Sbergile в формате постоянных перемен

Кирилл Мартыненко, директор по процессам ИБ Сбербанка, эксперт BISA

В наше время изменения, так или иначе связанные с ИБ, зачастую происходят даже не каждый день, а по несколько раз в день. И в этих условиях крайне важно принимать адекватные и эффективные решения моментально, гибко подходя к решению актуальных проблем.

Agile как стиль управления

Буквально год назад многие специалисты начали активно использовать понятия Scrum и Agile. Что же под ними подразумевается, и как это можно использовать?

Agile представляет собой гибкую методологию, а точнее – концептуальный подход к разработке программного обеспечения. Понятие Agile закрепилось в современном формате в феврале 2001 г., когда был принят так называемый Agile Manifesto, который и является основополагающим документом для Agile. Со времени создания «манифеста» в философию Agile было включено множество методологий и концепций – это и Scrum, и экстремальное программирование, и часть Lean-технологий.

В свою очередь, понятие Scrum появилось примерно 20 лет назад, когда Кен Швабер и Джефф Сазерленд решили создать собственную методологию разработки программного обеспечения для технологических отраслей. Название данной методологии, которое переводится как «схватка», авторы позаимствовали из американского футбола. Сделано это было после краха других методов управления, применявшихся в то время.

Достаточно долго Agile и Scrum не обсуждались в широких кругах, хотя эти подходы использовались, например, Федеральным бюро расследований США, компаниями Google и Facebook. А рассуждения о гибкости относились, в первую очередь, к ИТ-подразделениям, в частности к тем, которые занимаются разработками. Считанные единицы специалистов ИБ-отделов видели в своей работе что-либо иное, кроме трекеров задач подразделений и проведения сессий вопросов/ответов с сотрудниками, поскольку безопасность всегда считалась достаточно закрытой сферой. Кроме этого у в отечественной сфере ИБ еще и отчетливо ощущается влияние профильных ведомств, с которыми подразделениям информационной безопасности приходится плотно взаимодействовать: «Какая гибкость? Какая свобода действий? О чем вы! Главное – четкий приказ, желательно письменный, и его беспрекословное выполнение».

Так почему же все-таки возник серьезный интерес к Agile и почему именно сейчас? Все очень просто: мир меняется, ландшафт угроз тоже, появляются новые технологии и новые потребности бизнеса. Если продолжать использовать классические методы управления, то уже к тому моменту, когда ИБ-подразделение согласует и представит какой-либо новый продукт, он окажется неактуальным и отстающим от требований бизнеса на несколько месяцев, а то и лет. Сейчас необходимость трансформировать продукт возникает еще до того момента, когда он попадает на первичное тестирование, и специалисты по ИБ должны всегда отвечать «конечно, без проблем, давайте поменяем концепцию», а не упрямо твердить «нет, это запрещено требованиями безопасности».

Давайте посмотрим, что является важным в рамках Agile (см. таблицу). Попробуйте применить эти подходы в вашем подразделении или компании в целом. Именно указанные навыки крайне важны, и именно их усвоение станет вашим первым шагом к гибкому решению стоящих перед вами задач. Вам придется многое преодолеть и как специалисту, и как руководителю. Особенно как руководителю, ведь понадобится менять мышление – и собственное, и своих сотрудников!

 

Цель Описание
Самоорганизация Мы сами договоримся, как распределить задачи в команде.
Коллаборация Помог коллеге из другого отдела разрешить его проблему, потому что у меня есть опыт решения таких вопросов.
Эмпатия Похвалил коллегу за не очень удачную идею, а потом вместе с ним скорректировал и развил ее.
Признание ошибок Предупредил коллег о своей ошибке и вместе с ними придумал, как ее устранить.
Психологическая безопасность Не боюсь выносить любой свой продукт на обсуждение, ведь я хочу получить реальную обратную связь.
Фокусировка на результате Создал несколько версий своего продукта, чтобы вместе с коллегами выбрать наилучший путь развития.
Постоянное совершенствование Инициировал внеплановое изменение документов, ведь процессы скоро изменятся.

Путь преодоления

С чем же пришлось столкнуться на практике команде кибербезопасности Сбербанка уже сейчас, в то время, когда основные проекты в рамках Agile (или Sbergile, как его называют в Сбербанке) еще не очень сильно затрагивают ИБ-службу? В первую очередь, это были страх и непонимание.

Ранним майским утром в одном из кабинетов службы кибербезопасности Сбербанка внезапно появилась деревянная доска, разделенная цветным скотчем на полоски, на которой висели несколько бумажек. Увидев ее, все сотрудники Управления стандартов и процессов информационной безопасности, вовлеченного в эксперимент, улыбались, но на всякий случай обходили эту доску подальше.

Уже к обеду им официально сообщили, что отныне мы не ведем привычную бумажную отчетность о своей деятельности – вся отчетность находится на той самой доске. Сразу же поднялась первая волна сопротивления. Отчетность, говорили сотрудники, – это крайне нужно и важно. Все привыкли к стандартному порядку: сдал отчет, получил оценку по задаче, потом письменное указание по новой задаче и начал работать над ней.

Кроме того, сотрудникам объявили, что теперь деление на отделы является лишь формальным. Основным станет функциональное деление: тот, кто имеет больший опыт работы с направлением осведомленности, будет заниматься именно этим, тот, кто тяготеет к работе с рисками, займется ими, и так по всем основным направлениям.

В течение недели сотрудники с опаской посматривали на бумажки, на которых они сами (это является крайне важным психологическим фактором) написали собственные фамилии как «имена исполнителей», а в пятницу собрались на первый SCRUM Управления. Эта встреча позволила решить очень многие психологические проблемы – люди начали общаться друг с другом, обсуждать «чужие» задачи, узнавать об имеющихся проблемах. Уже в ближайший понедельник несколько задач, которые оставались в замороженном состоянии долгие месяцы, были решены. Как? Кто-то из сотрудников выяснил «на стороне», кому можно позвонить, чтобы попросить помощи, кто-то услышал полезный совет от коллег, а кто-то просто понял, что нет ничего страшного в том, что ты чего-то не знаешь или не умеешь.

Каждая следующая неделя лишь усиливала позитивный эффект работы в функциональных командах. А эффект создания продукта каждую неделю, пусть и не в итоговом варианте, значительно сократил время согласования результатов работы с конечными заказчиками, для которых, в первую очередь, эта работа и выполнялась. Сотрудники Управления, которые раньше даже не имели представления о том, что происходит в соседнем кабинете, вдруг начали помогать друг другу решать теперь уже общие задачи. Причем это происходило без наличия письменного официального поручения.

Так Agile поселился в Управлении стандартов и процессов информационной безопасности службы кибербезопасности Сбербанка и стал нормой поведения для каждого из сотрудников.

Усложняем и совершенствуем

Наверняка многие из вас скажут: ну хорошо, появились доска и еженедельные встречи, но использование таких подходов – лишь часть Agile. А где же все остальное?

Именно об этом подумали и в службе кибербезопасности Сбербанка, поэтому сейчас она стремится к трансформации в полноценный трайб со своими кластерами и функциональными командами (скводами и чаптерами). Делается это, опять-таки, не потому, что появилось какое-то распоряжение руководства, а потому, что данные методики действительно продемонстрировали свою эффективность.

В качестве инструмента автоматизации деятельности трайба было выбрано давно зарекомендовавшее себя на рынке решение Atlassian JIRA, и уже сейчас в системе имеется более 100 активных задач. В ближайшие несколько месяцев их количество вырастет в разы: пока инструмент действует только в пределах одного Управления, но уже очень скоро решение будет масштабироваться в расчете на всю службу кибербезопасности.

Следующими шагами «эволюции» станут работа в спринтах и расчет задач по story point’ам. Они будут учитываться, в том числе, в системе мотивации персонала по итогам квартальной и годовой оценок.

Итоговыми целями являются обеспечение в службе кибербезопасности полноценного управления Change с использованием Agile-практик, а также решение оперативных задач (Dev Ops) Security Operations Centre и подразделения, занимающегося предотвращением случаев мошенничества. Цели – достаточно амбициозные, но нет сомнений в том, что уже в текущем календарном году удастся достигнуть положительных результатов в данных направлениях.

Скептики, возможно, сочтут такие методы неподходящими для России, но у подхода Agile нет географических рамок, и он не привязан к менталитету какого-либо народа. Кроме того, кое-кто неизбежно заявит, что для реализации Agile, как любого другого проекта, нужны деньги. Ответить на это заявление можно конкретными цифрами: в службе кибербезопасности Сбербанка первый бюджет «Agile как проекта» составил ровно 5 тыс. руб., потраченных в магазине на канцелярские принадлежности и цветной скотч.

Итак, в первую очередь, важно желание что-то сделать либо изменить, а методы реализации и средства на это всегда найдутся. Скоро использование Agile станет такой же нормой, как установленный на каждом устройстве антивирус или изменяющиеся раз в несколько десятков дней пароли – в этом нет никаких сомнений. А вот где (в авангарде или в арьергарде) окажетесь вы в тот момент, когда Agile станет мэйнстримом, – решать только вам.

Тэги: 
Оцените материал:
Total votes: 24

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.