Part 3 — 审视过往假设
作者:Joe Basirico
发布日期:2021年10月13日
阅读时间:11分钟
这是多部分博客系列的第三篇。如果您尚未阅读,建议先阅读前两部分:
第一部分 - 我在E轮初创公司产品安全团队的前100天
第二部分 - 从门槛到责任
如之前文章所述,《最初90天》的一个关键启示是:过去的绩效和解决方案未必适用于未来。在Highspot,这一点尤为明显。作为顾问,可以轻松介入、发现缺陷、提交报告并转向下一个客户。但当你无需长期承担决策后果、维护日常关系,或没有时间深入了解当前决策的原因和历史时,一切会简单得多。
我在为团队制定成长路线图时陷入了这一误区。我创建了一份内部文档,名为“Highspot产品安全文化与人员配置目标”,旨在概述团队构建愿景、职责、目标和文化。我曾领导过大型工程团队,清楚自己想要延续的文化类型,也拥有多个成功安全项目的案例,这些项目曾在类似情境下帮助其他公司顺利推行。
在将这份“宣言”分享给Highspot多位高层领导征求意见后,反馈非常积极,并指出了我需要做出的多项结构性调整。
我从这次经历中总结了四个关键点:理解反馈文化、如何结构化提案、变革机制以及建议的工作范围。Highspot的一个卓越之处在于其深植的指导原则,这些原则贯穿我的整个职业生涯,我很高兴看到它们被公司制度化并遵循。您可以在公司文化博客文章中了解更多。
反馈文化(开放与真实)
我们提供坦诚且建设性的反馈,避免办公室政治,直言不讳。
首先考虑同事如何舒适地给予反馈。是提出一个尽力而为的提案供辩论(无论离最终结果多远),还是召开实时会议讨论方向,然后根据笔记起草初始提案?或者,同事更倾向于您先开始工作,再沿途提供反馈?
反馈是成功的关键组成部分,因此以尊重、舒适的方式获取反馈是领导力的基石。《Radical Candor》深入探讨了这些概念。
在我的例子中,我最初认为应先撰写提案文档并征求反馈。尽管这是Highspot的成熟流程,但我本应花更多时间与个人进行1:1讨论,以使提案更贴合Highspot的文化和结构。Highspot还使用“Office Hours”征求反馈和讨论提案。直接负责人(DRI)分享提案,并邀请任何想参加或提问的人参加会议。会议中快速回顾提案,然后回答问题。这是快速达成更好解决方案的有效方式。有时,一个人的问题会激发他人思考,从而获得更广泛的反馈。
提案结构(跨边界协作)
我们忽略组织架构图,汇聚合适的人,无论团队、角色或级别。
Highspot采用亚马逊著名的一页纸(有时称为两页或六页纸)的修改版本。尽管在Highspot称为“一页纸”,但我还没读过真正只有一页的。长度无关紧要,结构和格式才是关键。这些文档包含七个部分:问题陈述、目标、选项、需求、示例和推出计划。遵循此格式让读者清晰了解您解决的问题及原因,以及解决方案提案。
当我撰写提案时,我还不够了解提案格式,因此使用了更叙述性的格式。分享给领导团队后,对他们来说效率较低,因为他们习惯每天阅读多份一页纸。这导致他们提出许多问题,如“我们到底在解决什么问题?”和“还有其他选项可探索吗?”,因为他们试图将我的提案融入其心智模型。
Highspot的一页纸格式高度高效,以解决方案为中心。作为高级领导,它帮助我快速理解新团队的新主题,并在短时间内尽可能有效和有帮助。
变革机制(实现变革)
我们行动迅速,愿意移山填海。
理解组织中的变革机制对成功至关重要。每个人可能都同意变革的必要性,但若无人了解关键参与者和文化,以可接受的方式推动变革,变革可能永远无法获得 traction,并在数月普遍同意后停滞或消亡。
我的提案专注于最终状态,而非实现路径。在Highspot,我们使用北极星、点击站和直接负责人(DRI)的概念。北极星是理想的最终状态。点击站是通往北极星的里程碑。我们的创始人来自微软,我推测术语源于此,但这是讨论可交付功能的好方法,确保有利益相关者实现变革。
理解公司的变革机制对于推动变革至关重要。
工作范围(明智投资)
我们不断挑战时间和资源的投资方式,努力最大化影响。
构建提案时,是包含所有可能的研究、选项、项目和目标更重要,还是组织更重视可分解或重组的小块信息?
我的提案太大了。我模仿了作为顾问时会编写的最终交付物。最终交付物必须包含所有内容,因为客户可能分解或分批处理文档。但在这里,我既是作者又是客户。将其分解为更小的部分可以让我以正确的范围和受众应对每个挑战,并正确优先处理工作。毕竟,创建华丽的安全带计划以激发培训热情不如创建培训本身重要。
平衡即时需求与长期旅程
在Highspot开始的前100天里,我面临的最困难挑战可能是对工作进行分类和优先排序,当一切都感觉是优先事项时。当你有备用帆时,单个撕裂的帆是小问题。
一位朋友问我:“如何在管理日常应急演练的同时制定计划?在一切似乎重要的环境中排序优先级。以及如何找出尚无需关注的风险。如何感觉良好并沟通何时不应做某事(尚未或永远),尽管理想情况下您真的想完成它?”我对这一系列问题的回答是:
我绝对使用这种方法。 我还有其他一些工具帮助我度过难关。我将这些分为两部分:通用工具(我认为任何人都可以使用)和特定工具(更适用于我的角色或安全领域)。
通用工具
大量笔记:从咨询中获益的一项技能是在会议中做有意义的笔记。我包括通话参与者、主题、目标、结果、下一步等。我总是将会议标题与会议邀请相同,并包含日期。这使得下次查找笔记更快更容易。我不使用任何标签或文件夹系统,而是完全依赖记忆关键词和搜索。
艾森豪威尔矩阵(EM):我喜欢艾森豪威尔矩阵。通过按紧急性和重要性将任务分组到象限,您可以快速了解必须做什么以及何时需要完成。在Highspot加速时,我经常使用这种心智模型安排时间。
OKRs:我们的团队使用季度和年度OKRs确保关注季度和年度目标。我们遵循“Measure What Matters”模型,因此目标清晰但崇高。我的待办列表与OKRs或新进任务(按EM优先排序)对齐。
特定工具
风险分类:我的整个生活围绕风险。风险通过简单计算(可能性 x 影响)输入EM。风险可以很好地融入EM,并为何时问题需要中断其他工作进行指导。单个高风险漏洞成为优先级0问题,需要解决直到修复。我们最终为Highspot开发了自定义风险指标以帮助分类。
请求或问题的历史:有些安全改进是持续对话。有些问题我们知道,但有充分理由尚未修复(对客户、集成、兼容性等的影响)。有些功能可以为未来清晰性和弹性改进,但不保证立即修复。了解问题历史提供背景,有助于分类。
权衡:平衡风险与问题历史、发现可能性、问题的负面影响与重要功能和增长工作的负面影响是困难的计算。一些低优先级功能可能永远不会构建,而其他低优先级安全问题可能需要修复,尽管时间线较长。
失败或提议解决方案的历史:再次,作为顾问,很容易介入提出建议(启用HSTS和CSP!能有多难?)我有幸与行业中最聪明的人合作,因此许多问题或安全改进可能已知,但有充分理由尚未修复。我需要理解约束,以提出有针对性的、有根据的建议(有清晰的北极星和点击站!)。
改变趋势线:一个巨大胜利是简单改变趋势线。我们能做什么来减缓或停止某类问题的传入数量?如果我被某类问题困扰,我会立即推出该主题的培训,随后提供指导、linter改进、工具等,确保不再见到该类问题。
总结
在Highspot担任新职位至今是一次惊人经历。它提供了新的挑战和成长机会。我确信这种成长和变化将在我的第一年持续。我期待在一年后更新这篇文章。无论您是在新组织作为个人贡献者、经理还是高级领导开始新职位,花时间理解现有文化和流程。花时间理解过去的挑战和解决方案,并应用您的视角和知识提出新的解决方案和前进路径。在加入新组织时,为自己设定前30、60、90和100天的目标,但保持灵活,理解会有持续不断的新需求占用您的时间和精力。使用像艾森豪威尔矩阵这样的分类方法理解您现在需要做什么、以后做什么,或可以委托什么。
在安全领域,有许多工具、方法和其他文化变化可能非常有益。利用组织的优势改进安全文化。引入工具、自动化、评估、培训等方面的变化,显示最佳价值和最少中断。如果事情不奏效,不要害怕改变方向。
接受新工作有点像训练新运动。起初您在使用新肌肉并学习很多。您会感到酸痛并感觉落后,但通过花时间和坚持计划,您会快速跟上速度。