Архивы автора: Алексей Евменков

Об авторе Алексей Евменков

Меня зовут Алексей Евменков. В ИТ бизнесе с 1999 года. Начинал с программного тестирования, плавно перешел в процессную область, затем в информационную безопасность (ИБ). Больше всего мне нравится выстраивать системы. Системы по управлению качеством, по управлению ИБ, просто системы процессов разработки и тестирования. В своей практике занимался внедрением и сертификацией многих СМК (по ISO 9001) и СУИБ (ISO 27001). Создал и сертифицировал первую в Беларуси СУИБ в соответствии со стандартом ISO\IEC 27001:2005. Цель блога - поделиться опытом, структурировать имеющиеся знания. Блог про QA и IS assurance в IT компаниях во всех своих проявлениях:)

О сахарных экспертах

2906955-R3L8T8D-600-dCP7T2HS5CkПод сахарным экспертом я понимаю спеца, который хочет быть правильным.

Пытается говорить правильно, выстраивать политику партии. правильную теорию путает с реальнстью.

и живой человек за этим мрет, затухает.

блевотина.

BCM — термины, примеры disruptions

krestnyy-otec_6981365_orig_

 

 

 

 

 

 

 

 

Этот пост — приложение к основной статье Business Continuity Management — аццкая тема II.

Источников для терминов в области business continuity management (BCM) немало. Вот некоторые из них:

  • Серия стандартов ISO 22300:
    • ISO 22300:2012 Societal security – Terminology,
    • ISO 22301:2012 Societal security – Business continuity management systems – Requirements, —  Можно найти в нете на русском, см. например Гост ISO_22301_2014
    • ISO 22313:2012 Societal security – Business continuity management systems – Guidance,
  • Серия стандартов ISO 27001
  • Словарь терминов и аббревиатур ITIL, текущая версия аж за 2011г.

Однако так сложилось, что лично мне либо не подходил единый источник, либо вообще не нравилось ни одно из определений. Приходилось докручивать на свое усмотрение.

 

Вот что получилось:

    • Непрерывность бизнеса (Business Continuity, BC) — способность организации, в случае инцидента и нарушения ее деятельности, продолжать предоставление услуг и разработку продкутов на установленном примемлемом уровне
    • Управление непрерывностью бизнеса (Business Continuity Management, BCM) — процесс управления, предусматривающий идентификацию потенциальных угроз и их воздействия на деятель­ность организации. Данный процесс повышает устойчивость организации к инцидентам и прерываниям бизнеса, и направлен на реализацию эффективных ответных мер. Результат функционирования процесса обеспечивает защиту интересов ключевых причастных сторон, репутации организации, ее бренда и деятельности, добавляющей цен­ность.
    • План обеспечения непрерывности бизнеса, план BCP (Business Continuity Plan, BCP) — набор документированных процедур и информации, позволяющий, в случае возникновения инцидента или прерывания бизнеса, обеспечить продолжение выполнения организацией критически важных для нее видов деятельности на установленном прием­лемом уровне.
    • Анализ воздействия на бизнес (Business Impact Analysis, BIA) — процесс исследования функционирования бизнеса и последствий воздействия на него разрушающих факторов (факторов, вызывающих прерывание бизнеса).
    • Прерывание, кризисное событие (Disruption) — любой инцидент (нарушение, прерывание, кризис, катастрофа) которые угрожают персоналу, строениям, инфраструктуре или выполнению бизнес-процессов компании, и требующий специальных мер по восстановлению нормального функционирования. См. примеры прерываний бизнес процессов и возникающих при этом потерь в Приложении А (см. в конце страницы)
    • Оценка риска (Risk Assessment, RA) — процесс, охватывающий идентификацию риска, анализ риска и сравнительную оценку риска.
    • Аппетит риска, предпочтительный риск (Risk Appetite) — общая величина риска, который организация готова принять, перенести или действию которого готова подвергнуться в любой момент времени.
    • Тестирование (Exercise / Testing) — процесс проверки (репетиции) сценариев планов непрерывности бизнеса (BCP). Включает в себя обучение, проверку ролей, сценариев, времени и степени восстановления и т.п.
    • MTD (Maximum Tolerable Downtime) — максимально приемлемый период нарушения. Время, по истечении которого неблагоприятные последствия, возникшие в результате необеспечения поставок продукции/услуг или невыполнения деятельности, становятся неприемлемыми.
    • RTO (Recovery Time Objective) — время доступное для восстановления работоспособности систем и ресурсов, необходимых для выполнения критически важных видов деятельности, включая персонал и ИТ сервисы, до нормального уровня;
    • RPO (Recovery Point Objective) — относительная точка во времени (в прошлом), возврат на которую должен быть произведен в случае восстановления системы, иными словами, этот показатель определяет объём данных, представленный в виде временного интервала, утеря которого допустима в случае прерывания деятельности.

Приложение 1. Понятия RTO, RPO и MTDBCP

Приложение 2. Примеры прерываний и рисков

 

 

INTERNAL

              TECHNICAL                                                                      ECONOMIC  

 

EXTERNAL

  • Technology failure
  • IT systems breakdown
  • 􀂃Workplace accident, Fire Contamination or Water flood
  • 􀂃Virus/Malware
  • Industrial accidents
  • 􀂃Utilities / communications failure
  • Natural disasters
  • 􀂃Local/Global crisis
  • 􀂃Supplier failure
  • On site tampering or vandalism
  • Malicious acts
  • 􀂃Organisational failure
  • Epidemy
  • Sabotage
  • 􀂃Terrorism
  • 􀂃Off site product tampering
  • 􀂃Labour action; Strike demonstrations
            PEOPLE                                                                                  SOCIAL

These risks can be resulting in:  

  • Loss or damage to a primary business facilities or service utilities resulting in extended denial of access;
  • Loss of employees;
  • Loss of access to remote or co-located technology services/IT Systems;  
  • Loss of a critical 3rd party supplier/service;  
  • Loss of data/information;
  • Loss of reputation.

Будь лучшей версией себя (Edgy Conversations). Дэн Вальдшмидт.

begun

У нас много мечт. С возрастом приходит не только старость, но и мудрость (для некотрых по кр. мере:). Отсеиваются легковесные, эмоциональные мечты (типа объездить пол-света, слетать в космос). Но с годами также теряется и некая безбашенность, решимость, даже одержимость (в хорошем смысле).

Мне нравятся мысли Дэна в этом контексте. Он реально безбашенный.

Что и всем нам советую, хотя бы иногда.

См. детальное ревью книги в моем непрофессиональном блоге: Будь лучшей версией себя (Edgy Conversations). Дэн Вальдшмидт.

Business Continuity Management — аццкая тема

Business_ContinuityНе знаю почему, но BCP тема оказалось какой-то сложной.

Я внедрял ранее уже BCP, и не раз, но как оказалось, мои прошлые внедрения были специализированными, узкими.

Сейчас я изучил (т.е. продолжаю изучать) тему, поднял стандарты ISO 22301\22313, разные статьи в инете. И оказалось что BCP можно заниматься почти с такой же нагрузкой и с таким же объемом, как и ИСО 27001. Существует даже сертификация на ИСО 22301.

Сейчас сижу, копаю практическое различие между RA (Risk Assessment) и BIA (Business Impact Analysis).

PS см. результаты страданий в Business Continuity Management — аццкая тема II.

Конференция SPM Conf — 5

Побывал на конференции SPM Conf — 5, то бишь V Международная конференция в области управления проектами. Смотри тут программу конференции.2015-11-08 17.20.03

Впечатление двоякие. С одной стороны, много людей новых, в докладах проскальзывают классные мысли. С другой стороны, выглядит немного депрессивно. В частности, конференцию сократили с 2х дней до одного. Запланированные тренинги — поотменяли, по причине отсутствия интереса у аудитории.

Качество докладов — в основном средне-низкое. Я довольно резво посещал различные конференции лет 5 назад, так вот с тех пор ничего особо не изменилось. А хотелось бы надеяться, что зрелость индустрии растет, качество и количество экспертов увеличивается, соответственно все это должно отражаться на докладах. Однако, не заметно. Либо проффи просто игнорируют эти конференции (скорее всего так и есть).

Из докладов можно выделить «профессионалов-лекторов» — Орловского, Дернаковского, Безуглого. 2015-11-06 12.49.07

Однако, говорят, что доклад стратоплановца Александра Орловского уже несколько лет не меняется. Но я видел в первый раз, поэтому понравилось:)

Дмитрий Безуглый завел малопонятные беседы про анализ трендов в управлении проектов и про «систему систем». Я мало что понял, наверное не дорос еще.

У Дернаковского Михаила все как обычно — интересненько, живенько, с ролевыми играми. Тема — про коучинг. Все собирался спросить у него, что он думает про высказывания Максима Батырева, который в одной из своих татуировок утверждал, что коучинг — это зло:) Не довелось спросить, а так знатный бы троллинг случился:)

Собственно, я и сам выступал с докладом — про роль информационной безопасности в управлении проектами. Выступил субъективно не очень, сказывается отстутсвие практики в последние годы. Однако тему считаю актуальной, даже если кто и не верит в это:)

Скоро напишу более подробно, а пока — см. презентацию по ссылке.

spm5

 

 

 

 

Уведомления о конфиденциальности в электронной почте — пустая затея

confidentialEmailНедавно перевел статью одного юриста, , опубликовал на хабре — Уведомления о конфиденциальности в электронной почте: не очень хорошая идея. Статья немалая, поэтому привожу тут короткую выжимку, почему же не стоит тратить свои силы на внедрение и поддержание в своей компании так называемого confidentiality notice в подписях к электронным письмам.

Вот несколько здравых вопросов, которые нужно задать себе, при получении, либо отправлении письма с уведомлением о конфиденциальности.

  1. В уведомлении часто говорится, что «несанкционированному получателю» запрещается рассмотрение или распространение письма. Но получив письмо, откуда я знаю, что не являюсь санкционированным получателем, прежде не прочитав сообщение? :)
  2. И вообще, кем себя возомнил Отправитель, чтобы говорить мне, что разрешено и что запрещено? Какой властью он говорит мне, что делать с письмом, отправленным на мой адрес?
  3. Обычно в письмах с уведомлениями намешана куча мала информации, большинство из которой не является конфиденциальной. А так как подпись с уведомлением добавляется автоматически во все письма, то она просто теряет смысл. Никто не смотрит на нее.

Только тогда, когда такие уведомления использовать осторожно и нечасто, у них есть шанс на самом деле защищать конфиденциальную информацию в письме.

Здравый смысл подсказывает нам, что мы не можем заставить кого-либо хранить ваши секреты только просто требуя чтобы они это сделали.
Должны быть некоторые внешние соглашения или требования о том, что ваши секреты будут храниться конкретным получателем.

В заключение, вопрос от одного из комментаторов: имеют ли все эти размышления какое-то отношение к российским реалиям? 
Ответ:  я разговаривал как-то с юристом (правда белорусским, не русским), он сказал, что подобные уведомления на 95% являются психологическим фактором. Однако, оставшиеся 5% потенциально могут помочь на этапах суда, для доказательства факта понимания получателем, что в письме была конфиденциальная информация.

В США в некоторых регуляциях такие уведомления обязательны. Насколько знаю, в области медицины, одно из требований HIPAA.

Итак, не стоит тратить время на внедрение confidentiality notice в письмах:)

Основа профессионализма — сила воли

sila_cherchillМоя эффективность как профессионала — во многом зависит от силы воли.

Книга Келли Макгонигал «Сила воли» — отличный сборник методик и практик для увеличения уровня самоконтроля, способов реагирования на отвлекающие искушения.

Рекомендую к прочтению!

Детальный обзор см. в моем личном блоге Сила воли. Келли Макгонигал..

PS хорошо читать сначала эту книгу, а потом Манна — про номер 1.

Толпа N1s — книга Игоря Манна «Номер 1. Как стать лучшим в том, что ты делаешь»

Чем больше в нашей стране будет №1 — первоклассных специалистов, экспертов, консультантов, сотрудников, руководителей, предпринимателей — тем лучше для каждого города, региона и нашей страны

mannЛюбого профессионала интересует профессиональное развитие. Получение знаний, карьерный рост, новые высоты.

Игорь Манн решил не мелочиться, и предложить любому желающему стать №1 в выбранной области.

Что внутри? Майндакрта, рабочая тетрать и чеклист — именно так я бы описал содержимое.mann2

Майндкарта книги

 

Пересказывать книгу нет смысла — все темы отражены на майндкарте.

Несколько мыслей, близких мне:

  • Японское понятие «икигай» — то, ради чего ты встаешь каждое утро. Какое твое икигай?
  • Правила жизни Манна — знать что делать, знать как сделать, взять и сделать. Бессовестно стянул для себя.
  • Обращаться к людям по имени, соответственно — запоминать имена людей (для меня это проблема)
  • Про презентации, много советов. Хотя я и прочитал достаточно много литературы на эту тему, у Манн выделил больше половины советов, свежо пишет
  • Жить нужно так, чтобы некогда было писать в твиттер:)
  • Хочешь научиться читать быстро — читай больше
  • Оказывается, на конференциях можно быть грамотным участником (а не только спикером). Естественно, через правильные вопросы. Просто готовиться нужно.
  • Светиться — выступать на конференциях, форумах… но это не должно быть вашим «голимым пиаром» :)

Я исчеркал всю книгу в процессе чтения, выписал заметок на 2 страницы, отметил около двух десятков новых книг к прочтению. Ну что же, это один из самых высоких коэфф. полезности среди всех прочтенных мной книг.

Рекомендую каждому проффи.

Оценка:
Сложность чтения: очень легко
Полезность: высокая
Оценка: 9/10 — практичный, мотивирующий чеклист для профессионального развития

Дело жизни, работа жизни — обзор книги Дело вашей жизни. Пол Хокен.

delo2Хорошее мотивационное чтиво для тех, кто хочет стать предпринимателем. Т.е. хочет уйти из спокойной жизни офисного наймита, и познать живые и резкие риски потери денег, здоровья, получит адреналиновый фан и реализоваться в ускоренных темпах.

Шутки шутками, но каждый наемный работник задумывается о своем деле, разве не так?

Книга довольно хорошая, рекомендую.

Детальный обзор — см  по ссылке Дело вашей жизни. Пол Хокен.

delo3

Подождите, сейчас разрушу вашу компанию, никуда не уходите

prostiteКнига Карен Фелан, «Простите, я разрушил вашу компанию». Кто такая Карен? Консультант, основатель консалтинговой фирмы Operating Principals.

Основная идея книги в том, чтобы не пользоваться бездумно услугами внешних консультантов. Ибо они, по мнению Карен, запросто могут терминировать вашу драгоценную компанию. Ну естественно, это не односторонняя, радикальная позиция. Автор приводит ряд областей (реинжиниринг, стратегическое планирование, внедрение системы показателей и т.п.), в которых консалтеры, особенно из крупных консалтерских фирм, применяют стандартные подходы, в конце концов отправляющие фирму под откос.
Например, она упоминает Enron, в которой по совету McKinsey ввели дифференциацию сотрудников на классы А, В и С. Считается, что внедрение этой «звездной системы» косвенно привело компанию к краху.

Итак, книжка неоднозначная, но в целом правильная и полезная. Must read.
Некоторые мысли из книги.

1. Планирование стратегии? Только в пределах разумного.

Вспомни черного лебедя Талеба. Но есть хорошие примеры — Улисс Грант, Дуайт Эйзентхауэр — «при подготовке к сражению…планы бесполезны, а вот планирование — обязательно». Таким образом, разработка стратегии и планов компании — должно стать постоянным динамическим процессом изучения текущей реальности, и корректировки. Планирование — обязательно, п.ч. без этого не узнаешь деталей, которые понадобятся для следующего шага после начала сражения.

2. Показатели — это средства, а не цели. 

kpi

Я знал это, чувствовал, но не знал как выразить:)  Моя процессная душа всегда была за метрики, но подвох чувствовался всегда!
Цели есть у всех. Наиболее продвинутые пытаются создать систему метрик, описывающих критерии достижения этой цели. Например — хочу похудеть. Тут же метрика всплывает — 12 кг за 3 мес. Что тут плохого? А то, что цель на самом деле — похудеть, не ухудшив здоровья. Чувствуете разницу? Чтобы правильно описать настоящую цель, придется выпиливать огромную систему показателей. И на кого тогда мы похожи? На водил, упертых в свои приборные панели. Но чтобы не разбиться, нужно на дорогу смотреть, и лишь иногда на панель.

Про дорогу и панель — может немного утрированно, но жизнь показывает, что компании, кровью строящие свой бизнес на метриках — плохо заканчивают.
Так что же, метрики — ужас и западня? Они могут быть западней. Но выход — не привязывать ЗП сотрудников к метрикам. Метрики нужны, но лишь для анализа ситуации, как доп. информация.

А если не послушаетесь, то получите:
Букет ненужных последствий, полученных из-за желания следовать KPI (дать водилам автобусов метрику по прибытию на остановки вовремя, и они забудут про сервис и уважение, будут тупо ездить по времени).
Мошенничество и приписывание. И ничего ты не сделаешь с этим, п.ч. у сотрудника 8 часовой рабочий день, чтобы придумать как лучше перестать быть винтиком в твоей тупой машине, и получать максимальный профит в дырявой системе метрик. Никакая система метрик не победит сотрудников, если ты ставишь ее на первое место, а не твоих же сотрудников.
Конфликты там, где они не должны быть. П.ч. метрики одного отдела будут конфликтовать с метриками другого отдела. Например, продажники — дерутся за объем продаж. И им не нужно качество твоей работы по большому счету.

3. Управление человеческими ресурсами

biomassa

Понятие-то какое — человеческие ресурсы, биомасса ить. Лучше бы писали — работа с людьми, человечней все-таки.
Понятие эффективности людей, завсегда приятно измерить. Таким образом, получаем тему, связанную с предыдущим топиком — с метриками.
Не нужно замерять эффективность сотрудников (процесс аттестации). По определению, процесс аттестации не может быть справедливым, а значит, он опустошает, дает ложную оценку, заставляет делать не то что нужно на самом деле, тратит энергию в ж-пу.
Если кто-то хочет построить действительно справедливую оценку эффективности сотрудников, поразмыслите над этим:

  • любой из нас считает себя «выше среднего». Ну и как ты будешь обрабатывать эту ситуацию? Низкопроизводительный сотрудник обидится. И кстати, обидится и высокопроизводительный, когда ты поставишь ему 4.3 вместо 5 из 5.
  • эффективность — субъективное понятие. Никакой SMART не поможет, см тему метрик
  • формулирование целей вначале года\квартала — лишает гибкости в середине периода. Значит тут нужны подпорки в виде change mgmt process.
  • цели будут неравнозначными в разных отделах, да и в пределах одного раздела — тоже!
  • огромный объем работы нужно сделать сотрудникам, чтобы пройти все шаги системы аттестации. Помню возглас из зала, где объявляли про введение этой системы — а работать нам когда?!
  • фаворитизм, эффект ореола (когда прошлые успехи\неуспехи влияют на оценку сейчас), дискриминация по возрасту\внешнему виду бла бла..те еще темы

Возможные выходы:
— ЗП выше среднего по рынку, простейшая привязка ЗП к прибылям (это все есть у Пинка)
— взаимодействие и обратная связь менеджера и сотрудника. А не тратить время на заполнение бланков и отчетов.
— позволять сотруднику выбирать себе цели, в рамках возможного

Лирическое отступление о славянском факторе. Некоторые прожженные российские менеджеры скажут, что эти подходы не сработают для славянского менталитета, с его совком и халявой в крови. Действительно, у нас долгая и не очень веселая история. Однако, какого хр.на нам нужно ориентироваться на прошлое, а не брать передовой опыт и учитывая прошлое, адаптировать, находить новые, свои подходы?
Знаю, что в великой ит компании из трех букв, где я работал, меня пошлют на те же 3 буквы. Но даже там, я уверен, можно выстроить прогрессивную, человеко-ориентированную среду. Ну разве что придется уволить 60% менежмента, и потратить лет 20.

4. Остальное

Как стать хорошим менеджером? Да просто, быть нормальным, адекватным человеком:) Интерес к окружающим, общение, гибкость. Поддерживать хорошие отношения, это ведь не бином Ньютона (вообще то сомневаюсь, бином попроще иногда). Хорошую ссылку дала на Кислород гугла.

Модели менеджмента не имеют реальной ценности, а беседы с сотрудниками — имеют. Единственный способ чему то научиться — работать с людьми, а не читать про это.

Принцип Питера — в иерархической структуре, работники поднимаются до уровня своей некомпетентности. И это не лучший вариант для нас, не так ли? Но как я понял, мир еще не придумал, как эффективно справляться с этим эффектом.

Худшее, что может сделать клиент — нанять кого-то (меня), кто будет думать вместо него. Это намек всем нам, консультантам — делаем так, чтобы клиент сам начал думать, а не оставляем его с отчетом и планом действий:-)

И прежде, чем дать совет клиенту, подумай о последствиях:)

Итак, книга к обязательному прочтению и применению, для каждого консалтера и просто манагера.

Оценка:
Сложность чтения: легко
Полезность: высокая
Оценка: 9/10 (не 10, п.ч. в конце книги совсем уж очевидности описаны)