28.01.2007

Ђћожет ли отдел »Ѕ приносить прибыль своей организации?ї

image

¬от и возникает ситуаци€, когда в организации отдел »Ѕ воспринимаетс€ всеми почти, что чужеродным органом, мешающим нормально жить и работать люд€м, делающим деньги или обеспечивающим данный  процесс. ƒа и кто будет вникать в то, что делает на самом деле отдел »Ѕ, и какова его степень вли€ни€ на бизнес компании, когда у самих дел полно?

(…из заметок на пол€х забытой на семинаре рабочей тетради)
ќлег  узьмин olegnk2@yandex.ru

    Ќикогда ранее такой вопрос  передо мной не возникал  ни с какой его стороны. Ќо вот,   наконец,  наболело уже…

 ¬ период работы в различных подразделени€х информационной безопасности,  об этом задумыватьс€  мне как-то  не приходилось. –аботаешь, делаешь свое дело, думаешь как бы не получить по шапке за что-нибудь не выполненное воврем€, а то и  вовсе непредусмотренное регламентом служебной де€тельности, но вдруг ставшее неожиданно крайне важным.

»ли вот еще, есть по жизни пресловутое правило первого доклада! ѕроизошло что-нибудь крайне непри€тное, например, внезапно остановлена работа сотен пользователей  в сети и счастье тогда того из руководителей, кто первый доложит сложившуюс€ ситуацию,  и ее причины генеральному директору. ƒокладывает »“-директор – виноваты,  конечно,  «безопасники» (оп€ть без спроса куда-то залезли!), а  докладывает директор службы безопасности – виноваты айтишники (сколько раз ведь их предупреждали!).

ћне просто дико «везло», мои директора оказывались по жизни нерасторопными и обычно были только вторыми…   то будет разбиратьс€ потом, спуст€ два-три дн€,  когда все,  наконец,  встанет на свои места,  и узкому кругу должностных лиц станет €сно, что тот,  кто обычно больше всего суетилс€,  кричал и требовал, максимально запутывал и затрудн€л расследование  – тот и есть насто€щий виновник.  ¬опрос: кто об этом подробно и обсто€тельно осмелитс€ доложить его  √енеральному ¬ысочеству, когда уже объ€влен глобальный виновный, который недосмотрел, не предупредил, не сделал? “ак было не раз и не два, это практика жизни…

ћатериалы расследовани€ подгон€ютс€ впоследствии под удобные всем выводы. ќбычно,  в конце концов  «козлом отпущени€»  назначаетс€ какой-нибудь бедолага-пользователь, случайный исполнитель, ставший первым в цепочке людей, совершивших должностные л€пы. ќн и светитс€ в грозном приказе с выговором. ќднако вина его можно сказать,  минимальна, а истинные виновники  отделываютс€ легким испугом, и очень часто ими оказываютс€ начальники  »“-отделов  или подчиненные им серьезные специалисты, недооценившие степень опасности производимых ими действий. ¬прочем, справедливости ради замечу,  и по вине малограмотных  «безопасников» также  происход€т иногда серьезные непри€тности.

¬от и возникает ситуаци€, когда в организации отдел »Ѕ воспринимаетс€ всеми почти, что чужеродным органом, мешающим нормально жить и работать люд€м, делающим деньги или обеспечивающим данный  процесс. ƒа и кто будет вникать в то, что делает на самом деле отдел »Ѕ, и какова его степень вли€ни€ на бизнес компании, когда у самих дел полно?

ј ведь эти безопасники еще и просить придут на дележку нового годового бюджета! ¬от вам! » кинут им малую долю из того, что останетс€ (если останетс€), пусть еще и за это спасибо скажут – «нахлебники»!

„то делать в этой ситуации?

–иторический вопрос, сейчас € слышу его почти на всех конференци€х и семинарах, посв€щенных проблемам »Ѕ.  Ќо почти никогда на него не дают вразумительного и, что самое главное, толкового ответа. ¬от и выкручиваютс€ специалисты »Ѕ кто как может. —татьи и памфлеты в специализированных журналах и на сайтах в сети »нтернет по этой теме только подливают масла в огонь.

¬месте с тем дл€ себ€ € нашел на него ответ достаточно быстро. ѕроверил его на практике – помогает! ќ чем и расскажу сейчас.

я  понимаю, что эти мои заметки читают сейчас разные люди. —реди них есть наверн€ка не только работники отделов »Ѕ, но и  другие категории специалистов, в том числе и враждебно настроенные в принципе к работникам »Ѕ. ѕоэтому этих людей € попрошу по возможности терпимо отнестись к тому, что они прочитают ниже.

»так, начнем.

ќдин из выводов, который € сделал, был следующим: «работнику »Ѕ незачем доказывать свою полезность в организации, выполн€€ только лишь постулаты выданной ему должностной инструкции. ”сили€ никто не оценит, но наказать всегда найдут за что, задним числом внес€ в инструкцию необходимые дополнени€».

ќднако никто в здравом рассудке и твердой пам€ти не внесет в нее пункт о необходимости получени€  отделом »Ѕ  прибыли (исключаем в данном случае аутсорсинг услуг »Ѕ). ѕоэтому читаем пункты должностной инструкции сотрудника отдела »Ѕ внимательно и видим в ней, например, такие строки:
- «осуществл€ть оперативный контроль за работой пользователей, анализировать содержание системных журналов и лог-файлов, адекватно реагировать на возникающие нештатные ситуации»;
- «ѕроводить работу по вы€влению возможных каналов вмешательства в процесс функционировани€ ј— …».

≈сли прочитать их внимательно и осмыслить со всех сторон, то у работника отдела »Ѕ по€вл€етс€ в принципе вмен€ема€ ему возможность  -  контролировать эффективность работы любого коммерческого программного обеспечени€ (далее по тексту ѕќ), предназначенного, к примеру, дл€ биллинга и пр., и самое главное – принимать необходимые доступные меры в нештатных ситуаци€х!

 ј это уже кое-что!

»менно в этом (и подобном ему) месте по€вл€етс€ возможность проведени€ контрол€ и анализа происход€щих в системе событий с подготовкой выводов о правильности работы  ѕќ (эксплуатирующих его специалистов).

–еальный случай из моей практики: запущено в коммерческую эксплуатацию  «сырое» ѕќ, предназначенное дл€ биллинга »нтернет-карт (почему не была проведена опытна€ его эксплуатаци€  действующих специалистов-практиков, надеюсь,  не удивл€ет).  Ќо вот незадача, спуст€ всего несколько мес€цев сотрудники  коммерческой службы не могут найти ответ на вопрос: «ѕочему карточек выпускаетс€ и продаетс€ все больше, а прибыль от них посто€нно при этом снижаетс€?»   кому с ним обратитьс€, коммерсанты не знали и принимали как факт, на вс€кий случай,  продолжа€ увеличивать тираж выпускаемых карт. ¬ то же врем€ в технической службе все отлично работало, программа выдавала результаты, что называетс€ «на гора», которые немедленно переправл€лись в коммерческую службу. ѕроцесс шел полным ходом! ќднако, с течением времени затраты и прибыль стали уже равны, т.е. пропорциональность их  шла в обратном пор€дке от ожидаемой…

¬от уже и по€вилс€  удобный случай  дл€ того, чтобы  в складывающуюс€ ситуацию вмешалс€ отдел »Ѕ. ѕочему отдел »Ѕ?  ƒа потому, что никому другому этим зан€тьс€ и в голову не приходило.  аждый, повторюсь,  делал свое дело, причем строго выполн€€ то, что ему было предписано должностной инструкцией.

ѕростой анализ лог-файлов показал, что сотни »нтернет-карт по всей области продолжают приниматьс€ и  регистрироватьс€ системой биллинга  после окончани€ срока их действи€.

“ак, пользователь, купивший карточку за 150 руб., получал в принципе услуг по доступу в »нтернет на неограниченное количество денежных единиц. “ребовалось с его стороны только желание,  упорство и железна€ выдержка, так как  после окончани€ оплаченной  им суммы необходимо было выходить в »нтернет с посто€нным разрывом соединени€ каждые 15 мин.   Ѕыли среди них такие, кто,  заплатив 150 руб. получил услуг от «доброго» провайдера на 30000 руб. и более…

„то еще  интересно, с юридической стороны,  люди, раскрывшие данный «секрет»  не делали по сути ничего противозаконного, что бы можно было привлечь  их за это  к какой-либо ответственности и возмещению материального ущерба. ƒанное обсто€тельство можно было квалифицировать только, как недополученна€ прибыль.

ƒалее, за один день была  раскручена все система и найдена очень проста€ ошибка в работе ѕќ. Ќедополученна€ прибыль на день обнаружени€ ошибки была близка к сумме в один миллион рублей и с каждой дальнейшей минутой промедлени€ продолжала увеличиватьс€.

≈стественно, что подробный доклад об этом, и как следствие, оперативное прин€тие необходимых мер, позволили отделу »Ѕ несколько приподн€тьс€ над повседневной рутиной их незаметных дл€ всех об€занностей в организации.

≈сли, предположим,  находить и расследовать в год  пару-тройку подобных случаев, пресека€ финансовые потери организации, то  любой отдел »Ѕ может показать свою весомую значимость в бизнесе организации. ”словие при этом одно: специалисты отдела »Ѕ должны быть достаточно грамотны в техническом плане и к тому же морально готовы к подобным «проектам».

ѕредвижу возражени€, что это частный случай, не имеющий никакого отношени€ к вашему бизнесу. Ќо на самом деле это не так, нужно просто вдумчиво и внимательно посмотреть на процессы, происход€щие в вашей сети. ”верен, очень скоро вы обнаружите, что где-то бессмысленно трат€тс€ деньги, неверо€тно велики затраты, ну и много еще чего, невидимого на первый взгл€д.

—ейчас, просто под ногами лежат проблемы снижени€ затрат на »нтернет-трафик и телефонию. ¬з€вшись, к примеру, за них даже совместно с »“-отделом, можно принести существенную экономию своей организации.

» тогда, может быть, оценив ваши усили€, ¬ас больше не будут снабжать по остаточному принципу?

 омпани€ SoftKey – это уникальный сервис дл€ покупателей, разработчиков, дилеров и аффилиат–партнеров.  роме того, это один из лучших »нтернет-магазинов ѕќ в –оссии, ”краине,  азахстане, который предлагает покупател€м широкий ассортимент, множество способов оплаты, оперативную (часто мгновенную) обработку заказа, отслеживание процесса выполнени€ заказа в персональном разделе.

или введите им€

CAPTCHA
1
21-01-2008 15:52:08
Ќедополученна€ прибыль, которую можно оценить, тем не менее плохо вписываетс€ в критерии финансовой оценки де€тельности »Ѕ. ѕростой пример: »Ѕ обнаружила и пресекла фрод в самом начале его возникновени€, ущерб (недополученна€ прибыль) составил 300 руб. Ёто хорошо, но цифра не впечатл€ет. ћиллион -- да, впечатл€ет. Ќо это как раз показатель плохой работы. ¬ерно? ќценива€ "доходность" »Ѕ можно говорить только в терминах, которые никто (директора, инвесторы и т.д.) не понимают: "предотвращенный ущерб". Ќо не существует никаких известных мне методик оценки предотвращенного ущерба.  роме того, а что делать если вдруг нет ошибок в софте или мошенники затихли (со вторым € тоже сталкивалс€)? »Ѕ тут же снова становитс€ "нахлебницей".  огда говор€т о прибыльности »Ѕ, € сразу вспоминаю случай, с которым столкнулс€ в небольшом подмосковном городе один мой знакомый. ќн остановилс€ на улице, вышел из машины, тут к нему подходит мальчик лет 12-ти с гвоздем в руках: "ƒ€д€, дай дес€ть рублей, а € покараулю машину чтобы никто не поцарапал..." ћое мнение, что надо изначально воспитывать в руководстве, понимани€ того, что »Ѕ -- чисто затратна€ стать€.
0 |