Troska o prywatność w zarządzaniu usługami – konieczność czy fanaberia?

Profilaktyka ochrony danych naszych klientów jest nieodzownym towarzyszem w zarządzaniu usługami IT. Kilka razy w roku wykonujemy testy penetracyjne, przełączeniowe (ciągłości biznesowej), co tydzień uruchamiamy skanery pod kątem cyberbezpieczeństwa. Sprawdzamy luki i bugi, naprawiamy, walidujemy, niwelujemy ryzyka. Jakkolwiek uciążliwe, wiemy, jak bardzo są potrzebne. Wiemy również, jak trudno jest czasem odnaleźć prawdziwego „winowajcę” źródła danego problemu. Odpowiedzialność bowiem rozmywa się, gdy coraz to nowe aplikacje czy serwisy pojawiają się w środowisku produkcyjnym, a nie wiadomo, kto za nie odpowiada. Czasem niejasnym jest to, na czym zostały zbudowane, w jaki sposób pobierają, przetwarzają i magazynują dane, jak zabezpieczają dane przechowywane i czy aby na pewno właściciel usługi pofatygował się, by dopełnić niezbędnych formalności. Często zależność od innych aplikacji, usług czy od urządzeń, które należą do pracowników, zwiększa potencjalne obszary atak (usługi w chmurze również). Jeżeli nasz produkt cyfrowy – np. aplikacja mobilna w bankowości internetowej – wymaga podawania danych wrażliwych lub przechowuje dane wrażliwe, to w jaki sposób je chronimy? Jak zapobiegamy kradzieżom tożsamości? Jak możemy przeciwdziałać i zapobiegać incydentom związanym z wyciekiem danych?

Nieśmiertelna papierkowa robota

Mimo że praktycznie w całości przeniosła się do wersji elektronicznych, to i tak spędza nam sen z powiek. Zalewa nas mnóstwem dokumentów, raportów, procedur i sprawozdań. Znienawidzona przez wszystkich PAPIERKOWA ROBOTA. Paradoksalnie dziś nawet bardziej niezbędna i powszechna niż kiedykolwiek przedtem, właśnie ze względu na normy i regulacje występujące na całym świecie, dotyczące obrotu dokumentami, przechowywania i przetwarzania danych. Wszędzie inne i wszędzie jednakowo istotne. Próbujemy jakoś przebrnąć przez morze protokołów, norm i wymagań. Im większy klient, im więcej krajów obsługujemy, tym labirynt robi się trudniejszy do przejścia, a podłoże bardziej grząskie. Im bardziej złożony produkt, tym więcej wymaga dostępów do przeróżnych poziomów zarządzania treścią i bezpieczeństwem. A jeśli jeszcze, na domiar złego, dochodzi do przechowywania wrażliwych danych, to jesteśmy ugotowani.

Jako service managerowie na co dzień borykamy się z ogromem formalności, które występują w naszej branży niezależnie od tego, czy jest to usługa, czy produkt cyfrowy. Nasza rola polega między innymi na dopełnianiu wszystkich niezbędnych formalności przed wcieleniem nowej usługi w życie. Tych dokumentów jest kilka, niektóre wydać się mogą archaiczne i niepotrzebne, ale czasem są konieczne,by zapobiec potencjalnej katastrofie. Być może przemawia przeze mnie moje osobiste wieloletnie doświadczenie w zarządzaniu kryzysowym. Być może po prostu dmucham na zimne. Ale czy nie lepiej mieć spokojny sen?

O ile dla większości osób dokumentacja projektowa jest nudna i czasochłonna, więc czasem kusi nas, by te potraktować ją pobieżnie, z przymrużeniem oka, o tyle w przypadku incydentu dotyczącego bezpieczeństwa informacji musimy mieć pewność, że dopełniliśmy wszystkich niezbędnych formalności i dołożyliśmy wszelkich starań – by chronić nie tylko naszych klientów, ale siebie, zespół i dobre imię firmy.

Na świecie istnieje mnóstwo regulacji dotyczących usług, obrotów dokumentów czy dostępów do konkretnych typów informacji. Przykładowo: nawet w usługach IT dla klienta z branży spożywczej czy farmaceutycznej będą miały zastosowanie regulacje FDA (Food & Drug Administration – obrót lekami i żywnością). Pracując dla USA czy Kanady, będziemy musieli przejść niezbędne szkolenie i podpisać odpowiednią klauzulę, jeśli w przyszłości mamy mieć do czynienia z tego typu danymi.

Instytucje finansowe będą z pewnością regulowały kwestie niekaralności, zwiększonej czujności w zakresie zwalczania przestępstw gospodarczych, monitorowanie potencjalnego unikania podatków. Będą też bliżej przyglądały się konfliktom interesów, pracy w radach nadzorczych, stanowiskom i funkcjom politycznym. Prawo bankowe na całym świecie bardzo dynamicznie się zmienia. Pewne aktywności legalne w jednym kraju będą totalnie zabronione w innym. Warto wiedzieć, jakiego rodzaju sankcje i konsekwencje grożą w przypadku niedopełnienia przez nas danej regulacji czy niepomyślnego przejścia audytu.

Aby uniknąć nieporozumień i nie pozostawiać miejsca na swobodną interpretację, potrzeba nam kilku konkretnych dokumentów.

Kontrola jakości

Pragnę przełamać stereotyp, że wypełnianie dokumentów to nieprzyjemny i przykry obowiązek.  W artykule o IT Service Management na rynku projektowym (z czerwcowego numeru Product Design Magazine) wspominałam, że udana współpraca z zespołami projektowymi, inżynierami, konsultantami, administracją, kierownictwem jest warunkiem koniecznym do osiągnięcia sukcesu w projekcie. Komunikacja, zaangażowanie, jasne i przejrzyste przedstawianie na forum grupy wszelkich ryzyk (czy to środowiskowych, czy projektowych) i potencjalnych opóźnień pozwoli nam na zniwelowanie ryzyk. To, że zamiatanie problemów pod dywan i modlenie się, by spod niego nie wypełzły, nie jest odpowiednim podejściem. 🙂 Zaznaczanie byle czego, byle jak, tylko po to, by wysłać formularz i mieć go z głowy, również bym Państwu gorąco odradzała.

Jakość produktu czy usługi opiera się na identyfikacji klientów i ich wymagań. Na wczesnych etapach projektu wymagania mogą być (i często są) niejasne i niemierzalne, natomiast w miarę postępu prac wymagania muszą zostać dopracowane i zamienione w specyfikacje – a te już są mierzalne. Konkretna definicja jakości finalnego produktu cyfrowego czy usługi powinna być wyznaczona odpowiednio wcześnie i naprawdę dobrze sformułowana, najlepiej z zaangażowaniem klienta – tak, aby na koniec projektu otrzymał on produkt czy usługę wysokiej jakości.

Jakość aplikacji zależy od czegoś więcej niż tylko zaspokaja założenia tzw. przydatności użytkowej (fitness for use) czy przydatność dla celu (fitness for purpose). Amerykański teoretyk zarządzania, Joseph M. Juran, często uznawany za twórcę pojęcia jakości, podkreśla dwa komponenty jakości, kluczowe z perspektywy zarządzania jakością usług i produktów cyfrowych: wolność od niepowodzeń(freedom from failures) oraz cechy, które spełniają potrzeby klienta.

W kontekście jakości projektu IT ważne jest, aby spełniać potrzeby klienta, a jednocześnie nie uszczęśliwiać klienta na siłę, czyli np. samowolnie nie uzupełniać produktu cyfrowego o kosztowne cechy/funkcje, które dla klienta nie mają żadnej wartości lub mają wartość znikomą. Dlatego tak ważnym jest, by nie umawiać się z klientem na słowo honoru, tylko wszystkie wymagania i specyfikacje spisać, przedstawić klientowi, omówić i zatwierdzić po obu stronach ich zgodność i zrozumienie.

Kryteria akceptacji 

ITSA (IT Service Acceptance) to zbiór kryteriów, których używa się dla zapewnienia, że usługa IT lub produkt cyfrowy spełnia wymagania jakościowe i funkcjonalne oraz że dostawca danej usługi czy produktu jest gotów ją uruchomić i wspierać od momentu wdrożenia.

Wymagania funkcjonalne (co?) to konkretne techniczne aspekty naszego produktu, cechy, jakie produkt powinien posiadać a raczej: jakie warunki czy funkcje spełniać, by odnieść sukces. Często mówimy o Definition of Done, czyli – najprościej ujmując – o tym, kiedy usługę czy produkt cyfrowy można uznać za gotowy, kompletny. Mamy również pozafunkcjonalne (jak?) wymagania projektowe, które dzielimy na systemowe, biznesowe i użytkownika. Dokumenty typu SOW (Statement of Work) i wymagania biznesowe BRD (Business Requirements Document) są podstawą do sporządzenia kolejnego dokumentu, czyli specyfikacji. Taki dokument będzie zawierał zarówno funkcjonalne, jak i pozafunkcjonalne cechy i będzie wymagał podpisania przez klienta. Ma on na celu określenie potrzeb biznesowych projektu, kryteriów jego sukcesu. Inaczej mówiąc: dlaczego projekt jest potrzebny, komu przyniesie korzyści, jaką potrzebę biznesową zaspokaja, a także kiedy i gdzie się odbędzie oraz jakie narzędzia zostaną wykorzystane do jego oceny. Wymagania biznesowe nie określają sposobu realizacji projektu ani nie obejmują szczegółów jego wdrożenia. Dopóki nie spiszemy czarno na białym, czego klient tak naprawdę chce i na czym ma się to opierać, to nie będziemy w stanie realnie wycenić takiej usługi ani określić zasobów czasu, pracy i ludzi niezbędnych do jej przygotowania i wdrożenia.

Wymagania pozafunkcjonalne określają atrybuty czy też właściwości naszej usługi lub produktu cyfrowego, np. cyberbezpieczeństwo, ciągłość biznesową czy wspomnianą poniżej zgodność. Prawidłowo wypełniony IT Service Acceptance pomoże nam zidentyfikować usługę, jej właściciela i osobę za nią odpowiedzialną, ważność i znaczenie danej usługi, kraj występowania (a co za tym idzie: typy kontroli, którym podlega), to, jakiego rodzaju testy wydajnościowe przeszła, w jaki sposób jest monitorowana i jak generuje powiadomienia o niedostępności. W przypadku wykrycia jakiejkolwiek wady systemu jesteśmy w stanie natychmiast odszukać i dopasować jego właściciela i przypisać mu zadania korygujące. W przypadku naprawdę rzetelnie wypełnionego ITSA wiemy, co nasza usługa konkretnie robi, na czym się opiera, czego używa, czy i jakie ma interfejsy i z jakich zasobów internetowych korzysta. Jeżeli dobrze to dokumentujemy i regularnie aktualizujemy katalog czy jakąś prostą bazę naszych usług, to możemy bardzo szybko zlokalizować, gdzie usługa się mieści, z czym jest powiązana, ale także z jakich regulacji jest rozliczana i pod jakie audyty podlega.

Zarządzanie zgodnością (compliance) ustanawia zasady, które wspierają nas w procesach zarządzania oraz zapewnia zgodność prowadzonej działalności z prawem, regulacjami wewnętrznymi, standardami etycznymi i normami czy przyjętymi w branży praktykami biznesowymi. Warto spisać sobie takie regulacje i kontrole wraz z ich częstotliwością i obszarem obowiązywania – jakie rodzaje kontroli, ile razy w roku wykonujemy, dla jakiego regionu na świecie, co to ma na celu, przed czym i kogo chroni. Warto mieć pogląd w skali makro, jak wygląda nasz kalendarz. Pierwszy rok z dużym prawdopodobieństwem będzie trudny i pełen niespodzianek. Będziemy nerwowo i „na wczoraj” szukać potwierdzenia, że nasz produkt cyfrowy czy usługa jest zgodna z normami kraju, w którym jest używana. Zbierajmy więc informacje o podstawie prawnej i konkretnym źródle takiego zapytania czy kontroli, wtedy następnym razem, w przypadku audytu, wyciągniemy taki spis i już będziemy wiedzieli, czy zapytanie jest wyssane z palca, czy jednak ma merytoryczne podłoże i uzasadnienie.

Zarządzanie ryzykiem 

Od strony service managementu konieczną składową IT Service Acceptance jest zadbanie o cyberbezpieczeństwo. Platformy takie, jak Kenna czy Venafi wykorzystują technologię uczenia maszynowego i praktykę data science do śledzenia i przewidywania exploitów w rzeczywistym świecie i pomagają w poruszaniu się w zmieniającym się krajobrazie zagrożeń i ustalaniu priorytetów ryzyk. Nadawanie priorytetów wyłapanym lukom w oparciu o analizę zagrożeń i ich wpływ na biznes jest niezwykle istotne. I tutaj konieczna jest współpraca service managera, zespołu projektowego i specjalistów od cyberbezpieczeństwa. Pomoże ona w zidentyfikowaniu ryzyk, nadaniu im rzeczywistej ważności i pilności, ponieważ zdarzyć się też mogą tzw. false positive, czyli wyniki fałszywie dodatnie (wskazują na lukę w systemie, która tak naprawdę luką nie jest, bo jest zamierzona, np. w kodzie zmiennym, dynamicznym, zagnieżdżonym z innego źródła). Przy okazji budowania przeróżnych środowisk testowych powinniśmy pamiętać, by je prawidłowo udokumentować (uwzględnić do czego są potrzebne i kto z nich korzysta) i po skończonej pracy je po sobie posprzątać (w tym wypadku pozostałości po tymczasowych testowych środowiskach nie będą nas niepotrzebnie alarmowały, np. powiadomieniem o wygasłym certyfikacie SSL).

W przypadku dużych projektów i szerokiej gamy zasobów aplikacji czy produktów cyfrowych, dla których cyberbezpieczeństwo jest kluczowe, zachęcam do rozważenia modelu SECaaS czyli Security as a Service. Polega on na oddelegowaniu zarządzania cyberbezpieczeństwem firmom, które zajmują się tym profesjonalnie, w postaci abonamentowego dostępu do dedykowanych platform. Kompleksowe karty wyników kontroli bezpieczeństwa i wydajności reagowania na zagrożenia pomogą przyspieszyć i zautomatyzować podejmowanie decyzji dzięki skalibrowanym informacjom. Współczesne technologie zarządzania lukami w zabezpieczeniach dają organizacjom sprawną współpracę pomiędzy konkretnymi funkcjonalnościami produktowymi, aby niemal natychmiast ustalić priorytety i wyeliminować cyberzagrożenia.