«Удалёнка» как кейс. Про кусочек ветчины даже в самом большом свинстве
Вот уже почти три месяца мы живём в «новой» реальности. Кто в одиночестве сидит в офисе и пытается работать шестнадцатью руками. Кто удаленно борется с сетью/связью и работает работу, как получается. Кто сидит в изоляции и ждёт не дождётся хоть какой-нибудь работы.
В общем, жизнь течёт. Вирус продолжает нас пугать своей стабильностью, но жизнь всё-таки продолжается.
Ситуация подкинула много разных новых проблем с массовым удалённым доступом – «удалёнкой». Простое перечисление составит добрую статью – переход многих сотрудников на личные устройства, про безопасность которых можно только гадать, коллективное использование их разными пользователями – мужья, жёны, дети, каждый со своим набором приложений, а главное, конфликт использования – «кто сейчас»; массовое использование «тёмных» мессенджеров для делового общения, массовое использование непроверенных и недоверенных средств аудио/видео общения, резкий всплеск мошенничества-социнженерии, всплеск атак по удалённым каналам…
Стало хорошим тоном говорить и писать о цифровизации, новых технологиях, которые спасут мир, а я, глядя на всё это, вспоминаю про бардак и автоматизацию и всё больше и больше убеждаюсь в старой истине – сначала нужен порядок, а потом уже автоматизация. О чём это я? Давайте попробуем оценить объективно (как у кого получится): чему нас учит/научил/не научил этот так называемый кейс.
В одночасье в совершенно невоенной обстановке нас как-то вынесло к проблеме, что на рабочих местах нас должно меньше быть, а бизнес при этом во всех своих проявлениях должен продолжать функционировать. Первое очевидное движение – максимально всех на «удалёнку». И что тут началось. Не хватает… Не хватает… Не хватает… забыли…не знали… не думали…а я думал по-другому… а где это написано?... я за это не отвечаю… Знакомая картина? Потом всё как-то устаканилось и вроде бы стало даже хорошо.
Я не хочу рассуждать о том, что, может, кто-то и вовсе с «удалёнки» не вернётся, что надо в принципе пересматривать подход к организации деятельности – сейчас это популярный тренд (хайп?). Поговорим о классике. Поговорим о бумажной составляющей и информационной безопасности тоже.
Point 1. Мы не всегда точно и исчерпывающе знаем своё место в общей структуре бизнеса. И здесь собственно ИБшники в лучшем положении, чем многие другие – они постоянно доказывают, что они нужны.
Point 2. Часто, что делать в стрессовой ситуации, мы узнаём как-то мимоходом, по ситуации.
Вернёмся к анализу причин такого результата.
Анализ выполнения всех основных и вспомогательных бизнес-процессов на основе результатов анализа определение функциональных ролей, их потенциальной загрузки, возможности совмещения отдельных ролей между собой, выделения групп ролей, запрещённых к совмещению с другими ролями. В результате возможна даже корректировка оргштатной структуры для оптимального распределения функциональных ролей между фактическими исполнителями.
Этот шаг обычно выполняют при подготовке внедрения системы управления правами пользователей. Типичной ошибкой/недоработкой этого этапа обычно бывает игнорирование/забывание вспомогательных и обеспечивающих функций/ролей, без которых немыслима работа «основных».
Удалённая работа показала, что во многих организациях, не только банковских, этот этап выполнен несколько формально, в результате чего остались части бизнес-процессов или обеспечивающих без исполнителей либо, наоборот, возникло дублирование одних и тех же функций в разных подразделениях. Особенно это явно заметно на стыках процессов ИТ и ИБ (настройка сети, её сегментирование, работа антивирусных средств, настройка и сопровождение МСЭ и подобных мест). Пока мы все рядом, эти нестыковки решаются сами собой при личном контакте, при удалённом взаимодействии так получается не всегда.
Следующий важный момент – наделение каждой функциональной роли необходимыми, но не излишними правами. Здесь очень важна строгая формализация этого процесса. При удалённой работе очень часто возникают ситуации срочной подмены или что-то похожее (заболел, нет связи, нет электричества, нет возможности восстановить технические средства и т. д.), и без формализации быстро сделать подмену очень непросто, в результате может пострадать основной бизнес-процесс.
К этим шагам вплотную примыкают вопросы документирования процессов, выполнения операций и отдельных действий, лёгкости восприятия этих документов, их читабельности и доступности. Только при правильном документировании процессов мы всегда, даже в самой стрессовой ситуации,сможем обеспечить своевременную замену/подмену участников процессов.
К таким процессам, безусловно, относятся два сильно привязанных к коронавирусу – предоставление удалённого доступа и перевод деятельности на резервные площадки. Недавний процесс перехода на «удалёнку» ясно показал, что там, где эти процессы были по шагам прописаны и отрепетированы, переход состоялся чётко и организованно, в минимальные сроки, где этого не было сделано заранее, там «бестолковость» долго не давала нормально начать работать по-новому.
Всё, о чём я написал выше, очевидные вещи, но самое неблагодарное – это доказывать очевидное. Пусть противники «бумажных» технологий продолжают поливать позором и нехорошими словами бумажные документы, но именно они до сих пор являются основой воспроизводимости и одинаковости выполнения процессов. Конечно, техническую безопасность никто не отменял, проверку уязвимостей - тем более, но в критических условиях надо понимать, что происходит, кто что делает, и уметь контролировать все эти действия.
Тут я услышал фразу, что хорошо прописанный и, главное, отрепетированный План Б становится просто одним из разделов Плана А.
Интересно, что правильно проведённая работа по выделению функций, ролей и формированию системы управления правами доступа имеет массу положительных побочных эффектов. Бизнес, оргштатная структура, система внутренних взаимоотношений, как горизонтальных, так и вертикальных связей становятся прозрачными, а значит, более эффективными и управляемыми становятся процессы, что в итоге снижает накладные расходы бизнеса.
Вторым следствием такой работы становится облегчение процесса автоматизации управления персоналом и правами доступа персонала, а значит, облегчает жизнь подразделениям информатизации.
К сожалению, это тот случай, когда надо было готовиться заранее. Теперь этот опыт можно применить только в будущем.
Какие уроки ещё можно извлечь из последних трёх месяцев?
Для меня и многих моих коллег ещё раз подтвердился тезис – не надо защищать информацию саму по себе, это бессмысленно, надо защищать БИЗНЕС и информацию как неотъемлемую часть его. Надо защищать доступность/непрерывность сервисов, поддерживать приемлемое качество услуг, при этом безопасность должна стать органической частью качества.
Итог:
Друзья мои! Детально изучайте и документируйте свою деятельность. Тренируйтесь работать даже при самых невероятных предпосылках, повышайте свою стрессоустойчивость, находите кусочек ветчины даже в самом большом свинстве.