В этой статье мы продолжаем серию публикаций о практических аспектах повышения осведомлённости в области информационной безопасности. В последних двух статьях (№№3,4 2017 г.) мы рассмотрели вопросы получения поддержки руководства организации для реализации корпоративной программы повышения осведомлённости, а также возможности повышения осведомлённости собственными силами, без привлечения внешних консультантов.
И вот, руководство, наконец-то, поддерживает вас в стремлении реализовать программу повышения осведомлённости, а выбор, делать ли проект собственными силами или привлекать внешних соисполнителей, сделан. Теперь надо двигаться дальше - начинать проект разработки и реализации этой самой программы повышения осведомлённости. При этом, когда впервые начинаешь какое-либо ответственное предприятие, всегда полезно заранее подумать о том, как правильно его начать, чтобы потом правильно закончить.
ЦЕЛИ – ОБОСНОВАННЫЕ, ПОНЯТНЫЕ, ДОСТИЖИМЫЕ
Здесь мы не имеем ввиду формальные цели программы повышения осведомлённости, которые обычно прописывают в концепциях и аналогичных декларативных документах – мы говорим о фактических практических целях, которые вы ставите перед собой и командой и за достижение которых несёте ответственность.
Обоснованные. Цели должны быть обусловлены именно вашими условиями, прогнозами развития и практическими нуждами организации. То есть программа повышения должна быть направлена на снижение наиболее вероятных рисков, наносящих бизнесу наибольший возможный ущерб. Иными словами, программа повышения осведомлённости должна иметь максимальный ROI при минимальном сроке окупаемости.
Понятные. Цели не должны быть абстрактными, при этом они должны быть понятны 1) вам, 2) руководству, 3) коллегам-соратникам, с которыми вы вместе запускаете программу повышения. Кроме того, каждому должно быть понятно, какие выгоды в результате реализации программы получит лично он, ибо личная выгода есть мотив искренности отношений.
Достижимые. Не следует ставить сверхцелей, которых вы заведомо не сможете достигнуть, или которых, хуже того, просто не нужно достигать. В условиях сильно ограниченных ресурсов их трата на неверно поставленные цели быстро обречёт на провал всю инициативу. Поэтому нужно иметь стратегическое видение, но действовать тактически грамотно.
Например, по итогам реализации программы можно ожидать усвоение пользователями 3-5 основных (то есть, по результатам анализа статистики ИБ-инцидентов за последний год, «закрывающих» 80-90% инцидентов) правил обеспечения информационной безопасности с формированием устойчивых навыков правильного поведения «в случае если» (получил подозрительное email-сообщение – распознал фишинг, не открывая, удалил). Как следствие, целью в этом случае может являться сокращение количества ИБ-инцидентов, связанных с персоналом, скажем, на 70%.
Не лучшим вариантом цели, по нашему мнению, является формулировка вроде «создание корпоративной культуры обеспечения персоналом информационной безопасности». Вне сомнений, это стратегическая цель любых организованных усилий по повышению осведомлённости персонала. Однако, с тактической точки зрения, ресурсы на программу повышения вы тратите сейчас, а вышеупомянутую корпоративную культуру вам удастся создать лишь по прошествии несколько «волн» реализации программы (срок от года до нескольких лет), поэтому неизбежно встанет вопрос обоснования эффективности расходования ресурсов. Ещё один отдельный и сложный вопрос – выработка и согласование критериев, по которым можно с уверенностью судить, создана ли корпоративная культура или ещё нет.
БЕЗ ДРУЗЕЙ МЕНЯ ЧУТЬ-ЧУТЬ, А С ДРУЗЬЯМИ – МНОГО!
Проекты повышения осведомлённости с точки зрения проектного управления являются проектами повышенной сложности: большая организационная значимость проекта (а значит и сильное организационное сопротивление ему), наличие нескольких заинтересованных сторон (часто с взаимно противоположными интересами) и люди как «целевая аудитория» для результатов – всё это порождает множество рисков, управлять которыми в одиночку довольно сложно.
Вы существенно повысите шансы на успех, если привлечёте к реализации проекта (будем конкретнее – включите в команду проекта) авторитетных представителей других заинтересованных подразделений (например, кадровиков и/или юристов). И в дальнейшем обязательно будете поддерживать на высоком уровне их вовлечённость в проект. Так вы не только превратите многих противников в союзников (или хотя бы в немешающих), но и действенно поспособствуете объективному улучшению результатов программы повышения.
ТОЧНОЕ ОПРЕДЕЛЕНИЕ КРИТЕРИЕВ УСПЕШНОСТИ
Вопрос эффективности повышения осведомлённости (в том числе экономической) как метода обеспечения информационной безопасности актуален для многих. Вы должны быть готовы к тому, что с вас спросят за каждый потраченный на реализацию программы повышения рубль и человеко-час. Поэтому по итогам реализации программы необходимо иметь недвусмысленные свидетельства того, что после программы стало заметно лучше, чем было до неё. Ключевое слово здесь – «заметно»: эффект должен быть существенно положительным (а значит чётко идентифицируемым и измеримым) и являться следствием именно реализации программы повышения.
До начала программы необходимо договориться со всеми заинтересованными сторонами об ожидаемых каждой стороной результатах, а также о том, по каким критериям будет приниматься решение об успешности программы в целом. Требование измеримости эффекта влечёт необходимость определения метрик, характеризующих обеспечение персоналом информационной безопасности до и после реализации программы. Выбор таких метрик и разработка методики интерпретации их значений – весьма важная в политическом и техническом смыслах задача.
ТЩАТЕЛЬНОЕ ПЛАНИРОВАНИЕ
Прописная истина проектного управления: правильное планирование – 50% успеха проекта. Конечно, это справедливо и для проектов реализации программ повышения осведомлённости. Однако, заострим внимание на другом - на степени детализации планирования программ повышения осведомлённости. Чем детальнее будет разработанный и согласованный с другими участниками план реализации программы повышения, тем больше вероятность общего успеха. Детальный план подразумевает определение:
целей, задач и результатов программы с привязкой к стратегии развития и нуждам организации;
системы метрик, характеризующих ход реализации, охват и эффективность программы;
состава команды проекта, ролей её членов и их зон ответственности;
ресурсных потребностей, объёма и графика выделения ресурсов для реализации программы;
перечня тем для повышения осведомлённости в разрезе целевых аудиторий;
методов и средств повышения осведомлённости в разрезе тем и целевых аудиторий;
требований к материалам для повышения осведомлённости (к контенту, графическому оформлению, технические требования и другие);
состава работ по разработке материалов для повышения осведомлённости;
состава работ по обучению персонала с использованием разработанных материалов;
методов и средств сбора обратной связи;
процедур пересмотра и модернизации программы повышения.
Конечно, то, насколько детально удастся разработать план впрямую зависит от глубины (степени зрелости) имеющегося видения командой проекта процесса повышения осведомлённости (основные черты которого мы описали в нашей первой статье, см. №2 2017 г.). Именно поэтому до начала разработки программы важно иметь собственное чёткое представление о предстоящей программе, ключевых этапах её реализации, а также, главное, о том, какой эффект она должна оказать на обеспечение безопасности деятельности организации.
Подведём итоги – на что стоит обратить внимание на этапе подготовки и планирования программы повышения осведомлённости:
Выработка и согласование фактических целей программы – важный этап. Цели должны быть обоснованы «жизнью» и согласованы со всеми участниками, должны быть конкретными и достижимыми;
В команду проекта должны входить представители других заинтересованных в результатах подразделений. Необходимо поддерживать их вовлечённость в проект на протяжении всей программы;
Метрики, характеризующие ход реализации программы, и критерии оценки её успешности должны быть разработаны и согласованы до начала реализации;
Степень детализации плана программы повышения должна быть максимальной с учётом необходимости его согласования со всеми участниками.