Сказ о том, почему цикл PDCA плохо работает в ИБ

Сказ о том, почему цикл PDCA плохо работает в ИБ
В области информационной безопасности, как и во многих других, существует две большие проблемы - фактор времени и нежелание критически рассуждать о якобы аксиомах или догмах безопасности, которые с течением времени претерпевают изменения, в том числе и очень серьезные. Одна из священных коров - ISO 27001, а точнее цикл PDCA, на идеологии которого ISO 27001 и был выстроен.


PDCA является аббревиатурой цикла Plan-Do-Check-Act (Планируй-Делай-Проверяй-Улучшай) и впервые эта концепция была озвучена Шухартом и Демингом в рамках идеи повышения качества на производстве в Японии. Потом на ее базе стали выстраивать процессы и в других областях, в том числе и информационной безопасности, разумно полагая, что если этот цикл позволяет улучшить качество производства, то почему бы с его помощью не улучшить качество управления ИБ. Однако, если отбросить в сторону постоянно ведущиеся споры на тему “Зачем мне ISO 27001?”, то гораздо более интересен вопрос самой применимости цикла PDCA в области современной ИБ (обратите внимание на ключевое слово “современной”).

Какие отличительные особенности ИБ можно назвать? Во-первых, это ее нелинейность. Это в теории красиво выглядит - “21 шаг построения ИБ на предприятии”, “Горячая десятка ИБ-процессов”, “Поэтапное внедрение системы управления ИБ в компании” и т.п. Реальность, она иная. Либо регулярно появляющиеся новые вводные, либо новые угрозы, заставляющие менять подходы к ИБ, либо вовсе хаотическое развитие, неподчиняющееся упрощенному и выхолощенному лозунгу “Планируй-Делай-Проверяй-Улучшай” (кстати, меня всегда удивляло, почему Act переводят как “улучшай” и чем Act отличается от Do?). Это если не рассматривать и вовсе новомодные штучки типа Agile, которые прямо конфликтуют по своей идеологии с размеренным и долгоиграющим PDCA и ISO 27001 на его основе. Кстати, ряд экспертов, стоящих у истоков ISO 27001, прямо говорят, что текущий цикл обновления стандарта - это зло; он не учитывает изменений, происходящих в отрасли, что негативно сказывается на эффективности процесса управления ИБ на предприятиях.

Во-вторых, безопасность в отличие от системы качества требует учета “интересов” злоумышленников, которые могут разбить все благие намерения по линейному циклу обеспечения управления ИБ. Более того, система повышения качества вообще не предполагает конкурентной среды, которая есть в информационной безопасности и без которой она немыслима. Вас ударили туда, где вы вообще забыли провести анализ рисков. Или вы запланировали внедрение повышения осведомленности персонала только через 2 года (а раньше денег не дают), а основной вектор для злоумышленников именно в вашей компании - это и есть нерасторопность и невнимательность пользователей. Вы срочно меняете свои планы и внедряете систему обучения персонала, а злоумышленики уже переориентировались и бьют по вашим контрагентам. Как тут помогает линейный и последовательный PDCA? Никак.

В контексте отсутствия учета внешних конкурирующих сил никак не помогает и любая другая цикличная модель, используемая в ИТ. Например, тот же COBIT, который в предыдущей, 4-й версии использовал тот же PDCA, а в новой, пятой версии перешел на семишаговый цикл. Но и он не учитывает воздействия неотъемлемых для ИБ сил напрочь отсутствующих в ИТ. В модели ITIL ровно тоже самое - цикл PDCA во всей красе.


В-третьих, вы не можете все время совершенствоваться. Непрерывное совершенствование подразумевает непрерывное изменение, которое само по себе является проблемой. Тут и путаница с текущим состоянием процессов и процедур (если они постоянно совершенствуются, то что является “текущим” и “желаемым” состоянием и как отслеживать динамику улучшений), и следование  устаревшим практикам, которые изменяются не так оперативно как процессы, и “усталость” персонала, который психологически не может жить в процессе постоянного изменения - они начинают путаться, совершать ошибки, скрывать недочеты и, в итоге, разочаровываться в идее повышения качества и терять мотивацию. В новых версиях стандартов, построенных на базе PDCA, этот момент учтен, но все ли активно пересматривают и свои взгляды (или живут в соответствии с полученными много лет назад знаниями)?

Кстати, первоначальная концепция PDCA была ориентирована на дополнительные улучшения уже существующих процессов, а не на перестройку всего процесса производства или построение его с нуля; да еще и в сложно организованной компании. Ведь понемногу улучшать существующее гораздо проще, чем строить все с основ. У нас же ISO 27001 рассматривается именно как стратегия построения или перестроения службы ИБ с самого начала и внедрения процессов ИБ по всему предприятию. Я нередко слышу от вновь пришедших на новое место работы коллег, что они будут внедрять там ISO 27001 (без сертификации пока). А все почему? Потому что это “стандарт де-факто”, который не принято критически оценивать. Отсюда и не очень высокое число успешных внедрений ISO 27001 и еще меньшее число повторных сертификаций. Многие эксперты отмечают, что ISO 27001 давно уже превратился из стандарта по безопасности в продукт зарабатывания денег для аудиторов и разработчиков новых реинкарнаций ISO 27001 для разных вертикалей и применений - финансов, операторов связи, промышленных предприятий и т.п.

Но ведь PDCA работает! В Японии он сильно помог поднять качество производства. Да! В Японии! 50 лет назад! Вы обращали внимание, где больше всего компаний, сертифицированных по ISO 27001? Не знаю, как сейчас, но еще несколько лет назад, когда эта тема в России была модной, я анализировал страны, в которых сертификация на соответствие ISO 27001 имела хождение. Оказалось, что чуть ли не 80% всех сертификатов выдано японским компаниям. Оно и понятно, в стране, где идея PDCA и родилась и культивировалась, грех было бы увидеть иные цифры. Но в мире картина внедрения ISO 27001 с его концепцией PDCA оказалась совсем иной. На нее очень сильно влияют культурные различия Востока и Запада.

Я в свое время изучал “историю” PDCA и оказалось, что то, к чему мы так привыкли, говоря про PDCA, немного отличается от того, что Шухарт реально делал в Японии 50 лет назад. В реальной жизни процессы, процедуры и мероприятия для улучшения качества были намного детальнее и обширнее, чем выхолощенная абстракция, заключенная в 4-х символах аббревиатуры PDCA, разработанной специально для Запада. На действующих производствах фаз повышения качества было гораздо больше четырех и разрабатывались они специально для Японии и ее культуры. Однако в мир ушла именно упрощенная модель (возможно именно потому, что она была упрощенной и более понятной), потянувшая за собой ворох проблем с ее интерпретацией. И чем больше людей было в цепочке интерпретаторов, тем дальше от исходной концепции уходила реализация. Кроме того, в исходной версии подхода Шухарта и Деминга предполагалось, что за улучшение качества будут отвечать выделенные сотрудники, эксперты, погруженные в тематику. Сегодня, в условиях когда требуется активное вовлечение и рядовых сотрудников в обеспечение ИБ, требовать от них понимания всех ИБ-концепций не приходится. В итоге они начинают очень вольно трактовать достаточно конкретные положения PDCA или того же ISO 27001 (интерпретации и трактовка - это один из бичей стандартизации вообще и ИБ в частности). Кстати, даже сами японцы за 50 лет существования концепции PDCA изменились. Об этом стоит помнить. Люди! Вот те, о ком мало говорится в цикле PDCA, но от кого зависит успех (или неуспех) его внедрения на предприятии. Почему различные японские модели (то же “бережливое производство”) так плохо внедряются за пределами Японии? Почему продукция из одинаковых запчастей, собранная на одинаковых конвейерах в России и Германии, отличается? Потому что люди разные и их восприятие и принятие процессов тоже разные. Пару лет назад в Высшей школе экономики я делал презентацию “Русская ментальность как фактор невозможности адекватного управления ИБ на базе западных практик”, которая вызвала достаточно живую (мягко сказано) дискуссию, которая, на мой взгляд, показала, что в России действительно не так просто внедрять западные (да и восточные) методики управления ИБ, родившиеся в совершенно иной исторической и культурологической среде. С PDCA ситуация такая же.

PDCA не говорит вам как решать те или иные ИБ-проблемы. Это речевка, лозунг из советских времен. Их восприятие зависит от многих условий и для эффективной реализации требует гораздо большей детализации, чем просто 4 шага. При этом большая часть усилий должно тратиться на самом первом этапе планирования, но как можно все, что нужно делать в ИБ, вместить в упрощенный донельзя один шаг “Plan”? Не случайно, видя проблемы с PDCA в области улучшения качества, на свет появились лучше детализированные и проработанные концепции DMAIC (Define - Measure - Analyze - Improve - Control) или “Шесть сигм”. Тот же COBIT в итоге отказался PDCA в сторону семишагового цикла.


С планированием вообще не все так просто. Термин “Plan” сильно зажимает вас в прокрустово ложе линейных и пошаговых моделей. Вы ограничены в выборе творческих путей формирования тех или иных решений в области ИБ. Как мне кажется, время прямолинейных решений в ИБ проходит. Не случайно сейчас активно развивается тема геймификации в ИБ. И, кстати. Всегда ли вы действуете на основании плана? Мне можно возразить, что всегда прежде чем что-то сделать, надо подумать, спланировать и потом уже действовать. В теории да, а на практике? Часто ли вы действуете спонтанно или вне плана? И насколько вас устраивают результаты? Улучшение возможно и без плана, а в современных условиях, когда злоумышленники действуют творчески, так же творчески должны действовать и специалисты по ИБ (в том числе творческий подход очень важен при отсутствии бюджета). А творчество и инновации с одной стороны и систематическое планирование с другой - вещи плохо совместимые.

Значит ли все вышенаписанное, что PDCA - это ненужная и неработающая концепция? Конечно, нет. PDCA может задать основу для построения службы и процессов ИБ, но он не является инструментом, которым можно пользоваться изо дня в день, особенно в “конкурентной” среде, коей является информационная безопасность. Помимо PDCA можно обратить внимание и на другие методы - DMAIC, IDEAL, ТРИЗ, TBBDI, EBBDI, из которых можно извлечь что-нибудь полезное. А вообще, не надо быть догматиком. Ключевой идеей, закладываемой в ISO 27001 в свое время, было создание на базе передового опыта базового уровня в области ИБ. Однако за 20 с лишним лет первоначальная идея была извращена и современный ISO 27001 - это неповоротливая конструкция, ориентированная на соответствие (галочный подход), от которого страдает реальная безопасность предприятия. И положенный в основу ISO 27001 цикл PDCA явно не помог эту конструкцию сделать более гибкой и адаптивной. Концепция PDCA в принципе не учитывает, что процессу улучшения ИБ могут мешать хакеры и регуляторы с генерируемыми ими динамическими изменениями, влияющими на обеспечение ИБ. Отсюда и сложности с ее применением, о которых надо просто знать и помнить.


Alt text

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену