Найти нельзя создать. Как правильно обрести мифических Security Champions в своей организации

BIS Journal №2(53)2024

4 июля, 2024

Найти нельзя создать. Как правильно обрести мифических Security Champions в своей организации

Статья продолжает развитие идей предыдущего номера и конкретизирует подходы к «выращиванию» (bildung) специалистов в области безопасной разработки (security champions), рассматривая наиболее продуктивный и реалистичный с точки зрения автора сценарий.

 

ВВЕДЕНИЕ

В предыдущем номере в рубрике «Актуальное мнение» мы говорили о проблематике изменений в отрасли безопасной разработки под влиянием ИИ. Но параллельно с технологическими аспектами на фоне происходящих инноваций сохраняют важность и аспекты гуманитарные. Ведь пока у «умных машин» остаются пользователи, операторы и администраторы, остаётся и необходимость их обучения, мотивации и встраивания в соответствующие технологические процессы. И судя по приводимой статистике, эта проблема пока не решена. 

В том же номере другим автором [1] затрагивалась «вечная тема» security champions – известной концепции о том, как с помощью «передовиков» из числа разработчиков «залатать дыры в ИБ» в условиях дефицита кадров и роста сложности разработки [2]. И хотя на словах мы все понимаем, что надо делать, реальная сложность заключается в практической реализации «универсальных советов». В противном случае мы рискуем уподобиться мудрому филину из известного анекдота про мышек, которые по совету пернатого консультанта должны стать ёжиками и таким образом решить все свои проблемы. 

Рассматриваемые в данной статье вопросы и предлагаемые подходы могут быть восприняты шире – как инструменты по работе с мотивацией сотрудников за рамками ниши «безопасной разработки»

Доклад «Мифические Security Champion’ы, или Как не сойти с ума в мире безопасной разработки», Светлана Газизова

 

КЛЮЧИ К МОТИВАЦИИ

Ключом к решению любой проблемы является её формулировка в виде задачи. А для этого необходима чёткая модель мира, описывающая соответствующую проблеме систему и позволяющая спрогнозировать изменения системы, в зависимости от наших воздействий на неё. В данном случае проблема осложнена тем, что мы говорим о системе социальной, то есть такой системе, к которой неприменим инженерный подход из-за наличия внутри неё субъективного фактора. Именно тем, что внутри жизненного цикла разработки, который представляет собой совокупность персонала, процессов и технологий, находятся… ЛЮДИ, именно этим объясняется, по мнению автора, тот факт, что, несмотря на пристальное внимание к росту безопасности и качеству приложений, ситуация становится всё хуже [3]. 

И основой здесь является не просто абстрактный и универсальный алгоритм в духе «поиска высокомотивированных сотрудников», а понимание двух ключевых аспектов мотивации и изменения поведения людей, а именно:

  1. Поведение сотрудников сильно зависит от окружающей среды, и выбор мотивационных инструментов через «моральное удовлетворение и поддержку коллег» или, например, «денежную премию» – это не вопрос вкуса, а вопрос культуры конкретной компании и той среды, в которой она функционирует (подробнее смотри и читай в книге, приведённой на иллюстрациях ниже).
  2. Мотивация людей может изменяться, а сотрудники могут перевоспитываться, но ключевым фактором успеха или неуспеха подобных инициатив является формирование соответствующей среды, в основе чего лежит готовность руководства не на словах, а на деле изменить организацию работы и систему стимулов, в том числе самих себя (ничто не работает здесь так хорошо, как личный пример руководителей и осознание сотрудниками справедливых и универсальных правил игры).

Отсюда следует тривиальный, но часто игнорируемый вывод: не все изменения во всех организациях возможны. И если вы хотите, например, получить «вовлечённый персонал без повышения заработных плат», готовьтесь к необходимости выращивать культуру «бирюзовой организации», но смиритесь с тем, что более вовлечённые и творчески заряженные люди будут иначе относиться к поставленным задачам, начнут спорить, критиковать, предлагать альтернативные варианты, а цикл разработки удлинится. Либо вводите систему материального стимулирования, но не абстрактную и непонятную, зависящую от настроения начальства и не контролируемых сотрудниками факторов «невидимой руки рынка», а привязанную к их собственным достижениям и труду и распространяющуюся на всех без исключения сотрудников подразделения, вне зависимости от субъективности руководства. Желательно и на самих руководителей (например, через сбор обратной связи сотрудников о качестве руководства, как это бывает в некоторых TQM-системах).

Рисунок 1. Модели управления (и мотивации) компании, в зависимости от условий среды и культуры

 

Рисунок 2. Григорий Финкельштейн «Без шаблона» (иллюстрация ситуационного подхода к построению систем управления организациями)

 

НЕКОТОРОЕ ОПИСАНИЕ УЧЕБНОГО ПРИМЕРА

Чтобы не впадать в абстракции, давайте рассмотрим конкретный пример того, как это работает. Любая деятельность может быть представлена как цепочка:

Мотив > Действие > Результат > Рефлексия [4]

Последний пункт цепочки наиважнейший, именно здесь происходит «магия» сдвига мотивации и корректировки поведения сотрудников. Запускается ли эта рефлексия через обратную связь от недовольного клиента, как в ISO 9000, или в результате дружелюбной SCRUM-ретроспективы – не столь важно. Важно, что полученный человеком результат оказывается оценён в значимом для субъекта разрезе, за что он получает вознаграждение или наказание. Содержание этого вознаграждения не столь важно – оно может быть и не материальным, но по понятным причинам в большинстве современных компаний, где люди работают всё же за деньги, именно денежный эквивалент наиболее желателен. Без него тоже можно обойтись, но на практике это означает ещё более серьёзные усилия по отбору или перевоспитанию людей, что может быть невозможно в условиях отсутствия соответствующих HR-ресурсов и желания многолетнего «выращивания» коллектива до нужного состояния. 

Как это выглядит? Фактически необходимо осуществить две вещи:

  1. Измерить приемлемый/ожидаемый от роли результат, идентичный «нормальной» работе;
  2. Зафиксировать уровни вознаграждения за отклонения от «нормального» результата в большую сторону.

Если мы говорим о неденежной мотивации – учитывать заслуги и благодарить [5]. Если мы говорим о финансовом эквиваленте – грейдировать премии. В простейшем случае последний подход может выглядеть как премирование человека долей от сверхвыработки. Когда существует базовый бюджет подразделения, приравненный к «100 попугаям», и если подразделение вырабатывает «110 попугаев», то в ходе ревю выясняется, кто сделал «плюс 10 попугаев», и «стахановцы» получают пропорциональную прибавку к своему доходу за соответствующий период.

Думаете, это фантастика? Ничуть нет: подобная практика была реализована много лет назад в компании «Литрес» [6]. Для любителей более изощрённых схем и фундаментальных моделей можно посоветовать изучить наработки Сергея Савченко по так называемой чартаевской системе [7]. Подобные подходы хороши тем, что решают главную проблему мотивации – отсутствие чётких и универсальных правил игры. Их единственный недостаток – сложность внедрения и полная прозрачность всех отношений (увы, чудес не бывает, и руководителям придётся перестраиваться в первую очередь, рефлексируя собственные мотивы и поведение).

 

ЗАКЛЮЧЕНИЕ

Таким образом, мы увидели, как проблема «поиска security champion в пустыне» превращается в решаемую задачу, и осознали, что для решения этой задачи очень важен контекст. Увы, без определённого стечения обстоятельств (в том числе субъективного фактора руководства, готового пойти на личные жертвы) реализовать благие пожелания не получится, и всё, что нам останется, – сетовать на отсутствие кадров. Подходы, предлагаемые к реализации, давно известны и хорошо апробированы, но их внедрение потребует воли и времени. Зато потом у вас, в отличие от многих, действительно будут свои security champion. Да и не только security: описанная практика позволяет корректировать мотивацию любых ролей и специализаций (см. примечание 7), и для обозначения подобного взращивания даже есть специальный термин – Bildung. Так в скандинавских странах называют подход к «взращиванию личности» человека и формированию внутренней мотивации к той или иной деятельности. 

Заинтересовавшихся вопросом и желающих подробнее изучить, как могут работать подобные управленческие технологии, приглашаем в телеграм-канал нашего кооператива:

 

[1] BIS Journal № 1/2024. А. Жаркевич, «Security Champions. Где найти чемпионов?», стр. 90.

[2] Подробный контекст проблематики хорошо представлен в выступлении Светланы Газизовой на второй межотраслевой конференции АБИСС (QR-код представлен выше), полная ссылка.

[3] В этом смысле эта история напоминает климатические проблемы — со времен 1970-х, когда экоповестка была сформулирована как наиважнейшая для долгосрочного выживания человечества, прошло более 50 лет, но до сих пор человечество не научилось «беречь планету». Аналогично с качеством и безопасностью кода: рост количества инструментов и специалистов в области безопасности приложений коррелирует с ростом угроз, уязвимостей и недостатков, что наглядно видно из отраслевых отчётов, например, приводимого в прошлом материале обзора/

[4] Что-то подобное можно найти в творчестве различных психологов, например, у знаменитого А. Маслоу.

[5] О том, как это делать и куда эволюционировали системы внутрикорпоративного рейтинга, продолжающие дело «КОМПАСА» Водянова, можно завести отдельный разговор, но не сейчас.

[6] Посмотреть, как это работает, можно в лекции CTO «Литрес» Дмитрия Грибова на ScrumTrek.

[7] Система подразумевает внедрение внутри организации квазирыночных отношений с формированием у сотрудников «предпринимательской инициативы».

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

08.10.2024
Операторы связи начнут валидировать коммерческие спам-обзвоны
08.10.2024
YouTube не отдаёт свой контент потенциальным скрейперам
08.10.2024
ВТБ — о клиентском пути, «который изменит платёжный рынок страны»
08.10.2024
Консорциум исследователей ИИ расширяет состав участников
08.10.2024
Информационная безопасность в перспективе 5-7 лет: основные векторы развития (по Матвееву)
07.10.2024
«Восстановление займёт много времени». На ВГТРК кибернапали?
07.10.2024
О сертификации айтишников по версии АПКИТ
07.10.2024
МТС RED: Больше всего DDoS-атак досталось ИТ-сектору и транспорту
07.10.2024
Время уплаты налогов: как этим пользуются мошенники
07.10.2024
Беларусь оставила аналоговую подпись в соглашении о признании электронной

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных