Контакты
Подписка 2024

“Fail fast, learn faster” или ИБ в стиле Agile

Илья Борисов, 26.02.19

borisovВ этом году на профессиональном слете CISO “Код ИБ ПРОФИ” (28-31 марта) выступят 12 звезд ИБ. В преддверии события спикер форума Илья Борисов (Thyssenkrupp Industrial Solutions)  поделился мыслями на тему Agile в ИБ.

Ваш мастер-класс на ПРОФИ посвящен методологиям Agile/Scrum/Lean/Six Sigma. Почему растет их популярность в ИБ?

Все они проверены временем и показали свою эффективность в управлении сложными проектами. Если Lean/Six Sigma  успешно применяются на огромном количестве промышленных предприятий, то Agile/Scrum - больше в компаниях, которые занимаются разработкой. Тем не менее, и те и другие подходы ИТ- и ИБ-службы компании пытаются адаптировать и использовать для себя. Ведь идеология Agile как раз подразумевает адаптацию под свои нужды.


Массовое увлечение отечественных управленцев Agile началось со Сбербанка и его Sbergile?
Да, пожалуй. Если до этого Agile рассматривался как инструмент команд разработки, то Сбербанк перевел его в иную плоскость, организационную, осуществил переход к идеологии Agile, на которой строятся процессы целой компании.


В чем специфика функционирования гибких подходов в ИБ?
Специфика Agile в ИБ заключается в том, что есть ограничения в свободном обмене данными, во взаимодействии. Построение командной работы (особенно в распределенных командах) может быть сопряжено с дополнительными рисками и усилиями. Подробнее о специфике поговорим на мастер-классе.


Какие методологии для каких задач используются в вашей компании?Производственные предприятия нашего концерна активно используют Lean и Six Sigma.

Agile, и, в частности, методология Scrum, широко применяется в нашей компании именно для проектов в области ИБ. Это глобальные проекты, то есть команды являются интернациональными, в них входят сотрудники из Индии, России, Германии, Мексики и еще нескольких стран. Мы в течение полутора лет используем эту методологию, и результаты были признаны положительными. Об этом я подробно рассказывал ещё на прошлом “Коде ИБ ПРОФИ” в Москве.

У нас большая компания, много разных бизнес-направлений, начиная от выплавки стали и строительства, заканчивая разработкой подводных лодок. Поэтому такого, чтобы была принята единая методология, например, Agile, нет, и это вряд ли случится, потому что, к примеру, в строительстве кораблей, заводов, крайне сложно использовать гибкие подходы. В них применяются традиционные водопадные модели, так как цикл жизни проектов большой и внесение изменений строго регламентировано.


Как Вы относитесь к Agile Manifesto и Agile Cybersecurity Action Plan?Agile-манифест - это основополагающий документ, но я предложил бы на нем не зацикливаться, потому что в нем самом утверждается, что подход  должен быть не формальным, а целеориентированным.

В целом это достаточно универсальные методологии, которые предполагают подгонку, выработку собственных методов и процессов. В частности, сейчас многие компании используют методологию ScrumBut (берется за основу Scrum, но делаются исключения). Например, для наших распределенных команд, которые живут в разных часовых поясах, ежедневные митинги - почти невозможная практика, поэтому мы от нее отказались.

Есть много адаптаций Agile.Знакомиться с ACAP и другими, безусловно, имеет смысл - с тем, чтобы взять из них то, что вам нужно.


Путь адаптации основан на пробах и ошибках?
Да, это один из принципов. Fail fast, learn faster. В материнской компании thyssenkrupp существуют централизованные офисы управления проектами (PMO), где работают как раз методологи, и они во многом помогают нам, в том числе, с отчетностью, избавляя проектные команды от бюрократической работы. Все-таки, это не то, чем должна заниматься Agile-команда, это сбивает фокус.

Можно и нужно комбинировать классические и гибкие подходы, брать из них лучшее и внедрять. Это не всегда будет работать, но это нормально. Более того, то, что вчера не работало, уже завтра может начать работать, потому что меняются бизнес, проекты, команды, условия в которых приходится работать.


Получается, что не обязательно всей компанией работать по принципам Agile?
Более того, возможно, даже не всей ИБ-службе стоит по ним работать. Нужно четко разделять проекты, которые делаются классическим способом и те, которые будут делаться по Agile. Если есть современная, продвинутая ИБ-служба и команда разработки, сама компания может быть консервативной, требовать, например, отчетности в определенном виде (как госкомпании с их регламентами), которую не всегда можно  и имеет смысл трансформировать в Agile.

Другое дело, что если внедрять Agile как организационную культуру, то эффект будет значительнее. Многие сотрудники, знакомые с Agile могут мигрировать по компании и вливаться в существующие команды, уже понимая принципы их работы, легко адаптироваться. Это большой плюс - особенно для больших компаний (маленьким же это не даст особого выигрыша).

Однако нельзя по щелчку сказать: “Ребята, забудьте весь предыдущий опыт, то, как работали последние несколько лет, с завтрашнего дня мы все работаем по Agile”. Требуется сложная работа по изменению принципов мышления, культуры, по адаптации менеджеров проектов.


Сколько времени занял процесс перехода на Agile вашей ИБ-команды?Мы сразу стали работать по этим принципам. Начали пилотный проект с использованием принципов Agile и он постепенно превратился в основную методологию для работы над глобальными распределенными проектами. Потребовалось 2-3 месяца, чтобы все “устаканилось”.

А начали со стартового совещания с обучением основам Scrum под руководством scrum-мастера, после чего стали его применять на практике, корректировать и, в конечном счете, получили работающий процесс, и уже более полутора лет он работает.


Что дало внедрение Agile вашей компании?
Я говорил на прошлом ПРОФИ в Москве, что возможно основной результат, который мы получили — это формирование команд и командной работы. Для нас это был принципиально новый подход к глобальным проектам. С переходом на Agile изменилась сама идеология, люди начали работать за круглым столом, где нет формальных руководителей и ответственность за результат ощущает каждый член команды.

Руководители из тех, кто поручает задачи и контролирует, превратились в тех, чья основная задача - помогать. Мы запустили более 10 проектов в Agile. То есть 10 команд одновременно. Не все из них, но большая часть, завершились успешно.

Мы сэкономили много на консалтинге за счет того, что команды стали активно обмениваться знаниями, компетенциями, своим опытом - чего раньше не было. Потому что не было хороших, прямых коммуникаций между разными офисами. Ранее это была коммуникация через руководство.

Нам удалось построить крайне эффективное взаимодействие между командами Т.е. если возникают рабочие вопросы, то гораздо проще обратиться за помощью к коллеге, потому что у тебя есть опыт работы с ним. В плане построения глобальной ИБ-команды Agile дает просто огромный эффект, который сложно получить с помощью того же тимбилдинга.


С чего начать тем CISO, которые желают внедрить принципы Agile в практику? С обучения?
Разумеется. Благо, сейчас доступно огромное количество онлайн и оффлайн-ресурсов, где можно почерпнуть базовые принципы бесплатно или за адекватные деньги, в том числе, Код ИБ АКАДЕМИЯ. Но не нужно рассматривать Agile как догму, потому что не факт, что в конкретной компании эти практики приживутся и будут эффективны. Их нужно в любом случае адаптировать.


Имеет ли смысл выбрать для управления ИБ какую-то одну, основную, методологию? Как избежать хаоса при одновременном применении нескольких подходов для разных задач?
Нет смысла выбирать, как и вообще привязываться жестко к какой-либо методологии. Важно взять то, что нужно, из больших методологий, не внедряя их целиком. Это не только экономит время, но и позволяет построить свою уникальную экосистему управления проектами.

Части из разных подходов закрывают различные части в управлении проектами и процессами, каждый кусочек закрывается лучшим кусочком из той или иной методологии, получается такое “лоскутное одеяло”.


Для каких задач какие методологии предпочтительнее?
Есть два основных подхода к управлению ИБ — это проектный и процессный. Для проектной деятельности — это Agile и Scrum как его ответвление, для управления процессами и их оптимизации подходят Lean и Six Sigma.


Что даст ваш мастер-класс участникам?
В первую очередь, они получат реальный опыт работы в Agile-командах - работы над проектами в области ИБ под руководством экспертов (мне будут помогать Алексей Лукацкий и Лев Палей).

Вместе с нами и коллегами в командах участники разработают планы по реализации типовых проектов в области ИБ. Например, внедрение SIEM, построение SOC, внедрение СУИБ, Threat Intelligence и другие.  Теории не будет, будет только практика.


Будут ли даны реальные кейсы для практики?
Да, весь мастер-класс будет состоять из практики. Мы будем заниматься даже не просто изучением подходов, а реализацией конкретных проектов с использованием этих подходов - Agile, Scrum и прочих. Мы проделаем реальную работу, чтобы участники ушли не только со знаниями, но с реальным планом, стратегией, документами для продолжения этой работы уже на своем предприятии.


Посмотреть программу “Код ИБ ПРОФИ” в Москве (28–31 марта)


Беседовала Вера Архангельская

Темы:Код ИБAgileСобытияThyssenkrupp

Еще темы...