Журнал "Information Security/ Информационная безопасность" #3, 2019

Если исходить из средне- статистического определе- ния, то управление портфе- лем проектов (англ. project portfolio management) – это механизм, предназначенный для трансляции стратегии в портфель проектов для последующей реализации, планирования, анализа и переоценки портфеля с целью эффективного дости- жения стратегических целей организации. Первый критерий успеха в управлении портфелем проектов – очень точно, в мельчайших подробно- стях, описать конечный результат, который планиру- ем получить на выходе по итогу реализации портфеля в целом и каждого отдель- ного проекта в частности. фелем проектов состоит из некоторых краеугольных составных частей, которые влияют на конечный результат. И первое, на чем хотелось бы остановиться, – это планирова- ние. К сожалению или к счастью, планирование – не самая силь- ная сторона российского менеджмента. Просто в силу нашего менталитета, дополнен- ного малым историческим опы- том ведения бизнеса. Мы отлич- но договариваемся, у нас пре- красные мозги и прорывные идеи, часто наш бизнес начи- нается с того, что все хлопнули по рукам и побежали делать дела. И вот тут встает вопрос: а куда бежим? Как мы себе пред- ставляем в деталях то, что хотим построить? И главное, какой план забега? Как правило, мало кто имеет четкое представление о конеч- ном результате, а когда корабль плывет без курса, вероятность того, что он доплывет в нужную точку, очень низкая. Поэтому первый критерий успеха в управлении портфелем проектов – очень точно, в мель- чайших подробностях, описать конечный результат, который планируем получить на выходе по итогу реализации портфеля в целом и каждого отдельного проекта в частности. Например, если мы строим систему защиты, то какая она будет в результате, из чего будет стоять, как работать, кто будет вовлечен в процесс обслуживания и т.д. После того как видение будет максимально четко прописано, становится ясно, какой инструментарий нужен для реализации проекта, при этом вполне возможно, что в процессе проработки видения цель и решение могут видоиз- мениться в корне. К примеру, цель построить систему защиты компании может решаться не только внутри, но и посредством поиска партнера для аутсорса этой функции. Второе важное условие – определить ключевые факторы успеха при реализации порт- феля, которые максимально будут способствовать достиже- нию поставленных целей. После такой приоритизации мы смо- жем сконцентрироваться на том, что действительно важно, и не заниматься другими задачами и направлениями с более низким уровнем приори- тета. Другими словами, факторы успеха – это те сферы деятель- ности, которые должны рабо- тать без сбоев, только тогда это будет гарантией успеха отдельного подразделения и компании в целом. То есть это те немногие области, которым необходимо уделять особое и постоянное внимание, получая от них максимально положи- тельные результаты. Как пра- вило, выделяют 3–5 наиболее важных на ближайшую перспек- тиву, например, путем ранжи- рования всех выделенных фак- торов, имеющих значение для данной отрасли. У каждого подразделения в компании и у бизнеса такие факторы, безусловно, будут свои, но в качестве примера можно привести следующий перечень: бюджет, персонал, технологии, скорость реакции, доверие со стороны руковод- ства, знания, личный бренд и т.д. Работа с факторами успеха позволяет оптимизировать ресурсы и использовать их с максимальной отдачей, что не может не радовать инвесторов, ведь выделенный бюджет в итоге расходуется с умом. Третьим критерием успеха является определение и устра- нение bottleneck, "бутылочного горлышка", узкого места, кото- рое критично влияет на успеш- ность реализации портфеля, является его сдерживающим фактором. Как правило, детек- ция и устранение таких узких мест позволяет достичь макси- мального эффекта от внедряе- мых изменений. И если в целом системно под- ходить к вопросу митигации рисков, то мы в рамках управ- ления портфелями проектов в информационной безопасности описываем до деталей сцена- рии реагирования на те или иные события, помимо процедур оценки рисков и выработки мер по их предотвращению. Хотя, как правило, большин- ство руководителей в области ИБ ограничивается созданием карты рисков, примерной оцен- кой сумм ущерба, формирова- нием пула ответственных лиц. И в случае срабатывания риска у многих нет ни малейшего понимания, что делать, а ценное время тратится на попытки соз- дать некий план, основываю- щийся в лучших традициях классики на вопросах "Кто вино- ват? Что делать?". На наш взгляд, даже послед- ние новинки в мире ИБ, выстроенные в ряды вокруг периметра компании, не спасут от взлома, поэтому стоит при- нять за аксиому утверждение "нас рано или поздно сломают" и проектировать не снижение рисков, а программу действия и снижение времени реагиро- вания на устранение послед- ствий. • 39 УПРАВЛЕНИЕ www.itsec.ru