На что обращать внимание при управлении проектом?

Данная работа призвана обратить внимание людей интересующихся управлением проектов на проблемы безопасности, с которыми могут столкнуться владельцы малого и среднего бизнеса. В статье приводятся примеры крупных утечек информации и их последствий.

Технологии эффективного управления проектами – средства и методы позволяющие сделать проект качественнее, затратить на производство меньше ресурсов и времени. Каждый проект можно характеризовать жизненным циклом, важной частью которого является планирование. На этом этапе определяются задачи, сроки и бюджет. Очень часто планирование путают с составлением графика работ, однако данный этап является более глубоким и сложным. Определение списка и последовательности работ, назначение людей, материалов и длительности выполнения задачи и многое другое является обязанностью руководителя. Однако очень часто опускается обязанность анализа возможных рисков. Зрелая система управления организацией подразумевает процедуру анализа и оценки рисков, сравнение показателей по периодам и внесение соответствующих изменений в процедуры информационной безопасности. Отсутствие четких ограничений, правил и инструкций для сотрудников может привести к катастрофическим последствиям. По данным аналитического центра “InfoWatch” в первом полугодии 2018 года были зафиксировано свыше тысяче случаев утечки данных со стороны частного бизнеса.

При недостаточном внимании к безопасности, теряется конкурентоспособность, соответственно идеи проекта или уже готовые работы по нему могут быть захвачены злоумышленниками и использованы в своих целях. Если ваш проект является программным продуктом, то злоумышленники, получив доступ на стадии разработки, могут вычислить его уязвимости и попытаться его уничтожить, или сами создадут аналогичный продукт, для дальнейшей успешной эксплуатации. Примером может служить кража данных пользователей, подключавшихся к сети Wi-Fi московского метро, происходившая с 2017 до марта 2018 года, тем самым была нарушена конфиденциальность информации 12 миллионов пользователей. Недостаток безопасности и аналитики может обернуться потерей доверия инвесторов, уменьшением клиентов, уходом работников.

Особенность эффективной системы управления информационной безопасностью заключается в её способности функционировать в двух главных направлениях: организационном (к нему относится аналитика рисков) и технологическом. Основное внимание при переоценке рисков должно уделяться таким вещам как:

-Разграничение информации по уровням доступа для различных рабочих групп.

-Информация, по уровню важности с точки зрения бизнеса и вероятную материальную оценку ущерба.

-Вероятность дискредитирования информации.

-Время простоя, затрачиваемое на получение доступа к нужной для работы информации.

-Функционирование организации, определение бизнес-процессов и их привязку к информационным ресурсам и категориям обрабатываемой информации.

-Средства защиты, организация физической защиты доступа к информационным данным, организацию защиты рабочих мест, мониторинг затрат на информационную безопасность.

-Уровень защищённости информационной системы, пересмотр организационных мер, физическую защиту доступа к информационным ресурсам, безопасность персонала, управление коммуникациями и процессами, процедуры контроля доступа, возможность внесения изменений в исполняемые файлы и библиотеки информационных ресурсов, функционирование и поддержание в актуальном состоянии плана обеспечения непрерывного ведения бизнеса, соответствие документированным требованиям политики безопасности.

К сожалению, даже грамотная аналитика и своевременное реагирование на угрозы не всегда способны защитить проект. Часть рекомендаций может быть узкоспециализировано или не использоваться вовсе. Потому человек, занимающийся аналитикой рисков, может воспользоваться принципом Паретто.

Грубо говоря, действительно, 20% мер помогают против 80% угроз. Обращаясь к данным “InfoWatch” за первую половину 2018 года, можно сделать вывод о том, что более 60% утечек происходят из-за деструктивных действий сотрудников и лишь 30% происходят из-за внешних атак.

Это может быть как умышленный вред проекту (подкуп сотрудника) или случайность (документ с конфиденциальной информацией, не пропущенный через шредер, был выкинут в мусорный ящик и найден конкурентами). Однако оба случая в равной степени несут огромную угрозу для организации. Из этого следует вывод, что очень важно правильно инструктировать работников, обращая внимание на:

-Виды и права доступа к информации.

-Определение принадлежности групп пользователей к определённым информационным ресурсам, а также категории доступной информации, количество пользователей в группе.

-Определение доступности информации, правил пользования техникой, ограничения на использование сетевых ресурсов и технических устройств на рабочем месте.

Излишнее доверие к работникам может плохо обернуться для будущего вашего проекта. Следует задавать правила проверки сотрудников. В конце 2017 года, сотрудник компании Coca-Cola, после своего увольнения, без всяких помех вынес жесткий диск с личными данными 10% сотрудников компании. Корпорация была вынуждена выплатить пострадавшим компенсации. В некоторых случаях сотрудники компаний подают коллективные иски на свою компанию, и далеко не каждая организация способно разобраться с таким инцидентом.

В качестве некоторого пособия по обеспечению безопасности и качества при разработке можно использовать ГОСТ Р 15408, который состоит из трех частей и является переводом международного документа под названием “Общие критерии”. Хоть документ и содержит ошибки и неточности ввиду слишком широкого спектра угроз, однако он может помочь руководителю найти и сосредоточить внимание на самых важных аспектах. Так же стоит выделить первую часть документа, который вводит такие понятия как “оценка объекта”, “задание по безопасности”, “профиль защиты”, помогающих сформулировать требования к проекту и его защите при разработке. Хотя безопасность и следует рассматривать как отдельную подструктуру управления проектом, но для среднего и тем более малого бизнеса, чьи ресурсы сильно ограничены, следует сосредоточиться на анализе рисков. Без больших вложений нельзя позволить себе профессионального системного администратора, высококлассной охраны территории компании, защищенного оборудования и прочее. Однако именно благодаря грамотному планированию с анализом возможных рисков, компания может избежать возможных убытков от угрозы человеческого фактора, затрачивая минимально разумные ресурсы.

Литература:

1. https://infowatch.com/

2. Родичев Юрий Андреевич - Нормативная база и стандарты в области

информационной безопасности. Учебное пособие.