Пробные занятия. Бесплатно!
Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь


Переход на сервисную модель ИБ с внедрением системы управления по показателям

Гусев С.Б.

Выпускник группы MBA CSO-28

Школа IT-менеджмента

РАНХиГС при Президенте РФ

В данной аттестационной работе проводится исследование деятельности подразделения информационной безопасности крупной вертикально интегрированной горно-металлургической компании Российской Федерации с корпоративным центром управления, большим числом географически распределенных производственных бизнес-единиц. Несмотря на то, что функция информационной безопасности является вспомогательной, потребность в безопасности, согласно пирамиде Маслоу, является одной из основных. Таким образом, подразделение ИБ активно учувствует в большинстве бизнес-процессов
компании как методически, так и непосредственно.

Актуальность темы обусловлена тем, что для компании за последнее время потребности в обеспечении информационной безопасности значительно возросли. Во-первых, это связано как с качественным изменением традиционного для ИБ ландшафта угроз, так и количественным увеличением присутствия ИТ-технологий в бизнес-процессах. К ключевым ИТ-факторам роста можно отнести:

  • расширение автоматизации бизнес-деятельности и производственных процессов;
  • старт цифровой трансформации и появление потребности в хранении и обработке больших данных;
  • увеличение online-взаимодействия с клиентами и поставщиками;
  • экспоненциальный рост применения средств для совместной работы, электронной коммуникации и информационного обмена внутри компании.

Во-вторых, не менее важной причиной для проведения изменений деятельности явились сложности в поиске квалифицированного персонала, перегруженность существующего и, как следствие, необходимость в сохранении и быстрой передачи накапливаемого опыта. Переход на ITSM-платформу позволит запустить портал самообслуживания, базу знаний и роботизацию типовых рутинных операций.

В-третьих, катализатором явились изменение в корпоративной системе целеполагания и ориентация работы всех без исключения подразделений на общие стратегические цели организации и предоставление возможности гибкой адаптации своей деятельности под быстро изменяющиеся внутренние и внешние факторы.

В качестве основных преимуществ для подразделения ИБ, которые может обеспечить сервисная модель организации деятельности, стоит отметить:

  • прозрачный набор оказываемых бизнес-заказчику услуг;
  • понятное сквозное целеполагание и осознание приносимой ценности для компании;
  • прозрачные области ответственности и правила кросс-функционального взаимодействия со смежниками;
  • унификация части требований и процессов по всем бизнес-единицам, выравнивание уровня зрелости и автоматизация рутинных операций;
  • визуальная оценка показателей и достижения целей с использованием современных технологий бизнес-аналитики и учета деятельности каждого сотрудника;
  • четкая мотивация задействованного персонала в процессах оказания сервиса, гибкость в перераспределении необходимых под возникающие потребности ресурсов.

Целью данной работы является повышение эффективности деятельности подразделения информационной безопасности компании за счет предоставляемых возможностей от перехода на сервисную модель, цифровые инструменты работы и перестроения системы управления ИБ с акцентом на прозрачные как для персонала, так и бизнес-заказчика, измеряемые показатели.

Несмотря на кажущуюся простоту такой трансформации при движении к желаемой цели появляется ряд проблем как системного, так и прикладного характера:

  • бизнес-заказчики не могут четко идентифицировать свои ожидания от сервисов информационной безопасности;
  • ландшафт цифровых угроз и вызовов динамично нарастает и изменяется;
  • в основных бизнес-функциях компании стартовал переход на Agile-методы и цифровизацию деятельности;
  • растет давление регуляторов и внешних облачных сервис-провайдеров.

Отдельным вызовом стоит задача выбора подходящей платформы и
инструментов для поддержки сервисной модели с учетом ее разумной стоимости
внедрения и поддержки, возможности индивидуализации и интеграции для
оркестровки большим числом разнородных систем защиты и учета ИТ-активов,потребности в бизнес-аналитике и оперативной визуализации показателей
деятельности по оказанию сервисов.

Для достижения поставленной цели работы были решены следующие
задачи:

  • изучены передовые подходы и опыт ИТ-подразделений к построению сервисной модели, выбраны релевантные из них;
  • определен возможный набор востребованных услуг ИБ с учетом клиентских запросов, оценки рисков и регуляторных требований;
  • сформированы основные целевые качественные и количественные показатели;
  • проведен анализ текущей деятельности подразделения, определены имеющиеся отклонения от желаемого целевого состояния и «узкие» звенья;
  • подготовлен запрос на необходимые трансформационные изменения деятельности подразделения: организационные, штатные, финансовые, нормативные и технологические;
  • организована информационная работа с сопротивлением, вовлеченностью и мотивацией персонала, направленная на расширение применения сервисной модели в своей деятельности;
  • проводится корректировка целевых показателей с учетом реальных возможностей подразделения.

В результате проделанной работы за год уже удалось достичь следующих улучшений:

  • перевыполнены целевые KPI по управлению доступом на 25%;
  • уменьшено время обработки инцидентов в 1,5 раза, 86% закрывается в согласованный срок;
  • сокращено на 5% число отклонённых обращений пользователей;
  • радикально уменьшен на 250% средний срок проведения экспертизы проектных решений, на сегодня он составляет 4 дня;
  • число закрытых обращений первой линией единого окна с положительной обратной связью увеличилось на 10%, число положительных оценок по обращениям выросло на 40%;
  • уровень удовлетворенности клиентов CSI достиг значения 86%, индекс лояльности клиентов NPS составляет 9,6; охват целевой аудитории персонала инструментами ситуационного информирования и кибер-обучениями составил 90%.

Проведенные изменения позволили управлению информационной безопасности компании повысить эффективность своей деятельности по основным сервисным процессам, удовлетворить трансформационные бизнес-запросы, повысить мотивацию сотрудников управления и демаркировать области ответственности со смежными подразделениями; ввести единые целевые показатели для сквозных сервисов информационной безопасности.

Голосов пока нет
Школа IT-менеджмента Экономического факультета АНХ, 119571, Россия, г. Москва, проспект Вернадского, д. 82 корп. 2, офис 207, тел.: +7 (495) 933-96-00, Copyright @ 2008-2009