Архивы автора: Алексей Евменков

Об авторе Алексей Евменков

Меня зовут Алексей Евменков. В ИТ бизнесе с 1999 года. Начинал с программного тестирования, плавно перешел в процессную область, затем в информационную безопасность (ИБ). Больше всего мне нравится выстраивать системы. Системы по управлению качеством, по управлению ИБ, просто системы процессов разработки и тестирования. В своей практике занимался внедрением и сертификацией многих СМК (по ISO 9001) и СУИБ (ISO 27001). Создал и сертифицировал первую в Беларуси СУИБ в соответствии со стандартом ISO\IEC 27001:2005. Цель блога - поделиться опытом, структурировать имеющиеся знания. Блог про QA и IS assurance в IT компаниях во всех своих проявлениях:)

Книга о том, как же правильно работать

chelРитмичность в работе, и концентрация на одном деле — основа основ.

Метод помидора — помогает достичь хороших результатов.

См. описание довольно неплохой книжки на эту тему — Тайм-менеджмент по помидору. Штаффан Нётеберг.

Методику однозначно рекомендую к использованию!

Единственный вопрос, который мучит меня, это насколько метод окажется применим для жесткой менеджерской жизни. Какое то время назад я имел определенную менеджерскую ответственность, и работа тогда была сплошным потоком быстрых переключений, жестких решений и постоянной перегрузки. Сейчас у меня более-менее спокойная, размеренная «жизнь эксперта». И метод помидора сейчас для меня — офигительно катит.

Однако, думаю и в манагерстве метод адаптируется. Возможно придется сократить помидор с 25 минут до 20-15, список дел по другому вести. Но это неважно.

Принцип ритмичности и однозадачности никто не отменял:)

Внедрение процессов и практик

Говорить о процессе внедрения процесса — дело не совсем благодарное. С одной стороны, процессы внедряют пачками, непрерывно, всегда это делали и будут делать. С другой стороны, мало кто осознанно это делает, и тем более по какой-либо методике.

Если у меня спрашивают о полноценном внедрении процесса, то я выставляю только один критерий — внедрение должно осуществляться как проект. Ну и как вы понимаете, в проект можно много чего напихать:)

Ниже — идеализированная схема внедрения процесса:
2015-06-16_proc_impl_full

По центру — основные активности, справа дана временная шкала, чтобы можно было сравнить со следующим вариантом. Звездами выделены ключевые вещи.
Итак, что получаем:

  • Если у нас проект, значит нужна рабочая группа, нужен план и прочие аттрибуты проекта. В плане должны быть прописаны KPI процесса, также ключевые цели, которые должны быть достигнуты в процессе внедрения процесса.
    Лет 5 назад я бы сказал, что план — очень важен. Сейчас так не думаю:) План — это заготовка, база, которая должна постоянно корректироваться.
  • Задачи из плана должны полностью замениться бэклогом задач — по результатам совещаний рабочей группы.
  • Рабочая группа — важнейший момент (все самое важное выделено красной звездой). С момента формирования группы и до закрытия проекта, рабочая группа регулярно встречается, и корректирует ход внедрения процесса. Дело в том, что каким бы смарт разработчик процесса не был, он не предскажет и половины проблем, возникающих в процессе внедрения. Для этого нам и нужны постоянные корректировки.
  • Разрабатывается документация (регламент процесса).
  • По результатам работы группы, и созданному ей бэклогу задач — выполняются мероприятия. Например, поиск и внедрение подходящего инструмента. Согласование соприкасающихся процессов и т.п. Тут могут быть целые под-проекты, и просажена куча усилий.
  • Промежуточные аудиты — в основном построены на прописанных KPI (которые кстати тоже сабжект для корректировок при необходимости).
  • Тренинги для целевой аудитории. Обычно вначале выбирается группа хомячков, все обкатывается на них. Потом тренинг проводится на всей целевой группе. В эту группу не обязательно входит вся компания, думаю это понятно.
    Хорошо, если вам нравится проводить тренинги. Ведь это выступление перед людьми:)
  • Экзамен. Лично мое убеждение — без экзамена сотрудник а) несерьезно относится б) при всем желании фигово запоминает и не проникается темой.
    Единственный минус экзаменов — большой геморрой с внедрением системы экзаменации. Это реально большая отдельная тема.
  • Закрытие проекта — с отчетом, с анализом ошибок.

Это была идеальная картинка (думаю многие смогут еще ее доидеалить, чтобы в космос полететь).

А в жизни в 95% случаях происходит все вот так:
2015-06-16_proc_impl_basic

Т.е., на основе анализа разрабатывается некий документ, который спускается на компанию. Далее, в зависимости от пожеланий бизнеса, процесс может докручиваться, возможно даже с использованием аудитов. Но частенько процесс на бумаге становится неактуальным через 15 минут после публикации, и дальше начинается параллельная жизнь бумажного и реального тигров.
Но обратите внимание на график работ — на такое вот минимальное внедрение потребуется в 3 раза меньше времени.

Какие выводы? Я понимаю, что идеальную схему внедрения нам доведется исполнить в жизни раз 6. Разве что вы работаете в NASA или атомной энергетике.
Поэтому рекомендую отталкиваться от базового варианта, с привнесением компонентов из полного варианта, по ситуации.

А будучи серьезным дядей\тетей, жизненный опыт подскажет что и в какой ситуации вытаскивать наружу, на стол начальству.

Удачи всем нам с внедрением процессов!

PS в статье я делаю допущения по поводу процессов — не углубляюсь в область управления процессом, упоминаю только про KPI процесса, не даю определения и прочее.

Об интеграции замолвите слово или Company integration

Источник фото http://svetlechekblog.ru/post232412418/

Источник фото http://svetlechekblog.ru/post232412418/

Поразительно, как часто такие непростые вещи, как покупка компаний, делаются «запросто и незамысловато». Наверное, есть плюсы в таком подходе, но очевидны и минусы — наступление захлебывается в лавине непредвиденных «случайностей», интегрированные сотрудники работают «не по нашему», финальные расходы отличаются от плановых в разы.

Опишу базовые концепции интеграции компаний, без амбиций на истину в последней инстанции. Воспринимайте пож-та просто как одну из точек зрений, основанных на пусть небольшом, но практическом опыте.

Обсуждение начальных шагов интеграции, в частности юридической и финансовой сторон — находится вне темы этой статьи. Мы поговорим о практических шагах необходимых для последующей, самой важной с моей т.зр. процессной интеграции.

Любая компания базируется на (бизнес) процессах. Например, отдел продаж — имеет процесс продаж, оценки удовлетворенности заказчика и т.д.; отдел ИТ разработки — процесс разработки и тестирования; финансовый отдел — процесс финансовой отчетности ну и т.д.

Поэтому, как проинтегрируем эти процессы, так и поплывем дальше.

Процесс интеграции компаний делится на этапы, ниже приведена одна из возможных схем этих этапов:

  • Initial stage — постановку целей для интеграции, Due Diligence и собственно, заключение сделки
  • Implementation stage — корректировка планов, выполнение интеграции.
2015-05-18_integration

Общий план по интеграции компаний

 Initial stage

Эта стадия больше относится к выяснению коммерческих интересов сторон, уточнению юридических аспектов. Также, на этом этапе, еще перед подписанием документов, должно начаться планирование.

Считаю это важным моментом, п.ч. зачастую планировать начинают, иногда через несколько недель после закрытия сделки. Все это приводит к затягиванию процесса интеграции, теряется фокус и моментум. Итак, прямо на этой стадии необходимо подумать о следующих стадиях, выделить streams и по мере возможности назначить ответственных. Здесь могут быть сложности ввиду конфиденциальности информации. Но все же, если есть возможность, пусть будущие лиды streams уже начинают планировать и разрабатывать список действий на будущее.

Implementation stage

Планы дорабатываются, составляются детальные списки задач для каждой области (streams).

Можно выделить ключевые под-этапы implementation stage:

  • 1-й день после официального объявления об интеграции
    Это важный день — встречают по одежке. Хорошо подготовленное вводное письмо на всех сотрудников, подготовительные действия для последующих шагов.
  • Первые 100 дней интеграции
    Базовые вещи должны быть сделаны — интеграция финансовых потоков, HR, ICT и тд. После 100 дней компания должна быть в состоянии принимать и исполнять проекты материнской компании.
  • Средне-срочные цели (mid-term), например 4-6 мес. для компании в 100-150чел.
    Цели, поставленные бизнесом должны быть выполнены.
  • Долгосрочные цели (long-term), 1-1.5 лет
    Полная интеграция завершена. Включая интеграцию культур компаний, а это дело непростое.

Классически, весь объем работ разделяют на следующие streams:

  • Operation management
  • Finance mgmt.
  • ICT
  • HR
  • Marketing & Sales
  • Production Processes
  • etc.

По каждому stream необходимо назначить лидера и определить рабочую группу. Это может выглядеть так:

Stream name Company-Acquirer представители CompanyName представители Описание stream
Управление компанией   Стратегия, оперативное планирований, постановка целей и контроль выполнения, определение правил работы компании
Оперативное управление Тактика работы над проектами, процессы взаимодействия, процессы разработки и тестирования, документация, поставка и гарантии, модели проектов и контрактов. Модели разработки, градация сотрудников, карьерный и профессиональный рост. Используемые для разработки и контроля средства, системы и тулы.
Оперативное управление   Успешная работа — time reporting, рабочие процессы и тд
Поддержка бизнеса Визы\командировки, обработка входящей\выходящей документации, заказ канцтоваров и др
Финансы   Финансовый анализ, бухучет, инвойсирование, контракты с заказчиками CompanyName и др заказчиками.
HR     Трудовые отношения с сотрудниками, рекрутинг, соц пакет и бонусные программы, прогноз роста з/п и анализ рынка труда
Коммуникации Коммуникация с прессой, информирование сотрудников, организация мероприятий
Marketing & Sales   Продажи, предложения Заказчику, формирование цены.
Брендинг компании, сайт компании
ICT и инфраструктура   Закупка HW, SW, набор тулов, единая сеть, общие сервисы (email, colaboration and communication)
корпоративные порталы, единые системы учета рабочего времени, репортинг, заявки, управленческий учет и т.д.
Process & tools Интеграция процессов, создание портала для CompanyName
etc.  

Дальше, каждый stream должен проработать план, т.е. буквально — что, когда и кем должно быть сделано. В разработке подобных планов пригодятся чеклисты.  Вот пример чеклиста по ICT — ICT integration checklist_example

 

Некоторые из success factors

  • Интеграция — это проект
    Трактуйте интеграцию как полноценный проект, а не одну-две задачи. Проект предполагает проектный подход. Здесь и план проекта, и отчетность, и другие аттрибуты полноценного проекта. Особенно важно управление рисками. По этой теме пишут отдельные книжки.
  • Коммуникация, коммуникация
    Без полноценного информирования на разных этапах target audience — все может загнуться. Собственно, больше всего страдают сотрудники купленной компании. При недостатке информации они чувствуют себя купленным барахлом (может так оно и есть в глазах руководства?)
  • Оптимальное расположение сотрудников
    Хорошо было бы расположить сотрудников из одних и тех же отделов поблизости друг от друга, чтобы был постоянный обмен и убирались барьеры. Как пример — перелоцировать в одно место сотрудников отдела продаж.
  • Ставим точку
    Не забудьте завершить проект интеграции. Вовремя поставленная точка — сэкономит время\деньги\моральный дух. Не нужно перфекционировать, пора покупать следующую компанию:)

Удачных интеграций!

О создании культуры компании

2015_05_culture-is-built-not-bought-fiВначале, что такое культура компании?

Считаю что можно говорить о культуре чего-либо в компании, когда сотрудники шутят на тему этого «чего-либо» и подкалывают друг друга.

Например, культура компании в области ИБ, это когда:

  • при входе коллеги без бейджа в периметр, другой коллега искренне удивляется — «ты кто такой?».  Хотя он за соседним столом сидит, и квас вместе пьют.
  • за кофе ПМы подкалывают друг друга за разглашение информации о клиенте,  «мужик, держи изоленту» (см ниже картинку)

Вырисовалась эффективная схема по построению так называемой культуры ИБ:

  1. Прорабатывается тема, например — список сведений, составляющих коммерческую тайну компании
  2. В регулярных новостях компании (например в еженедельных письмах всем сотрудникам) делается краткий анонс об этом. Завуалировано, с интригой, типа скоро будет что-то прикольное
  3. Не тормозя, публикуется документ (в нашем случае перечень коммерческой тайны), и сопроводительное письмо к нему.
  4. В этом письме — краткий пересказ документа, без фанатизма, чтобы человек смог прочитать за 30 сек, и (! бинго) — в конце письма комикс по теме!
2015_05_isolenta

Комикс к публикации документа «Сведения, составляющие коммерческую тайну». Создано by Varvara Petrova:)

Вообще, убежден, что юмор — одна из основ для здоровой культуры компании:)

Некоторые шутки превращаются в истории, которые старожилы рассказывают новичкам. Не это ли культура компании?

2015-05_company-culture-cartoon

 

IT-Security Conference, первая в РБ

Первая конференция «Технологии защиты информации и информационная безопасность организаций»

Первая конференция «Технологии защиты информации и информационная безопасность организаций»

Посетил так называемую первую в Республике Беларусь конференцию «Технологии защиты информации и информационная безопасность организаций» («IT-Security Conference»).

Общая оценка — классно для первого раза.

Очень рад что в РБ появляются события такого порядка и такой тематики.

 

Несколько запомнившихся моментов:
  • выступление Прозорова. Тема — про законодательные движения в области ИБ в России. Не совсем релевантно для РБ, но зато интересно (по сравнению со многими и многими презентациями).
  • технари из PaloAlto, рассказали про технические решения по предотвращению кибер-атак. Было интересно, познавательно и нескучно.
  • презентация про FireEye (Ясинский А.) порадовала — много практики
  • Хайретдинов Р. из InfoWatch — рассказал про антикризисную ИБ. По сути — набор принципов из жизни безопасника. Видно что товарищ древний практик.
  • Ожегов из SearchInform — показал как можно накрыть сотрудника через прокачанную DLP. Контролируется все и вся. В конце вывел критерий успешности работы DLP — основанный на % уволенных за нарушения сотрудников. Жесть однако:-\
Организаторы обещают выложить все материалы чуть попозже, я обновлю пост когда появится ссылка.
Из плюсов  — коммуникации коммуникации. Мир посмотреть, про себя рассказать. Прекрасная площадка для знакомств.
Из минусов — не очень хорошее место для конференции — кроме главного зала, все было неудобно. С питанием было не очень. Еще специфическая черта — в основном были специалисты, не было клиентов. Но лично меня это вполне устраивает.
Напоследок — было несколько спикеров, читающих с листка. Ребята, лучше бы не позорились, это же неслушабельно и только вызывает негатив.

 

Мы с Андреем Прозоровым

Мы с Андреем Прозоровым

Однако, закончу позитивом —  для меня было очень приятно познакомиться лично с Андреем Прозоровым, специалистом по ИБ, известным блоггером (Жизнь 80 на 20).

 

В общем и целом, тема ИБ в РБ развивается, что не может не радовать:)

 

Первые шаги с ISO 27001: initial audit and risk assessment

Одни из первых вопросов, с которыми сталкиваешься при внедрении СУИБ по ISO 27001:

  1. Какие из 114 защитных мер, перечисленных в ISO 27002, требуется внедрять
  2. и в какой мере требуется внедрять каждую из выбранных защитных мер

Попробуем разобраться.

Что внедряем

В 27001, в пункте 6.1.3 b) говорится: determine all controls that are necessary to implement the information security risk treatment option(s) chosen.

И далее, d) …  and the justification for exclusions of controls from Annex A;

Таким образом, выбирать то требуется только необходимые защитные меры, но если вдруг не выбрал, изволь обосновать.

Из своей практики замечу, что иногда обосновывать исключение той или иной защитной меры сложнее, чем осуществить некое минимальное внедрение этой меры.

Ок, зная теперь, что лучше все же попытаться внедрить максимальное количество защитных мер, описанных в 27002, ответим на вопрос — в какой мере внедрять. Ведь если внедрять все рекомендации 27002 — любая компания разорится.

Как внедряем

Идея стандарта в том, чтобы на основании Risk assessmenta и Risk treatment получить Risk treatment plan (RTP), содержащий детальные инструкции по внедрению конкретных защитных мер для конкретной компании.

Я лишь хочу привнести практический аспект — проведение первоначального аудита перед Risk assessment. Цель аудита в том, чтобы дать реальное знание о ситуации с защитными мерами в компании на данный момент. Иначе придется делать Risk assessment в теоритическом вакууме.

Процесс получения желанного RTP

Процесс получения желанного RTP

 

 

Что на картинке.

Шаг 1й — аудит. Делается на основании заранее подготовленных чеклистов, по защитным мерам 27002 и основным положениям 27001. В результате получаем оценку внедренности защитных мер — см % под AS IS. Также, что очень классно, прямо в ходе аудита выясняются очевидные ляпы, которые тут же вносятся в оперативные планы ответственных команд. Таким образом, весь проект по внедрению СУИБ (ISMS) набирает ускорение.

Шаг 2й — Risk assessment. Делаем risk assessment, как правило по классике (см 27005). На выходе получаем отранжированный список рисков.

Шаг 3й Risk treatment. RA особо не отделишь от RT. Насколько знаю, большинство делают шаги 2 и 3 одновременно, доводя риски до логической развязки (treatment). Естественно, большинство рисков закрываются соответствующими защитными мерами. И вот тут то уже становится понятно, какую защитную меру нужно выводить на максимальный уровень внедренности (для критических рисков), а какие меры — лишь с минимальным внедрением (для закрытия некритических рисков).

Получаем приблизительный % «требуемого уровня внедрения» — см цифры под колонкой TO BE.

Если окажется, что данную защитную меру уже внедрили в достаточном объеме — ну и хорошо. А на другие защитные меры, скорее всего, понадобятся дополнительные активности по внедрению.

Все эти активности аккуратно вписываем напротив соответствующей защитной меры, и получаем Risk treatment plan.

 

Книга про татуированного менеджера

45_tattoes_big

Весьма практичная книга о пути менеджера. В принципе, годится для любого работника в офисе. Я жалею, что у меня не было такой книжки в начале моего карьерного пути.

Итак, в книге 45 советов, большинство из которых жизненны и актуальны (по кр. мере для меня).

См. полный обзор книги на моем сайте 45 татуировок менеджера. Максим Батырев.

Книга про русского заказчика

russianРечь идет о книге «Русская модель управления» Александра Прохорова.

В книге много текста про русский народ, его менталитет, почему возник, как жил и чем, возможно все это закончится.

С профессиональной точки зрения — книга весьма полезна для понимания заказчиков на русских проектах. Смотришь на культуру какой-нибудь полу-государственной конторы в России, и понимаешь, откуда ноги растут.

После Прохорова, западные бизнес-книжки читаются словно сквозь призму. Читаешь, и понимаешь — не, эта штука в России не прокатит. А вот тут и без фишек все будет сделано автоматически.

Рекомендую для каждого, имеющего дело с Россией (то бишь практически для любого из нас:)

См. также мой «литературный» обзор на личном блоге Русская модель управления. Александр Прохоров.

Курс фасилитаторов

Прошел тренинг «Навыки фасилитации групповой работы», за авторством Дмитрия Лазарева.

Цель курса — научить «фасилитаторству». Это навык оказания помощи группам людей, в построении эффективной дискуссии, приходу к единому решению. Своеобразное «облегчалово» в принятии совместных решений.

Понравился тренер. Дмитрий — действующий фасилитатор, и отлично отрабатывал свои приемы на нас:) Все просто, без пафоса, натурально и практично. То что нужно.

Понравился сам курс. Программа насыщенная (см. картинку ниже), много новых знаний. Возможно, эти новые знания я и не вспомню с ходу, но базовые приемы фасилитатора (перефраз, отзеркаливание, стекинг:) — воспроизведу в реальной ситуации.

Еще, было оччеень много практики. Прошло несколько дней после курса, а у меня все воспоминания — как мы по очереди стояли перед доской, и фасилитировали, фасилитировали.. Лично я увидел разницу в наших выступлениях на первом и третьем дне. В последний день все члены нашей группы бодренько направляли ход обсуждения, руководили чартрайтером (помощник такой, по фиксированию на доске).

Тренинг однозначно рекомендую.

Ниже — картинки с курса и вне курса:)

1-module-description.003

Программа тренинга

 

2014-07-06 it landshaft

Одно из моих творений

 

Мы с Дмитрием:)

Мы с Дмитрием:)

Походить по Москве, как же без этого?:) На фото - убогая хрущевка рядом с крутезной высоткой. В центре Москвы, возле Таганки.

Походить по Москве, как же без этого?:)
На фото — убогая хрущевка рядом с крутезной высоткой. В центре Москвы, возле Таганки.

Бедные туристо в аэропорту Домодедово. Парятся в ожидании самолета.

Бедные туристо в аэропорту Домодедово. Парятся в ожидании самолета.

 

 

 

 

 

Книга про работу

Mountain_climbers_IIIIРечь идет о книге «В августе 44го (Момент истины).» В. Богомолов.

Момент истины для работы.
Немногие художественные произведения могут так явственно помогать в работе. Однако «В августе 44го или Момент истины» Богомолова — один из таких случаев.
Принципы, по которым жили и работали ребята из контрразведки, дают отличный пример для современных команд в компаниях.
Были бы силы следовать этим принципам.
См. детальное описание в моем блоге http://evmenkov.blogspot.com/2014/05/44.html