сряда, 29 юни 2016 г.

TPM - Total Productive Maintenance ... или на български - Тотална продуктивна поддръжка. Що е то? Има ли почва?


Семинарите по ТРМ станаха повече от два-три и вероятно ще стават все повече ... Ето справка

ПРОВЕДЕНИ ОБУЧЕНИЯ ПО ТРМ
15.06.2015 – гр. София
14.09.2015 – гр. Търговище - ТРАКИЯ ГЛАС
15.09.2015 – гр. София
28.09.2015 – гр. Търговище - ТРАКИЯ ГЛАС
27.10.2015 – гр. Бургас
11.11.2015 – гр. Търговище - ТРАКИЯ ГЛАС
28.06.2016  гр. София
28.02.2017  гр. София
07.11.2017  гр. Раковски - АВВ
18.07.2018  гр. София - ФЛЕКСПРИНТ
23.10.2018  гр. София
20.11.2018  гр. София

и тъй като на публичните семинари времето все не ни достига, а и за да постигна обещанието си да отговарям на въпросите на участниците и след проведени семинари (без при това да им пускам фактури!), може би тук ще е по-добро място за въпроси, коментари и обмяна на опит 
Ще отговарям "индивидуално" на който е попитал или коментирал, а ако въпросът е по-важен и интересен, отговорът би могъл да е публикуван пак тук, за да е достъпен и за други колеги
Разбира се, може да се ползват и добре известните данни за контакт с Алфа и с мен ...

ЗА ВЪПРОСИ, ПРЕПОРЪКИ, ИНФОРМАЦИЯ И МНЕНИЯ 

АЛФА КУОЛИТИ БЪЛГАРИЯ
02 8687531
БОНЧО АНТОНОВ ПОПТОДОРОВ
0888 973292

петък, 1 април 2016 г.

ISO 9001:2015... "La norme 2008 est morte! Vive la norme 2015!"

(Новият ISO 9001:2015 - Какво му липсва и кое му е в повече?)

Като тътен от пролетна буря се носи еуфория от появата и започналото прилагане на "новия стандарт". И все повече стават хората, които не крият притесненията си, след като са били опърлени от горещи хвалби за НОВОТО в стандарта. Сещате ли се кои хвалят новия стандарт?

Такова поведение ни е познато. Имаше ли еуфория когато версия 1994 премина в 2000? Имаше, но не толкова еуфория, колкото облекчение и предпазлива радост, че се махнаха досадните двадесет (толкова ли бяха?) задължителни процедури. Имаше ли еуфория, когато версия 2000 премина в 2008? Да имаше. Но сега тази по повод старата 2008 и новата 2015 е връх на всичко.

Истината е, че човек, ако се вгледа, става интересно. Да видим. Най-преди е нямало фигурата на "представител на ръководството". После се появява (2000 - аплодисменти!). След това идва уточнението "Трябва да е действителен член на висшето ръководство" (2008!). А сега (в 2015) - ами, няма го! Стана пак както най-преди (Има колебаещи се - да аплодират или да си траят!)

Тези, които разпалено ни убеждаваха колко е важен представителя, сега, пак разпалено, ни казват защо можело и без него. Така се била засилвала ролята и отговорността на баш-висшето ръководство. Тази история с представителя прилича на състезание по канадска борба. Все едно че в ТС 176/SC2 има хора "за" и други хора "против" представителя. И когато някой победи, в следващата версия победеният си иска реванш и го печели.

Подобна съдба сполетя и резултата от процесите - т.е. продуктите. Този "резултат" най-напред беше "продукт или услуга". После стана само "продукт". Сега - познайте ... Познахте, нали?

А че ролята на висшето ръководство едва ли е толкова засилена виждаме не само по това какви са "новите" изисквания, но и по един важен индикатор. Той е мястото на "стратегическото решение". Преди (2008) то беше забутано в т. 0.1, която надали някой чете, защото там нямало изисквания. Но поне имаше израза "трябва да бъде". Сега (2015), поради голямото засилване на ролята на ръководството, "трябва да бъде" го няма, а на негово място (пак в т. 0.1) има "е". Сякаш се приема за даденост. Казват - "Ако го поставим като изискване, то това няма как да се одитира." Няма ли? Само че е важно да се знае "Одитира се не каквото може, а каквото трябва"

...
...
(ще продължава ... )

вторник, 29 март 2016 г.

Избор на консултант? Много са консултанти - как да се ориентираме?

Критерии за избор на консултантска фирма (накратко – “консултант”)

За фирмата-консултант
Консултантът е доказан с години на пазара, а не е новосъздадена или скоро създадена фирма.
Консултантът е известен в професионалната общност.
Консултантът е компетентен и решава проектите си сам, без да ползва подизпълнители.
Консултантът е имал и има клиенти, които са “знакови” в българския бизнес и администрация.
Консултантът е по-добре да е изцяло българска фирма или с доминиращ български дял.

Предимства за клиента, предлагани от консултанта
Консултантът предлага безвъзмездна помощ и след приключване на проекта.
Консултантът има опит в съответния бранш или (алтернативно!) с клиенти в друг бранш, които са сходни по големина, брой и сложност на процесите и др.
Консултантът има богат и разностранен браншов опит.
Консултантът-резидент (този, който пряко работи с клиента) при необходимост ползва “тилова” подкрепа от свои колеги.
Консултантът ползва, според случая, консултанти-“единаци” или екип от консултанти.
Персоналът е “териториално пръснат” в страната.

Персонал на консултанта
Консултантът ползва персонал с реален производствен и мениджърски опит.
Персоналът на консултанта е балансиран, по пол, възраст, състав.
Консултантът ползва персонал от млади специалисти и се грижи за въвеждането им, като им осигурява участие в проекти и обучения заедно със “стари пушки”.
Консултантът обучава и подготвя персонала си на външни и вътрешни курсове.
Консултантът има и персонал с одиторски опит (курсове за водещи одитори, одиторска практика).

Публичност и откритост
Консултантът е заявявал позициите си публично – с доклади на конференции, статии и др.
Консултантът има достатъчно информативен сайт в Интернет, включващ и референции.
Консултантът има активна преподавателска дейност – публични семинари, фирмени обучения.
Консултантът може да представи достатъчно референции от свои клиенти.

Отношения на консултанта с Органи за сертификация на системи
Консултантът работи с повече от само един или два органи за сертификация на системи.
Консултантът не гарантира “успешна сертификация, само ако сертификатор бъде еди кой си”.

Компетентност и иновации
Консултантът е запознат добре и изповядва световно известни школи (Джуран, Файгенбаум и др.).
Консултантът има компетентност, която освен стандарти за системи, включва още знания по мениджмънт и съвременни методи за управление на процесите.
Консултантът е иновативен – развива услугите си и овладява нови области на консултиране.
Консултантът ползва правилно писмено и говоримо българския език.
Консултантът има персонал ползващ чужди езици, може да работи, да създава документи и да комуникира на поне един-два чужди езици (английски, френски, италиански, руски, немски).

Система за управление на качеството
Консултантът е създал, поддържа и е сертифицирал своя система за управление на качеството.
Консултантът има валиден за момента сертификат за системата си по качеството.
Сертификатът на консултанта не е бил отнеман или сертификацията – прекъсвана

ISO 19011 - "Хайде да одитираме шефа!" (Ако това се налага - какво да правим и какво - НЕ)



ИНСТРУКЦИЯ ЗА ИНТЕРВЮ НА РЪКОВОДСТВОТО
(А. Кехайов, Б. Антонов)

Поведение на водещия одитор при интервю на ръководството


Поведението на водещия одитор при интервю на ръководството трябва да се определи намясто и в момента на срещата – т.е. ние не създаваме твърд модел на поведение, а основа, на която ще се строи поведението в конкретния случай. Тук ще се посочат само базови и почти универсални елементи на поведение, но всеки от тях може да търпи една или друга промяна, ако обстоятелствата го подскажат.

Затова Правило първо е:
Определи поведението си още в първите минути на срещата и го поддържай по възможност през цялата среща.

и Правило второ:
Имай готовност за промяна на така определеното поведение, ако се получат сигурни признаци, че то затруднява комуникацията или целта на одита.

И, хубаво е да има и
Трето правило (няма нужда от повече правила – както при Ежко-Бежко ... )
Бъди човек! Бъди себе си!


Нататък - ето ги и базовите елементи на поведението ...

При срещата водещият одитор поздравява първи (освен ако не е спонтанно изпреварен, което е признак за активна добронамереност на директора) и при поздрава изрича много ясно фамилията на директора – “Добър ден, г-н Петров!”. Ръкостискането е средно силно. Ако е директор-дама – тя първа подава (ако подаде) ръка. Ръката й не се целува! Ако не подаде, това не е обида и няма нищо лично. Освен това, ако е дама, водещият одитор трябва някъде насаме да се понагласи – прическа, вратовръзка, панталон, обувки, дъх на устата

Излишно е да се прави специално представяне, не се говори за цели на одита и други неща, които са нужни за всяко друго интервю – директорът знае добре каква е играта. Представянето е само “Аз съм Иван Колев от …”, и то, ако не се познават отпреди това. Когато се разменят визитни картички, водещият одитор вади картичка от нещо, което не е джоб на риза или панталон, а портфейл, кутийка, папка с джобче.

Сяда веднага след като бъде поканен или веднага след като седне директорът – на “неутрално място” и в паритетни позиции – не приема да седне пред бюрото на директора, направо казва “Я да седнем по-далече от телефони и бележници!”.

Не отказва предложения за кафенце и други благи неща. Даже и да не му се иска, поръчва си нещо ей тъй, да изкефи домакина. Не заглежда секретарката когато се приближава или се отдалечава, но й се усмихва с приветливо. Благодари учтиво за гостоприемството. Добре е времето за кафе или поне първите две минути да не се ползват за интервю – да не се хваща бикът право за рогата! За пушене се иска позволение, или се пуши, ако директорът запали. По време на интервю не се пуши!
(Най-добре е никой да не пуши, предвид последните закони и наредби на тази тема – Б.А.)

Трябва да се предвиди и още малко загубено време в началото. Директорите, и те са хора, някои от тях може да се притесняват от интервю. Някои от тях имат хватки за отпускане, например отварят приказка за текущи, най-често производствени или пазарни проблеми. Други инициират “страничен” мохабет, за да има време да “претеглят” събеседника. Ако това са крайности, има нещо по средата – то е когато директорът пуска “странична” приказка с чисто човешко чувство за любезност към госта. Водещият одитор трябва да улови мотивите за всяка “странична” тема. При всички случаи приказката трябва да се поизслуша без да се подава реплика за задълбаване, а само късички реплики на “съгласие”, “разбиране”, “умерен интерес”. Водещият одитор повече слуша и, лафът като попривърши, си отваря устата, за да каже една вече измислена по време на слушането фраза – такава, че да “тури капак” – завършек на темата, чрез общоприемливи пожелания: “Г-н Петров, сигурно е, че при вас ще се реши и този  проблем” или нещо такова. После водещият одитор поема инициатива и обръща разговора в посока интервю, но, ако е възможно, не тутакси, а след кратко действие, което “маркира” промяна в мизансцена – елегантно покашляне, леко преместване на мястото на седене, отваряне на тефтер… според случая – но в никакъв случай да не е грубо действие като поглеждане на часовник, отваряне на въпросник и забождане на твърд поглед в чек-листи и бумаги и пр., които говорят “хайде, да почваме – губим си времето!”.

Да се избягва думата “интервю”! С директор се води “разговор”. В началото водещият одитор маркира, рамкира обем и посока на разговора: “Г-н Петров, ще  говорим за (политика, цели по качество, отговорност на ръководството, ресурси за СУК и др.)”. Следва обяснение защо е нужен този разговор: “Това е нужно, за да изясним как се прилагат изискванията на елемент ххх на ISO 9001 при Вас”. После идва първият въпрос и той е измислен още преди срещата.

Частен случай. При интервю на чужденец и преводач, комуникацията е пряка “водещ одитор – директор”, независимо от присъствието на преводач – все едно, че преводачът го няма, без значение, че думите на двамата са на различни езици. Не бива водещият одитор да шепне на преводача: “Питай го каква му е Политиката”, а първо трябва да си каже въпроса, адресиран към чужденеца и зададен така, все едно, че той разбира български, и второ, да го гледа когато говори, даже и да не му разбира, даже и през времето, когато тече преводът. В началото преводачът трябва да бъде представен, а в края да му се благодари за участието и помощта.

Слуша се внимателно и се спазват правилата за ориентация на погледа (не се гледа встрани, а камо ли пода!) и ненавлизане в т. нар. “лична зона”. По-добре е да не се водят записки – нещата, които ще каже директор, не са чак толкова много и не чак толкова сложни и могат да се запомнят. Освен това в документите от одита надали ще влезе нещо, което да се базира на точно изречени от директора думи. Ако все пак трябва да се пише, казва се “Аз ще водя бележки, за да не пропусна Вашите думи”.

Пита се без въпросник (водещият одитор знае въпросите си наизуст) или, ако все пак трябва такъв, той стои встрани и се поглежда изкосо, скришом. Нормален по сила и бързина глас. Не се шепне и шушне. Ръцете не шават излишно или неволно.

Водещият одитор избягва да формулира въпроси на “езика на стандарта” и с действие, насочено лично срещу Директора, например “Г-н Петров, как Вие сте осигурили политиката по качеството да бъде разбрана и прилагана от целия Ви персонал?”. Все едно да питате епископ “Ваше Високопреосвещенство, как Вие сте осигурил паството Ви да не краде и да не лъже”. Както и да се напъва един епископ, все ще се намират крадци и прелюбодейци, даже и убийци. И при все това епископът си е верен и убеден християнин, който прави повече от възможното. Но доколкото това все пак е необходима информация за целите на одита, тя трябва да бъде набрана (изкомпозирана) чрез сумата от отговорите на едни разбираеми, по-простички (т.е. по-човешки) и по-кратки въпроси около темата.

Добре е да не се задават повече от десетина основни въпроса – нататък ще почнем да се повтаряме или ще се създава впечатление, че изпитваме недоверие. Или че сме малко тъпи и не разбираме какво ни се казва … и питаме ли, питаме!

Не се задават излишни въпроси от типа “Какъв е Вашият стил на менажиране?” или подобни

Водещият одитор има почти постоянно и леко променящо се изражение, което може да “отразява” типа образ от лицето на директора, но може и да е по-ведро. Никога не изразява съмнение, очудване или недоверие “Хей, да не ме лъжеш нещо!”.
Не реагираме с характерна физиономия при констатиране на несъответствие. Може равнодушно и без напрежение да маркираме само “Хъм!… При Вас това май се явява несъответствие, но то не е критично и ще се поправи без особени усилия”.

Време за интервюто – важат следните съображения.

Срещата трае докато се изпълни изцяло задачата на одита, дори директорът да дава признаци, че му е “станало много”. Може да му се помогне малко, като му се каже: “Г-н Петров, останаха ни само два въпроса”, за да бъде успокоен. Няма да е добре да се прекъсва и насрочва продължение на разговора за друго време (освен, ако не стане нещо необичайно – авария, пожар, бомба, стачка, … ).

Но и обратното – ако на водещия одитор му се е сторило, че се чувства добре и работата върви ли, върви, и му се е отворил ищах за одитиране и пита ли пита… повече от нужното и се заседява – това (ама никак!) не бива да се допуска.

Накрая се благодари, не за “отделеното време”, а за “сътрудничеството” или за “конструктивното участие в полезен разговор”, или за “получената информация”. Допуска се, ако има място, нов “произволен” разговор, но този път по-кратък.

Не се дава явна и изрично формулирана оценка на чутото “При вас нещата са бая добре”, даже да има питане. Ако има питане, заобикаля се по килифарски “При вас нещата са почти тъй, както на други места” или “Малко е трудно сега да обобщя цялата информация. Нужно е малко време” плюс лека, почти неутрална усмивка.

Специфични казуси

На разговора присъства и някой друг човек – заместник, служител на организацията, клиент, доставчик, дистрибутор, търговец, собственик.
Директорът може да поиска да присъстват представителят на ръководството, мениджърът на СУК, а защо не и негови заместници, нали са все висше ръководство! Това е нормален казус. Водещият одитор не бива да го възприема като проблем. В общия случай водещият одитор действа все едно, че другият човек го няма. Но ако другият почне да се меси и изземе инициатива, т.е. директорът го ползва да отговаря вместо него, водещият одитор трябва деликатно и ясно да покаже, че не е предвиден в сценария, и разговорът да се канализира пак към директора.

Директорът е недобронамерен.
Ако проявява недобронамереност чрез словесни атаки и тиради, не се връзваме да го наддумваме, а отговаряме с кратки фрази, в които има недоизказаност: “Г-н Петров, за това може да сте прав, но може да сте пропуснал нещо важно!”, но няма да му кажем какво “важно” имаме предвид – целта е да го спрем и да го накараме да се позамисли. Или пък неочаквано за него подкрепяме умерено тезите му и тогава той вижда, че е глупаво да атакува отворена врата.

Всичко това трябва да стане преди интервюто, независимо колко време ще отнеме. Интервюто трябва да протече на чисто. Ако и по време на интервю продължават манифестациите на недобронамереност, скъсяваме процедурата и приключваме, като полагаме всички усилия да дадем безпристрастна оценка

неделя, 14 февруари 2016 г.

ISO 31000 - Кратко представяне на стандарта и на учебния модул М19

Материята „рискове“ се среща от доста време в различните стандарти за системи за управление, но представена по различни начини и в различна степен. Тази „различност“ е обяснима предвид спецификата на областите, в които се прилагат стандартите. Сега вече за рискове се говори и мисли не само на територията в приложните полета на стандартите, но и във всяка човешка практика, в която се поставят цели и се търсят решения при определени и/или очаквани условия.

Рисковете са факторът, които затруднява или пречи за постигане на цели и реализация на проекти и решения, или напротив – съдържа възможности, благодарение на които едни първоначални скромни сигурни резултати, получени в „безрискова среда“, биха се увеличили многократно при правилно преценен баланс на „рискове срещу възможности“. Владеенето на рисковете изисква непрекъснат обмен на информация и консултации със заинтересовани страни, да се държат „под око“ познатите рискове, периодично да се правят прегледи и на тази основа да се развиват средствата и методите за въздействие, докато т. нар. остатъчен риск спадне и бъде поет.


Стандартът ISO 31000 (БДС ISO 31000) – “Управление на риска. Принципи и указания има стойност да е универсална общоприложима методическа опора за правилно разбиране и усвояване на свързани с управление на рисковете изисквания, поставени в различните стандарти или в други видове документи. Познаването на тази единна опора гарантира адекватно и пълноценно разработване на процеси за управление на рискове във всяка една сфера на приложение


ISO 31000 – ПРИНЦИПИ И УКАЗАНИЯ ПРИ УПРАВЛЕНИЕ НА РИСКОВЕ

Аудитория
Собственици, висши мениджъри, мениджъри на системи за управление, представители на ръководството и специалисти във фирми или в други организации, които или прилагат стандартизирани системи за управление (ISO 9001, ISO 14001, ISO/IEC 27001, ISO 28000 и др.), или им се налага да отчитат, оценяват и обработват рискове, свързани с извършвана работа.

Цели на обучението
Да представи общите принципи и базираните на тях насоки и указания за управление на рискове. Да създаде модел на мислене, основан на рискове, в полза на постигането на цели, за развитие и подобряване на организацията

Ползи
Участниците получават достъпно разбиране за работно и съчетано прилагане на общите принципи в управленските дейности на организацията. Получават информация за практики по оценяване на рискове и за различни варианти при определяне на най-подходящи въздействия променящи рисковете

Тематика
Термини и принципи в управлението на рискове
Елементи на организационната рамка за управление на рискове
Представяне, коментари и примери за процеса на управление на рискове
·     - обмен на информация и консултиране
·     - определяне на фактори на външна и вътрешна среда
·     - обстоятелства, свързани с процеса на управление на рискове
·     - последователност при оценяване на рискове
·     - въздействия върху рискове и избор на подходящи възможности
·     - планиране и изпълнение на планове за въздействие
·     - мониторинг и прегледи при управление на рискове
·     - документиране, приемственост и проследимост

ISO/IEC 20000-1 - Кратко представяне на стандарта и на учебния Модул 11

Битува отдавна една заблуда. Смята се, ей така само по инерция, че щом една услуга се базира на високи технологии и особено ако е осигурена със софтуер и последна дума техника, то такава услугата няма как да не удовлетворява клиентите. Само че клиентите по-скоро нямат никакви изисквания за технологичното ниво. Клиентите искат зад услугата да стоят специалисти и организация, които да го насочват, разбират и да му помагат, услугата да има точно обявени и постоянно поддържани характеристики, услугата да не прекъсва и да е постоянно налична, да не се „издънва“ откъм сигурност, да не се изменя произволно и несъгласувано, да е устойчива и да е възстановима за зададено време след сериозни катаклизми.

Истината е, че за да бъде качествено предоставяна една IT услуга, то тя трябва да гарантира всички по-горе изброени функции и много още други в допълнение, защото клиентите в IT сектора са взискателни и с многообразни профили и нужди. Тъкмо затова във фирма за IT услуги, да се прилага само ужуниверсалния” ISO 9001 стандарт, не че е недостатъчно, а си е по-скоро съвсем излишно.

Популярната и известна отдавна по света “IT-библия, наречена ITIL e проектирана по подходящ начин в тялото на международния стандарт ISO/IEC 20000-1. Стандартът обхваща всички аспекти и специфики на услугите в IT бранша и гарантира, чрез постигане на изискванията му, че степента на удовлетвореност на клиентите ще е висока. Стандартът има едно решително предимство – в него са заложени и всички ключови изисквания на стандарта за управление на сигурността на информацията – ISO/IEC 27001. Така за IT организациите ще е напълно достатъчно да усвоят само ISO/IEC 20000-1 и да не се занимават с ISO/IEC 27001. Стандартът има и един притеснителен недостатък – изисква твърде много документи и записи, с което той става трудно приложим в две ситуации – ако IT организацията е малка по размер или ако организацията предлага много услуги.


Ние, в Алфа Куолити, умеем да компенсираме горният недостатък чрез прилагане на няколко наши решения за пестеливо и компактно документиране, при което се запазва изцяло съответствието със стандарта, но при това силите и вниманието на организациите се насочват в посока и в полза към клиентите и към собственото развитие, а не към документите


Модул 11 - ISO/IEC 20000-1 И СИСТЕМИ ЗА УПРАВЛЕНИЕ НА УСЛУГИТЕ В ICT СЕКТОРА

Аудитория
Собственици на фирми и висши мениджъри от ICT браншa. ICT сервизни специалисти. Системни администратори. Ръководители и специалисти от държавната и общинска администрации. Проектанти на информационни системи, на клиентски софтуер и на обучения по ICT. Оператори на ICT, на специализирани и на публични услуги. Доставчици за ICT сектора

Цели на обучението
Да поясни понятията и процесите, свързани с проектиране или изменение на ICT услуги, както и процесите по доставка, бюджетиране, управление на капацитета, сигурността, решаване на спорове с доставчици и клиенти, управление на конфигурацията, пускане за ползване и разгръщане на ICT услуги. Да представи и коментира изискванията на стандарта ISO/IEC 20000-1.

Ползи
Участниците получават достъпно и ясно изложение, съпроводено с примери и с казуси за обсъждане. Коментират се степените на свобода, заложени в съдържанието на изискванията, и варианти за лесна и ефикасна реализация на система. Идеи за цялостно и достатъчно, но пестеливо документиране

Тематика
Общо представяне на ключовите стандарти от серията ISO/IEC 20000-X
Структура и изисквания на системата за управление на ICT услугите
Обхват и схема за управление на системата по метода PDCA
Документиране на системата и управление на документи и записи
Процеси, свързани с управлението на ICT услугите
      - планиране, проектиране, преход или голямо изменение на услуга;
- доставка на услуга – ниво, непрекъснатост и наличност;
- бюджетиране и отчетност за услуга;
- управление на капацитета;
- управление на сигурността на информацията;
- взаимодействия на доставчика на услуга с други страни;
- управление на инциденти и проблеми;
- процеси на контрол.

ISO/IEC 27001 - Кратко представяне на стандарта и на учебния модул М7

След години на колебания, на въпроси и съмнения от типа „Има ли това почва ...“, към днешна дата вече няма нужда никой да бъде убеждаван, че сигурността на информацията е критично важна. Почти не остана сайт на държавна организация, който да не бил съсипван от хакерски атаки. Станаха емблематични случаите на изчезнали секретни документи и веществени доказателства, видяхме как изборната администрация беше блокирана за часове от Denial of Service атака. Чрез неправомерен достъп до документи и данни ежедневно се краде собственост и се присвояват чужди имоти и фирми. 

Едно е сигурно – занапред това ще продължава и ще се засилва!

Трябва да бъдем честни! Въвеждането на система за управление на сигурността на информацията е необходимо, но системата няма да дава достатъчна защита и вечно спокойствие. Колкото по-съвършени стават защитите ни, толкова повече растат апетитите за неправомерен достъп до информация и средствата за атака и за разкриване стават все по-изобретателни. Но има една или две много сигурни ползи от една добре направена система за сигурност на информацията и те са такива, че не могат да бъдат накърнени. Първо, ако има система, хората разбират и осъзнават значението на проблема, променят начина си на мислене и на действие и, дори и да претърпят инцидент със сигурността, те вече знаят как да се справят със ситуацията и как да се предпазят от повторението й. И второ – висшето ръководство на организацията поема задължения да поставя цели, да определя политики, да дава ресурси, да изисква от персонала и да го подкрепя.


Ние, партньорите на Алфа Куолити България винаги се стараем системите за управление на сигурността на нашите клиенти да бъдат адекватни и да са оразмерени индивидуално според особеностите на бизнес процесите в организацията и според броя и големината на реални за процесите рискове


Модул 7 - ISO/IEC 27001 И УПРАВЛЕНИЕ НА СИГУРНОСТТА НА ИНФОРМАЦИЯТА

Аудитория
Собственици на фирми и висши мениджъри от всички браншове. Системни администратори. IT сервизни специалисти. Ръководители и специалисти от държавната и общинска администрации. Проектанти на информационни системи и на клиентски софтуер. Оператори на IT, на специализирани и на публични услуги. Доставчици на услуги и продукти за „чувствителни“ сектори

Цели на обучението
Да поясни подробно понятията за сигурност на информацията, заплахи, рискове и обработки на рискове. Да представи принципите, върху които се базират системите за сигурност на информацията и коментира изискванията на стандарта ISO/IEC 27001 и направленията за изграждане на защити

Ползи
Участниците получават достъпно и ясно изложение, съпроводено с примери и с казуси за обсъждане. Коментират се степените на свобода, заложени в съдържанието на изискванията, и варианти за лесна и ефикасна реализация на система. Идеи за цялостно и достатъчно, но пестеливо документиране

Тематика
Общо представяне на ключовите стандарти от серията ISO/IEC 2700X
Изясняване и коментар на основни понятия в сферата на сигурността
Връзка на външните и вътрешни фактори с обхвата и рисковете
Планиране, свързано с критерии, оценяване и обработване на рискове
Ресурси в полза на сигурността. Документиране на системата. Примери
Мониторинг, одити и прегледи на системата. Примери
Структура и основно съдържание на „контролите“ от Приложение А
Насочване към информационни източници и към „гуру“ центрове

четвъртък, 11 февруари 2016 г.

Консултантът трябва да управлява клиента си, за да не стане точно обратното ...

А обратното е клиентът да поеме управление над консултанта...
Как е възможно това? Просто е - само че може да стане някак неусетно.

Още с първото си посещение при клиента консултантът вижда, че ръководството и хората във фирмата са твърде много заети. Работят яко! Ако пък случайно консултантът е дал вид, че не е разбрал това, все някой от фирмата ще му го каже ясно, категорично и в прав текст, от който се разбира, че "Нямаме никаква възможност сега да се занимаваме с това ISO ..."

Какво следва от това? 
Следват ето такива неща ...

1. Срещите на консултанта с хора от фирмата са пределно недостатъчни и кратки, така че той не получава цялата информация, която му трябва, за да се захване с проектирането на система.

2. Консултантът услужливо и с разбиране поема сам да разработи всички необходими за системата документи, при това с минимално или даже при никакво съдействие от клиента.

3. Хората от фирмата, а най-вече ръководството, нямат достатъчно време, за да прегледат предадените проекти на документи. Може даже да нямат никакво време за преглед, а имат време просто да подпишат документите "за да върви работата".

4. Накрая системата се получава като прост сбор от задължителни (т.е. изискваните от самия стандарт) документи, които в най-добрия случай са четени "по диагонала", камо ли да става дума за ангажирано, подпомогнато от консултанта, реално внедряване.

5. Че документите не са четени и обсъдени както трябва е по-малка беда. Друга беда е, че има доста неща, които не могат или не е подходящо да се пишат - консултантът трябва да ги каже в нарочен разговор и тази форма на предаване на знания, препоръки и внушения е доста по-ефикасна от купищата документи. Само че такива разговори просто не се получават или се претупват, или по време на разговора човекът отсреща слуша, ама с "половин ухо".

Това изброяване лесно може да стигне до точка десета, че и нататък ... Но няма смисъл да се продължава ... Защото и само това е достатъчно, за да се получи нежелания резултат.

За какво става дума?
Просто е - идва моментът, в който работата по така "изградената" система трябва да се представи пред одитор на Орган за сертификация. Вече се знае, че одиторът ще бъде на проверка един, два или три дена. Тези дни ръководството и всички във фирмата, колкото и да са заети, ги прежалват и, просто защото няма как, отделят цялото си време за одита и са в плътен контакт с одитора. "Той е човекът от когото всичко зависи да мине успешно!"

Одиторът, много е вероятно, да усети цялата работа - хората не си познават системата, а не я познават, защото не са я правили и не са я внедрявали както трябва. Не му е приятно това на одитора, но той най-често се опитва да спаси одита с цената на това, че му се налага да дава разяснения и да си помага, за да бъдат въпросите му правилно разбрани, с примери и с какви ли не коментари. В 99% от случаите одиторът казва неща, които и консултантът е могъл да каже, стига да е имало кой да го слуша когато е трябвало. Само че има няколко важни разлики.

1) За разлика от консултанта, който познава фирмата и работата на хората от няколко месеца, одиторът "опознава" фирмата само от тези няколко дни, през които одитира. Ако одиторът е бил в други подобни фирми това не помага особено за опознаването, защото всяка фирма си има специфики, а сляпото пренасяне на опит изкушава, но не се препоръчва. С две думи - рискът да се направят неточни и неподходящи изказвания е доста голям. Даже и да усетят това, хората във фирмата се оказват с недостатъчни "съпротивителни сили" или просто не искат да влизат в спор с одитор, защото се знае, че ще го загубят.

Липсата на съпротивителни сили за спор често поставя фирмите в изнасилено положение да правят неща, които са им казали - макар да не виждат разум и смисъл. "Така каза одитора!"
За съжаление, случват се такива неща. Даже се случва и ръководството рязко и сляпо (безкритично) да смени мнение или решение, върху което изначално е построена системата.
 
2) По-лошо е когато одиторът каже точно каквото трябва. Защо? Защото отсреща хората вече не го слушат с "половин ухо", а го "гледат в устата какво казва". И не само това - те разбират какво им се казва и даже се радват "Я, че то било толкова ясно и просто!"

3) Но най-лошо е ситуация (2) да се разиграе в присъствие на консултанта. Консултантът знае, че не е страна по одита и си трае. И както си мълчи чува онова, което самия той е трябвало да каже, ама не е могъл ("Как да им кажа? Опитвах се, но ... те са толкова заети!") или пък го е казал, но никой не е обърнал внимание ("Да, да ... но сега имаме по-важни неща за вършене!").

Да резюмираме...
Ако си консултант трябва да направиш всичко възможно, за да те чуят и за да успееш да дадеш информацията, от която се нуждаят хората. Колкото и да са заети те, ще трябва да се отдели време и контактът да се реализира. От честотата и плътността на взаимодействията "клиент"-"консултант" зависи в крайна сметка качеството на цялата работа. В краен случай може да стане така, че консултантът да се оттегли от проекта, щом като вижда, че фирмата няма ресурси (човешки, време и други) да се заеме сериозно с работа по проекта.

Ако си клиент на консултант задачата ти е да вземеш от консултанта всичко, което той може да ти даде, да го гониш непрекъснато за получаване на нови знания и за търсене на решения. Нали за това си даваш парите ... Няма никаква файда да демонстрираш колко много си зает, колко много и колко важна работа вършиш. Или, ако правиш някакви демонстрации, то те всъщност се оказват свидетелство на това как не си способен да си организираш работата по проект, който сам си поискал и ти е нужен