Работа с заинтересованными сторонами в проектах внедрения ИБ-систем

Многие успешно реализовали у себя крупные проекты по переходу на отечественные решения в сфере информационной безопасности: системы на постоянной основе эксплуатируются в инфраструктуре. Однако внедрение новых систем может встречать пассивное, но при этом достаточно отчетливое сопротивление среды.

Автор: Наталья Онищенко, независимый эксперт по информационной безопасности

При общении с пользователями и администраторами часто всплывает недовольство текущим положением дел – жалобы на нестабильность и снижение производительности, рост требований к оборудованию или на то, что ИБ закручивает гайки. Почти неизбежно звучит и тезис о том, что раньше системы работали быстрее и с меньшими ресурсными затратами. Отчасти это справедливо: средства информационной безопасности редко упрощают жизнь пользователям или ускоряют работу инфраструктуры. Однако есть основания считать, что ностальгия по прошлому во многом преувеличена, а восприятие новых решений – излишне негативизировано.

Более семи лет участвуя во внедрении ИБ-систем в крупной компании и взаимодействуя с вендорами, интеграторами и коллегами из других организаций, я заметила, что большинство таких проектов инициируются и реализуются подразделениями информационной безопасности – при поддержке руководства, но часто без внутреннего запроса со стороны других ИТ-команд. В результате ИБ нередко воспринимается как неизбежное зло. При этом в разных компаниях из раза в раз повторяются одни и те же факторы: системы внедрялись в довольно жесткие сроки; часто проекты реализовывались в режиме героизма на отдельных участках; даже после завершения проектов ИБ-командам приходилось прикладывать значительные усилия для поддержания необходимого уровня эксплуатации.

При этом во многих компаниях переход на отечественные решения не рассматривался как полноценный процесс управления изменениями, а работа с заинтересованными сторонами велась несистемно – нередко создавалось впечатление, что стейкхолдеры скорее мешают, чем участвуют в трансформации. В результате внедрение новых ИБ-систем и процессов редко воспринимается позитивно кем-либо, кроме самих специалистов по безопасности.

Совершенствуем систему проектного управления

Столкнувшись с тем, что из года в год проекты команды кибербезопасности реализовываются в героическом режиме на отдельных участках, наша команда приняла решение усовершенствовать систему проектного управления в части взаимодействия с заинтересованными сторонами, для чего мы обратились к лучшим практикам стейкхолдер-менеджмента, описанным в седьмой редакции PMBoK (Project Management Body of Knowledge).

Рекомендации PMBok7 предлагают следующую этапность работы со стейкхолдерами: идентификация – вовлечение – управление взаимодействием – мониторинг и адаптация.

При этом в процессе выстраивания отношений делается упор на трансляцию следующих ценностей: внимание к потребностям заинтересованных сторон, двусторонний диалог, демонстрацию лидерства. Казалось бы, что проще. Уделяй внимание потребностям заинтересованных сторон, общайся с ними, сближай позиции, не перекладывай ответственность и обращайся за экспертизой и конкретными действиями. Причем постановка вопроса в такой форме существенно способствует взаимопониманию и смене формата общения, когда стейкхолдеры не мешают, а наоборот делятся своей экспертизой и способствуют реализации изменений.

Чтобы рекомендации методологий можно было применять на практике, важно корректно определить ключевых участников и сегментировать группы заинтересованных сторон. На этапе идентификации формируется детальный перечень стейкхолдеров, для чего необходимо ответить на ряд базовых вопросов: кто принимает решения по проекту; кто способен оказать поддержку или, наоборот, создать препятствия; кому проект представляет интерес; кто уже работал с аналогичными задачами; у кого есть ресурсы и экспертиза, значимые для реализации; кто обеспечивает финансирование; на кого проект оказывает влияние и кто получает эффект от его реализации; кто способен влиять на лиц, принимающих решения.

Далее можно определить степень влияния, вовлеченности и интереса к проекту для каждого выявленного стейкхолдера (как отдельных фигур, так и групп), используя графические инструменты (не меньше одного, чтобы получить картину с разных точек зрения). На практике мы использовали: диаграмму сил поля Курта Левина и "круг стейкхолдеров" Линды Бёрн. Для определения векторов максимального приложения усилий, мы использовали адаптированную оценочную шкалу Ликерта и диаграммы "влияние-вовлеченность" и "влияние-отношение" (см. рис. 1 и 2).

Рис. 1. Матрица "влияние-вовлеченность"

Рис. 2. Матрица "влияние-отношение"

Для оценки влияния и вовлеченности использовалась упрощенная 100-балльная шкала Ликерта. Визуализация полученных значений позволяет выделить группы стейкхолдеров и определить стратегию дальнейших коммуникаций.

В результате анализа в план коммуникации войдут три группы заинтересованных лиц, для которых будет определена стратегия построения отношений:

• Максимально тесно сотрудничать в ходе проекта с самыми влиятельными и заинтересованными лицами.
• Поддерживать удовлетворенность не слишком вовлеченных влиятельных лиц (особенно с учетом того, что они могут в какой-то момент оказаться вовлеченными, особенно при проявлении проектных рисков), следить чтобы проектные результаты соответствовали их ожиданиям и верифицировать эти ожидания.
• Информировать о ходе проекта и внедряемых изменениях коллег, кого процесс затрагивает непосредственно, однако они на него не слишком влияют. Задача РП – понимать и, по возможности, удовлетворять потребности данной группы, активно и открыто коммуницировать с ней.
• У четвертой группы не слишком вовлеченных стейкхолдеров, не имеющих большого влияния на проводимые работы, стоит сформировать верхнеуровневое понимание проекта и его задач, однако не слишком активно задействовать в коммуникациях. При этом важно избежать информационного вакуума, который может привести к искаженным интерпретациям. За этой группой следует наблюдать, поскольку изменения контекста или ролей могут повлиять на ее позицию и значимость.

С использованием матрицы "влияние-отношения" предполагается определить группы:

• "союзников", чье хорошее отношение к проекту следует активно поддерживать и стараться не утратить;
• "противников" проекта, которые, обладая большим влиянием, могут ослабить позитивный фон либо даже заблокировать работы по проекту;
• нейтральные силы, которые можно попытаться превратить в союзников, либо, как минимум, сократить негативное влияние на них "противников".

Если в результате анализа "союзники проекта" не обнаружены, требуется проанализировать возможные причины:

• не учтены реальные союзники проекта (например, их интерес оказался скрытым и не был выявлен при первичном анализе);
• у проекта действительно нет союзников, что ставит его под угрозу. В данном случае, возможно, стоит переподойти к описанию проекта с использованием инструмента "пентабазиса", либо сосредоточиться на других актуальных задачах.

Стоит также дополнительно проанализировать группу "союзников", которые таковыми не предполагались. Возможно, они поддерживают проект исходя из нерелевантных ожиданий, и тогда РП стоит провести дополнительную работу по донесению картины предполагаемого результата проектной деятельности.

"Противники" проекта представляют серьезный вызов для руководителя. Негативное отношение ключевых стейкхолдеров нередко формируется на основе прошлого опыта и может быть скорректировано через работу с ожиданиями. Если это не удается, целесообразно опираться на влиятельных "союзников", способных снизить или нейтрализовать негативное влияние.

"Сторонники" проекта (хорошее отношение+низкое влияние) также важны при реализации проекта. Во-первых, их влияние может измениться в ходе реализации проекта. Во-вторых, требуется верифицировать их ожидания и, при необходимости скорректировать, исходя из реалий планируемых работ.

Последние – группа "противников", не обладающих реальным влиянием, формирует негативный фон, способный затрагивать другие группы. Необходимость взаимодействия с ней определяется ситуацией и доступными ресурсами. При ограниченных возможностях и малой численности такую группу допустимо не включать в план коммуникаций.

Итак, важная работа по сегментированию стейкхолдеров завершена, дальше можно работать над вовлечением полученных групп заинтересованных сторон с использованием классических инструментов проектного управления: RACI-матриц, актов разграничения ответственности или иных документов, использующихся в компании.

И в заключение отметим, что для успешной реализации проекта требуется сформировать среду, в которой внедрение изменений будет восприниматься заинтересованными сторонами как естественный ход вещей, ведь зачастую оно осуществляется фрагментарно, оставляя у пользователей простор для опасений негативных сценариев.

Краткая памятка

1. Идентификация. Сформировать реестр стейкхолдеров (диаграмма сил поля, круг стейкхолдеров) из ключевых фигур и групп. Использовать не меньше двух графических инструментов для получения объемной картины. Для каждой позиции выставить оценку по 100-бальной шкале по уровням влияния, вовлеченности (интереса) и отношения. Построить матрицы "влияние-интерес" и "влияние-отношение", выявить группы "соратников", "союзников", понять мотивы (явные и скрытые) противников, по возможности отсечь "хейтеров", определить зоны максимально эффективного приложения усилий и желаемый уровень отношения для ключевых стейкхолдеров (если он не устраивает).
2. Вовлечение. Зафиксировать области ответственности RACI. Организовать каналы коммуникации для стейкхолдеров в соответствии с их сегментацией. В план реализации проекта (контрольные точки) включить требуемые коммуникации, необходимые для трансформации ключевых фигур (ADKAR).
3. Управление взаимодействием. Реализация плана коммуникаций. Если напрямую работа с ключевым стейкхолдером не идет (так бывает), определить новый порядок взаимодействия. Хорошо применять известные переговорные практики и механизмы управления конфликтами. В самых тяжелых случаях – метод тройной остановки конфликта.
4. Мониторинг и адаптация – самый упускаемый момент. Важно отслеживать, а с теми ли стейкхолдерами мы работаем, или кого-то упускаем. Опять же, уровни влияния-вовлеченности и отношения могут меняться по ходу проекта.

А по этим признакам вы поймете, что работа с заинтересованными сторонами сработала:

• Пользователи и администраторы систем начнут приходить с бóльшим количеством проблем. Раньше они просто не видели в этом смысла и не верили, что что-то действительно можно изменить.
• При внедрении новых систем диалоги с эксплуатирующими подразделениями станут длиннее, но содержательнее.
• Вы сами начнете лучше понимать потребности заинтересованных сторон и создавать ценности для них.
• Каждое следующее внедрение будет легче предыдущего, планы начнут не только составляться, но и выполняться, а режим героизма, возможно, не понадобится вообще.
• Эксплуатация существующих систем не будет требовать таких серьезных усилий как раньше.

Возможно, все это произойдет не сразу, и в начале пути будет даже труднее чем раньше. Но накопительный эффект, вероятней всего, будет отражаться в уменьшении сопротивления и снижение нагрузки на команду. А не это ли мечта любого внедренца?