Реорганизация ИТ подразделения компании после смены управленческой команды

В управленческой практике простая смена ключевого персонала уже является определенной проблемой. При правильно выстроенных бизнес-процессах ситуация немного сглаживается, но проблему это полностью не снимает. В условиях же принудительной смены руководства в связи с многочисленными злоупотреблениями резонно ожидать ответного противостояния. А если прибавить к этому несоблюдения существующих регламентов в организации, а также отсутствие документального описания множества ключевых процессов и в довесок к этому практически полное отсутствие документации на ключевые информационные системы, то проблема изменения становится чрезвычайно сложной и может даже сопровождаться полным или частичным нарушением работы системы.

В государственной организации федерального масштаба возникла следующая ситуация. В рамках борьбы с коррупцией в компании приказом из министерства меняется руководство компании. Смена проходит тихо, без «выноса ссора из избы», без уголовного преследования и прочих карательных акций с той лишь договоренностью, что претендовать на поле деятельности прежняя команда не будет. Но после прихода к власти новая управленческая команда столкнулась с рядом не видимых снаружи проблем. Коррупционные схемы предшественников оказались лишь вершиной айсберга и той ситуации, которую было поручено исправить из министерства.

Уже после смены руководства компании стало выяснятся что в реестре федерального масштаба стали появляться записи регистрации, причем работы по этим записям данным ФГУПом не выполнялись. Но так как информация содержится в государственном реестре, то автоматически она является «законной» и удаление ее крайне затруднительно, а в реальной работе и невозможно. Таким образом, существует лазейка для несанкционированного доступа к базе федерального значения, что позволяет «конкурировать» с данным ФГУП на незаконных основаниях, при этом всю ответственность будет нести данный ФГУП.

Ситуация с которой пришлось столкнуться оказалась на перекрестке различных областей знаний. Это накладывает огромную ответственность при выполнении проекта, но в то же время это дает неоспоримое приобретение огромного опыта.

С одной стороны имеет место управленческий конфликт, где управленческий аппарат оказался в заложниках обслуживающего отдела, оставшегося в наследство от предыдущего руководства. С другой стороны накладывается проблема нарушения информационной безопасности (ИБ) и, как позже выясняется, одним из инициаторов нарушения ИБ является непосредственно руководитель отдела ИТ. В рамках реализации проекта к вышеперечисленному прибавляются уже чисто технические моменты разработки плана и претворения его в «железе», которые являются неотъемлемой частью успешного выполнения проекта.

В работе рассмотрены теоретические вопросы управления персоналом, работой с людьми, вопросы информационной безопасности и прочие моменты. В аналитической части показаны методы исследования ситуации, в которую попала организация. В практической части происходит реализация плана выхода из сложившейся ситуации, восстановление управления.

Рассмотрим более детально:

Нельзя успешно претворить в жизнь сложный проект, в котором есть конфликт интересов людей без проработки психологических аспектов работы с людьми. Любой управленческий процесс в конечном счете сводится к управлению людьми и если остаются конфликты явные или скрытые, а тем более между руководителем и подчиненным, то назвать систему управляемой и тем более стабильной нельзя. Замечу, что выше речь идет о вертикальном управлении, в некоторых ситуациях возможна плодотворная работа в условиях конфликта и даже искусственно созданного конфликта между подчиненными, но эти методы не подходят к решению данной конкретной задачи и соответственно не будем акцентировать на них внимания, но лишь отметим, что существование и применение на практике таких методов вполне возможно.

Алгоритм работы с людскими ресурсами (собственно, одна из главных задач руководителя):

1. Определить проблему
1.1 Создать атмосферу доверия
1.2 Прояснить цели
1.3 Оценить сложившуюся ситуацию
1.4 Найти проблему
1.5 Определение и анализ проблемы
1.6 Выработать единое мнение по каждой проблеме

2. Разработка планов
2.1 Проверить степень доверия
2.2 Установить критерий принятия решения
2.3 Разработать альтернативные действия
2.4 Оценить альтернативные действия
2.5 Выбрать план действий

3. Претворение планов в жизнь
3.1 Проверить атмосферу доверия
3.2 Разделить задачи и обязанности
3.3 Составление графика реализации
3.4 Убедится в уверенности успешности проекта и собственно его реализация

4. Сопровождение

Помимо работы с людьми всплывает в проекте проблема нарушения информационной безопасности. Поэтому необходимо осветить некоторые краеугольные камни данного вопроса.

Основные определения и критерии классификации угроз

Угроза — это потенциальная возможность определенным образом нарушить информационную безопасность.

Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, — злоумышленником. Потенциальные злоумышленники называются источниками угрозы.

Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении).

Подчеркнем, что само понятие «угроза» в разных ситуациях зачастую трактуется по-разному. Например, для подчеркнуто открытой организации угроз конфиденциальности может просто не существовать — вся информация считается общедоступной; однако в большинстве случаев нелегальный доступ представляется серьезной опасностью. Иными словами, угрозы, как и все в ИБ, зависят от интересов субъектов информационных отношений (и от того, какой ущерб является для них неприемлемым).

В деле обеспечения информационной безопасности успех может принести только комплексный подход. Мы уже указывали, что для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:
•законодательного;
•административного (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);
•процедурного (меры безопасности, ориентированные на людей);
•программно-технического.

Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать не принято.

На практике обе группы мер важны в равной степени, но нам хотелось бы выделить аспект осознанного соблюдения норм и правил ИБ. Это важно для всех субъектов информационных отношений, поскольку рассчитывать только на защиту силами правоохранительных органов было бы наивно. Необходимо это и тем, в чьи обязанности входит наказывать нарушителей, поскольку обеспечить доказательность при расследовании и судебном разбирательстве компьютерных преступлений без специальной подготовки невозможно.

Самое важное (и, вероятно, самое трудное) на законодательном уровне - создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности.

Чтобы рассматривать ИС предметно, с использованием актуальных данных, следует составить карту информационной системы. Эта карта, разумеется, должна быть изготовлена в объектно-ориентированном стиле, с возможностью варьировать не только уровень детализации, но и видимые грани объектов. Техническим средством составления, сопровождения и визуализации подобных карт может служить свободно распространяемый каркас какой-либо системы управления.

Политика безопасности

С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации.

Политика верхнего уровня должна четко очерчивать сферу своего влияния. Возможно, это будут все компьютерные системы организации (или даже больше, если политика регламентирует некоторые аспекты использования сотрудниками своих домашних компьютеров). Возможна, однако, и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.

В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала.

К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных эксплуатируемых организацией систем. Примеры таких вопросов — отношение к передовым (но, возможно, недостаточно проверенным) технологиям, доступ в Internet (как совместить свободу доступа к информации с защитой от внешних угроз?), использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т.д.

Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Она включает в себя два аспекта - цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть определена более подробно. Есть много вещей, специфичных для отдельных видов услуг, которые нельзя единым образом регламентировать в рамках всей организации. В то же время, эти вещи настолько важны для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне.

От теоретических аспектов вернемся к практической проблеме.

Сложившаяся ситуация требовала незамедлительных мер по ее исправлению. Без четкого понимания глубины проблемы успешное ее решение невозможно. В связи с этим необходимо провести комплексный аудит предприятия. Задачей аудита будет определение и формализация отправной точки, от которой необходимо принимать управленческие решения. Параллельно были запущены процессы аудита информационной системы, аудита информационной безопасности и анализ бизнес-процессов, касающихся ведения государственного реестра. Аудит информационной системы предшествует остальным видам аудита. Целью последнего будет составление плана инфраструктуры для дальнейшего использования при аудите информационной безопасности. На самом деле данное разделение чисто формальное, необходимое только для разделения зон ответственности и упрощения расчета трудозатрат.

Аудит ИС проводится методом сканирования, опроса специалистов, изучения существующей документации, визуального осмотра и прочими методами.

Информационная система имеет распределенную структуру с множеством территориально разнесенных офисов. Каждый из офисов имеет собственное подключение к сети Интернет через местных провайдеров доступа в сеть Интернет. Локальные сети различных офисов объединены между собой с помощью технологии VPN.

Ключевым элементом информационной системы является сервис учета, который в свою очередь является частью реестра федерального значения. Данный сервис построен на базе совокупности территориально распределенных серверов различного назначения. Не вдаваясь в подробности технических особенностей реализации данной системы, ключевой с точки зрения управленца является информация о том, что разработчиками данной системы являются сотрудники ИТ департамента данной организации и практически полностью отсутствует документация на данную систему. Т.е. Организация является фактически заложником ИТ отдела как де-факто владельца и пользователя системы. Основным разработчиком и руководителем всей разработки является нынешний руководитель службы ИТ.

Основываясь на вышеполученных данных о структуре информационной системы организации были определены варианты возможных утечек.

Вход в систему потенциально может быть произведен через:
1. Любой из офисов, имеющий поключение к сети Интернет
2. Через официальный портал с помощью валидного для системы логина и пароля
2.1. Пароль может быть украден методом прослушивания траффика
2.2. Завладение паролем по недосмотру пользователя
2.3. Пароль несанкционированно создан лицом, имеющим доступ к системе
3. С помощью закладок в ПО на портале
4. С помощью закладок или шпионского ПО на рабочих станциях

Предварительные данные, полученные в результате интервьюирования сотрудников и имеющие место быть несанкционированные модификации базы данных государственного реестра с большой долей вероятности предполагают инсайдера внутри организации.

Консолидированная информация, полученная в результате аудита является той точкой отчета, от которой будут предприниматься шаги по модернизации структуры организации, внедрение бизнес-процессов, изменение внутренних регламентов организации с целью исключения повторения похожих ситуаций в будущем. Т.е. именно эта информация и будет являться исходными данными для менджмента для принятия правильных управленческих решений.

Сводный список ключевых проблем, обнаруженных в результате аудита:

1. Технические
1.1. Множественные точки подключения к сети Интернет
1.2. Ключевая инфраструктура (серверы) государственного реестра находится в общей локальной сети организации, есть прямой доступ из сети Интернет
1.3. Отсутствует резервное копирование информации
1.4. Отсутствуют резервные серверы для поддержки работоспособности государственного реестра на удаленных площадках в случае краха основного кластера серверов
1.5. Нет централизованной системы контроля доступа к информационным ресурсам, как внутренним так и внешним
1.6. Информация при работе с ресурсами госреестра передается в открытом виде без шифрования

2. Организационные
2.1. Отсутствие регламента доступа к информации
2.2. Отсутствие документации на ИС
2.3. Отсутствие описания бизнес-процессов
2.4. Отсутствует политика резервного копирования информации
2.5. Отсутствие приказов и прочих документов о степени ответственности сотрудников при работе с базой государственного реестра
2.6. Отсутствуют регламенты работы с информационными ресурсами

3. Нормативно-правовые
3.1. Подтвержденные связи текущего начальника ИТ и старого руководства

Исправление сложившейся ситуации производится в двух плоскостях: технико-технологическом и организационном поле. Причем все мероприятия производятся согласованно друг с другом без отрыва. Данный проект рассматривает только те меры, которые обеспечивают нормальное функционирование предприятия. Смена учетной системы или другие кардинальные изменения не рассматриваются.

Потенциальной сложностью и угрозой при реализации плана является человеческий фактор, а именно действующий руководитель службы ИТ.

Для взятия полного контроля необходимо подготовить техническую базу и создать параллельную структуру ИТ отдела с последующим замещением текущего. Работы по подготовке решено проводить без информирования текущего отдела т.к. возможна ситуация целенаправленного противодействия и вредительства со стороны текущего ИТ департамента.

Большая часть работ выполняется под прикрытием аудиторской проверки из министерства с привлечением текущих сотрудников ИТ отдела. Также производится контролируемая «утечка» информации о санкциях непосредственно к сотрудникам отдела ИТ если будут выявлены серьезные нарушения доступа к информации и, что более весомо, повлекшие нарушение режима государственной тайны (часть информации, находящаяся в госреестре действительно имеет такой статус). Данные меры призваны обеспечить максимально полное сотрудничество сотрудников с «аудиторами».

Результаты такого шага не заставили себя долго ждать и обеспечили плотное и плодотворное сотрудничество текущих сотрудников. Забегая вперед, скажем что одним из крупных успехов данного проекта стало создание силами «старой гвардии» актуальной и исчерпывающей документации на действующую ИС, применяемую в организации. Благодаря этому организация перестала быть заложником ИТ.

Параллельнно инициирован процесс формализации работ по работе с информационной системой, чтобы исключить возможность несанкциониррованого изменения информации Этот процесс будет состоять из организационной части, включающей описание бизнес -процессов с описанием зон ответсвенности, создание политики ИБ, внедрение программно аппаратных комплексов мониторинга и фиксации ИТ событий.

Работами по модификации, а впоследствии и по сопровождению информационной системы будет заниматься вновь сформированный департамент ИТ. Шаг по полной реорганизации департамента обусловлен во-первых иной ролью и направленностью нового департамента с точки зрения бизнес-процессов и, во-вторых, компрометацией отдельных сотрудников и нынешнего руководитяля службы ИТ в частности.

Одной из первоочередных задач для еще формируемого нового ИТ департамента является модернизация ИС таким образом, чтобы во-первых, сохранить полную работоспособность ИС с минимальным временем простоя, и в то же время обеспечить режим доступа к ИС в соостветсвии с вновь разработанными регламентами. Не вдаваясь дальше необходимого с точки зрения управленца в технические детали, данная цель была достигнута путем выделения той части информационной системы, отвечающей за работу с базой данных госреестра в обособленную подсеть, изолированную от локальной сети организации, с единственной точкой входа.

Также для исключения несанкционированного входа через различные офисы оставлена единственная точка входа в сеть Интернет через один из центральных офисов с установкой аппаратуры контроля доступа и журналирования событий. Эта мера также позволила в качестве побочного положительного эффекта упорядочить доступ в сеть Интернет для сотрудников.

Изменение роли ИТ департамента требует формирования новой команды и эта задача ложится на плечи нового начальника ИТ службы. Задача предыдущего департамента в основном лежала в плоскости разработки и поддержки ИС. Но в силу того, что внедрение ИС состоялось, то в настоящий момент не имеет смысла держать большой штат разработчиков. В то же время, из-за ограничений бюджета, ресурсов на поддержание актуальных задач и поддержку пользователей не хватало и они выполнялись по остаточному принципу, что ухудшало в конечном итоге качество обслуживания клиентов организации.

В рамках проекта на первом этапе была проведена огромная работа по всестороннему аудиту организации. Также важна работа детективов, юристов, специалистов по ИБ и ИТ. В результате первый этап проекта был выполнен на все 100% от запланированного при начале работ.

На втором этапе — этапе внедрения после планирования работ и разработки плана изменений и собственно внедрения появились разночтения успешности выполнения со стороны заказчика и исполнителя работ.

С точки зрения заказчика, необходимость ввода системы мониторинга избыточна и в данный момент в ней нет необходимости. Таким образом, со стороны заказчика проект выполнен полностью т.к. устранены утечки в безопасности информационной системы и основные процессы по работе с данной информационной системой описаны и формализованы. ИТ департамент выполняет работы по поддержке всей информационной системы организации и его деятельность также полностью регламентирована.

С точки зрения степени выполнения проекта со стороны подрядчика, выполнены все работы, за исключением ввода в эксплуатацию системы мониторинга событий в системе. Ввод данной системы предназначен для полного мониторинга работы системы, протоколирования действий пользователей, оповещения лиц, отвечающих за безопасность и правильность работы системы и прочее, с целью исключить любые несанкционированные действия в информационной системе, анализировать активность сотрудников и т.д.

С формальной точки зрения, проект можно назвать успешным т.к. Заказчик полностью удовлетворен результатом. Но с небольшой оговоркой:
Работы были призваны устранить злоупотребления при работе с госреестром. Но появилась информация, что имеют место работы выполненные от имени ФГУП, но реально выполненные аффилированными с руководством ФГУПа организациями. Таким образом, ситуация вернулась в первоначальное состояние, с той лишь разницей что контроль над информационной системой был успешно перехвачен, но злоупотребления при работе с госреестром остались.

Copyright © 2009 Злобин А.В.