Информационная безопасность в условиях кризиса (часть 2)

Как вести себя руководителям служб информационной безопасности в условиях нестабильной экономической ситуации.

О сокращении персонала

Не секрет, что многие предприятия начинают бороться с кризисом с сокращения персонала, и не в последнюю очередь - за счет ИТ/ИБ-персонала. И хотя это самое последнее, о чем стоит думать при сокращении затрат, такая практика существует.

Она порочна по двум основным причинам:

• Как правило, никто не знает, кого уволят следующим. Следовательно, люди больше начинают думать не о том, как улучшить свою работу, а о том, как не попасть под сокращение, где найти «запасной аэродром», кто виноват... Начинается недобросовестная конкуренция между сотрудниками, препятствующая достижению поставленных перед отделом целей.
• Сотрудники начинают думать: «Если меня рано или поздно уволят, то зачем я буду напрягаться?» Продуктивность сотрудников падает и желание работать на благо компании пропадает.

Почему в первую очередь сокращают отделы ИТ и маркетинга? Потому что руководство не видит их место в цепочке создания ценности для организации и ее бизнеса. Покажите свое место, и сокращение вас минует или затронет не так сильно. А для этого надо повернуть к бизнесу лицом и связать свои проекты с его целями, демонстрировать свое влияние на бизнес-показатели и всеми силами идти в русле бизнес-стратегии, а не рядом с ней, и уж тем более не против нее.

Надо понимать, что сокращение - это самое последнее, что нужно делать. Если уж компания приняла решение экономить за счет персонала, то сокращению персонала есть ряд альтернатив, с внедрения которых и лучше начать:

• Неоплачиваемый отпуск.
• Сокращение рабочей недели.
• Уменьшение соцпакета.
• Снижение переменной части зарплаты или бонусов.
• Снижение фиксированной части зарплаты.

Все эти шаги неприятны, но они позволяют оставить за собой рабочее место, что в условиях нестабильной ситуации и избытка свободных специалистов на рынке труда уже немало. Если же все варианты исчерпаны, и руководитель службы ИБ встает перед непростой задачей увольнения своих подчиненных, то можно воспользоваться следующими простыми рекомендациями.

Не секрет, что во многих компаниях существуют люди, которые пришли пересидеть сложные времена, которых взяли по знакомству, но загрузить нечем, которые выполняют никому не нужную работу. Такие люди всем известны, но во времена процветания они никому не мешают. Сейчас надо отдавать себе отчет в том, что именно они являются первыми кандидатами на сокращение. Да, их жалко! Но гораздо больнее увольнять ценных для компании сотрудников, которые обязательно понадобятся после стабилизации экономики и возврата бизнеса в нормальное русло.

В крупных компаниях и службы информационной безопасности достаточно велики, и включают несколько уровней иерархии - департамент, управление, служба, отдел, группа и т.д. В эпоху изобилия среднее управленческое звено росло, как на дрожжах; в условиях сокращения им необходимо пожертвовать с целью удаления звеньев, удлиняющих цепочку создания стоимости. В конце концов, многие такие псевдо-руководители занимаются только тем, что защищают большого начальника от подчиненных, а подчиненным передают указания Большого Босса, снабдив их еще и своими комментариями, зачастую полностью меняющими смысл первоначального распоряжения.

Самое главное - не увольняйте специалистов только потому, что вы закрыли проекты, в которых они участвовали; потом может быть очень трудно найти им замену. Лучше дать им другой фронт работ, временно переведя на другие позиции или даже в другие, смежные подразделения.

Что же делать, если сокращение затронуло службу ИБ вашей компании (особенно часто это возникает в региональных представительствах и филиалах)? Необходимо рассмотреть следующие возможности:

• Передача части функции ИБ внешним подрядчикам (аутсорсинг).
• Автоматизация задач, ранее выполнявшихся вручную. К их числу могут быть отнесены анализ защищенности, установка патчей, управление инцидентами, управление политиками безопасности для средств защиты, их обновление, управление конфигурацией, опечатывание USB-портов компьютеров и т.п. Для каждого из этих классов задач на рынке существуют средства защиты, которые в среднесрочной перспективы могут обойтись дешевле, стоимости одного сотрудника для компании.
• Распределение человеческих ресурсов.
• Рост производительности для оставшихся сотрудников за счет высвобождения времени (при переходе на модель NVO) или автоматизации рутинных задач.

Также надо понимать, что сегодня, когда рынок труда переполнен высоковалифицированными кадрами, существует отличная возможность подыскать себе классных специалистов с редкими талантами. Если топ-менеджмент сегодня не готов перераспределить сокращаемые штатные единицы и принять на работу ценные кадры в условиях кризиса, то вы можете оставить эти резюме «до лучших времен», и вам не придется после кризиса заново осуществлять поиск специалистов, тратя на это месяцы своей работы.

Если все-таки, несмотря на все вышеперечисленные рекомендации, дело дошло до сокращения, то неправильно было оставлять все «как было раньше». Необходимо пересмотреть свою работу с оставшимися людьми. Нельзя работать по-старому, как в докризисные времена. Нужны новые организационная структура, инструкции, процессы, технологии, средства автоматизации. Более того, почему бы не подумать об увеличении сотрудникам зарплаты? Вы сократили персонал, у вас высвободился фонд оплаты труда. Разделите его часть между оставшимися кадрами, и вы получите сплоченную и лояльную команду, которой будет не страшен любой кризис.

О защите бизнеса

Еще одно направление, в котором информационная безопасность может помочь в условиях кризиса, - это защита активов компании. Не секрет, что при увольнении некоторые сотрудники могут попытаться нанести ущерб своему работодателю, попытавшись вывести из строя какие-либо элементы инфраструктуры, внося вредоносные закладки в программное обеспечение или крадя важную и конфиденциальную информацию. Все эти действия наносят серьезный ущерб бизнесу компании, который выливается в:

• затраты на восстановление выведенного из строя оборудования,
• затраты на восстановление стертой информации,
• затраты на оплату претензий со стороны клиентов, пострадавших от утечек информации,
• затраты на оплату исков со стороны регулирующих органов,
• удар по репутации предприятия,
• снижение стоимости акций на фондовой бирже (в ряде случаев),
• затраты на устранение иных последствий негативных факторов.

Подразделение информационной безопасности совместно с юридической службой и отделом кадров - единственные, кто способны бороться с такими злонамеренными действиями сотрудников.

О лидерстве

В условиях нестабильности как никогда важны лидерские качества у руководителя службы информационной безопасности. Из всех существующих рекомендаций можно выделить 3 ключевых:

1. Начальник здесь Я! Не существует самой лучшей схемы управления государством. Все схемы имеют свои достоинства и недостатки. Тоталитаризм хорош тем, что решение принимает один человек, и никто ему не мешает. Но минус тоталитарного государства в том, что и в обсуждении решения принимает участие только один человек, а значит, он может упустить из виду множество мелочей и альтернативных действий. В демократическом обществе ситуация обратная - обсуждение того или иного решения открыто для всех, что позволяет найти большое количество различных выходов из проблемы. Но вот принятие решения в условиях демократии обречено на провал - очень трудно найти консенсус при большом числе участников. В условиях кризиса, когда надо быстро принимать трудные решения, руководитель подразделения ИБ должен прислушиваться к мнению подчиненных, но право принятия окончательного решения должно принадлежать только одному человеку.
2. Я отвечаю за результат! Руководитель службы информационной безопасности должен быть не только примером для сотрудников, но и персонально отвечать за принимаемые решения и за результат всех преобразований.
3. Я не боюсь открыто говорить о проблемах! В условиях кризиса многие российские компании предпочитают стратегию улитки, которая предполагает сокрытие от сотрудников всех новостей. Любое закрытое собрание руководства всегда вызывает тревогу и вопросы: «Зачем они собрались?», «Нас уволят?», «Нам порежут зарплату?» и т.п. Сокрытие ответов на эти вопросы приводит к росту недовольства, ухудшению психологического климата, снижению продуктивности и т.д. Основная причина кризиса - недоверие. Необходимо прямо и открыто говорить с подчиненными обо всех непростых задачах, вставших перед подразделением защиты информации. Отсутствие коммуникаций повышает недоверие и порождает фантазии; открытые коммуникации управляемы.

О реальных и мнимых бизнес-преимуществах

Надо понимать, что при оценке эффективности очень часто смешиваются два понятия - непосредственные, прямые результаты от внедрения мер информационной безопасности и преимущества с точки зрения бизнеса. Первые - получаются сразу после внедрения того или иного решения или процесса. Вторые - требуют участия бизнеса. Допустим, внедрение системы удаленного доступа позволит нам перевести часть сотрудников компании на дистанционную работу из дома, тем самым сократив арендуемые площади и сэкономив на этой, достаточно весомой в бюджете любой компании, статье расходов. Выгода для бизнеса налицо, но... Преимущества, которые организация получает от такого снижения арендной платы, зависят от менеджеров, которые, собственно, и решают, воспользоваться ли такой возможностью или нет. Может сложиться такая ситуация, что на систему удаленного доступа деньги потрачены, а работники на дом не переведены, арендуемые площади не сокращены, и компания по-прежнему тратит столько же, сколько и раньше. Так стоила ли овчинка выделки? В данной ситуации проект удаленного доступа не только не принес никаких выгод (ведь ими не воспользовались), но и даже увеличил расходы компании.

Возьмем другой пример - внедрение системы контроля сетевого доступа Network Admission Control (NAC), которая позволяет автоматизировать процесс проверки и приведения узла в соответствие с требованиями ИТ-политики и политики информационной безопасности. По оценкам компании Cisco, такое решение позволяет сэкономить время и усилия следующим образом - идентифицировать несоответствующие устройства, определять их местоположение и приводить в соответствие. Итого мы сэкономили 4 человек/часа на одно рабочее место. Но как мы воспользовались этой экономией? И воспользовались ли вообще? В данном примере экономия времени - это как раз непосредственные результаты от внедрения системы защиты. А вот бизнес-преимущества зависят от руководства, которое может воспользоваться дарованным резервом времени, а может и не воспользоваться.

Иными словами, в условиях кризиса нужно не только демонстрировать, что служба ИБ может эффективно работать в контексте существующей бизнес-стратегии, предлагая те или иные бизнес-решения, но и добиваться внедрения этих решений в жизнь.

Заключение, или резюме для стратегии выживания службы ИБ в условиях кризиса

Вкратце рассмотрев возможные сценарии и действия службы информационной безопасности предприятия в условиях непростой экономической ситуации, можно резюмировать все вышесказанное в следующих пунктах:

• Выработка стратегии подразделения ИБ в условиях кризиса. Логично предположить, что раз поменялась окружающая среда, то необходимо менять и правила работы, и действия подразделения ИБ внутри компании. Причем желательно учесть как оптимистические сценарии развития событий, так и пессимистические.
• Бизнес-ориентация. При запуске проектов больший акцент необходимо делать на его бизнес-составляющую. Что даст бизнесу запуск проекта? И что компания потеряет при его остановке? Как он повлияет на основные бизнес-показатели - доходы, прибыль, себестоимость, расходы и т.д.? Не случайно на Западе все чаще звучит термин «бизнес-технологии» (BT) вместо «информационные технологии». Без понимания этой связи ИБ обречена на неудачу. Сейчас настал именно тот момент, когда службы ИБ должны все больше усилий тратить на связь с бизнесом.
• Сохранение команды. В сложных экономических условиях необходимо не только сохранить команду высококвалифицированных сотрудников, но и повысить эффективность их работы, настраивая на результат. Не забывайте сообщать своим подчиненным последние новости на предприятии, разъясняя их смысл и последствия для бизнеса и сотрудников. Они не должны чувствовать себя брошенными на произвол судьбы, как это часто бывает.
• Сокращение нецелевых затрат. Необходимо сократить нецелевые траты и прекратить финансирование убыточных проектов. Оставшийся портфель проектов необходимо пересмотреть с целью учета принятых на предприятии антикризисных мер. Приоритет должен быть отдан тем проектам, которые позволяют достичь прямых, а не косвенных преимуществ, и при этом реализуются в течение одного года.
• Будьте драйвером изменений. Не забывайте, что одно дело предоставить возможность для бизнеса и другое - воспользоваться ею на практике. Будьте проводником предлагаемых вами изменений.
• Взаимодействие. Как никогда важно привлекать все заинтересованные в безопасности службы и подразделения - юридическую, ИТ, HR и т.п.
• Оценка эффективности. В процессе запуска и после него большое внимание надо уделить оценке эффективности проекта, позволяющей своевременно определить, насколько он отклонился от заданных показателей эффективности, можно ли достичь поставленных целей в поставленные сроки и уложиться в заложенный бюджет и т.д. Эффективность системы ИБ, результат работы персонала подразделения, отдача от проекта по ИБ... все это показатели, которые должны и могут измеряться. Настало время задуматься о том, как это сделать.
• Стандартизация. Стандартизация систем ИБ и постановка процессов не позволяют отклоняться от намеченного курса и обеспечивают оптимизацию ресурсов.
• Совершенствование системы управления. Внедрение системы эффективного управления инфраструктурой и приложениями информационной безопасности позволяет не делать скоропалительных решений, увязывать все действия и решения в единый комплекс и оптимально использовать выделенные ресурсы.
• Общение с поставщиками. Рассмотрите новые варианты взаимодействия с поставщиками. Скорее всего, вы уже не можете платить так, как раньше. А они, как никогда, нуждаются в вас и в более крепком и прогнозируемом взаимодействии с вами. Договоритесь о новых способах оплаты приобретаемых продуктов и услуг, которые позволят снизить финансовое бремя вашего предприятия. Таким примером можно назвать лизинг или оплату в рассрочку, которые позволяют распределить финансовые выплаты во времени, сняв с себя часть налогового выплат и улучшив другие финансовые показатели (в частности, EBITDA).
• Будьте готовы к неожиданностям. Ситуация на рынке меняется очень быстро. Вчера вы думали о том, как сохранить за собой рабочее место, а уже сегодня у вас появилась возможность нанять новый персонал и запустить ряд отложенных проектов по ИБ. Готовьтесь к неожиданностям заранее - это позволит не упустить возможности, которые вам дает рынок и компания.
• Перестаньте бояться будущего!

Начало (часть 1)