Чтобы бизнес жил, необходима скоординированная работа всех трёх частей ЛПТ-триады: людей, процессов и технологий. Стоит чему-то одному чуть поломаться и начать сбоить, как итоговый результат непременно ухудшится. Но какая же из трёх ножек нашего табурета причиняет больше всего забот тем, кто пытается на нём усидеть?
Ответ на этот вопрос вроде бы очевиден: конечно же, самый неустойчивый и проблемный элемент системы — люди. Однако я со временем всё сильнее склоняюсь к тому, что таким элементом являются процессы.
Процессы — это тот цемент, который связывает воедино людей и технологии, чтобы они взаимодействовали и выдавали желаемый результат. «Результат» здесь — понятие очень широкое: это и качественное оказание услуг внутренним и внешним потребителям, и обеспечение управляемости и отчётности для руководства компании, и (в контексте нашей специфики) минимизация вероятности возникновения инцидентов ИБ, и многое, многое другое. Но просто связать людей с технологиями мало: вторая, куда более сложная, задача — обеспечить предсказуемость и повторяемость действий обоих компонентов в самых разнообразных условиях. И здесь возникают две проблемы: нужно, во-первых, предусмотреть как можно больше возможных ситуаций, и… во-первых — добиться того, чтобы и люди, и технологии функционировали так, как это установлено процессами.
Как вы, возможно, заметили, оба перечисленных пункта я поставил на первое место, и не случайно. Прописать слишком мало ситуаций — плохо, потому что это превращает работу в непрерывный концерт художественной самодеятельности, что не очень хорошо для бизнеса. Однако в борьбе с народным творчеством корпорации часто сваливаются в другую крайность: создание такого количества инструкций, что они вроде бы и регламентируют каждый шаг и чих сотрудников — но в реальности ни один человек в компании оказывается не в состоянии удержать их все в голове. А в особо запущенных случаях различные документы и вовсе начинают содержать взаимоисключающие требования.
Конечно, в реальной жизни между регламентами и работой «на земле» всегда будет ощутимый лаг. Тем не менее можно постараться его уменьшить, если придерживаться некоторых принципов. Я бы выделил два основных.
Первый: постоянный контроль за выполнением процессов и требование их соблюдения (что в английском языке описывается ёмким словом enforce). Люди всегда стремятся упростить себе жизнь, и даже технологии (как железо, так и софт) имеют тенденцию со временем ломаться. Поэтому без должного контроля любой процесс способен за несколько месяцев превратиться в труху, восстановить которую до исходного состояния обычно гораздо тяжелее, чем не допустить такой деградации.
Второй: максимальная стандартизация и автоматизация. Всё же основной «вклад» в деградацию процессов вносят именно люди, поэтому нужно стараться создать условия, при которых не следовать процессу сотрудникам будет сложнее, чем следовать. Да, это непросто и требует внедрения дополнительных технологических «прокладок»: внутренних порталов, клиентских приложений, более сложной логики хранения и доступа к данным. Но зато в финале это и снизит вероятность человеческой ошибки, и ускорит обучение сотрудников, и затруднит жизнь внутренним нарушителям ИБ, и — самое главное! — обеспечит предсказуемые и повторяемые результаты.
В одной крупной компании топ-менеджмент довольно успешно внедрил очень сильный принцип: «наши корпоративные руководящие документы либо исполняются, либо отменяются». Хотите чего-то, что запрещено политикой? Можете пообщаться с вице-президентом, который её подписал, и аргументировать, почему он неправ. Многие сотрудники были недовольны — но зато в масштабе всей компании это давало потрясающий эффект стабильности и предсказуемости. Жаль, что примеров такого волевого подхода очень мало. Хочется надеяться, что со временем их будет становиться больше.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных