BIS Journal №1(52)2024

2 апреля, 2024

В жерновах процессов. Заметки безопасника

Чтобы бизнес жил, необходима скоординированная работа всех трёх частей ЛПТ-триады: людей, процессов и технологий. Стоит чему-то одному чуть поломаться и начать сбоить, как итоговый результат непременно ухудшится. Но какая же из трёх ножек нашего табурета причиняет больше всего забот тем, кто пытается на нём усидеть?

Ответ на этот вопрос вроде бы очевиден: конечно же, самый неустойчивый и проблемный элемент системы — люди. Однако я со временем всё сильнее склоняюсь к тому, что таким элементом являются процессы. 

Процессы — это тот цемент, который связывает воедино людей и технологии, чтобы они взаимодействовали и выдавали желаемый результат. «Результат» здесь — понятие очень широкое: это и качественное оказание услуг внутренним и внешним потребителям, и обеспечение управляемости и отчётности для руководства компании, и (в контексте нашей специфики) минимизация вероятности возникновения инцидентов ИБ, и многое, многое другое. Но просто связать людей с технологиями мало: вторая, куда более сложная, задача — обеспечить предсказуемость и повторяемость действий обоих компонентов в самых разнообразных условиях. И здесь возникают две проблемы: нужно, во-первых, предусмотреть как можно больше возможных ситуаций, и… во-первых — добиться того, чтобы и люди, и технологии функционировали так, как это установлено процессами. 

Как вы, возможно, заметили, оба перечисленных пункта я поставил на первое место, и не случайно. Прописать слишком мало ситуаций — плохо, потому что это превращает работу в непрерывный концерт художественной самодеятельности, что не очень хорошо для бизнеса. Однако в борьбе с народным творчеством корпорации часто сваливаются в другую крайность: создание такого количества инструкций, что они вроде бы и регламентируют каждый шаг и чих сотрудников — но в реальности ни один человек в компании оказывается не в состоянии удержать их все в голове. А в особо запущенных случаях различные документы и вовсе начинают содержать взаимоисключающие требования. 

Конечно, в реальной жизни между регламентами и работой «на земле» всегда будет ощутимый лаг. Тем не менее можно постараться его уменьшить, если придерживаться некоторых принципов. Я бы выделил два основных. 

Первый: постоянный контроль за выполнением процессов и требование их соблюдения (что в английском языке описывается ёмким словом enforce). Люди всегда стремятся упростить себе жизнь, и даже технологии (как железо, так и софт) имеют тенденцию со временем ломаться. Поэтому без должного контроля любой процесс способен за несколько месяцев превратиться в труху, восстановить которую до исходного состояния обычно гораздо тяжелее, чем не допустить такой деградации. 

Второй: максимальная стандартизация и автоматизация. Всё же основной «вклад» в деградацию процессов вносят именно люди, поэтому нужно стараться создать условия, при которых не следовать процессу сотрудникам будет сложнее, чем следовать. Да, это непросто и требует внедрения дополнительных технологических «прокладок»: внутренних порталов, клиентских приложений, более сложной логики хранения и доступа к данным. Но зато в финале это и снизит вероятность человеческой ошибки, и ускорит обучение сотрудников, и затруднит жизнь внутренним нарушителям ИБ, и — самое главное! — обеспечит предсказуемые и повторяемые результаты. 

В одной крупной компании топ-менеджмент довольно успешно внедрил очень сильный принцип: «наши корпоративные руководящие документы либо исполняются, либо отменяются». Хотите чего-то, что запрещено политикой? Можете пообщаться с вице-президентом, который её подписал, и аргументировать, почему он неправ. Многие сотрудники были недовольны — но зато в масштабе всей компании это давало потрясающий эффект стабильности и предсказуемости. Жаль, что примеров такого волевого подхода очень мало. Хочется надеяться, что со временем их будет становиться больше. 

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

17.06.2024
Скамерские новинки: «таможенный сбор» и «расследование мошенничества»
17.06.2024
Минэк — о порядке раскрытия данных госведомств для обучения нейросетей
17.06.2024
Релокация не спасает. Slack блокирует даже тех, кто «связан с Россией»
14.06.2024
Два попадания из ста — такое себе сафари. Официальный «яблочный» браузер не смог в рыбалку
14.06.2024
Матвеев: Россия может захватить технологическое лидерство в области внутренней ИБ
14.06.2024
ЛК: Кибермошенники добрались до персонала гостиниц
14.06.2024
Использование генеративного ИИ в разработке ПО медленно, но растёт
14.06.2024
Указ о новых мерах по обеспечению кибербезопасности России подписан
14.06.2024
Роскомнадзор активно модернизирует всю антискам-систему
14.06.2024
Работающие без выходных безопасники готовы увольняться

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных