Краткий конспект выступления Ильи Дубова на интенсиве для CISO Код ИБ Профи

ИТ услуга — это способ предоставления ценности заказчикам через содействие им в получении конечных результатов, которых заказчики хотят достичь без владения специфическими затратами и рисками. 

Поэтому можно выделить два направления деятельности подразделения:
● Оптимизация рисков в существующих услугах ИТ
● Создание новых услуг для оптимизации риска

Услуги могут быть разными

Но главное, что отличает плохую услугу от хорошей - Клиентоориентированность. Стройте доверительные и партнерские отношения с вашими заказчиками, используйте стратегию win -win.

 На примере создания услуги обучения посмотрим этапы, которые она проходит:

Этап 1: сформулировать риски      
Чего хочет бизнес? Разработать и вывести на рынок надежную систему, удовлетворяющую потребности клиентов, доступную для них из любой точки мира 24х7х365 Чего не хочет бизнес? Жалоб клиентов, претензий от регуляторов, потерю клиентов, критику в СМИ, инцидентов. Если  разработчики не знакомы с принципами безопасного программирования, то вероятно возникновение уязвимостей в системе, выведенной на рынок, которые могут эксплуатировать внешние нарушители, следствием чего станет утечка данных клиентов. 

Этап 2: сформулировать идею услуги
Обучение разработчиков системы для бизнеса принципам безопасного программирования позволит существенно снизить вероятность возникновения обозначенного риска

Этап 3: сформулировать концепцию услуги

Этап 4: договориться с заинтересованными сторонами
Заинтересованные стороны: - представители бизнес-подразделений - руководители команд разработки - отдел кадров

Преграды на пути 1-4 этапов в том, что люди сопротивляются изменениям, особенно если дела внешне идут хорошо, а также инвестиции в создание услуги и увеличение издержек на разработчиков не обрадуют бизнес.

Этап 5: определить роли и процесс оказания услуги

● Определяем роли: заказчиков и исполнителей  
● Описываем процесс оказания услуги  
● Рисуем схему процесса, с обратной связью

Этап 6: определить метрики эффективности
● % собеседований разработчиков командой безопасности приложений
● % разработчиков, успешно прошедших обучение
● % уязвимостей,  обнаруженных автоматизированными системами анализа, по категориям
● Количество запросов на консультацию
● Оценка удовлетворенности заказчиков
● и др.

Этап 7: пилот и обратная связь

1. Подготовить минимальную инфраструктуру для предоставления услуги
2. Опробовать процесс предоставление услуги на отдельной команде разработчиков в течении 1-3 месяцев
3. Выбрать ключевые метрики и провести их измерение
4. Провести опрос вовлеченных сотрудников о качестве оказываемой услуги
5. Подготовить отчетность и провести встречу с заинтересованными сторонами

Подводные камни этапов 5-7 в том, что не нужно сразу строить полноценную инфраструктуру. Пилотируйте услугу на самом лояльном вам подразделении и помните, что самая главная метрика - обратная связь заказчиков.

Этап 8: модернизация услуги на основании результатов пилота

Строим инфраструктуру, обучаем людей, учитываем обратную связь заказчиков, корректируем метрики

Этап 9: вывод услуги на рынок

Проведите рекламную акцию в вашей компании и расскажите все заказчикам о вашей услуге по удобному каналу связи: рассылка, встречи, презентация, новость на корпоративный портал и т.д.

Этап 10: мониторинг и улучшение

● Выберете периодичность сбора метрик эффективности
● Регистрируйте ВСЕ запросы на оказание услуги
● Предоставляйте отчетность всем заинтересованным сторонам, не только руководству
● Собирайте обратную связь с заказчиков

Если вас заинтересовала это тема - можете посмотреть полную запись выступления:

Посмотреть запись выступления