Контакты
Подписка
МЕНЮ
Контакты
Подписка

Information Security №2: Коммуникации в компании

Ekaterina Danilina, 28.04.18

 

ivanov_m

 

Автор: Владимир Иванов, преподаватель курса по кибербезопасности в школе прогроммирования для детей Coddy

 

 

Первое, что приходит в голову, когда думаешь о коммуникации в большой компании – основная проблема в часовых поясах. С некоторыми сотрудниками рабочее время почти не пересекается. Когда обсуждать рабочие вопросы? Что делать в тот час, когда вы оба на работе: ставить новые задачи или проверять выполнение предыдущих? Всего ведь не успеть.

На самом деле, часовые пояса – это, скорее, особенность, чем проблема. Легкое неудобство, к которому привыкаешь уже через неделю. Нужно относиться к ним, как к локальной особенности конкретного региона. Проблемы в коммуникации у всех одинаковые и от размера компании не зависят. Если вам трудно найти общий язык с единственным сотрудником, который сидит с вами в кабинете, то и с удаленным будут те же проблемы. А если вы знаете коллектив, как свою семью, то не важно сколько между вами километров. Мои родственники и друзья разбросаны по всему миру. И, несмотря на мою любовь к живому общению, skypeи telegramпозволяют держать руку на пульсе. Тот же принцип применяется в работе.

Структура компании

Я не раз и не два работал в компаниях с количеством работников более 10 000. Распределенной по всей стране сетью филиалов сейчас никого не удивишь. Здесь и далее, говоря «компания» я буду подразумевать некий собирательный образ. В качестве конкретного подразделения возьму отдел информационной безопасности, поскольку именно этим я занимаюсь почти 10 лет. Итак, структура стандартной крупной компании: головная организация, несколько десятков «дочек». Пара десятков «внучек».Иногда размеры дочерних организаций позволяют иметь собственные филиалы.Подобные компании можно сравнить с большой многодетной семьей с несколькими поколениями родственников. Некоторые члены семьи уже выросли, съехали от родителей, женились, ведут собственный бюджет, заводят детей.

Бывают члены семьи, которые освоили сложную профессию (например, медицину или юриспруденцию) и теперь помогают всем родственникам советами в рамках своей компетенции. Продолжая аллегорию это будут профильные организации, которые, к примеру, ведут общую бухгалтерию всей группы компаний, или предоставляют услуги физической охраны объектов. Это их основная специализация. В подобных организациях может совсем не быть подразделения ИБ, или оно представлено одним сотрудником.

Периодически глава семьи – клан лидер объявляет общий курс, по которому семья будет двигаться следующую пятилетку. И каждый начинает выполнять поставленную задачу в рамках своих возможностей и знаний. А если надо – всегда может спросить совета у старших товарищей.

Я вообще часто наблюдаю схожие черты в крупных компаниях и больших семьях. Как писал Лев Толстой – все счастливые семьи похожи друг на друга, каждая несчастливая семья несчастлива по-своему[1]. Так вот в благополучных больших семьях люди довольно толерантны друг к другу, доброжелательны и терпеливы. Каждый живет свою жизнь, отыгрывает свою роль – мама следит за хозяйством, папа зарабатывает деньги, сын осваивает новые направления и помогает родителям осваивать новые технологии, бабушка водит внуков в садик и закатывает соленья на зиму, дедушка дает советы, как строить жизнь и карьеру. Но вся семья в целом движется общим курсом. Эффективность при таком подходе достигается общим пониманием проблемы.


 

[1]«Анна Каренина» часть 1 глава 1

Общение внутри подразделения

Структура подразделения

Рассмотрим подробнее структуру отдельно взятого отдела и взаимодействие внутри него. Компания уже давно прошла этап, когда ИБ входило в состав ИТ. Теперь информационная безопасность – это часть дирекции по безопасности, руководитель которой подчиняется напрямую генеральному директору. В составе управления отделы информационной, физической и экономическойбезопасности.

Основные задачи специалистов ИБ в филиалах

В каждом филиале по одному специалисту информационной безопасности. Формально они сотрудники филиала и подчиняются его директору. Но функциональное подчинение – головному офису. Такая схема похожа на очень длительную командировку с целью поднятия уровня ИБ в филиале.

В их задачи входит:

  1. Работать с людьми на местах. У нас проводятся масштабные мероприятия пообучению сотрудников основам ИБ.
  2. Сопровождение систем безопасности. Некоторые филиалы расположены в очень отдаленных районах. Ширина интернет канала вынуждает ставить управляющие серверы поближе. Системы антивирусной защиты, сканирования сети, управления съемными носителями дублируются в каждом филиале. Администрировать их удобнее «на местах».
  3. Проведение местных проверок. В ведении филиала находятся региональные подразделения. До некоторых из них можно добраться только на специальной технике и только в хорошую погоду. Отправить в такую командировку местного эксперта проще, чем посылать человека из Москвы.

Контроль сотрудников из филиалов

Круг задач удаленному специалисту известен заранее, поэтому необходимости в ежедневном контроле нет. Процесс отлажен и проверен временем. Раз в квартал составляется план работы. Каждую неделю отчет о выполненных мероприятиях. Раз в неделю организовывается видео-конференция со всеми филиалами для обсуждения текущих проблем. Этого вполне достаточно, чтобы специалисты были в курсе событий и не теряли связь с руководством. Во всем остальном они вполне самостоятельны.

Большая часть задач даже не нуждается в дополнительной постановке – что-то прописано в регламенте по сопровождению системы, что-то в должностной инструкции, что-то в плане работы дирекции на текущий год. При таком количестве планов и исполнителей становится непросто контролировать выполнение всех поставленных задач. В нашем случае функция контроля для большинства задач возложена на заместителя. Это позволяет начальнику отдела сосредоточиться на стратегическом планировании.

В небольших коммерческих компаниях зачастую отказываются от руководителей среднего звена, и начальник единолично следит за каждым работником. Мой опыт подсказывает, что это может быть эффективно только в небольших коллективах. Когда количество сотрудников растет, у руководителя либо не хватает внимания на всех, либо времени на собственную работу.

Вывод: не пренебрегайте регулярным общением с удаленными сотрудниками своего подразделения.

Общение между подразделениями

Второй спутник большого количества работников – большая ответственность. Ответственность за благосостояние своих подчиненных, за жизнеспособность компании. Особо крупные компании зачастую являются градообразующими, а иногда и стратегически важными для государства. Это только добавляет ответственности. Если даже Герман Греф признался в паранойе[2] и страхе развалить компанию с полуторавековой историей, то что говорить о всех остальных сотрудниках, на которых лежит тот же груз. Чтобы компания работала как часы, и начальство меньше волновалось, нужно повышать уровень личной ответственности каждого сотрудника. Если целью организации является финансовая выгода владельца, то выполнение регламентов вторично. Любой регламент можно нарушить, если выгода от этого будет больше, чем риск потери денег. Компании, работающие на благо государства, должны и думают более глобально. Они не гонятся за сиюминутной выгодой.


[2]На сессии Гайдаровского форума 17.01.2018 (по данным rbc.ru)

Ответственность сотрудников

Здесь во главу угла ставятся нерушимость и незыблемость буквы регламента. Все знают, что правила по технике безопасности написаны кровью. Но вы когда-нибудь видели, чтобы работники также серьезно относились к порядку взаимодействия подразделений при заключении хозяйственных договоров? А ведь это не менее важный документ.Нарушение любого регламента может в конце концов привести к тому, что неквалифицированные люди будут допущены на опасный объект. Ценой этому может стать травма, смерть, экологическая катастрофа или экономический кризис. А такой риск ни один человек взять на себя не готов.

Кажется, чтотак работать практически невозможно? Однако,именно в таких условиях уровень ответственности оказывается значительно выше. Да и работа в таких условиях – рай для подразделения, основными задачами которого является запрещать и контролировать запреты. Написал регламент доступа в интернет. Указал в нем, что нельзя использовать всемирную паутину в личных целях. И что? У вас на работе кого-то этот запрет останавливает? Только честно. А я видел, как люди, скачавшие за месяц больше 400 мегабайт, считаются злостными нарушителями.

Вывод. Воспитывайте в сотрудниках ответственность.

Средства связи

Но давайте вернемся к коммуникации. Тренд времени – постоянно быть на связи. Любой сервис должен быть online. Признак жизни – зеленый значок рядом с фамилией. Instagram, twitter, facebook – если тебя нет в сети, значит ты не существуешь. Чем больше способов связи, тем лучше. Продвинутые компании используют этот принцип и в работе.

Обычно сотрудников обеспечивают следующими средствами связи (в разных комбинациях):

  1. Радиотелефон – основное связующее устройство на работе. Зона покрытия – вся территория предприятия. В рабочее время этот телефон всегда с собой. И это огромный плюс, потому что даже если человек не за рабочим местом, он все равно доступен по внутреннему номеру.
  2. Стационарный рабочий телефон на случай, если у радиотрубки сядет батарея.Кому-то он может показаться лишним агрегатом, кому-то – резервированием канала связи.
  3. Рабочий сотовый телефон нужен для того, чтобы звонить на внутренние номера без всяких call-центров, префиксов и прочих сложностей. Просто набираешь внутренний номер коллеги, и он тебе уже отвечает. Это актуально для дежурных и сотрудников с ненормированным рабочим графиком.

 

У сотового телефона есть внешний федеральный номер, а компания следит за балансом своих сотрудников — на этот номер нет шанса не дозвониться. Он делает любого сотрудника доступным в любое время в любой точке земного шара. И это не прихоть руководства. В основе всего – непрерывность бизнеса. Каждая минута простоя сервиса – минимум упущенная выгода.

Действия в обычном режиме

В повседневной работе сотовые телефоны используются редко, хватает почты и радиотрубки.

Для длительных видео-конференций используетсяSkype. В нем можно перехватить управление компьютером, чтобы помочь коллеге, или подключить камеру и провести собеседование будущего работника.

После приема на работу новый член команды обязательно командируется на несколько дней в головной офис, чтобы быстрее войти в ритм и лучше познакомиться с коллективом.

Раз в год устраивается общий сбор со всеми сотрудниками подразделения. На нем подводятся итоги уходящего года, планируются действия в будущем году. Аналогичный тимбилдинг устраивает незадолго до этого и головная компания. Таким образом общий курс развития на ближайшее время каскадно доносится до каждого сотрудника корпорации.

Действия в экстренном случае

В случае аварии на производстве дежурный на месте обзванивает ответственных сотрудников согласно списку и докладывает детали происшествия. В списке ответственных сотрудников обязательно присутствует и специалист по информационной безопасности. Такое телефонное дежурство длится сутки. На следующий день в списке экстренного оповещения будет стоять другая фамилия.

Имеется аналогичный регламент и на действия в случае кибератаки. Для оповещения используются и электронная почта, и телефоны, а при необходимости и громкая связь на территории здания. Когда действовать надо быстро и важна каждая минута – все средства идут в ход.

Для отработки действий и уменьшения времени реакции регулярно проводятся масштабные учения.

Проблемы коммуникации

Анализируя весь свой опыт работы в коммерческих организациях, государственных компаниях, преподавательскую деятельность, могувыделить три основных типа проблем в коммуникациях:

  1. Большое количество регламентов неизбежно ведет к большому количеству отчетов по ним. Не всегда удается автоматизировать этот процесс.Например: начальник создает запись с постановкой задачи: «провести проверку исполнения парольной политики. Исполнитель: Камушкин. Срок – 3 дня». Работник после завершения работ заполняет поле «результат»: Акт №39 О проведении проверки. В конце недели по расписанию запускается скрипт, который собирает отчет из строчек вида: «Проведена проверка парольной политики, составлен акт. (отв. Камушкин)». В тех компаниях, которые добились такой автоматизации, у сотрудников на одну проблему меньше.
  2. Другой сложностью является поиск новых работников в регионах. Иногда приходится долго искать толковых специалистов на рынке труда. В этой ситуации может помочь взаимодействие с вузами для поиска талантливых студентов последних курсов. Этот способ часто используется в ИТ-компаниях. Уверен, что его нужно транслировать и на более консервативныекомпании.

 

В целом никаких других сложностей в работе нет. Не важно сколько работников в вашей компании, сколько километров до ваших сотрудников – если вы умеете общаться с людьми, все у вас получится.

Темы:Информационная безопасностьжурналУправлениеinformation security

Еще темы...