Checklista "Dobre praktyki w feedbacku"

Konstruktywny feedback to dar. Użyj tej checklisty, aby upewnić się, że Twoja informacja zwrotna jest wartościowa, motywująca i wspierająca rozwój mentee.

Przed rozmową:
  • Zbierz konkretne przykłady: Unikaj ogólników. Odwołuj się do konkretnych sytuacji i zachowań, a nie do cech osobowości.
  • Określ cel feedbacku: Co chcesz osiągnąć? Jaka zmiana w zachowaniu mentee byłaby pożądana?
  • Sprawdź swoje intencje: Upewnij się, że Twoim celem jest pomoc i wsparcie, a nie krytyka czy udowodnienie racji.
  • Wybierz odpowiedni czas i miejsce: Zapewnij prywatność i wystarczającą ilość czasu na spokojną rozmowę.
W trakcie rozmowy:
  • Zacznij od pytania o zgodę: "Czy to dobry moment, abyśmy porozmawiali o...?" / "Czy jesteś otwarty/a na informację zwrotną na temat...?".
  • Stosuj model SBI (Situation-Behavior-Impact): Opisz Sytuację, konkretne Zachowanie i jego Wpływ na Ciebie/zespół/projekt.
  • Mów w pierwszej osobie ("Komunikat Ja"): Zamiast "Zawsze się spóźniasz", powiedz "Kiedy spóźniłeś się na spotkanie, poczułem, że mój czas nie jest szanowany".
  • Oddziel fakty od interpretacji: Przedstaw to, co zaobserwowałeś, a następnie zapytaj o perspektywę mentee ("Zauważyłem, że... Jak to wygląda z Twojej strony?").
  • Skup się na przyszłości: Po omówieniu przeszłości, skoncentrujcie się na tym, co można zrobić inaczej w przyszłości.
  • Słuchaj aktywnie: Daj mentee przestrzeń na odpowiedź. Zadawaj pytania, aby upewnić się, że dobrze go rozumiesz.
  • Zakończ pozytywnym akcentem: Podkreśl mocne strony mentee i wyraź wiarę w jego/jej zdolność do rozwoju.
Po rozmowie:
  • Zaplanujcie kolejne kroki: Wspólnie ustalcie, co mentee może zrobić w związku z otrzymanym feedbackiem.
  • Zaoferuj wsparcie: "Jak mogę Ci pomóc w realizacji tego planu?".
  • Sprawdź efekty: Wróć do tematu na kolejnym spotkaniu, aby zobaczyć, jakie postępy poczynił mentee.

Bank 50 "pytań otwarcia"

Użyj tych pytań, aby lepiej poznać mentee, zrozumieć jego motywacje i zdiagnozować potrzeby. Wybierz te, które najlepiej pasują do kontekstu rozmowy.

Pytania na rozpoczęcie i budowanie relacji
  1. Co Cię sprowadza do mentoringu?
  2. Gdybyś miał/a opisać swoją dotychczasową karierę w trzech słowach, jakie by one były?
  3. Jaka jest najcenniejsza lekcja, jakiej nauczyłeś/aś się w ostatnim roku?
  4. Co robisz, żeby się zrelaksować i naładować baterie?
  5. Z jakiego osiągnięcia (zawodowego lub prywatnego) jesteś najbardziej dumny/a?
  6. Co daje Ci najwięcej energii w pracy?
  7. A co najbardziej Cię tej energii pozbawia?
  8. Jak wygląda Twój idealny dzień w pracy?
  9. Gdybyś nie musiał/a pracować, czym byś się zajął/zajęła?
  10. Kto jest dla Ciebie największą inspiracją i dlaczego?
Pytania o cele i aspiracje
  1. Gdzie widzisz siebie za 5 lat?
  2. Jak wygląda dla Ciebie sukces?
  3. Jaki jest Twój największy cel zawodowy na ten rok?
  4. Co musiałoby się stać, abyś uznał/a ten proces mentoringowy za udany?
  5. Jaka jest jedna rzecz, którą chciałbyś/chciałabyś zmienić w swoim życiu zawodowym?
  6. Jakie nowe umiejętności chciałbyś/chciałabyś zdobyć?
  7. Jaki wpływ chciałbyś/chciałabyś wywierać na swoje otoczenie/firmę?
  8. Co stoi na przeszkodzie w realizacji Twoich celów?
  9. Czego najbardziej się obawiasz w kontekście swojej kariery?
  10. Gdybyś miał/a nieograniczone zasoby, jaki projekt byś zrealizował/a?
Pytania o mocne strony i zasoby
  1. W jakich sytuacjach czujesz się najbardziej kompetentny/a?
  2. Jakie są Twoje trzy największe talenty?
  3. Za co chwalą Cię inni?
  4. Jakie zadania wykonujesz z łatwością, podczas gdy dla innych są one trudne?
  5. Opowiedz o sytuacji, w której udało Ci się rozwiązać trudny problem.
  6. Jakie masz nawyki, które wspierają Twój rozwój?
  7. Kto w Twoim otoczeniu może Cię wspierać?
  8. Z jakich swoich dotychczasowych doświadczeń możesz czerpać?
  9. Co wiesz na pewno o sobie?
  10. Jak dbasz o swój rozwój?
Pytania o wyzwania i obszary do rozwoju
  1. Z jakim wyzwaniem mierzysz się obecnie?
  2. Jaka umiejętność, gdybyś ją opanował/a, miałaby największy wpływ na Twoją karierę?
  3. W jakich sytuacjach tracisz pewność siebie?
  4. Jaki feedback najczęściej otrzymujesz?
  5. Co odkładasz na później?
  6. Czego chciałbyś/chciałabyś się oduczyć?
  7. Gdybyś mógł/mogła cofnąć czas, jaką decyzję zawodową podjąłbyś/podjęłabyś inaczej?
  8. Jak radzisz sobie z porażką lub krytyką?
  9. Co Cię frustruje w Twojej obecnej roli?
  10. Jaka jest najtrudniejsza rozmowa, którą musisz przeprowadzić?
Pytania pogłębiające i refleksyjne
  1. Co to dla Ciebie znaczy?
  2. Jakie widzisz inne możliwości?
  3. Co by się stało, gdybyś nic nie zrobił/a w tej sprawie?
  4. Jaki mały krok możesz zrobić już jutro?
  5. Czego potrzebujesz, aby pójść do przodu?
  6. Jakie założenia przyjmujesz w tej sytuacji?
  7. Jak wyglądałaby ta sytuacja z perspektywy innej osoby?
  8. Co podpowiada Ci intuicja?
  9. Czego nauczyła Cię ta sytuacja?
  10. O co jeszcze nie zapytałem/am, a co jest ważne?

Szablon agendy pierwszego spotkania

Pierwsze spotkanie jest kluczowe dla zbudowania relacji i nadania tonu całej współpracy. Poniższa agenda pomoże Ci w jego uporządkowaniu.

1. Przełamanie lodów i wzajemne poznanie się (ok. 15 min)
  • Przedstawienie się (ścieżka kariery, zainteresowania, co Cię inspiruje).
  • Podzielenie się swoimi oczekiwaniami wobec procesu mentoringu.
2. Omówienie roli mentora i mentee (ok. 10 min)
  • Co mentor może zaoferować? Czym jest, a czym nie jest mentoring?
  • Jaka jest rola i odpowiedzialność mentee?
3. Wstępna diagnoza potrzeb i celów mentee (ok. 25 min)
  • Gdzie jesteś teraz? Jakie są Twoje największe wyzwania?
  • Gdzie chcesz być za 6-12 miesięcy? Co chcesz osiągnąć?
  • Wspólne zdefiniowanie 1-3 głównych celów na proces mentoringowy.
4. Ustalenie zasad współpracy (Kontrakt) (ok. 15 min)
  • Omówienie i akceptacja kontraktu (poufność, częstotliwość, forma spotkań).
  • Ustalenie preferowanych form komunikacji między spotkaniami.
5. Podsumowanie i plan na kolejne spotkanie (ok. 5 min)
  • Podsumowanie kluczowych ustaleń.
  • Ustalenie terminu i tematu kolejnego spotkania.

Szablon "Kontraktu mentoringowego"

Kontrakt mentoringowy to umowa między mentorem a mentee, która formalizuje ich współpracę i ustala wspólne oczekiwania. Skorzystaj z poniższego szablonu jako punktu wyjścia.

1. Cele i oczekiwane rezultaty
  • Główny cel współpracy (np. rozwój kompetencji liderskich, przygotowanie do nowej roli).
  • Kluczowe obszary do rozwoju dla mentee.
  • Mierzalne wskaźniki sukcesu (po czym poznamy, że cel został osiągnięty?).
2. Zasady współpracy
  • Poufność: Wszystkie rozmowy są poufne i pozostają między mentorem a mentee.
  • Szczerość i otwartość: Zobowiązujemy się do otwartej komunikacji i konstruktywnego feedbacku.
  • Zaangażowanie: Obie strony zobowiązują się do aktywnego udziału i przygotowania do spotkań.
  • Odpowiedzialność: Mentee jest odpowiedzialny za swój rozwój, a mentor za wspieranie tego procesu.
3. Logistyka spotkań
  • Częstotliwość: Spotkania będą odbywać się (np. raz na dwa tygodnie, raz w miesiącu).
  • Czas trwania: Każde spotkanie potrwa (np. 60-90 minut).
  • Forma: Spotkania będą (np. online, na żywo, hybrydowo).
  • Odwoływanie spotkań: Spotkanie należy odwołać z co najmniej 24-godzinnym wyprzedzeniem.
  • Czas trwania procesu: Współpraca jest zaplanowana na okres (np. 6 miesięcy).

NIS2 i co dalej? praktyczne kroki do zapewnienia zgodności i cyberodporności firmy

Wdrożenie wymogów Dyrektywy NIS2 (Network and Information Systems Directive 2) stanowiło w ostatnich latach istotne wyzwanie dla wielu polskich przedsiębiorstw, zwłaszcza tych działających w sektorach kluczowych i ważnych. Jednak uzyskanie formalnej zgodności z przepisami to nie koniec drogi, a raczej początek ciągłego procesu budowania i utrzymywania cyberodporności organizacji. Zagrożenia cybernetyczne nieustannie ewoluują, a regulacje prawne, takie jak NIS2, wyznaczają jedynie minimalny standard ochrony. Dla liderów biznesowych, menedżerów IT i bezpieczeństwa oraz specjalistów L&D kluczowe staje się zrozumienie, że zgodność z NIS2 to nie jednorazowy projekt, lecz stałe zobowiązanie do proaktywnego zarządzania ryzykiem cybernetycznym i doskonalenia mechanizmów obronnych. Ten artykuł omawia, jakie praktyczne kroki należy podejmować po formalnym wdrożeniu NIS2, aby zapewnić trwałą zgodność i realnie wzmocnić odporność firmy na ataki.

Dlaczego zgodność z NIS2 to proces ciągły, a nie jednorazowy projekt?

Dyrektywa NIS2 nakłada na objęte nią podmioty szereg obowiązków związanych z zarządzaniem ryzykiem, wdrażaniem odpowiednich środków bezpieczeństwa, zgłaszaniem incydentów i zapewnieniem ciągłości działania. Jednak samo wdrożenie tych mechanizmów w momencie wejścia przepisów w życie (lub dostosowania do krajowej ustawy implementującej) nie wystarcza. Istnieje kilka powodów, dla których zgodność z NIS2 musi być traktowana jako proces ciągły:

  • Ewoluujące zagrożenia: Krajobraz cyberzagrożeń zmienia się dynamicznie. Pojawiają się nowe techniki ataków, nowe podatności i nowe grupy przestępcze. Środki bezpieczeństwa wdrożone dzisiaj mogą być niewystarczające jutro.
  • Zmiany w organizacji: Firmy się rozwijają, wdrażają nowe technologie, zmieniają procesy biznesowe. Każda taka zmiana może wprowadzać nowe ryzyka cybernetyczne, które muszą być uwzględnione w strategii bezpieczeństwa zgodnej z NIS2.
  • Wymogi dotyczące monitorowania i reagowania: NIS2 kładzie duży nacisk na zdolność do wykrywania incydentów i szybkiego reagowania na nie, co z natury wymaga ciągłego monitorowania i doskonalenia procedur.
  • Konieczność regularnych audytów i ocen: Przepisy często wymagają okresowych przeglądów i audytów wdrożonych środków bezpieczeństwa w celu weryfikacji ich skuteczności.
  • Rozwój technologii bezpieczeństwa: Na rynku pojawiają się coraz nowocześniejsze narzędzia i rozwiązania, które mogą pomóc w lepszym spełnieniu wymogów NIS2 i podniesieniu poziomu cyberodporności.

Traktowanie zgodności z NIS2 jako jednorazowego zadania do „odfajkowania” jest podejściem ryzykownym, które może prowadzić do luk w zabezpieczeniach i problemów w przypadku kontroli lub realnego incydentu.

Jakie kluczowe obszary wymagają stałej uwagi po wdrożeniu NIS2?

Aby zapewnić trwałą zgodność i budować realną cyberodporność w duchu NIS2, organizacje powinny regularnie koncentrować swoje wysiłki na kilku kluczowych obszarach:

Kluczowy obszar działań po wdrożeniu NIS2Przykładowe regularne działania i kontrole
Zarządzanie ryzykiem cybernetycznymCykliczna ocena ryzyka: Regularne (np. raz w roku lub po istotnych zmianach) przeprowadzanie analizy ryzyka w celu identyfikacji nowych zagrożeń i oceny skuteczności istniejących środków kontrolnych. <br> Aktualizacja polityk i procedur: Dostosowywanie wewnętrznych regulacji bezpieczeństwa do zmieniających się zagrożeń, technologii i wymogów prawnych.
Zarządzanie podatnościami i aktualizacjamiRegularne skanowanie podatności: Systematyczne skanowanie systemów i aplikacji w poszukiwaniu znanych luk bezpieczeństwa. <br> Zarządzanie poprawkami (Patch Management): Wdrożenie efektywnego procesu testowania i instalowania aktualizacji bezpieczeństwa dla oprogramowania i systemów operacyjnych.
Monitorowanie bezpieczeństwa i wykrywanie incydentówCiągłe monitorowanie logów: Analiza zdarzeń z systemów IT (np. za pomocą SIEM) w celu wykrywania podejrzanych aktywności. <br> Aktualizacja reguł detekcji: Dostosowywanie reguł w systemach monitorujących do nowych wzorców ataków. <br> Analiza zagrożeń (Threat Intelligence): Śledzenie informacji o nowych zagrożeniach i kampaniach ataków.
Gotowość do reagowania na incydentyRegularne przeglądy i aktualizacje Planu Reagowania na Incydenty (IRP): Zapewnienie, że procedury są aktualne i znane zespołowi. <br> Testowanie planu: Przeprowadzanie okresowych symulacji i ćwiczeń reagowania na incydenty (np. tabletop exercises) w celu weryfikacji skuteczności planu i gotowości zespołu.
Zarządzanie ciągłością działania (BCM) i odtwarzaniem po awarii (DR)Regularne testowanie Planów Ciągłości Działania (BCP) i Planów Odtwarzania po Awarii (DRP): Weryfikacja, czy procedury i mechanizmy (np. kopie zapasowe) działają poprawnie i pozwalają na szybkie przywrócenie działania systemów krytycznych. <br> Aktualizacja planów BCM/DR: Dostosowywanie planów do zmian w infrastrukturze i procesach biznesowych.
Budowanie świadomości i kompetencji (Security Awareness & Training)Cykliczne szkolenia dla pracowników: Regularne przypominanie o zasadach cyberhigieny, nowych zagrożeniach (np. phishingu) i procedurach bezpieczeństwa. <br> Specjalistyczne szkolenia dla zespołów IT i bezpieczeństwa: Utrzymywanie i rozwijanie kompetencji technicznych w zakresie nowych technologii i metod ochrony.
Zarządzanie bezpieczeństwem łańcucha dostawOkresowa ocena ryzyka związanego z dostawcami: Weryfikacja poziomu bezpieczeństwa kluczowych partnerów i dostawców usług (szczególnie IT), którzy mają dostęp do danych lub systemów firmy.

Systematyczne działania w tych obszarach pozwalają nie tylko utrzymać zgodność z NIS2, ale przede wszystkim realnie wzmocnić pozycję obronną organizacji.

Jaką rolę odgrywa budowanie cyberodporności ponad samą zgodność z NIS2?

Zgodność (compliance) z regulacjami takimi jak NIS2 jest ważna, ponieważ określa minimalny, wymagany prawem poziom zabezpieczeń i pozwala uniknąć kar finansowych. Jednak sama zgodność nie gwarantuje pełnego bezpieczeństwa. Cyberodporność (cyber resilience) to pojęcie szersze – oznacza zdolność organizacji do przewidywania, przeciwdziałania, wytrzymywania, reagowania i odtwarzania się po cyberatakach lub innych zakłóceniach cyfrowych, przy minimalnym wpływie na działalność biznesową.

Budowanie cyberodporności wymaga podejścia wykraczającego poza checklistę zgodności z NIS2. Oznacza to:

  • Proaktywne zarządzanie ryzykiem: Nie tylko spełnianie wymogów, ale ciągłe poszukiwanie i adresowanie słabości.
  • Inwestowanie w zaawansowane technologie ochrony i detekcji.
  • Budowanie silnej kultury bezpieczeństwa: Gdzie każdy pracownik czuje się odpowiedzialny za ochronę zasobów firmy.
  • Posiadanie dobrze przećwiczonych planów reagowania i odtwarzania: Zdolność do szybkiego powrotu do normalnego funkcjonowania po incydencie.
  • Ciągłe uczenie się i adaptacja: Analizowanie incydentów (własnych i cudzych) oraz dostosowywanie strategii obronnych.

Z perspektywy liderów, celem powinno być nie tylko „odhaczenie” zgodności z NIS2, ale zbudowanie organizacji, która jest realnie odporna na cyberzagrożenia – jest to inwestycja w jej stabilność i przyszłość.

Jak L&D może wspierać utrzymanie zgodności z NIS2 i budowanie cyberodporności?

Działy L&D odgrywają kluczową rolę w długoterminowym utrzymaniu zgodności z NIS2 i budowaniu kultury cyberodporności w organizacji. Ich działania powinny koncentrować się na:

  • Regularnych programach budowania świadomości (Security Awareness): Zapewnienie, że wszyscy pracownicy rozumieją aktualne zagrożenia (phishing, malware, inżynieria społeczna), znają wewnętrzne polityki bezpieczeństwa i wiedzą, jak postępować w przypadku podejrzenia incydentu. Szkolenia te muszą być cykliczne i angażujące.
  • Specjalistycznych szkoleniach dla zespołów IT i bezpieczeństwa: Zapewnienie ciągłego rozwoju kompetencji technicznych w zakresie zarządzania bezpieczeństwem, monitorowania, reagowania na incydenty, zarządzania podatnościami, bezpieczeństwa chmury itp.
  • Szkoleniach z zakresu zarządzania ryzykiem i zgodnością: Wyposażenie menedżerów i specjalistów w wiedzę na temat wymogów prawnych (NIS2, RODO) i metod zarządzania ryzykiem cybernetycznym.
  • Wspieraniu testowania planów reagowania: Pomoc w organizacji i facylitacji ćwiczeń symulacyjnych (np. tabletop exercises) weryfikujących plany reagowania na incydenty.
  • Promowaniu kultury bezpieczeństwa: Wspieranie inicjatyw budujących poczucie odpowiedzialności za cyberbezpieczeństwo na wszystkich szczeblach organizacji.

L&D staje się strategicznym partnerem w zapewnieniu, że organizacja posiada nie tylko odpowiednie technologie i procesy, ale przede wszystkim kompetentnych i świadomych pracowników, gotowych do obrony przed cyberzagrożeniami.

Jak EITT wspiera organizacje w utrzymaniu zgodności i budowaniu cyberodporności?

EITT, jako dostawca szkoleń i doradztwa w kluczowych obszarach biznesowych i technologicznych, aktywnie wspiera organizacje w wyzwaniach związanych z dyrektywą NIS2 i budowaniem cyberodporności. Nasza oferta obejmuje:

  • Szkolenia z cyberbezpieczeństwa: Pokrywające szeroki zakres tematów – od budowania świadomości zagrożeń dla wszystkich pracowników, przez techniczne aspekty bezpieczeństwa sieci, systemów i chmury, aż po zarządzanie ryzykiem i zgodnością.
  • Szkolenia z zarządzania ciągłością działania (BCM) i reagowania na incydenty: Przygotowujące zespoły do efektywnego działania w sytuacjach kryzysowych.
  • Szkolenia z zakresu ITIL 4: Którego praktyki (np. Zarządzanie Bezpieczeństwem Informacji, Zarządzanie Incydentami, Zarządzanie Ciągłością Usług) są kluczowe dla spełnienia wielu wymogów NIS2.
  • Szkolenia z zarządzania ryzykiem: Dostarczające metodyk i narzędzi do systematycznej identyfikacji, oceny i zarządzania ryzykiem, w tym cybernetycznym.

Rozumiemy, że zgodność i odporność to proces ciągły, dlatego nasze programy są aktualizowane, aby odpowiadać na zmieniające się zagrożenia i wymogi prawne. Współpracujemy z organizacjami, aby budować trwałe kompetencje i kulturę bezpieczeństwa, które są fundamentem ochrony w cyfrowym świecie.

Utrzymanie zgodności z NIS2 i budowanie realnej cyberodporności to nieustające zadanie dla każdej odpowiedzialnej organizacji. Jeśli chcą Państwo wzmocnić kompetencje swoich zespołów w tym krytycznym obszarze i zapewnić firmie długoterminowe bezpieczeństwo, zapraszamy do kontaktu. EITT jest gotowe wspierać Państwa w tym procesie.

MASZ PYTANIA?

Skontaktuj się z nami, aby uzyskać więcej informacji o naszych szkoleniach, programach oraz współpracy.
Chętnie odpowiemy na wszystkie Twoje zapytania!

?
?
Zapoznałem/łam się i akceptuję  politykę prywatności.

O autorze:
Justyna Kalbarczyk

Justyna to doświadczona specjalistka i współzałożycielka Effective IT Trainings (EITT), z imponującym 19-letnim stażem w branży IT i edukacji technologicznej. Koncentruje się na zarządzaniu, projektowaniu i wdrażaniu kompleksowych projektów rozwojowych oraz informatyczno-edukacyjnych dla szerokiego spektrum klientów, od sektora IT po instytucje publiczne.

W swojej pracy Justyna kieruje się zasadami innowacyjności, elastyczności i głębokiego zrozumienia potrzeb klienta. Jej podejście do rozwoju biznesu opiera się na umiejętności efektywnego łączenia koncepcji, narzędzi i zasobów ludzkich w spójne projekty szkoleniowe. Jest znana z umiejętności tworzenia spersonalizowanych rozwiązań edukacyjnych, które odpowiadają na rzeczywiste wyzwania w dynamicznym świecie IT.

Justyna szczególnie interesuje się obszarem synergii między sferą biznesową a technologiczną. Skupia się na rozwijaniu innowacyjnych metod szkoleniowych i projektów, które nie tylko podnoszą kompetencje techniczne, ale także wspierają transformację cyfrową organizacji. Jej specjalizacja obejmuje analizę potrzeb klientów, zarządzanie projektami oraz kreowanie angażujących doświadczeń szkoleniowych.

Aktywnie angażuje się w rozwój branży edukacji IT, nieustannie poszerzając swoje kompetencje poprzez zdobywanie nowych certyfikatów biznesowych i informatycznych. Wierzy, że kluczem do sukcesu w dynamicznym świecie technologii jest ciągłe doskonalenie się oraz umiejętność adaptacji do zmieniających się potrzeb rynku, co odzwierciedla w strategiach rozwoju EITT.

Pozostałe artykuły autora