Контакты
Подписка 2025
Статьи по информационной безопасности

Управление портфелем проектов в ИБ

Сергей Рысин, 19/09/19

Сегодня необходимость управления проектами для многих компаний уже данность, с которой не всегда и не у всех получается эффективно справляться: компании динамично растут, соответственно и число проектов увеличивается, ужесточаются требования к таким параметрам, как сроки, качество, соблюдение бюджета.
Сергей Рысин
Эксперт по информационной безопасности
 

Виталий Терентьев
Руководитель дирекции специальных проектов hh.ru
 
 

Становится действительно сложно одновременно управлять большим набором разрозненных проектов ввиду необходимости их приоритизации и постоянной сверки со стратегическими целями компании. Ведь одно дело, когда у вас в рамках стратегии одновременно реализуется пять проектов, и совсем другое – когда их десятки. Ко всему прочему добавляется сложность в оценке выгод от реализации и окупаемости тех или иных нововведений, т.к. результаты далеко не всех проектов можно четко количественно измерить.

Но даже если мы понимаем и оцениваем положительный эффект проектов и их соответствие стратегии и фокусу компании, в большинстве организаций в момент их реализации начинается настоящая битва за ресурсы, ведь невозможно выполнить одновременно все проекты с сопоставимой эффективностью. В этой связи заказчики изменений – руководители, инвесторы и другие заинтересованные лица – начинают сталкиваться с проблемами увеличения сроков или увеличения инвестиций для того, чтобы проект был выполнен с нужным уровнем качества и в срок.

Поэтому компании начинают задумываться о необходимости перехода на другую ступень управления, которая поможет связать разрозненные части воедино, позволит достигать поставленных целей с заданным сроком, расставлять приоритеты с учетом стратегического видения собственника, безболезненно отказываясь от тех проектов, которые в это видение не укладываются.

Почему это важно?

Ответ лежит на поверхности: во многих компаниях при работе над проектами руководство в тот или иной момент времени начинает фокусироваться на одном отдельно взятом проекте. Что сделать, чтобы завершить проект вовремя, как не выйти за рамки бюджета и сохранить нужный уровень качества? Много графиков, красивых отчетов, восторженных отзывов. Но основная проблема кроется в том, что "за деревьями леса не видно".

Невозможно строить эффективную компанию, атомизируясь до проектов, без стратегического видения всей картины происходящего. И тут многие начинают задаваться вопросом "А те ли проекты мы делали сейчас", потому как сам по себе проект вроде как классный и важный, но в системе целей компании, которые регулярно корректируются под воздействием внешних факторов, становится не особо-то нужен. Решает, допустим, руководитель производства металлургического холдинга реализовать инвестиционный проект по повышению производительности трубопрокатной линии. Пишет бизнес-план, вносит бюджетные корректировки, проводит предварительные консультации с потенциальными поставщикам оборудования. А потом оказывается, что собственник давно принял решение в принципе отказаться от трубопрокатного производства, потому что не удалось продлить договор с ключевым заказчиком. Время потрачено, даже, возможно, какие-то деньги вложены. Но стратегии компании этот проект не соответствует.

В этом основное различие руководителя проекта и руководителя компании, они мыслят разными категориями: один про сроки, burn down chart, а другой про удовлетворение ожиданий акционеров в части доходности компании, роста стоимости акций, стратегические цели и ebitda. При этом задача руководителя компании – сформировать у руководителей проектов понимание стратегических целей и утверждать проекты, изначально соответствующие вектору развития бизнеса.

Если исходить из среднестатистического определения, то управление портфелем проектов (англ. project portfolio management) – это механизм, предназначенный для трансляции стратегии в портфель проектов для последующей реализации, планирования, анализа и переоценки портфеля с целью эффективного достижения стратегических целей организации.

Для того чтобы управление проектами работало на таргеты компании, мы используем управление портфелем проектов, которое минимизирует разрывы в ожиданиях и стремлениях между руководством компании и руководителями проектов.

И здесь хочется остановиться скорее на практических аспектах этого процесса и тонкостях, а не на на канонических постулатах и теории, поскольку в этой статье речь пойдет о том, о чем не написано ни в одной книге по теории управления, а влияние, которое оказывают эти факторы на эффективность компании, гигантское.

Если исходить из среднестатистического определения, то управление портфелем проектов (англ. project portfolio management) – это механизм, предназначенный для трансляции стратегии в портфель проектов для последующей реализации, планирования, анализа и переоценки портфеля с целью эффективного достижения стратегических целей организации.

Как мы видим из определения, система управления портфелем проектов состоит из некоторых краеугольных составных частей, которые влияют на конечный результат. И первое, на чем хотелось бы остановиться, – это планирование.

К сожалению или к счастью, планирование – не самая сильная сторона российского менеджмента. Просто в силу нашего менталитета, дополненного малым историческим опытом ведения бизнеса. Мы отлично договариваемся, у нас прекрасные мозги и прорывные идеи, часто наш бизнес начинается с того, что все хлопнули по рукам и побежали делать дела. И вот тут встает вопрос: а куда бежим? Как мы себе представляем в деталях то, что хотим построить? И главное, какой план забега?

Как правило, мало кто имеет четкое представление о конечном результате, а когда корабль плывет без курса, вероятность того, что он доплывет в нужную точку, очень низкая.

Поэтому первый критерий успеха в управлении портфелем проектов – очень точно, в мельчайших подробностях, описать конечный результат, который планируем получить на выходе по итогу реализации портфеля в целом и каждого отдельного проекта в частности.

Например, если мы строим систему защиты, то какая она будет в результате, из чего будет стоять, как работать, кто будет вовлечен в процесс обслуживания и т.д. После того как видение будет максимально четко прописано, становится ясно, какой инструментарий нужен для реализации проекта, при этом вполне возможно, что в процессе проработки видения цель и решение могут видоизмениться в корне. К примеру, цель построить систему защиты компании может решаться не только внутри, но и посредством поиска партнера для аутсорса этой функции.

Первый критерий успеха в управлении портфелем проектов – очень точно, в мельчайших подробностях, описать конечный результат, который планируем получить на выходе по итогу реализации портфеля в целом и каждого отдельного проекта в частности.

Второе важное условие – определить ключевые факторы успеха при реализации портфеля, которые максимально будут способствовать достижению поставленных целей. После такой приоритизации мы сможем сконцентрироваться на том, что действительно важно, и не заниматься другими задачами и направлениями с более низким уровнем приоритета.

Другими словами, факторы успеха – это те сферы деятельности, которые должны работать без сбоев, только тогда это будет гарантией успеха отдельного подразделения и компании в целом. То есть это те немногие области, которым необходимо уделять особое и постоянное внимание, получая от них максимально положительные результаты. Как правило, выделяют 3–5 наиболее важных на ближайшую перспективу, например, путем ранжирования всех выделенных факторов, имеющих значение для данной отрасли.

У каждого подразделения в компании и у бизнеса такие факторы, безусловно, будут свои, но в качестве примера можно привести следующий перечень: бюджет, персонал, технологии, скорость реакции, доверие со стороны руководства, знания, личный бренд и т.д.

Работа с факторами успеха позволяет оптимизировать ресурсы и использовать их с максимальной отдачей, что не может не радовать инвесторов, ведь выделенный бюджет в итоге расходуется с умом.

Третьим критерием успеха является определение и устранение bottleneck, "бутылочного горлышка", узкого места, которое критично влияет на успешность реализации портфеля, является его сдерживающим фактором. Как правило, детекция и устранение таких узких мест позволяет достичь максимального эффекта от внедряемых изменений.

И если в целом системно подходить к вопросу митигации рисков, то мы в рамках управления портфелями проектов в информационной безопасности описываем до деталей сценарии реагирования на те или иные события, помимо процедур оценки рисков и выработки мер по их предотвращению.

Хотя, как правило, большинство руководителей в области ИБ ограничивается созданием карты рисков, примерной оценкой сумм ущерба, формированием пула ответственных лиц. И в случае срабатывания риска у многих нет ни малейшего понимания, что делать, а ценное время тратится на попытки создать некий план, основывающийся в лучших традициях классики на вопросах "Кто виноват? Что делать?".

На наш взгляд, даже последние новинки в мире ИБ, выстроенные в ряды вокруг периметра компании, не спасут от взлома, поэтому стоит принять за аксиому утверждение "нас рано или поздно сломают" и проектировать не снижение рисков, а программу действия и снижение времени реагирования на устранение последствий.

Процесс управления портфелем проектов – это скоординированный комплекс стратегических процессов и решений, который позволяет компании получить следующие преимущества:

  •  финансовая выгода при вложении ресурсов в "правильные" программы и проекты;
  •  снижение издержек в связи с отказом от проектов, не соответствующих стратегии компании;
  •  более эффективное распределение ресурсов между проектами;
  •  повышение прозрачности бизнес-процессов за счет четкой детализации составных частей каждого проекта внутри портфеля;
  •  улучшение взаимодействия между заказчиками внутри подразделений, в том числе топ-менеджерами.

И это касается вопросов не только сугубо ИБ, но и кросс-задач в связке с другими департаментами: маркетинга, юриспруденции, финансов и т.п. CISO нужно уметь взаимодействовать с другими подразделениями, быть профессиональным управленцем, коих на нашем рынке, к сожалению, не так много.

Есть прекрасные, великолепные, технически подкованные руководители, которые обладают уникальными знаниями в области техники и технологий. Но их нельзя назвать полноценными директорами по безопасности, если они не обладают навыками и компетенциями профессиональных управленцев.

Безусловно, полная осведомленность в нюансах работы, знание технологических особенностей конкретной отрасли – важные и нужные навыки руководителя. Но без коммуникационной составляющей эффективно управлять портфелем проектов невозможно, т.к. вести за собой команду в изменения, не являясь ее лидером, крайне сложно. Ведь для каждого руководителя высшего звена портфель проектов – это не просто 2–3 рядовых бизнес-процесса, это подчас десятки разнонаправленных многоуровневых и перекрестных проектов, реализация которых требует слаженной, компетентной работы десятков, сотен, тысяч людей, и квалифицированное, эффективное руководство этой командой требует не просто знаний и компетенций, но и наличия сильных лидерских качеств, организаторских способностей, стратегического мышления, если хотите – харизмы.

Кем является такой CISO для других? Гарантом успеха. При этом совершенно неважно, чем он будет заниматься в данный конкретный момент: обсуждать цели с командой, корректировать шаги, проводить собеседование с новыми сотрудниками или просто воодушевлять своих людей на новые свершения.

Важно то, что под его руководством сотрудники растут не только вертикально по карьерной лестнице, но и горизонтально, расширяя границы своих знаний и приобретая ценные навыки.

Поэтому профессиональный руководитель, который формирует слаженную команду, получает фору при достижении целей при прочих равных условиях, т.к. зачастую коммуникации в команде являются тем самым "бутылочным горлышком", которое тормозит достижение поставленных целей и в целом снижает производительность подразделения.

Резюмируя все вышесказанное, хочется отметить тот факт, что процесс управления портфелем проектов – это скоординированный комплекс стратегических процессов и решений, который позволяет компании получить следующие преимущества:

  •  финансовая выгода при вложении ресурсов в "правильные" программы и проекты;
  •  снижение издержек в связи с отказом от проектов, не соответствующих стратегии компании;
  •  более эффективное распределение ресурсов между проектами;
  •  повышение прозрачности бизнес-процессов за счет четкой детализации составных частей каждого проекта внутри портфеля;
  •  улучшение взаимодействия между заказчиками внутри подразделений, в том числе топ-менеджерами.

Переходя от стратегии к шагам по созданию портфеля проектов ИБ, хочется отметить, что у разных компаний доля портфеля ИБ в структуре бизнеса может различаться. Так, по западной статистке, компании инвестируют в среднем в ИБ от 2 до 7% дохода, а некоторые – до 20%, все зависит от поля деятельности и поставляемого решения или продукта.

Как построить портфельное управление в ИБ-подразделении

Для того чтобы выстроить систему управления портфелем, в первую очередь стоит определить подразделение либо кросс-функциональную команду, которая будет заниматься непосредственным внедрением этого изменения.

Это необходимо для того, чтобы определить круг ответственных за принятие решений лиц, решить, какие проекты необходимо реализовать сейчас, а от каких следует вообще отказаться либо отодвинуть срок как у менее приоритетных.

Далее необходимо разработать критерии оценки портфелей, по которым они будут ранжироваться, исходя из стратегических целей компании, с учетом расчета рисков и окупаемости тех или иных решений.

Наиболее оптимальным выбором будет, как правило, тот проект, в котором присутствует комбинация следующих показателей:

  •  наиболее низкий показатель TCO (снижение затрат на содержание проекта системы защиты);
  •  увеличение ROI (процента возврата финансовых вложений в проект), но здесь есть нюанс: прямого влияния на рост доходов система информационной безопасности не имеет. Поэтому, как правило, этот показатель можно использовать в дополнение к разработанной системе оценок, не ожидая бешеного роста после инвестиций в сферу информационной защищенности;
  •  снижение окупаемости – как можно меньший период, желательно не больше года, т.к. это позволит обосновать вложения в рамках годового бюджета.

Определяются также ключевые KPI, по которым будет производиться мониторинг реализации проектов портфеля.

Следующим шагом будет выбор ПО для управления портфелем проектов и оперативного контроля внедряемых изменений и сбор реестра проектов, уже имеющихся в подразделении и планируемых к реализации. Проекты фильтруются на основании критериев и целей компании, и вырабатываются short-list изменений на краткосрочную перспективу и бэклог проектов, следующих за ним в порядке очереди.

Профессиональный руководитель, который формирует слаженную команду, получает фору при достижении целей при прочих равных условиях, т.к. зачастую коммуникации в команде являются тем самым "бутылочным горлышком", которое тормозит достижение поставленных целей и в целом снижает производительность подразделения.

Список утверждается командой, управляющей портфелем. Затем на регулярной основе производится оперативный контроль по ходу реализации портфеля: происходит актуализация проектов, перераспределение ресурсов и возможный вывод срочных и важных проектов.

И здесь, в части распределения ресурсов, можно натолкнуться на следующую ошибку: зачастую безопасность начинает применять исключительно собственные ресурсы для реализации проектов, хотя иногда отдать некоторые работы на аутсорс бывает эффективнее и дешевле.

Поэтому хочется призвать коллег, которые вовлечены в управление портфелем, расширять границы собственного видения проектов и способов их воплощения в жизнь.

Какие тенденции на рынке можно увидеть сегодня?

Прошли нулевые, начались десятые, и после 15-го года наметилась тенденция использования аутсорсинга в сфере информационной безопасности. Ранее этого не наблюдалось, так как почти все владельцы бизнеса считали, что ИБ только внутренняя задача и "снаружи" ее не стоит решать, т.к. вопрос слишком интимный. Но рынок растет, и потребности меняются. И что же мы видим? Большое количество компаний начинает делегировать задачи по Cyber Security и ИБ внешнему контрагенту. Причина такого делегирования лежит на поверхности: сейчас портфель проектов информационной безопасности содержит задачи не только из области, обслуживающей интересы бизнеса, но и вопросы увеличения доходности компании.

Зачастую внутренними ресурсами перекрываются задачи нелинейные, и стоимость их внешнего решения будет дороже использования внутреннего специалиста, а на аутсорсинг выносятся следующие вопросы:

  •  администрирование СОИБ;
  •  анализ данных из СОИБ;
  •  форензика.

Внешняя обработка, как многие знают, позволяет экономить бизнесу на затратах ФОТ и дает возможность гибко масштабироваться при увеличении задач бизнеса.

Внутренние ресурсы отвечают за стратегию и менеджмент вопросов, важных для бизнеса, и правильность управления этим портфелем будет уже зависеть не от классического подхода – владения большим штатом технических специалистов и аналитиков, а от правильного управления ресурсами на аутсорсинге и подбора в штат тех специалистов, которые будут решать вопросы по архитектуре и менеджменту внешнего контрагента.

Что важно отметить в тенденциях:

  •  в безопасности начинают управлять портфелем проектов, а не раздувать штат;
  •  внешнее обслуживание вопросов информационной безопасности позволяет оперативно решать вопросы с большей эффективностью;
  •  CISO теперь полноценный сотрудник компании, так как решает вопросы увеличения доходов бизнеса, используя свои механизмы;
  •  время и средства – то, чем управляет современный CISO, а не сильно раздутым штатом, как ранее;
  •  коммуникации – то, что выходит на первый план у CISO: общение с коллегами не языком силы, а языком взаимопомощи.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2019
Темы:Управление

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Стратегия аудита информационной безопасности в пяти шагах
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В условиях стремительного развития технологий и увеличения числа угроз регулярный аудит становится необходимым инструментом для обеспечения надежной защиты данных, предотвращения утечек информации и обеспечения непрерывного функционирования информационных ресурсов.
  • Кризисный менеджмент в информационной безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В данной статье рассмотрим, что такое кризисный менеджмент и как его принципы соотносятся с классическим циклом PDCA, обеспечивая системный подход к управлению информационной безопасностью.
  • Ключевые индикаторы риска: как ими правильно пользоваться
    Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group
    Ключевые индикаторы риска (КИР) необходимо корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы.
  • Секьюритизация сотрудников: практики и инструменты в интересах безопасности организации
    Кирилл Шалеников, руководитель проектов в интеграторе Angara Security
    Security Awareness – неотъемлемая часть стратегии информационной безопасности для любой организации. Обученные сотрудники способствуют созданию более защищенной среды и снижают риски для потери данных и репутации компании. Инвестиции в обучение и повышение осведомленности сотрудников могут оказаться одной из наиболее эффективных мер по обеспечению безопасности информации.
  • Ключевые показатели эффективности для подразделений информационной безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В практической деятельности у руководителей cлужб информационной безопасности часто возникают проблемы, связанные с оценкой эффективности возглавляемого ими подразделения.
  • Что такое Compromise Assessment и зачем он нужен бизнесу
    Семен Рогачев, руководитель отдела реагирования на инциденты системного интегратора “Бастион”
    Если СЗИ молчат, то это не значит, что систему безопасности организации не взломали. Некоторые хакеры могут годами прятаться в ИТ-инфраструктуре и шпионить, прежде чем решат нанести удар. Вовремя выявить такую опасность или убедиться в ее отсутствии помогает практика Compromise Assessment.

Саммит субъектов КИИ-1

Москва, 26 сентября

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"