第3部分 - 验证过往假设
图片授权:Asanan Aphisitworachorch @ Unsplash
作者: Joe Basirico
发布日期: 2021年10月13日
阅读时间: 11分钟
这是多部分博客系列的第3篇。如果尚未阅读,建议先阅读前两部分:
- 第1部分 - 我在Series E初创企业产品安全部门的最初100天
- 第2部分 - 从门槛到责任
如之前文章所述,《最初90天》的关键收获是理解过往表现和解决方案未必适用于未来。在Highspot,我发现这一点尤为明显。作为顾问,很容易介入、发现缺陷、交付报告然后转向下一个客户。当你无需长期承担决策后果、维护日常关系,也没有时间充分理解当前决策的原因和历史时,一切会简单得多。
在为团队成长制定路线图时,我陷入了这个陷阱。我创建了一份名为"Highspot产品安全文化与人员配置目标"的内部文件,旨在概述团队建设愿景、职责、目标和文化。我曾组建过大型工程团队,很清楚想要延续的文化类型,也拥有多个在类似情况下成功部署安全项目的案例。
完成这份"宣言"后,我征求了Highspot多位高管的反馈。反馈非常积极,并指出了我需要做出的多项结构性调整。
关键收获
我从这次经历中获得四个关键收获:理解反馈文化、如何构建提案、变更机制以及建议工作范围。Highspot的一个卓越之处在于我们深植的指导原则,这些原则贯穿我的整个职业生涯。您可以在公司文化博客文章中了解更多。
反馈文化(开放与真实)
我们提供坦诚且建设性的反馈,避免办公室政治,直言不讳。
首先要了解同事习惯的反馈方式:是应该提出最佳方案供讨论(即使与最终结果相去甚远),还是召开实时会议讨论方向后形成初步提案?或者同事更倾向于在你开始工作后沿途提供反馈?
反馈是成功的关键要素,学会以尊重、舒适的方式获取反馈是领导力的基石。《Radical Candor》深入探讨了这些概念。
在我的案例中,我最初选择先撰写提案文件再征集反馈。虽然这是Highspot的成熟流程,但我本应花更多时间与个人进行1:1讨论,以形成更符合公司文化和结构的最终方案。Highspot还使用"办公时间"来收集反馈和讨论提案,直接负责人(DRI)分享提案并邀请相关人员参会,快速评审提案后回答问题,这是快速达成更好解决方案的有效方式。
Daniel Klein @ Unsplash
提案结构(跨边界协作)
我们无视组织架构图,汇聚合适的人才,无论团队、角色或层级。
Highspot使用改良版的亚马逊著名一页纸(有时称为两页或六页纸)。虽然名为"一页纸",但我还没见过真正只有一页的文档。长度不重要,结构和格式才是关键。这些文档包含七个部分:问题陈述、目标、选项、要求、示例和推广计划。遵循此格式能让读者清晰理解待解决问题、原因及解决方案。
我撰写提案时因不了解公司格式而采用了叙述式结构,导致习惯每日阅读多份一页纸的高管团队效率降低,他们不得不提出"我们具体要解决什么问题?“和"还有其他选择吗?“等问题。
Highspot的一页纸格式是高度高效、聚焦解决方案的。作为高级管理者,它帮助我快速理解新团队的主题,在短时间内尽可能有效地提供帮助。
Isis França @ Unsplash
变更机制(实现目标)
我们以紧迫感行动,愿意移山填海。
理解组织内的变更机制对成功至关重要。即使所有人都同意需要变更,但若无人了解关键参与者和文化以可接受的方式推动变更,可能永远无法获得支持,在数月普遍认同后逐渐消退或消亡。
我的提案聚焦最终状态而非实现路线图。在Highspot,我们使用北极星、节点站(Click Stops)和直接负责人(DRI)的概念。北极星是理想终态,节点站是通往北极星的里程碑。我们的创始人来自微软,这可能是术语来源,但这是讨论通往理想状态过程中可交付功能的好方法,并确保有利益相关者负责实现。
想要推动变革,理解公司的变更机制至关重要。
工作范围(明智投资)
我们不断挑战时间和资源的投资方式,努力最大化影响。
制定提案时,是包含所有可能的研究、选项、项目和目标更重要,还是组织更看重可分解或按需重组的小型信息块?
我的提案过于庞大。我仿照顾问最终交付物建模提案,最终交付物必须包含所有内容,因为客户可能分解或分批处理文档。但这次我既是作者也是客户,将其分解为小块本可以让我以正确范围和受众应对每个挑战,也能正确优先排序工作。毕竟,创建华丽的安全带计划来推动培训热情不如创建培训本身重要。
平衡即时需求与长期征程
在Highspot最初100天里面临的最困难挑战可能是在所有事情都看似优先时进行分类和优先排序。当你有备用帆时,单个破损的帆问题要小得多。
朋友问我:“如何在管理日常紧急事务的同时制定计划?在一切似乎都很重要的环境中排序优先级。以及如何确定哪些风险尚不需要关注。当你理想中真的想完成某件事(但尚未或可能永远不做)时,如何感到满意并沟通” 我对这一系列问题的回答是:
我绝对使用这种方法。 我还有一些其他工具帮助我渡过难关,我将它们分为两类:通用工具(任何人可使用)和特定工具(更适用于我的角色或安全领域)。
通用工具
详细笔记: 从咨询工作中获得回报的一项技能是在会议中记录有意义的笔记。我记录参会人员、主题、目标、成果、后续步骤等。我总是使用与会议邀请相同的标题并包含日期,这使下次查找笔记更快更容易。我不使用任何标签或文件夹系统,完全依靠记忆关键词和搜索。
艾森豪威尔矩阵: 我热爱艾森豪威尔矩阵(EM)。通过按紧急性和重要性将任务分组到四个象限,可以快速理解必须做什么以及何时需要完成。在熟悉Highspot时,我经常使用这种心智模型来安排时间。
OKR: 我们团队使用季度和年度OKR确保关注季度和年度目标。我们遵循《Measure What Matters》模型,因此目标明确但崇高。我的待办列表与OKR或由EM优先排序的新进任务保持一致。
特定工具
风险分类: 我的整个生活都围绕风险。使用简单计算公式"可能性×影响"将风险输入EM。风险可以很好地融入EM,并为问题何时需要中断其他工作进行指导。单个高风险漏洞成为优先级0问题,需要在修复前持续处理。我们最终为Highspot开发了自定义风险指标来帮助此分类。
请求或问题的历史: 有些安全改进是持续讨论的。有些问题我们已经知晓且有充分理由尚未修复(对客户的影响、集成、兼容性等)。有些功能可以为未来的清晰性和弹性改进,但不保证立即修复。理解问题历史提供有助于分类的背景信息。
权衡: 平衡风险与问题历史、发现可能性、问题的负面影响与重要功能和增长工作的负面影响是困难的计算。一些低优先级功能可能永远不会构建,而其他低优先级安全问题可能需要修复,尽管时间线较长。
失败或建议解决方案的历史: 再次强调,作为顾问很容易介入提出建议(开启HSTS和CSP!能有多难?)我有幸与行业中最聪明的人合作,因此许多问题或安全改进可能已经知晓,但有充分理由尚未修复。我需要理解约束条件,以便提出有针对性的、有充分依据的建议(具有清晰的北极星和节点站!)
改变趋势线: 巨大的胜利就是简单地改变趋势线。我们能做什么来减缓或停止某类问题的涌入?如果被某类问题困扰,我会立即推出该主题的培训,随后提供指导、linter改进、工具等,确保再也不会看到该类问题。
Glenn Carstens-Peters @ Unsplash
总结
在Highspot担任新职位至今是段惊人经历,提供了新的挑战和成长机会。我确信这种成长和变化将在第一年持续。我期待在一年时更新本文。无论你是作为个人贡献者、经理还是高级领导者加入新组织,都要花时间理解现有文化和流程,耐心理解过去的挑战和解决方案,运用你的视角和知识提出新的解决方案和前进路径。在加入新组织时为自己设定最初30、60、90和100天的目标,但保持灵活,理解会有持续不断不可预见的新需求。使用如艾森豪威尔矩阵之类的分类方法理解现在需要做什么、以后做什么或可以委派什么。
在安全领域,许多工具、方法论和其他文化变革可能非常有益。利用组织的优势改进安全文化,引入工具、自动化、评估、培训等方面的变革,展示最佳价值和最少干扰。如果事情不奏效,不要害怕改变方向。
接受新工作有点像训练新运动。起初你在锻炼新肌肉并学习很多,会感到酸痛和落后,但通过投入时间和坚持计划,你会快速跟上进度。