ПРОКЛЯТИЕ КИТАЙЦЕВ

Классическое китайское проклятье «Чтоб Вам жить в эпоху перемен!» актуально и по сей день. Иногда, казалось бы, и перемены позитивные, а новые проекты приносят больше проблем, чем пользы. К числу таких проектов относятся так называемые «стратегические проекты», которыми руководят члены правления и курируют руководители организаций.

ПРИМЕР ИЗ ЖИЗНИ

Примером такого проекта для информационной безопасности может служить аудит информационной безопасности при поглощениях и слияниях (M&A). В таких проектах нет ни четкого ТЗ (задачу ставит бизнес, мало понимающий в ИБ), ни строгих стандартов, а значит, присутствует весь спектр проектных рисков: объём, сроки, ресурсы и качество. В то же время за проектом следит правление организации, и любой косяк может стать поводом для кадрового решения.

ПРОЕКТНЫЕ РИСКИ

Объем

Отсутствие ТЗ означает возможность бесконечного раздувания объема работ, а через них – требуемых ресурсов и качества проекта. Противостоять этому возможно с помощью формирования т.н. «экспертной позиции» - организация и внутренний заказчик должны принимать изначальное превосходство специалиста по ИБ в своей теме. Помогают утвердить экспертную позицию участие в профессиональных ассоциациях, публикации в СМИ, наличие профессиональных сертификатов (ISACA, ISC2, ITIL) и сильные soft skills.

Проектные сроки

В стратегических проектах желательно установить рабочий ритм – регулярные встречи по проекту + иные регулярные проектные действия. Например, сбор обратной связи от клиента, подготовка и отправка отчетности по проекту с четкими этапами, плановыми, фактическими и прогнозными сроками, перечнем проектных рисков и проблем (реализовавшихся рисков).

Желательно использовать и современные инструменты коммуникации: выделенные чаты в мессенджерах (WhatsApp, Slack и т.п.), постановщики задач («тудушники»).

В случае отсутствия члена команды более чем на день-два, необходимо передать задачи по стратегическому проекту другому участнику. В частности, объяснить задачи (провести инструктаж), передать проектные артефакты (документы) и познакомить с ключевыми участниками проекта. Еще лучше – изначально назначить каждому участнику проекта заместителя (back-up).

Ресурсы

Разнообразие технологий, подходов и практик в ИБ сказывается на разнообразии необходимых ресурсов. В результате ресурсов постоянно не хватает, а когда они есть, частенько под сомнением оказывается надежность исполнителей (в разрезе выполнения проектных задач). Ведь именно в стратегическом проекте исполнители должны работать компетентно и ответственно: выдерживать дедлайны и не допускать грубых ошибок («косячить»).

Для выбора исполнителей нужно регулярно измерять их надежность, и еще до начала стратегического проекта иметь длинную «скамейку запасных» с неким рейтингом надежности по итогам ранее реализованных проектов.

В целях измерения надежности мы определим Надежность как произведение Компетентности на Ответственность. Для оценки Компетентности и Ответственности применим старую-добрую матрицу (как в анализе рисков ИБ), и используем качественный подход – оценки от 1 до 5. Имея такую матрицу 5х5, мы сможем распределить по ней наших исполнителей. Каждый из них получит числовой вес Надежности, например, 20 (4 Компетентность х 5 Ответственности). Соответственно мы сможем выбрать для нашего проекта самых надежных (например, 20% исполнителей с лучшим рейтингом Надежности).

ПРОЕКТНЫЕ ВОЗМОЖНОСТИ

Финансовые рынки учат нас, что высокие риски соответствуют более высокому потенциалу доходности, и в стратегических проектах это именно так. Во многих компаниях функция ИБ имеет мало шансов быть упомянутой на уровне правления, и только стратегический проект дает ей и ее руководителю возможность быть замеченными.

В стратегических проектах жесткий рабочий ритм и сложные задачи сближают членов команды: завязываются новые полезные знакомства с людьми высокого уровня, сглаживаются старые конфликты и т.д. По итогам завершения такого проекта возможна и выплата отдельной премии, например, из фонда генерального директора.

***

Стратегические проекты имеют две стороны. Во-первых, это возможность показать свою эффективность и зрелость как управленца. Во-вторых, продемонстрировать недостаточную для занимаемой должности компетентность. Используя приведенные выше практики, можно повысить вероятность более приятного для профессионалов исхода, и подняться на новый уровень, как минимум с точки зрения профессиональной компетенции и политического влияния в организации.