, stres, pewność siebie, przez co znacząco może wpłynąć na wydajność Doprowadza do powstania opóźnień, błędów spowodowanych chaotyczną lub niechlujną pracą Użyj szczegółowej listy kontrolnej Zabezpiecz swoje miejsce pracy i narzędzia, utrzymuj je w bezpiecznym i czystym miejscu, aby uniknąć niespodzianek Jeśli nie możesz skupić się na pracy, zrób sobie przerwę, aby odzyskać skupienie Po wznowieniu pracy, zacznij od ponownego sprawdzenia tego, co według Ciebie jest już ukończone Zmęczenie organizacyjny Zmęczony pracownik może podejmować szkodliwe decyzje, Gdy objawy są ignorowane, może doprowadzić do ryzykownych dla zdrowia sytuacji (jak np. omdlenie czy upadki, ale również inne wypadki przy pracy) Próby ukończenia pracy za wszelką cenę mogą doprowadzić do poważnych zagrożeń dla pracownika i procesu z powodu popełnionego błędu lub utraty kontroli nad stosowanymi narzędziami. Zwiększony negatywny wpływ i prawdopodobieństwo wystąpienia w połączeniu z innym czynnikiem błędów ludzkich. Zadbaj o siebie, odżywiaj się zdrowo, bądź aktywny i utrzymuj regularny sen Odłóż złożone zadania, jeśli wiesz, że jesteś wyczerpany Bądź świadomy objawów zmęczenia u siebie i współpracowników Zrób sobie krótką przerwę, aby odświeżyć mięśnie i umysł Presja organizacyjny Bez względu na to czy wewnętrzna czy zewnętrzna, presja może wpływać na proces lub produkt w sposób, który szkodzi reputacji organizacji Tworzenie fałszywego obrazu warunków pracy lub ukrywanie realnych warunków pracy może wpłynąć na termin realizacji projektu lub relacje z klientem w Twojej firmie Upewnij się, że samodzielnienie nie tworzysz zbędnej presji na siebie Poproś o dodatkową pomoc, jeśli czas jest problemem Zamiast się spieszyć, poproś o więcej czasu jeśli uważasz że będzie Ci potrzebny do ukończenia pracy. Stres organizacyjny Jeśli wymagania są zbyt wysokie lub nie są zarządzane, Twoja podświadomość zareaguje stresem, który długoterminowo wpływa szkodliwie na Twoją postawę i stan zdrowia. Stres znacznie wzmacnia reakcję pracownika na inne czynniki, zwiększając ryzyko utraty zdrowia pracownika lub błędu w procesie Zmniejsz poziom stresu, biorąc czas wolny lub krótką przerwę Poproś współpracowników o monitorowanie Twojej pracy Ćwicz, jedz zdrowo i zapewnij sobie wystarczającą ilość odpoczynku, aby utrzymać poziom stresu pod kontrolą Poznaj swoje ograniczenia i gdy oczekiwania wobec Ciebie wzrosną wyraźnie się do nich odnieś w komunikacji z przełożonym

Recommended

4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...
4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...
4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...PROIDEA
 
[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczne
[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczne[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczne
[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczneArtur Marek Maciąg
 
Szpiegowanie w internecie
Szpiegowanie w internecieSzpiegowanie w internecie
Szpiegowanie w internecieDorota Ręba
 
Socjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronySocjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronyLogicaltrust pl
 
Aktywność w sieci
Aktywność w sieciAktywność w sieci
Aktywność w siecisieciaki
 
Testowanie poziomu bezpieczeństwa aplikacji internetowych
Testowanie poziomu bezpieczeństwa aplikacji internetowychTestowanie poziomu bezpieczeństwa aplikacji internetowych
Testowanie poziomu bezpieczeństwa aplikacji internetowychAntoni Orfin
 
4
44
4Szymon Konkol - Publikacje Cyfrowe
 
EY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa InformacjiEY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa InformacjiEYPoland
 

Recommended

4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...
4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...
4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...PROIDEA
 
[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczne
[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczne[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczne
[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczneArtur Marek Maciąg
 
Szpiegowanie w internecie
Szpiegowanie w internecieSzpiegowanie w internecie
Szpiegowanie w internecieDorota Ręba
 
Socjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronySocjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronyLogicaltrust pl
 
Aktywność w sieci
Aktywność w sieciAktywność w sieci
Aktywność w siecisieciaki
 
Testowanie poziomu bezpieczeństwa aplikacji internetowych
Testowanie poziomu bezpieczeństwa aplikacji internetowychTestowanie poziomu bezpieczeństwa aplikacji internetowych
Testowanie poziomu bezpieczeństwa aplikacji internetowychAntoni Orfin
 
4
44
4Szymon Konkol - Publikacje Cyfrowe
 
EY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa InformacjiEY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa InformacjiEYPoland
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
 
Security Excellence Magazine
Security Excellence MagazineSecurity Excellence Magazine
Security Excellence MagazineAnna Kosmala
 
EXATEL InTECH Day PwC
EXATEL InTECH Day PwCEXATEL InTECH Day PwC
EXATEL InTECH Day PwCJerzy Łabuda
 
Raport Bezpieczenstwo IT w polskich firmach
Raport Bezpieczenstwo IT w polskich firmachRaport Bezpieczenstwo IT w polskich firmach
Raport Bezpieczenstwo IT w polskich firmachD-Link Polska
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaSecuRing
 
Bezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowychBezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowychBpatryczek
 
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowych
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowychPodatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowych
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowychstudenckifestiwalinformatyczny
 
Cyber ruletka po polsku
Cyber ruletka po polskuCyber ruletka po polsku
Cyber ruletka po polskuPwC Polska
 
Polskie banki w sieci - średnio bezpieczne [RAPORT]
Polskie banki w sieci - średnio bezpieczne [RAPORT]Polskie banki w sieci - średnio bezpieczne [RAPORT]
Polskie banki w sieci - średnio bezpieczne [RAPORT]CEO Magazyn Polska
 
Bezpieczny komputer w domu
Bezpieczny komputer w domuBezpieczny komputer w domu
Bezpieczny komputer w domuWydawnictwo Helion
 
Owasp Top10 2010 RC1 PL
Owasp Top10 2010 RC1 PLOwasp Top10 2010 RC1 PL
Owasp Top10 2010 RC1 PLThink Secure
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT Vavatech
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo ITVAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo ITVavatech
 
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...PROIDEA
 
Moduł 1
Moduł 1Moduł 1
Moduł 1Jacek
 
Aktywność w sieci
Aktywność w sieciAktywność w sieci
Aktywność w siecisieciaki
 
Bezpieczeństwo w sieci Internet
Bezpieczeństwo w sieci InternetBezpieczeństwo w sieci Internet
Bezpieczeństwo w sieci InternetBogdan Miś
 
DLP (data leakage protection)
DLP (data leakage protection)DLP (data leakage protection)
DLP (data leakage protection)Wydział ds. eZdrowia, Departament Polityki Zdrowotnej, Urząd Marszałkowski w Łodzi
 
Healthcare: bezpieczeństwo pacjentów zaczyna się od IT
Healthcare: bezpieczeństwo pacjentów zaczyna się od ITHealthcare: bezpieczeństwo pacjentów zaczyna się od IT
Healthcare: bezpieczeństwo pacjentów zaczyna się od ITWydział ds. eZdrowia, Departament Polityki Zdrowotnej, Urząd Marszałkowski w Łodzi
 
Chmura, bezpieczeństwo - wprowadzenie
Chmura, bezpieczeństwo - wprowadzenieChmura, bezpieczeństwo - wprowadzenie
Chmura, bezpieczeństwo - wprowadzenieEwaB
 
[EN]THS22_AMM_ishing.pptx
[EN]THS22_AMM_ishing.pptx[EN]THS22_AMM_ishing.pptx
[EN]THS22_AMM_ishing.pptxArtur Marek Maciąg
 
Wyscig o czynnik ludzki
Wyscig o czynnik ludzkiWyscig o czynnik ludzki
Wyscig o czynnik ludzkiArtur Marek Maciąg
 

More Related Content

Similar to Dirty 12 of Human Errors for Business Continuity/Incident Response

OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
 
Security Excellence Magazine
Security Excellence MagazineSecurity Excellence Magazine
Security Excellence MagazineAnna Kosmala
 
EXATEL InTECH Day PwC
EXATEL InTECH Day PwCEXATEL InTECH Day PwC
EXATEL InTECH Day PwCJerzy Łabuda
 
Raport Bezpieczenstwo IT w polskich firmach
Raport Bezpieczenstwo IT w polskich firmachRaport Bezpieczenstwo IT w polskich firmach
Raport Bezpieczenstwo IT w polskich firmachD-Link Polska
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaSecuRing
 
Bezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowychBezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowychBpatryczek
 
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowych
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowychPodatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowych
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowychstudenckifestiwalinformatyczny
 
Cyber ruletka po polsku
Cyber ruletka po polskuCyber ruletka po polsku
Cyber ruletka po polskuPwC Polska
 
Polskie banki w sieci - średnio bezpieczne [RAPORT]
Polskie banki w sieci - średnio bezpieczne [RAPORT]Polskie banki w sieci - średnio bezpieczne [RAPORT]
Polskie banki w sieci - średnio bezpieczne [RAPORT]CEO Magazyn Polska
 
Owasp Top10 2010 RC1 PL
Owasp Top10 2010 RC1 PLOwasp Top10 2010 RC1 PL
Owasp Top10 2010 RC1 PLThink Secure
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT Vavatech
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo ITVAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo ITVavatech
 
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...PROIDEA
 
Moduł 1
Moduł 1Moduł 1
Moduł 1Jacek
 
Aktywność w sieci
Aktywność w sieciAktywność w sieci
Aktywność w siecisieciaki
 
Bezpieczeństwo w sieci Internet
Bezpieczeństwo w sieci InternetBezpieczeństwo w sieci Internet
Bezpieczeństwo w sieci InternetBogdan Miś
 
Chmura, bezpieczeństwo - wprowadzenie
Chmura, bezpieczeństwo - wprowadzenieChmura, bezpieczeństwo - wprowadzenie
Chmura, bezpieczeństwo - wprowadzenieEwaB
 

Similar to Dirty 12 of Human Errors for Business Continuity/Incident Response (20)

OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
 
Security Excellence Magazine
Security Excellence MagazineSecurity Excellence Magazine
Security Excellence Magazine
 
EXATEL InTECH Day PwC
EXATEL InTECH Day PwCEXATEL InTECH Day PwC
EXATEL InTECH Day PwC
 
Raport Bezpieczenstwo IT w polskich firmach
Raport Bezpieczenstwo IT w polskich firmachRaport Bezpieczenstwo IT w polskich firmach
Raport Bezpieczenstwo IT w polskich firmach
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
 
Bezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowychBezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowych
 
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowych
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowychPodatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowych
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowych
 
Cyber ruletka po polsku
Cyber ruletka po polskuCyber ruletka po polsku
Cyber ruletka po polsku
 
Polskie banki w sieci - średnio bezpieczne [RAPORT]
Polskie banki w sieci - średnio bezpieczne [RAPORT]Polskie banki w sieci - średnio bezpieczne [RAPORT]
Polskie banki w sieci - średnio bezpieczne [RAPORT]
 
Bezpieczny komputer w domu
Bezpieczny komputer w domuBezpieczny komputer w domu
Bezpieczny komputer w domu
 
Owasp Top10 2010 RC1 PL
Owasp Top10 2010 RC1 PLOwasp Top10 2010 RC1 PL
Owasp Top10 2010 RC1 PL
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo ITVAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT
 
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
 
Moduł 1
Moduł 1Moduł 1
Moduł 1
 
Aktywność w sieci
Aktywność w sieciAktywność w sieci
Aktywność w sieci
 
Bezpieczeństwo w sieci Internet
Bezpieczeństwo w sieci InternetBezpieczeństwo w sieci Internet
Bezpieczeństwo w sieci Internet
 
DLP (data leakage protection)
DLP (data leakage protection)DLP (data leakage protection)
DLP (data leakage protection)
 
Healthcare: bezpieczeństwo pacjentów zaczyna się od IT
Healthcare: bezpieczeństwo pacjentów zaczyna się od ITHealthcare: bezpieczeństwo pacjentów zaczyna się od IT
Healthcare: bezpieczeństwo pacjentów zaczyna się od IT
 
Chmura, bezpieczeństwo - wprowadzenie
Chmura, bezpieczeństwo - wprowadzenieChmura, bezpieczeństwo - wprowadzenie
Chmura, bezpieczeństwo - wprowadzenie
 

More from Artur Marek Maciąg

Short story about your information processing - cloud part
Short story about your information processing - cloud partShort story about your information processing - cloud part
Short story about your information processing - cloud partArtur Marek Maciąg
 
Krótka historia bezpieczeństwa Twojej informacji
Krótka historia bezpieczeństwa Twojej informacjiKrótka historia bezpieczeństwa Twojej informacji
Krótka historia bezpieczeństwa Twojej informacjiArtur Marek Maciąg
 
Security perspective -human factor
Security perspective -human factorSecurity perspective -human factor
Security perspective -human factorArtur Marek Maciąg
 
No more ... oops! I didn't again.
No more ... oops! I didn't again.No more ... oops! I didn't again.
No more ... oops! I didn't again.Artur Marek Maciąg
 
Jak przetrwać kolejną transformację
Jak przetrwać kolejną transformacjęJak przetrwać kolejną transformację
Jak przetrwać kolejną transformacjęArtur Marek Maciąg
 

More from Artur Marek Maciąg (10)

[EN]THS22_AMM_ishing.pptx
[EN]THS22_AMM_ishing.pptx[EN]THS22_AMM_ishing.pptx
[EN]THS22_AMM_ishing.pptx
 
Wyscig o czynnik ludzki
Wyscig o czynnik ludzkiWyscig o czynnik ludzki
Wyscig o czynnik ludzki
 
Short story about your information processing - cloud part
Short story about your information processing - cloud partShort story about your information processing - cloud part
Short story about your information processing - cloud part
 
Krótka historia bezpieczeństwa Twojej informacji
Krótka historia bezpieczeństwa Twojej informacjiKrótka historia bezpieczeństwa Twojej informacji
Krótka historia bezpieczeństwa Twojej informacji
 
Security perspective -human factor
Security perspective -human factorSecurity perspective -human factor
Security perspective -human factor
 
No more ... oops! I didn't again.
No more ... oops! I didn't again.No more ... oops! I didn't again.
No more ... oops! I didn't again.
 
Jak przetrwać kolejną transformację
Jak przetrwać kolejną transformacjęJak przetrwać kolejną transformację
Jak przetrwać kolejną transformację
 
Od Zera do Bohatera!
Od Zera do Bohatera!Od Zera do Bohatera!
Od Zera do Bohatera!
 
Human Factor Safety Decomposed
Human Factor Safety DecomposedHuman Factor Safety Decomposed
Human Factor Safety Decomposed
 
Rbst biznes view
Rbst biznes viewRbst biznes view
Rbst biznes view
 

Dirty 12 of Human Errors for Business Continuity/Incident Response

  • 1. Artur Marek Maciąg toperzak@gmail.com Pechowa dwunastka błędów ludzkich w centrum ciągłości działania biznesu
  • 3.
  • 5. brown bag:  Data breaches requires deeper analysis based on data and facts, not surface review  Perspective shift is required for Incident Response process (grey box testing)  Technology issues are symptoms not root cause of data breach incidents  Processes are critically dependent on people habits  People are not guided how to mitigate Dirty Dozen of human error factors  Golden Triangle of People, Processes and Technology is in reality cognitive biased
  • 7. https://enterprise.verizon.com/resources/reports/ 2019-data-breach-investigations-report.pdf let’s see what we have here… IncidentA security event that compromises the integrity, confidentiality or availability of an information asset. BreachAn incident that results in the confirmed disclosure—not just potential exposure—of data to an unauthorized party.
  • 12. https://www.ccn-cert.cni.es/publico/InfraestructurasCriticaspublico/CPNI-Guia-SCI.pdf shaded state of the mind… Testing as User Testing as User with Access to Internals Testing as Developer As human brain user we can do that always To do that we need more knowledge about our behavior factors leading to errors That is out of our reach as we don’t design our brain (still, we can try, as lifehackers)
  • 13. https://www.csoonline.com/article/2130877/the-biggest-data-breaches-of-the-21st-century.html testing as a user… When Who How What 2018 Marriott Acquired hacked company (Starwood) 500 million 2017 Equifax Hacking (platform vulnerability) 143 million 2016 Adult Friend Finder Hacking (Local File Inclusion) 412 million 2016 Uber AWS credentials on Github 57 million 2015 Anthem Phishing/malware 78 million 2014 eBay User credentials 145 million JP Morgan Chase Hacking 83 million Home Depot Malware/trojanAV 56 million 2013 Yahoo User account hacked 3 billion 2012 Target Stores Third party HVAC system 110 million 2008 OPM Hacking 22 million 2006 Sony Hacking 77 million
  • 14. dirty dozen of human errors is root cause of all cyber incidents.
  • 15. testing as User with Access to Internals …Who How Why Marriott Acquired hacked company (Starwood) Lack of communication, norms, lack of team work, lack of knowledge Equifax Hacking (platform vulnerability) Lack of resources, pressure, lack of team work, lack of awareness Adult Friend Finder Hacking (Local File Inclusion) Lack of resources, pressure, lack of team work, lack of awareness, stress Uber AWS credentials on Github Norms, complacency, pressure, lack of resources, lack of team work Anthem Phishing/malware Lack of assertiveness, stress, pressure, fatigue, complacency, lack of awareness eBay User credentials Norms, lack of awareness, pressure, fatigue, lack of resources JP Morgan Chase Hacking Lack of resources, pressure, lack of team work, lack of awareness, stress Home Depot Malware/trojanAV Lack of resources, pressure, lack of team work, lack of awareness, stress Yahoo User account hacked Norms, lack of awareness, pressure, fatigue, lack of resources Target Stores Third party HVAC system Lack of communication, norms, lack of team work, lack of knowledge OPM Hacking Lack of resources, pressure, lack of team work, lack of awareness, stress Sony Hacking Lack of resources, pressure, lack of team work, lack of awareness, stress
  • 16. cybersecurity Dunning-Kruger Effect confidence vs competence What you really know Realized lack of knowledge You are sure you are safe You think you know, but still don’t know what you don’t know You think you are safe But you don’t know what you don’t know You find your self vulnerable You know what you don’t know External audit, penetration tests, awareness exercise or cyber incident You know what to do to feel safe You know, what you need to know to minimalize impact on you from what you don’t know yet
  • 17. EQUIFAX data breach: lessons learned?
  • 18.
  • 19. testing as a user…
  • 21. impact of Equifax data breach  loss or theft of resources, including money and intellectual property, and identity theft  harm to national security  loss of privacy, emotional distress, or reputational harm  loss of public confidence  inappropriate access to and disclosure, modification, or destruction of sensitive information  use of computer services for unauthorized purposes or to launch an attack on other computer systems  damage to networks and equipment  high costs to remediate the effects of the breach Security budget Oct 2017 $38 mln
  • 22. testing as User with Access to Internals B. Failed traffic inspection caused by expired certificate A. Ineffective CISO location https://www.gao.gov/assets/700/694158.pdf https://republicans-oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf
  • 24. EQUIFAX data breach: under the surface…
  • 25. timeline of events: https://www.gao.gov/assets/700/694158.pdf https://republicans-oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf https://www.gracefulsecurity.com/equifax-breach-timeline/ 2016 Jan Equifax’s network encrypted traffic inspection system SSL certificate is expired 2017 Mar 7 CVE-2017-5638 Apache Struts and patch announcement Mar 8 US-CERT sends Equifax an alert to patch Apache Struts software Mar 9 Equifax’s internal communication to apply the critical patch within 48 hours Mar 10 First evidence of malicious activity (system commands execution) at Equifax network Mar 15 Equifax based on security scans failed to find any vulnerability on external systems May 13 Repeated malicious activity at ACIS application and dropping about 30 web-shells in network Hackers gained unauthorized access to Equifax databases through an Equifax legacy environment. Malicious actor leverage clear text credentials to access over 50 Equifax databases Attackers perform approximately 9,000 queries to sensitive databases within Equifax system. Jul 29 Equifax renews the expired security certificate, found and block suspicious traffic Jul 30 Equifax’s detect additional malicious activity, disable the ACIS system. Internal incident notification. Jul 31 Equifax’s CIO informs CEO about incident with impacted PII Aug 2 Equifax engages law firm King and Spalding, hires cybersecurity firm Mandiant and informs the FBI Aug 24 Mandiant confirms volume of PII accessed Sept 7 Equifax notifies the public of the breach Sept 9 Equifax twitter account accidentally and repeatedly directs users to phishing/research site Sept 15 Equifax CIO and CSO announce their retirements Sept 26 Equifax CEO announces his retirement Oct 12 Equifax announces it has removed malicious software from its Credit Assistance site. 2018 Mar 1 Equifax releases updated information on the 2017 breach Equifax time to patch: 138 Days Equifax time to notice compromise: 78 Days Equifax time to notify public: 117 Days
  • 26. Findings: https://republicans-oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf A.Equifax IT Management Structure Lacked Accountability and Coordination B.Equifax Had Serious Gaps between IT Policy Development and Execution C.Equifax Ran Business Critical Systems on Legacy IT with Documented Security Risks PEOPLE PROCESSES TECHNOLOGY
  • 27. documented risks before data breach: https://republicans-oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf Security Concern 1 There is no segmentation between the Sun application servers and the rest of the [Equifax] network. An attacker that gains control of the application server from the internet can pivot to any other device, database, or server within the [Equifax] network, globally. Security Concern 2 File Integrity Monitoring (FIM) is not in place on either the application or webservers, which would allow for alerting and detecting of any unauthorized changes within either environment. Security Concern 3 The Sun systems have a shared file system across the environment that allows for access to any of the administrator files from one system to the next. This allows for any notes or configuration files from one system to be accessed from any other system. Security Concern 4 Logging of the web servers is only retained for 14 days, and 30 days online, making it difficult, to impossible, to reconstruct any malicious activity. Security Concern 5 A complete software inventory of the resources used within the application is not maintained. This requires a complete code review to identify any potential weaknesses, rather than rapid identification of individual component vulnerabilities, as the individual open source components are not well understood or documented. Security Concern 6 Consistent and timely patching of [the legacy Sun/Solaris] systems as a general observation is a concern.
  • 28. EQUIFAX data breach: money issue?
  • 30. EQUIFAX data breach: people issue?
  • 33. creates, implements and maintains PROCESSES designs TECHNOLOGY to support PROCESSES uses TECHNOLOGY to run BUSINESSPEOPLE PEOPLE REAL GOLDEN TRIANGLE
  • 34. norms pressure lack of teamwork lack of assertiveness lack of communication lack of awareness Action plan:  Use Checklists  Ask questions  Have doubt  Confirm when in doubt  Don’t try (know what to do)  Update yourself  Challenge others  Consider diversity  Have a plan  Don’t accept if not agree  Do what’s right, not easy  Welcome feedback  Take a brake  Never cross your rules  Take care of yourself Dirty Dozen Human Errors Triangle
  • 36. Brak komunikacji personalny Słaba lub nieistniejąca komunikacja Przekłamania w komunikacji Odbiorca informacji tworzy założenia odnośnie treści komunikacji Powinieneś wiedzieć, że zrozumiałe jest tylko 30% komunikacji werbalnej Powinieneś wiedzieć, że zwykle zapamiętany i zrozumiany jest tylko początek i koniec wiadomości Język ciała jest źle rozumiany lub lekceważony w komunikacji międzyludzkiej Zapisz złożone instrukcje Używaj list kontrolnych, dzienników, aby informować o postępie pracy Nigdy nie zakładaj, że praca została zakończona Zapytaj, jeśli nie rozumiesz Potwierdź, jeśli nie jesteś pewien Strzeż się wpływu kultury na interpretację wiadomości Zwróć uwagę na język ciała Zawsze powtarzaj najbardziej krytyczną część komunikatu na końcu Brak wiedzy organizacyjny Działanie w oparciu o przestarzałą dokumentację może spowodować chaos lub błąd w procesie Wykonywanie pracy bez wcześniejszego szkolenia może narazić pracownika na ryzyko i zaszkodzić reputacji firmy Próba rozwiązania problemu bez wiedzy i umiejętności skutecznego działania może zmienić problem w kryzys Wykonuj tylko zadanie, do którego jesteś przeszkolony Nie próbuj pomagać, jeśli nie wiesz jak Jeśli nie wiesz, poproś o pomoc Zaktualizuj swoją wiedzę i dokumentację do aktualnego stanu Brak pracy zespołowej organizacyjny Pojedynczy punkt awarii, pięta achillesowa Wiedza, siła, koncentracja działań - tworzenie sytuacji: szyjki butelki, wąskiego przesmyku Marnowanie zasobów z powodu braku zrozumienia wspólnego celu Degradacja komunikacji z powodu problemów społecznych lub braku zasobów ludzkich Marnowanie zasobów z powodu dowodzenia kompetencji Zachęcaj do gry zespołowej i komunikacji Wszyscy członkowie zespołu muszą rozumieć wspólny cel i sposób radzenia sobie z nim, w tym swoje obowiązki Promuj współpracowników którzy myślą o bezpieczeństwie Promuj dyskusję, aby rozwiązać problemy Urozmaicaj umiejętności i punkty widzenia Zachęcaj do wyzwania Świętuj sukces Brak zasobów organizacyjny Obawy dotyczące bezpieczeństwa i jakości ze względu na improwizowane lub przestarzałe zasoby Presja na pracownika, która wzmacnia negatywne efekty innych elementów błędów ludzkich Przekraczanie wyznaczonej granicy lub wymuszona kreatywność pracowników prowadząće do szkodliwego wpływu na zgodność i bezpieczeństwo Planuj wykorzystanie zasobów, utrzymuj zasoby i zapasy Zarządzaj cyklem życia zasobów Optymalizuj wykorzystanie zasobów Proś o zasoby, jeśli może to mieć wpływ na bezpieczeństwo Nie zgadzaj się z naruszeniami bezpieczeństwa - prawdopodobnie weźmiesz na siebie odpowiedzialność, gdy coś pójdzie nie tak Zwyczaje personalny Przekroczenie wyznaczonych standardami zasad w większości przypadków jest błędnym pomysłem i powoduje straty i potencjalną szkodę dla pracownika Utrzymywanie niewłaściwej normy jako standardowej procedury działania lub cichej umowy pracownika może poważnie zaszkodzić pracownikowi, wpłynąć na proces lub firmę Upewnij się, że wszyscy przestrzegają tego samego standardu Nawet jeśli coś wygląda normalnie, nie oznacza to automatycznie że jest poprawne Najłatwiejszy sposób osiągnięcia czegoś nie koniecznie musi być tym co zaleca standard Wyeliminuj negatywne standardy, dyskutując na ten temat Brak asertywności personalny Tłumienie obaw, uczuć, opini, przekonań i potrzeb Stosowanie kultury strachu i fałszywej odpowiedzialności Fałszowanie lub nieudana komunikacja i unikanie rozwiązania głównej przyczyny problemu Tworzenie fałszywego obrazu poprzez uogólnienia Nigdy nie łam swoich standardów Zapewnij wyraźną informację zwrotną, gdy ryzyko lub zagrożenie są postrzegane Wypowiadaj się zachowując spokój, racjonalnie i używając konkretnych przykładów zamiast uogólnień Jeśli krytykujesz, to zawsze działania i ich konsekwencje, a nie ludzi i ich osobowości Przyjmij opinię i informację zwrotną Zdaj sobie sprawę, że to Twój obowiązek, twoja decyzja i przyszłość
  • 37. Brak świadomości personalny Brak świadomości co do piastowanej roli i zrozumienia jej wpływu może wyrządzić szkody pracownikowi lub firmie Brak szerszej perspektywy i dostępu do informacji może prowadzić do selektywnego postrzegania i wpływać na wykonywane czynności w tym ich skuteczność Brak przewidywania skuktów może prowadzić do poważnych incydentów wpływających na ludzkie życie lub markę firmy Używaj list kontrolnych, dzienników itp. Nie zakładaj sytuacji, poproś o wyjaśnienie, poproś o sprawdzenie Ciągłe pytaj „co jeśli ...?” Promuj doświadczenie poprzez dzielenie się wiedzą i świadomość sytuacyjną Promuj rozwój oceny konsekwencji Przecenianie siebie personalny Poleganie na zwyczaju, przyzwyczajeniu lub nawyku Posiadanie nadmiernego optymizmu z tendencją do ignorowania oczywistych informacji Przecenianie sił, wiara w niezawodność Ignorowanie znaków ostrzegawczych, działanie wbrew rozsądkowi w imię nawyku Zawsze oczekuj, że coś pójdzie nie tak Nigdy nie podpisuj się pod czymś, co nie zostało w pełni zweryfikowane lub dostarczone Zawsze sprawdzaj swoją pracę Nigdy nie narażaj się na ryzykowną sytuację, licząc na szczęście lub doświadczenie Utrata uwagi personalny Rozproszony pracownik może łatwo przegapić część procesu i doprowadzić do błędu Może być spowodowana lub wzmocniona przez inne czynniki, takie jak zmęczenie, stres, pewność siebie, przez co znacząco może wpłynąć na wydajność Doprowadza do powstania opóźnień, błędów spowodowanych chaotyczną lub niechlujną pracą Użyj szczegółowej listy kontrolnej Zabezpiecz swoje miejsce pracy i narzędzia, utrzymuj je w bezpiecznym i czystym miejscu, aby uniknąć niespodzianek Jeśli nie możesz skupić się na pracy, zrób sobie przerwę, aby odzyskać skupienie Po wznowieniu pracy, zacznij od ponownego sprawdzenia tego, co według Ciebie jest już ukończone Zmęczenie organizacyjny Zmęczony pracownik może podejmować szkodliwe decyzje, Gdy objawy są ignorowane, może doprowadzić do ryzykownych dla zdrowia sytuacji (jak np. omdlenie czy upadki, ale również inne wypadki przy pracy) Próby ukończenia pracy za wszelką cenę mogą doprowadzić do poważnych zagrożeń dla pracownika i procesu z powodu popełnionego błędu lub utraty kontroli nad stosowanymi narzędziami. Zwiększony negatywny wpływ i prawdopodobieństwo wystąpienia w połączeniu z innym czynnikiem błędów ludzkich. Zadbaj o siebie, odżywiaj się zdrowo, bądź aktywny i utrzymuj regularny sen Odłóż złożone zadania, jeśli wiesz, że jesteś wyczerpany Bądź świadomy objawów zmęczenia u siebie i współpracowników Zrób sobie krótką przerwę, aby odświeżyć mięśnie i umysł Presja organizacyjny Bez względu na to czy wewnętrzna czy zewnętrzna, presja może wpływać na proces lub produkt w sposób, który szkodzi reputacji organizacji Tworzenie fałszywego obrazu warunków pracy lub ukrywanie realnych warunków pracy może wpłynąć na termin realizacji projektu lub relacje z klientem w Twojej firmie Upewnij się, że samodzielnienie nie tworzysz zbędnej presji na siebie Poproś o dodatkową pomoc, jeśli czas jest problemem Zamiast się spieszyć, poproś o więcej czasu jeśli uważasz że będzie Ci potrzebny do ukończenia pracy. Stres organizacyjny Jeśli wymagania są zbyt wysokie lub nie są zarządzane, Twoja podświadomość zareaguje stresem, który długoterminowo wpływa szkodliwie na Twoją postawę i stan zdrowia. Stres znacznie wzmacnia reakcję pracownika na inne czynniki, zwiększając ryzyko utraty zdrowia pracownika lub błędu w procesie Zmniejsz poziom stresu, biorąc czas wolny lub krótką przerwę Poproś współpracowników o monitorowanie Twojej pracy Ćwicz, jedz zdrowo i zapewnij sobie wystarczającą ilość odpoczynku, aby utrzymać poziom stresu pod kontrolą Poznaj swoje ograniczenia i gdy oczekiwania wobec Ciebie wzrosną wyraźnie się do nich odnieś w komunikacji z przełożonym