Контакты
Подписка
МЕНЮ
Контакты
Подписка

Ошибки планирования в рамках стратегического управления проектами по информационной безопасности

В рубрику "Информационная безопасность компьютерных сетей" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Ошибки планирования в рамках стратегического управления проектами по информационной безопасности

Представленные типичные ошибки этапа планирования стратегического управления проектами возникают не только в рамках ведения проектов по информационной безопасности. Однако тонкая специфика направления по защите информации в любой организации, а также потенциальные проблемы, которые могут возникнуть, если не принимать во внимание все вышеназванные аспекты, заставляют экспертов тщательнее продумывать каждый этап и тратить больше времени на проработку организационно-технических деталей и нюансов. Это обстоятельство в перспективе и является основой плодотворной проектной деятельности


Алексей Плешков,

начальник отдела
защиты информационных
технологий 000 "Газпромбанк"

Согласно представлению международных экспертов, термин "эффективное стратегическое управление проектами" следует понимать как комплекс организационно-технических мероприятий, включающих последовательность взаимосвязанных этапов, для каждого из которых определены участники, план, ожидаемые результаты, сроки, бюджет, а также роли, функции и ответственность каждого участника. Основу эффективного ведения проектов составляет сбалансированное планирование работы.

В настоящее время, в условиях сложной финансово-экономической ситуации в мире, стратегически верные (с точки зрения планирования на перспективу) решения руководителей организаций об открытии новых и продолжении ведения ранее начатых проектов (в том числе по информационной безопасности) принимаются с учетом целого ряда факторов, которые отличаются от "классического" представления о проектной деятельности.

Комплексные требования

Вне зависимости от сути проекта (внедрение программно-аппаратного комплекса, информационных систем, консалтинговые работы и т.д.) к предлагаемым организационно-техническим решениям предъявляются комплексные требования, составленные функциональным заказчиком и подразделениями, ответственными за информационно-технологическое сопровождение и обеспечение безопасности в организации.

К примеру, в кредитно-финансовых организациях РФ, в соответствии с рекомендациями   Центрального   банка   РФ (п. 8 стандарта СТО БР ИББС-1.0-2008 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения"), все технологические решения должны обладать подсистемой обеспечения информационной безопасности, требования к составу и характеристикам которой формируются подразделениями, ответственными за обеспечение информационной безопасности в организации. Эксперты по информационной безопасности принимают непосредственное участие в выборе технологических решений и аргументированно отстаивают позиции, закрепленные в "Политике информационной безопасности организации".

Международные стандарты

Основные аспекты стратегического управления проектами как деятельности, в ходе которой определяются и достигаются ранее поставленные цели в рамках согласованных требований (с необходимым уровнем качества с учетом затрат и ресурсов), подробно описаны в международных стандартах, таких как разработанный институтом по управлению проектами (РМР) Сводзнаний по управлению проектами (РМВОК v.4).

Следуя положениям указанного документа, любой проект (в том числе по информационной безопасности) имеет типовой каркас: структуру, границы, вехи, бюджет, этапы, сроки и т.д. Одним из важнейших этапов проектной деятельности является планирование. Многие эксперты в своих исследованиях и публикациях исключают этап  планирования в рамках описания деятельности по управлению проектами, ссылаясь на неоднозначность и искажения, которые были внесены в русскую версию указанного ранее стандарта. Однако непосредственное разбиение проекта на этапы, а также грамотное и четкое планирование целей и задач на каждом из промежуточных этапов проекта существенно облегчает достижение ожидаемых результатов и помогает заказчику и исполнителю контролировать его выполнение, отслеживать и оперативно устранять ошибки и сбои, решать споры.

Основные ошибки на этапе планирования

К перечню основных ошибок на этапе планирования и/или в рамках проектной деятельности, способных в совокупности с внешними факторами и с учетом сложной специфики проекта существенно затруднить управление проектами, относятся:

1. Ошибки в оценках.
Невозможно корректно управлять тем, что   нельзя   количественно   измерить и/или оценить.

При планировании общих направлений движения проекта, этапов и целей каждого этапа иногда сложно четко определить задачи, поддающиеся количественной оценке. Необходимо использовать для оценки эффективности количественные характеристики.

2.  Недостаточная мотивация и/или информирование каждого из участников проекта.
Пример: своевременное информирование, следовательно, и открытость промежуточных  и/или  общих  результатов локальных этапов реализации работ каждым участником являются примером косвенной стимуляции; каждый участник начинает ощущать и наблюдать на фоне общего состояния свой вклад в продвижение проекта.

Таким образом, работа каждого из участников в рамках проекта должна нематериально стимулироваться. Ответственное за ведение проекта лицо должно информировать участников о ходе выполнения проекта, о фактах доказанных и/или вынужденных нарушений плана и т.д.

3. Недостаточное тактическое планирование.
Пример: выполнение локальных задач каждым из участников проекта без осознания общего направления развития проекта и без контроля со стороны лица, ответственного за ведение проекта в целом, приводит к возникновению разногласий среди участников. Решение такой проблемы является элементом локального тактического планирования.

В этой связи в рамках выполнения задач промежуточных этапов проекта необходимо контролировать перераспределение ресурсов участников проекта для оптимальной организации работ и достижения тактических целей.

4. Ошибки декомпозиции работ.
Пример: ведение проекта по информационной безопасности сопряжено с взаимодействием с различными исполнителями (подрядными и/или субподрядными организациями). В этом случае важным аспектом является управление взаимодействием между участниками: контроль выполнения работ, оценка и использование результатов работ различных участников в качестве исходных данных для других участников. В такой ситуации интегральная сложность проекта повышается, поэтому необходимо оптимально разбивать комплексную работу на локальные задачи, которые решает каждый участник проекта. Разбиение на этапы позволяет установить приоритеты и оперативно скорректировать направление ведения проекта.

5. Отсутствие гибкости и/или адаптируемости.
Пример: открытые в третьем квартале 2008 г. долгосрочные проекты по внедрению комплексных систем в ряде организаций были свернуты и/или законсервированы в начале 2009 г. в связи с прекращением финансирования и/или недостаточным выделением средств из бюджета заказчика на развитие непрофильной (убыточной, бюджетной) для большинства организаций деятельности по обеспечению защиты информации.

В этом случае на этапе планирования необходимо создать альтернативные планы ведения проекта с учетом внешних и внутренних по отношению к проекту факторов, разрабатывать адаптируемые к условиям сценарии, рассчитывать и предусматривать влияние на информационную безопасность временных и социальных аспектов.

МНЕНИЕ ЭКСПЕРТА

Станислав Ясько,
эксперт, к.т.н., доцент

Обеспечение стабильности и прибыльности бизнеса за счет совершенствования методов управления проектами вообще и по обеспечению комплексной безопасности в частности достигается за счет перехода на принципиально новый уровень сбалансированного корпоративного управления портфелями проектов, что позволяет достичь стратегических целей с учетом потребностей и возможных рисков (рис. 1).

В связи с этим заявления автора о необходимости соблюдения требований стандартов PMI РМВоК абсолютно справедливы, поскольку их составные части апробированы им в процессе собственной практической деятельности. На самом деле, на мой взгляд, затронутая в статье проблема куда шире. Для реализации требований стандартов на практике топ-менеджерам компаний необходимо инициировать работу по выбору решения, представляющего собой наиболее всеобъемлющий и лидирующий в отрасли подход по автоматизации управления проектами на основе наилучших практических рекомендаций в виде следующих процессов РРМ:

1) управление потребностями;
2) управление портфелями проектов;
3) управление проектами. Приведенный порядок процессов отражает следующую логику реализации системы в целом:

1.   Определение потребностей бизнеса, соответствующих выбранной стратегии (управление потребностями).
2. Приоритизация и категорирование проектов с различной целевой функцией:

  • чисто инвестиционные проекты (максимальный доход при допустимых затратах);
  • направленные на расширение рынков сбыта (что на начальных этапах может вообще не давать финансовой прибыли);
  • "обязательные" проекты (например, те, которые желает реализовать основной акционер компании безотносительно формальной целесообразности);
  • проекты, снижающие себестоимость продукции или повышающие производительность труда;
  • имиджевые проекты, то есть те, которые не направлены на извлечение дохода напрямую;
  • любые проекты иных типов.

3.  Ранжировка реализуемых проектов по мере убывания приоритета и по критерию обеспеченности ресурсами (управление портфелями проектов).
4.   Непосредственная реализация проектов под контролем руководства(управление проектами).

Следует отметить, что при практической реализации проектного управления эти процессы в большинстве случаев стандартизируются и автоматизируются на предприятии в обратном порядке, то есть сначала реализуется процесс управления проектами, а уж потом процессы управления портфелями проектов и требований бизнеса. Причем выбранное решение по автоматизации этих процессов должно позволять определить оптимальную очередность внедрения процессов на предприятии.

В этом случае эффект от стандартизации и автоматизации процессов управления проектной деятельностью приводит к следующему:

1.  В рамках операционного (ежедневного) уровня управления удается минимизировать затраты, ресурсы и сроки по выполнению проекта.
2.  В рамках стратегического уровня управления удается сконцентрироваться именно над теми проектами, которые в максимальной степени ориентированы на стратегию компании и оптимальным образом расходуют ресурсы предприятия в сложившихся условиях.

Если оценивать экономический эффект от внедрения решений по автоматизации и управлению проектами с подобным функционалом, то, например, согласно исследованиям IDC (сентябрь 2008 г.), каждый вложенный доллар в РРМ-проект дает возврат в размере $5,57, то есть более чем в 5 раз. Думайте! Это ваши деньги!

Опубликовано: Каталог "Системы безопасности"-2010
Посещений: 11838

  Автор

Алексей Плешков

Алексей Плешков

Начальник отдела
защиты информационных
технологий 000 "Газпромбанк"

Всего статей:  1

В рубрику "Информационная безопасность компьютерных сетей" | К списку рубрик  |  К списку авторов  |  К списку публикаций