Управление портфелем проектов в ИБ

Сергей Рысин
Эксперт по информационной безопасности

 

Виталий Терентьев

Руководитель дирекции специальных проектов hh.ru

 

Становится действительно сложно одновременно управлять большим набором разрозненных проектов ввиду необходимости их приоритизации и постоянной сверки со стратегическими целями компании. Ведь одно дело, когда у вас в рамках стратегии одновременно реализуется пять проектов, и совсем другое – когда их десятки. Ко всему прочему добавляется сложность в оценке выгод от реализации и окупаемости тех или иных нововведений, т.к. результаты далеко не всех проектов можно четко количественно измерить.

Но даже если мы понимаем и оцениваем положительный эффект проектов и их соответствие стратегии и фокусу компании, в большинстве организаций в момент их реализации начинается настоящая битва за ресурсы, ведь невозможно выполнить одновременно все проекты с сопоставимой эффективностью. В этой связи заказчики изменений – руководители, инвесторы и другие заинтересованные лица – начинают сталкиваться с проблемами увеличения сроков или увеличения инвестиций для того, чтобы проект был выполнен с нужным уровнем качества и в срок.

Поэтому компании начинают задумываться о необходимости перехода на другую ступень управления, которая поможет связать разрозненные части воедино, позволит достигать поставленных целей с заданным сроком, расставлять приоритеты с учетом стратегического видения собственника, безболезненно отказываясь от тех проектов, которые в это видение не укладываются.

Почему это важно?

Ответ лежит на поверхности: во многих компаниях при работе над проектами руководство в тот или иной момент времени начинает фокусироваться на одном отдельно взятом проекте. Что сделать, чтобы завершить проект вовремя, как не выйти за рамки бюджета и сохранить нужный уровень качества? Много графиков, красивых отчетов, восторженных отзывов. Но основная проблема кроется в том, что "за деревьями леса не видно".

Невозможно строить эффективную компанию, атомизируясь до проектов, без стратегического видения всей картины происходящего. И тут многие начинают задаваться вопросом "А те ли проекты мы делали сейчас", потому как сам по себе проект вроде как классный и важный, но в системе целей компании, которые регулярно корректируются под воздействием внешних факторов, становится не особо-то нужен. Решает, допустим, руководитель производства металлургического холдинга реализовать инвестиционный проект по повышению производительности трубопрокатной линии. Пишет бизнес-план, вносит бюджетные корректировки, проводит предварительные консультации с потенциальными поставщикам оборудования. А потом оказывается, что собственник давно принял решение в принципе отказаться от трубопрокатного производства, потому что не удалось продлить договор с ключевым заказчиком. Время потрачено, даже, возможно, какие-то деньги вложены. Но стратегии компании этот проект не соответствует.

В этом основное различие руководителя проекта и руководителя компании, они мыслят разными категориями: один про сроки, burn down chart, а другой про удовлетворение ожиданий акционеров в части доходности компании, роста стоимости акций, стратегические цели и ebitda. При этом задача руководителя компании – сформировать у руководителей проектов понимание стратегических целей и утверждать проекты, изначально соответствующие вектору развития бизнеса.

Для того чтобы управление проектами работало на таргеты компании, мы используем управление портфелем проектов, которое минимизирует разрывы в ожиданиях и стремлениях между руководством компании и руководителями проектов.

И здесь хочется остановиться скорее на практических аспектах этого процесса и тонкостях, а не на на канонических постулатах и теории, поскольку в этой статье речь пойдет о том, о чем не написано ни в одной книге по теории управления, а влияние, которое оказывают эти факторы на эффективность компании, гигантское.

Если исходить из среднестатистического определения, то управление портфелем проектов (англ. project portfolio management) – это механизм, предназначенный для трансляции стратегии в портфель проектов для последующей реализации, планирования, анализа и переоценки портфеля с целью эффективного достижения стратегических целей организации.

Как мы видим из определения, система управления портфелем проектов состоит из некоторых краеугольных составных частей, которые влияют на конечный результат. И первое, на чем хотелось бы остановиться, – это планирование.

К сожалению или к счастью, планирование – не самая сильная сторона российского менеджмента. Просто в силу нашего менталитета, дополненного малым историческим опытом ведения бизнеса. Мы отлично договариваемся, у нас прекрасные мозги и прорывные идеи, часто наш бизнес начинается с того, что все хлопнули по рукам и побежали делать дела. И вот тут встает вопрос: а куда бежим? Как мы себе представляем в деталях то, что хотим построить? И главное, какой план забега?

Как правило, мало кто имеет четкое представление о конечном результате, а когда корабль плывет без курса, вероятность того, что он доплывет в нужную точку, очень низкая.

Поэтому первый критерий успеха в управлении портфелем проектов – очень точно, в мельчайших подробностях, описать конечный результат, который планируем получить на выходе по итогу реализации портфеля в целом и каждого отдельного проекта в частности.

Например, если мы строим систему защиты, то какая она будет в результате, из чего будет стоять, как работать, кто будет вовлечен в процесс обслуживания и т.д. После того как видение будет максимально четко прописано, становится ясно, какой инструментарий нужен для реализации проекта, при этом вполне возможно, что в процессе проработки видения цель и решение могут видоизмениться в корне. К примеру, цель построить систему защиты компании может решаться не только внутри, но и посредством поиска партнера для аутсорса этой функции.

Второе важное условие – определить ключевые факторы успеха при реализации портфеля, которые максимально будут способствовать достижению поставленных целей. После такой приоритизации мы сможем сконцентрироваться на том, что действительно важно, и не заниматься другими задачами и направлениями с более низким уровнем приоритета.

Другими словами, факторы успеха – это те сферы деятельности, которые должны работать без сбоев, только тогда это будет гарантией успеха отдельного подразделения и компании в целом. То есть это те немногие области, которым необходимо уделять особое и постоянное внимание, получая от них максимально положительные результаты. Как правило, выделяют 3–5 наиболее важных на ближайшую перспективу, например, путем ранжирования всех выделенных факторов, имеющих значение для данной отрасли.

У каждого подразделения в компании и у бизнеса такие факторы, безусловно, будут свои, но в качестве примера можно привести следующий перечень: бюджет, персонал, технологии, скорость реакции, доверие со стороны руководства, знания, личный бренд и т.д.

Работа с факторами успеха позволяет оптимизировать ресурсы и использовать их с максимальной отдачей, что не может не радовать инвесторов, ведь выделенный бюджет в итоге расходуется с умом.

Третьим критерием успеха является определение и устранение bottleneck, "бутылочного горлышка", узкого места, которое критично влияет на успешность реализации портфеля, является его сдерживающим фактором. Как правило, детекция и устранение таких узких мест позволяет достичь максимального эффекта от внедряемых изменений.

И если в целом системно подходить к вопросу митигации рисков, то мы в рамках управления портфелями проектов в информационной безопасности описываем до деталей сценарии реагирования на те или иные события, помимо процедур оценки рисков и выработки мер по их предотвращению.

Хотя, как правило, большинство руководителей в области ИБ ограничивается созданием карты рисков, примерной оценкой сумм ущерба, формированием пула ответственных лиц. И в случае срабатывания риска у многих нет ни малейшего понимания, что делать, а ценное время тратится на попытки создать некий план, основывающийся в лучших традициях классики на вопросах "Кто виноват? Что делать?".

На наш взгляд, даже последние новинки в мире ИБ, выстроенные в ряды вокруг периметра компании, не спасут от взлома, поэтому стоит принять за аксиому утверждение "нас рано или поздно сломают" и проектировать не снижение рисков, а программу действия и снижение времени реагирования на устранение последствий.

И это касается вопросов не только сугубо ИБ, но и кросс-задач в связке с другими департаментами: маркетинга, юриспруденции, финансов и т.п. CISO нужно уметь взаимодействовать с другими подразделениями, быть профессиональным управленцем, коих на нашем рынке, к сожалению, не так много.

Есть прекрасные, великолепные, технически подкованные руководители, которые обладают уникальными знаниями в области техники и технологий. Но их нельзя назвать полноценными директорами по безопасности, если они не обладают навыками и компетенциями профессиональных управленцев.

Безусловно, полная осведомленность в нюансах работы, знание технологических особенностей конкретной отрасли – важные и нужные навыки руководителя. Но без коммуникационной составляющей эффективно управлять портфелем проектов невозможно, т.к. вести за собой команду в изменения, не являясь ее лидером, крайне сложно. Ведь для каждого руководителя высшего звена портфель проектов – это не просто 2–3 рядовых бизнес-процесса, это подчас десятки разнонаправленных многоуровневых и перекрестных проектов, реализация которых требует слаженной, компетентной работы десятков, сотен, тысяч людей, и квалифицированное, эффективное руководство этой командой требует не просто знаний и компетенций, но и наличия сильных лидерских качеств, организаторских способностей, стратегического мышления, если хотите – харизмы.

Кем является такой CISO для других? Гарантом успеха. При этом совершенно неважно, чем он будет заниматься в данный конкретный момент: обсуждать цели с командой, корректировать шаги, проводить собеседование с новыми сотрудниками или просто воодушевлять своих людей на новые свершения.

Важно то, что под его руководством сотрудники растут не только вертикально по карьерной лестнице, но и горизонтально, расширяя границы своих знаний и приобретая ценные навыки.

Поэтому профессиональный руководитель, который формирует слаженную команду, получает фору при достижении целей при прочих равных условиях, т.к. зачастую коммуникации в команде являются тем самым "бутылочным горлышком", которое тормозит достижение поставленных целей и в целом снижает производительность подразделения.

Резюмируя все вышесказанное, хочется отметить тот факт, что процесс управления портфелем проектов – это скоординированный комплекс стратегических процессов и решений, который позволяет компании получить следующие преимущества:

•  финансовая выгода при вложении ресурсов в "правильные" программы и проекты;
•  снижение издержек в связи с отказом от проектов, не соответствующих стратегии компании;
•  более эффективное распределение ресурсов между проектами;
•  повышение прозрачности бизнес-процессов за счет четкой детализации составных частей каждого проекта внутри портфеля;
•  улучшение взаимодействия между заказчиками внутри подразделений, в том числе топ-менеджерами.

Переходя от стратегии к шагам по созданию портфеля проектов ИБ, хочется отметить, что у разных компаний доля портфеля ИБ в структуре бизнеса может различаться. Так, по западной статистке, компании инвестируют в среднем в ИБ от 2 до 7% дохода, а некоторые – до 20%, все зависит от поля деятельности и поставляемого решения или продукта.

Как построить портфельное управление в ИБ-подразделении

Для того чтобы выстроить систему управления портфелем, в первую очередь стоит определить подразделение либо кросс-функциональную команду, которая будет заниматься непосредственным внедрением этого изменения.

Это необходимо для того, чтобы определить круг ответственных за принятие решений лиц, решить, какие проекты необходимо реализовать сейчас, а от каких следует вообще отказаться либо отодвинуть срок как у менее приоритетных.

Далее необходимо разработать критерии оценки портфелей, по которым они будут ранжироваться, исходя из стратегических целей компании, с учетом расчета рисков и окупаемости тех или иных решений.

Наиболее оптимальным выбором будет, как правило, тот проект, в котором присутствует комбинация следующих показателей:

•  наиболее низкий показатель TCO (снижение затрат на содержание проекта системы защиты);
•  увеличение ROI (процента возврата финансовых вложений в проект), но здесь есть нюанс: прямого влияния на рост доходов система информационной безопасности не имеет. Поэтому, как правило, этот показатель можно использовать в дополнение к разработанной системе оценок, не ожидая бешеного роста после инвестиций в сферу информационной защищенности;
•  снижение окупаемости – как можно меньший период, желательно не больше года, т.к. это позволит обосновать вложения в рамках годового бюджета.

Определяются также ключевые KPI, по которым будет производиться мониторинг реализации проектов портфеля.

Следующим шагом будет выбор ПО для управления портфелем проектов и оперативного контроля внедряемых изменений и сбор реестра проектов, уже имеющихся в подразделении и планируемых к реализации. Проекты фильтруются на основании критериев и целей компании, и вырабатываются short-list изменений на краткосрочную перспективу и бэклог проектов, следующих за ним в порядке очереди.

Список утверждается командой, управляющей портфелем. Затем на регулярной основе производится оперативный контроль по ходу реализации портфеля: происходит актуализация проектов, перераспределение ресурсов и возможный вывод срочных и важных проектов.

И здесь, в части распределения ресурсов, можно натолкнуться на следующую ошибку: зачастую безопасность начинает применять исключительно собственные ресурсы для реализации проектов, хотя иногда отдать некоторые работы на аутсорс бывает эффективнее и дешевле.

Поэтому хочется призвать коллег, которые вовлечены в управление портфелем, расширять границы собственного видения проектов и способов их воплощения в жизнь.

Какие тенденции на рынке можно увидеть сегодня?

Прошли нулевые, начались десятые, и после 15-го года наметилась тенденция использования аутсорсинга в сфере информационной безопасности. Ранее этого не наблюдалось, так как почти все владельцы бизнеса считали, что ИБ только внутренняя задача и "снаружи" ее не стоит решать, т.к. вопрос слишком интимный. Но рынок растет, и потребности меняются. И что же мы видим? Большое количество компаний начинает делегировать задачи по Cyber Security и ИБ внешнему контрагенту. Причина такого делегирования лежит на поверхности: сейчас портфель проектов информационной безопасности содержит задачи не только из области, обслуживающей интересы бизнеса, но и вопросы увеличения доходности компании.

Зачастую внутренними ресурсами перекрываются задачи нелинейные, и стоимость их внешнего решения будет дороже использования внутреннего специалиста, а на аутсорсинг выносятся следующие вопросы:

•  администрирование СОИБ;
•  анализ данных из СОИБ;
•  форензика.

Внешняя обработка, как многие знают, позволяет экономить бизнесу на затратах ФОТ и дает возможность гибко масштабироваться при увеличении задач бизнеса.

Внутренние ресурсы отвечают за стратегию и менеджмент вопросов, важных для бизнеса, и правильность управления этим портфелем будет уже зависеть не от классического подхода – владения большим штатом технических специалистов и аналитиков, а от правильного управления ресурсами на аутсорсинге и подбора в штат тех специалистов, которые будут решать вопросы по архитектуре и менеджменту внешнего контрагента.

Что важно отметить в тенденциях:

•  в безопасности начинают управлять портфелем проектов, а не раздувать штат;
•  внешнее обслуживание вопросов информационной безопасности позволяет оперативно решать вопросы с большей эффективностью;
•  CISO теперь полноценный сотрудник компании, так как решает вопросы увеличения доходов бизнеса, используя свои механизмы;
•  время и средства – то, чем управляет современный CISO, а не сильно раздутым штатом, как ранее;
•  коммуникации – то, что выходит на первый план у CISO: общение с коллегами не языком силы, а языком взаимопомощи.