В недавнем разговоре с руководителем ИТ в одном из украинских банков зашла речь о недостатке ресурсов, постоянном прессинге со стороны руководства банка, о снижении затрат, о нехватке квалифицированных людей по многим направлениям. Проблемы, знакомые большинству руководителей ИТ в нашей стране.

В одном исследовании Ernst & Young как раз анализировались такие соотношения: штат отдела ИТ относительно всего персонала компаний, бюджет ИТ к общему бюджету европейских компаний, в том числе украинских и российских. Взяв цифры из исследования и сравнив их с аналогичными показателями в данном конкретном банке, мы обнаружили, что текущая ситуация в банке примерно соответствует ситуации в банковской отрасли других стран.

В Европе, в среднем, на одного сотрудника ИТ приходится 20 сотрудников банка. Цифра в данном банке оказалась примерно той же. Бюджет ИТ в европейских банках составляет 7,12% от общего бюджета банка. В данном банке цифра оказалась меньше, но ненамного. Существенная разница обнаружилась при сравнении соотношения операционной части бюджета с инвестиционной. По Европе в банковской отрасли первая составляет в среднем 54,56%. В данном случае, в связи с тяжелой финансовой ситуацией, почти весь бюджет ИТ состоял из операционных расходов. Эта цифра руководителю департамента ИТ понравилась.

О чем же такая ситуация говорит? О том, что отрасль ИТ не сильно зависит от географических признаков. Технологии что в Европе, что в Америке, что в Украине – по сути, одни и те же. И в европейском банке, и в украинском используются абсолютно одинаковые Microsoft Windows серверы. Одни и те же базы данных Oracle. Да и на аппаратное обеспечение украинским банкам жаловаться грех. В Украине используются и Superdome от HP, и iSeries от IBM. В Украине даже есть Mainframe. Но почему же иностранные компании, которые приходят в Украину, начинают активно перестраивать работу украинских компаний, и подразделений ИТ в частности?

Потому что в Украине пока еще не все компании могут похвастаться качественным корпоративным управлением. Над этим у нас активно работают. В частности, Александр Кардаков продвигает обучение директоров ИТ по отдельной программе MBA – «MBA in IT-Management». В различных тренинговых центрах предлагаются программы повышения управленческой грамотности, например «Финансы для нефинансовых менеджеров», «Планирование и бюджетирование», «Построение системы внутренних контролей в компании» и т.п.

Все эти знания необходимы любому руководителю, и департамент ИТ не исключение. Ведь по сути он представляет собой модель отдельно взятой компании, у которой есть свой штат, бюджет и расходы. А если посмотреть внимательнее, то и свой рынок – оказание услуг внутренним подразделениям компании. Имеются также и свои доходы, которые при желании можно подсчитать.

Как и руководителю любой отдельно взятой компании, руководителю ИТ ежедневно приходиться решать множество различных вопросов, и не только технических. Необходимо «разруливать» конфликты внутри коллектива. Нужно подстегивать отстающие проекты и планировать новые. Нужно справляться с ежедневной рутиной – изучать документы, отвечать на электронные письма, участвовать во встречах. Все это требует различных навыков – организационных, мотивирования персонала, финансовых знаний.

Хорошо поставленные процессы сами по себе ниоткуда не возьмутся. Они или должны вызреть внутри самой компании, или их могут помочь поставить коллеги из материнской компании, или внешние консультанты. Но на данный момент в Украине не так много управленцев, которые хорошо ориентируются во всех вопросах управления бизнеса. А специалистов ИТ с управленческим образованием можно пересчитать на пальцах.

Люди так устроены, что, сколько бы нам не давали денег, времени, отпуска – их всегда не хватает. Остается научиться распоряжаться имеющимися ресурсами и возможностями с максимальной эффективностью.

ГАИ приготовило очередную удобную услугу для жителей столицы. С 11 мая в Киеве новое авто можно поставить на учет по интернету. Во избежание очередей в МРЭО, теперь можно заблаговременно отправить заявку  в ГАИ по электронной почте. Затем нужно только прийти, оплатить необходимые квитанции – и получить номера на руки. По расчетам ГАИ, это должно сэкономить автовладельцам около двух часов времени при регистрации авто.

Если в вашей компании топ-менеджмент и ИТ-служба понимают друг друга с полуслова – это замечательно, однако последнее исследование Ernst & Young о роли ИТ в современном бизнесе выявило, что такое продуктивное взаимодействие – это скорее редкость. Когда речь заходит об ИТ-департаменте, руководители бизнеса часто задаются такими вопросами:

1. Куда уходят деньги в ИТ?
2. О чем говорят мужчины из ИТ-департамента?

Многим из нас знакома эта ситуация. Но вот мои коллеги задались вопросом: насколько эта проблема распространена в мире, и какие пути ее решения? В рамках исследования было опрошено около тысячи руководителей высшего звена и руководителей ИТ из различных отраслей и в компаниях разных размеров по всему миру. Самые интересные выводы следующие:

• 73% респондентов считают, что ИТ может иметь более активную роль в развитии компании;
• Только 15% опрошенных уверены, что их ИТ хорошо подготовлено к будущему;
• ИТ рассматривается как ключевое подразделение для изменения бизнеса компании;
• Исследование показало, что сами руководители ИТ в большинстве случаев оценивают свою работу более положительно, чем их же коллеги из руководства компании. Это говорит о том, что нет эффективной коммуникации между бизнесом и ИТ в вопросе оценки эффективности работы ИТ службы.

Очень интересна также таблица характеристик, которые бизнес ожидает от ИТ службы. Как вы думаете, что стоит на первом месте? Профессиональная компетенция? Сертификат MBA? Нет. Понимание чего хочет бизнес от ИТ (книга Терри Уайта «What Business Really Wants from IT» на Западе похоже не очень популярна).

А что стоит на втором месте? Поддержка бизнеса? Опять не угадали – коммуникация с бизнесом. Абсолютно простые вещи, казалось бы. Но эти проблемы до сих пор являются приоритетными для эффективного взаимодействия бизнеса и ИТ во всем мире.

Что говорят книги по поводу коммуникаций? Чем меньше барьеров между людьми, тем эффективнее их общение. Если директор готов принимать без предварительной записи у секретаря – посетителей у него будет больше, информации от своих сотрудников он получит больше.

Если проектная команда находится в одной комнате, а не разбросана по разным этажам, это существенно увеличивает эффективность коммуникаций. Например, людям не нужно пользоваться телефонами и емейлом для того, чтобы обсудить время и место следующей встречи с клиентом..

Напрашивается очевидный вывод: чтобы взаимодействие ИТ и бизнеса было продуктивным, они должны быть максимально близки друг к другу. Идеальное место – Совет Директоров. Но многие ли украинские компании готовы делегировать Начальнику отдела ИТ место в Совете Директоров? И многие ли украинские компании, назвав руководителей ИТ-служб «директорами ИТ департаментов», действительно делегируют им полномочия по принятию решений, которые могут повлиять на бизнес компании в целом?

В своей работе я видел наиболее эффективные ИТ-службы в тех компаниях, где мы с леном Правления, курирующим ИТ, разговаривали на одном языке. И трудно было понять, то ли это бывший Руководитель ИТ, хорошо знающий свое дело, стал Членом Правления, ответственным за операционную деятельность компании, то ли это COO настолько хорошо разбирается в ИТ.

По сути, для самой компании не важно направление движения персонала – то ли от Head of IT к CIO, COO или CЕO, то ли наоборот. Важен результат – эффективная деятельность компании, для чего тесное взаимодействие ИТ и бизнеса жизненно необходимо.

Как многие, наверное, уже слышали, подразделение безопасности корпорации EMC, компания RSA, подверглась кибер-атаке. Сама RSA признает, что злоумышленники проникли во внутреннюю сеть компании и получили доступ к информации внутренних систем. Что это за информация, какого рода, RSA не сообщает. Несмотря на то, что похищенная информация относится к двухфакторной аутентификации с использованием RSA SecurID, компания считает, что прямой угрозы атак на клиентов нет. Утверждается также, что никакая персональная информация о клиентах или сотрудниках компании не была похищена.

За сложной аббревиатурой Advanced Persistent Threat (APT), как назвали данную атаку в RSA, нет ничего необычного, страшного или заумного. Это название придумали для обозначения атаки с использованием нескольких источников нападения. В данном конкретном случае RSA пока не раскрывает деталей атаки, но речь может идти не только об атаке на внешний периметр, но также и о социальной инженерии, использовании троянских программ, подкупе сотрудников. Ведь речь идет о продуктах, которые используются не только частными, но также и государственными организациями. А время сейчас ой какое неспокойное.

Согласно исследованиям IDC, RSA контролирует около 70% рынка двухфакторной аутентификации. Таким образом, интерес к возможности компрометации доступа к различным внутренним сетям частных, и особенно государственных, организаций в сегодняшнем неспокойном мире может быть очень высок.

Сама по себе выемка информации у вендора еще не говорит о том, что под угрозой компрометации находятся все десятки миллионов SecurID, используемых в мире. Для успешной атаки на SecurID необходимо иметь информацию о компании, конкретном сотруднике, пин-коде SecurID, его серийный номер и его seed (секретный ключ).

Если допустить, что злоумышленники смогли получить информацию о клиентах, о компаниях. И если исходить из наихудшего, что они уже имеют секретные ключи всех SecurID, их серийные номера и информацию о клиентах RSA, то для успешной имитации сетевого соединения от имени другого пользователя им необходимо также получить информацию о конкретном пользователе каждого SecurID и его секретный пин-код.

В текущей ситуации возможны 3 сценария успешной атаки на конечных пользователей:

1. Злоумышленник может попытаться проанализировать сессию пользователя для определения имени пользователя и пин-кода.
2. Злоумышленник может использовать фишинг для получения имени пользователя и пин-кода.
3. Злоумышленник может использовать троянские программы для получения имени пользователя и пин-кода.

Первый вариант возможен, но в силу технической сложности реализации и необходимости использования мощного оборудования, такая атака осуществима только с целью получения оправданной с точки зрения затрат выгоды. Например, для атаки на правительственные учреждения.

Два других варианта гораздо более вероятны, так как фишинг и троянские программы являются довольно распространенным явлением. С этими явлениями довольно успешно борются антивирусы. Но в который раз стоит отметить, что время антивирусов, как панацеи от хакерских атак, безвозвратно ушло. Сегодня, для эффективного противодействия потенциальным злоумышленникам необходимо предпринимать не только технические (антивирусы, firewall, IDS) но и организационные меры.

Например, регулярно проводить ознакомление и обучение сотрудников компании вопросам безопасности. Эта процедура простая и малозатратная. Если позволяют ресурсы, кадровые и финансовые, можно внедрять риск-менеджмент, выписывать и проводить проверки службой внутреннего аудита, заказывать тестирование внешнего периметра компании у сторонних организаций. Все эти процедуры требуют вложений, как в денежном выражении, так и в ресурсном.

Невозможно закрыться одним каким-то техническим решением, и чувствовать себя в безопасности. Вчера появился Интернет, и принес новые угрозы. Сегодня – Facebook, со своими каналами для утечки информации. Завтра появится еще что-нибудь. И уж точно это будет не «серебряная пуля», с помощью которой можно будет избавиться от всех проблем. Люди говорят: «Любовь – это вам не просто так, ею заниматься надо». Так и с безопасностью.