Переход на сервисную модель ИБ с внедрением системы управления по показателям

Гусев С.Б.

Выпускник группы MBA CSO-28

Школа IT-менеджмента

РАНХиГС при Президенте РФ

В данной аттестационной работе проводится исследование деятельности подразделения информационной безопасности крупной вертикально интегрированной горно-металлургической компании Российской Федерации с корпоративным центром управления, большим числом географически распределенных производственных бизнес-единиц. Несмотря на то, что функция информационной безопасности является вспомогательной, потребность в безопасности, согласно пирамиде Маслоу, является одной из основных. Таким образом, подразделение ИБ активно учувствует в большинстве бизнес-процессов
компании как методически, так и непосредственно.

Актуальность темы обусловлена тем, что для компании за последнее время потребности в обеспечении информационной безопасности значительно возросли. Во-первых, это связано как с качественным изменением традиционного для ИБ ландшафта угроз, так и количественным увеличением присутствия ИТ-технологий в бизнес-процессах. К ключевым ИТ-факторам роста можно отнести:

• расширение автоматизации бизнес-деятельности и производственных процессов;
• старт цифровой трансформации и появление потребности в хранении и обработке больших данных;
• увеличение online-взаимодействия с клиентами и поставщиками;
• экспоненциальный рост применения средств для совместной работы, электронной коммуникации и информационного обмена внутри компании.

Во-вторых, не менее важной причиной для проведения изменений деятельности явились сложности в поиске квалифицированного персонала, перегруженность существующего и, как следствие, необходимость в сохранении и быстрой передачи накапливаемого опыта. Переход на ITSM-платформу позволит запустить портал самообслуживания, базу знаний и роботизацию типовых рутинных операций.

В-третьих, катализатором явились изменение в корпоративной системе целеполагания и ориентация работы всех без исключения подразделений на общие стратегические цели организации и предоставление возможности гибкой адаптации своей деятельности под быстро изменяющиеся внутренние и внешние факторы.

В качестве основных преимуществ для подразделения ИБ, которые может обеспечить сервисная модель организации деятельности, стоит отметить:

• прозрачный набор оказываемых бизнес-заказчику услуг;
• понятное сквозное целеполагание и осознание приносимой ценности для компании;
• прозрачные области ответственности и правила кросс-функционального взаимодействия со смежниками;
• унификация части требований и процессов по всем бизнес-единицам, выравнивание уровня зрелости и автоматизация рутинных операций;
• визуальная оценка показателей и достижения целей с использованием современных технологий бизнес-аналитики и учета деятельности каждого сотрудника;
• четкая мотивация задействованного персонала в процессах оказания сервиса, гибкость в перераспределении необходимых под возникающие потребности ресурсов.

Целью данной работы является повышение эффективности деятельности подразделения информационной безопасности компании за счет предоставляемых возможностей от перехода на сервисную модель, цифровые инструменты работы и перестроения системы управления ИБ с акцентом на прозрачные как для персонала, так и бизнес-заказчика, измеряемые показатели.

Несмотря на кажущуюся простоту такой трансформации при движении к желаемой цели появляется ряд проблем как системного, так и прикладного характера:

• бизнес-заказчики не могут четко идентифицировать свои ожидания от сервисов информационной безопасности;
• ландшафт цифровых угроз и вызовов динамично нарастает и изменяется;
• в основных бизнес-функциях компании стартовал переход на Agile-методы и цифровизацию деятельности;
• растет давление регуляторов и внешних облачных сервис-провайдеров.

Отдельным вызовом стоит задача выбора подходящей платформы и
инструментов для поддержки сервисной модели с учетом ее разумной стоимости
внедрения и поддержки, возможности индивидуализации и интеграции для
оркестровки большим числом разнородных систем защиты и учета ИТ-активов,потребности в бизнес-аналитике и оперативной визуализации показателей
деятельности по оказанию сервисов.

Для достижения поставленной цели работы были решены следующие
задачи:

• изучены передовые подходы и опыт ИТ-подразделений к построению сервисной модели, выбраны релевантные из них;
• определен возможный набор востребованных услуг ИБ с учетом клиентских запросов, оценки рисков и регуляторных требований;
• сформированы основные целевые качественные и количественные показатели;
• проведен анализ текущей деятельности подразделения, определены имеющиеся отклонения от желаемого целевого состояния и «узкие» звенья;
• подготовлен запрос на необходимые трансформационные изменения деятельности подразделения: организационные, штатные, финансовые, нормативные и технологические;
• организована информационная работа с сопротивлением, вовлеченностью и мотивацией персонала, направленная на расширение применения сервисной модели в своей деятельности;
• проводится корректировка целевых показателей с учетом реальных возможностей подразделения.

В результате проделанной работы за год уже удалось достичь следующих улучшений:

• перевыполнены целевые KPI по управлению доступом на 25%;
• уменьшено время обработки инцидентов в 1,5 раза, 86% закрывается в согласованный срок;
• сокращено на 5% число отклонённых обращений пользователей;
• радикально уменьшен на 250% средний срок проведения экспертизы проектных решений, на сегодня он составляет 4 дня;
• число закрытых обращений первой линией единого окна с положительной обратной связью увеличилось на 10%, число положительных оценок по обращениям выросло на 40%;
• уровень удовлетворенности клиентов CSI достиг значения 86%, индекс лояльности клиентов NPS составляет 9,6; охват целевой аудитории персонала инструментами ситуационного информирования и кибер-обучениями составил 90%.

Проведенные изменения позволили управлению информационной безопасности компании повысить эффективность своей деятельности по основным сервисным процессам, удовлетворить трансформационные бизнес-запросы, повысить мотивацию сотрудников управления и демаркировать области ответственности со смежными подразделениями; ввести единые целевые показатели для сквозных сервисов информационной безопасности.