Przełom czerwca i lipca 2019 był dla nas intensywny. Ze względu na coraz bardziej dynamiczny rozwój spółek w Grupie Kapitałowej TT, stopniowo stawało się jasne, że w dłuższej perspektywie nie jest możliwe utrzymanie centralnego ZSZ (w którego skład obok standardów ISO9001, ISO20000, OHSAS wchodził także ISO27001). Należało działać.

Zdecydowaliśmy, aby odpowiedzialność za zapewnienie bezpieczeństwa informacji (i innych systemów) spadła odpowiednio na każdą ze spółek, która je wykorzystuje. Dosyć przewrotny pomysł jak na ciepły, leniwy i wakacyjny okres (tak, w tamtym czasie możliwości wyjazdów znacznie wykraczały poza salon, taras i ogródek z czego wielu z nas chętnie korzystało). Zadanie tyle wzniosłe co ambitne. Do dyspozycji był działający system centralny w GKTT oraz cała masa doświadczeń zebranych przez wiele lat jego funkcjonowania. Nic tylko korzystać z tej wiedzy, dokumentacji i wypracowanych już narzędzi… a może jednak lepiej zacząć wszystko od podstaw? Z jakiegoś powodu to pytanie nie dawało nam spokoju.

Ewolucja czy rewolucja?

Odwieczny dylemat. W jednym z moich poprzednich artykułów pt. „Jak skutecznie przeprowadzić transformację cyfrową w swojej firmie?” przekonywałem, że jeśli nie mamy dobrego argumentu za rewolucją, to powinniśmy się trzymać ewolucji. W przypadku błędnej decyzji cofnięcie się o krok lub dwa jest znacznie prostsze. No właśnie – jeśli nie mamy dobrego argumentu. Ogólnie rzecz biorąc, zadanie przed jakim staliśmy wymagało trzech rzeczy:

  1. Określenia jakiego zakresu ZSZ potrzebujemy w organizacji – tutaj wybór był prosty, gdyż jako dostawca usług programistycznych skupiamy się przede wszystkim na bezpieczeństwie informacji.
  2. Analizy całego ZSZ i wyłuskania z niego dokumentów, procesów, praktyk i sposobów zapewnienia bezpieczeństwa informacji.
  3. Zaadaptowania powyższych do naszych potrzeb biznesowych, struktury organizacyjnej i dobrych praktyk.

Krok pierwszy był kwestią kilku minut. Banał. W kroku drugim zaczęły się schody. Zintegrowany System Zarządzania okazał się być rzeczywiście w dużym stopniu zintegrowany. Nie było prostego i szybkiego sposobu aby wyłuskać tylko część związaną z bezpieczeństwem informacji. Jedyną opcją było skatalogowanie wszystkich dokumentów, żmudne ich przeanalizowanie, a następnie przepisanie i dostosowanie do naszych potrzeb. Żadnej drogi na skróty. Ale to zapaliło światełko w tunelu. Skoro nie możemy przyspieszyć sobie pracy w ciemno wchłaniając części systemu to może użyjemy narzędzi, które pozwolą nam wygodniej, szybciej i efektywniej system ten wdrożyć i nadzorować? Właśnie znaleźliśmy argument za rewolucją. Punkt trzeci na naszej liście zaczął nabierać kształtu.

Gdzie Excel nie może tam Jirę pośle

Moją intencją nie jest krytyka Excela. To świetne narzędzie, jednak niekoniecznie pozwala uzyskać poziom wydajności i łatwości utrzymania jakiego wymagamy od SZBI w TTPSC. Co więcej, status Platynowego Partnera marki Atlassian zobowiązuje. Od wielu lat pracujemy w oparciu o systemy Jira i Confluence oraz wykorzystujemy całą plejadę rozszerzeń do nich. Mając już za sobą analizę dokumentacji ZSZ (tak zrobiliśmy to dokument po dokumencie, zdanie po zdaniu), strukturę i treść polityk BI jakie będą stosowane w TTPSC, należało się zastanowić nad narzędziami. I tak kolejno:

  • Repozytorium dokumentów (Word, Excel, PDF i inne) w Sharepoint, zastąpiliśmy treściami opublikowanymi na stronach Confluence – załatwiło nam to sprawę wersjonowania, dostępu dla pracowników i kontroli nad zmianami. Bazujemy jedynie na wbudowanych mechanizmach dostępnych w standardzie. Zero kodowania. Szybko, efektywnie i bez konieczności wprowadzania dodatkowych narzędzi.

 Repozytorium dokumentów, ISO w Jira, Transition Technologies PSC

 

  • Zgłaszanie incydentów, działań i innych zdarzeń istotnych z punktu widzenia utrzymania SZBI – na szczęście jest to punkt łączący wszystkie normy jakie wchodziły w skład ZSZ. Przez lata funkcjonowania ZSZ udało się wypracować w GK TT bardzo dobry mechanizm oparty o Jira do zgłaszania i zarządzania zdarzeniami. Każde zgłoszenie ma swój typ (Incydent, Potencjał doskonalenia, Niezgodność, Działanie) oraz szereg atrybutów pomagających w klasyfikacji zdarzenia, co potem pozwala na bardzo precyzyjną analitykę i monitorowanie. Zgłoszenia posiadają swój cykl życia, możliwość delegowania ich określonym osobom, zapewniają zapisy z działań, pozwalają na grupowanie i łączenie, a także wiele innych rzeczy, osiągalnych za pośrednictwem podstawowych funkcji Jira. Jest to kluczowy element systemu.

 

zgłaszanie incydentów ISO w Jira, Transition Technologies PSC

 

  • Monitorowanie efektywności i pomiar realizacji celów – zgłoszenia incydentów czy działań w usystematyzowanej formie to podstawa. Ich ręczna analiza czy raportowanie wyników pomiarów w excelu byłoby herezją. Musi to być w zautomatyzowane, czytelne i dostępne online z zachowaniem odpowiednich uprawnień. Brzmi skomplikowanie. Nic bardziej mylnego – z pomocą przychodzą również wbudowane mechanizmy Jira i Confluence oraz bardzo wysoki stopień integracji obu systemów. Dzięki temu, w każdej chwili mamy dostęp do najważniejszych wskaźników i stopnia realizacji celów, nie wykonując choćby jednej operacji, zapytania do bazy danych czy makra w excelu. Używamy jedynie filtrów, raportów, makr i widgetów.

 

statystyki efektywności, ISO w Jira, Transition Technologies PSC

monitorowanie bezpieczeństwa w Jira, ISO w Jira, Trantision Technologies PSC

 

  • Macierz ryzyk. Na koniec zostawiłem najlepsze. W sieci znajdziemy setki szablonów w excelu z propozycjami organizacji macierzy ryzyk. Wszystkie one mają jedną wspólną cechę – brak możliwości integracji z innymi częściami SZBI. Co to powoduje? To, że przy 30 i więcej ryzykach excel taki staje się kompletnie niezarządzalny. Zaglądamy do niego z niechęcią. Trudno się czyta zawartość pól. Jeszcze trudniej odtworzyć powiązania między nimi. Natomiast kompletną abstrakcją i akrobatyką mentalną jest śledzenie działań w ramach ryzyk. Niewykonalne? A jednak. Z pomocą przyszedł nam doskonały dodatek do Jira – Big Picture. O samym dodatku można napisać niejeden artykuł, ale na nasze potrzeby nieoceniony okazał się moduł do zarządzania ryzykami. Pozwala on na stworzenie (i zwizualizowanie!) macierzy, łatwe przenoszenie ryzyk pomiędzy sekcjami macierzy, a ponieważ każde ryzyko jest zadaniem w Jirze – możemy korzystać z metadanych, powiązań, cyklów życia i historii zmian. Wisienką na torcie jest to, że ryzyka dają się łatwo powiązać z ich źródłem (analiza projektu, wdrożenie systemu, incydent) a także filtrować i tworzyć na ich podstawie zaawansowane raporty. Szybko, prosto i skutecznie.

Jira Big Picture screen, ISO w Jira, monitorowanie projektu ISO w Jira, Transition Technologies PSC

Warto nadmienić, że o ile analiza dokumentacji zajęła nam tygodnie, to stworzenie powyższych narzędzi do zarządzania SZBI okazało się kwestią… kilku dni. Dla jednej osoby. Kombinacja dobrych praktyk, jeszcze lepszych narzędzi i przeczucia, że utarte schematy da się zastąpić czymś świeżym, lepszym i bardziej wydajnym zaowocowała osiągnięciem wyjątkowych rezultatów.

A to dopiero początek…

Skoro tak, to co dalej? Integracja. Coraz szersza. Do Jiry i Confluence dołączamy dedykowane systemy analizujące raporty od partnerów i dostawców. Wyniki zgłaszane są automatycznie jako działania, incydenty lub inne zdarzenia, a te w konsekwencji zasilają nam wskaźniki i raporty. Unifikacja narzędzi do komunikacji i współpracy pozwala na większą kontrolę nad przetwarzanymi danymi. Analiza wymagań normy ISO pod kątem monitorowania efektywności SZBI popycha nas coraz dalej do wdrażania rozwiązań opartych na digitalizacji procesów w Jira. Dopóki w tych działaniach kierujemy się bezpieczeństwem, standaryzacją oraz automatyzacją i integracją danych, system mimo że z każdym miesiącem obejmuje kolejne obszary, to nie wymaga dodatkowego wysiłku do obsługi i zarządzania. W końcu, nie chodzi o to żeby stworzyć system, którego działanie będzie samo w sobie zagadką i będzie jedynie utrudniał pracę działów produkcyjnych. Chodzi o to, żeby opracowane przez nas rozwiązania stwarzały warunki, w których ryzyko utraty integralności, poufności i dostępności danych przetwarzanych przez pracowników stawało się coraz mniejsze. I to jak najmniejszym kosztem.

How useful was this post?

Click on a star to rate it!

Average rating 4 / 5. Vote count: 4

No votes so far! Be the first to rate this post.

W przypadku naruszenia Regulaminu Twój wpis zostanie usunięty.

    _Wszystkie wpisy z tej kategorii

    Migracja Jira Server do Jira Cloud

    Atlassian po 20 latach od wejścia na rynek IT, nadal plasuje się w czołówce dostawców oprogramowania dla firm – od aplikacji do zarządzania…
    Czytaj dalej

    Testy automatyczne i manualne – platforma do zarządzania testami bazująca na Jira Software + Xray

    Tworzenie aplikacji przestało być domeną dużych software house’ów, a stało się działalnością firm z różnych branż. Obecnie większość korporacji, które dostarczają klientom lub pracownikom jakiekolwiek rozwiązania…
    Czytaj dalej

    Portal Klienta w Jira Service Management: zgłoszenia, automatyzacje, baza wiedzy, SLA

    Prosty w obsłudze, a jednocześnie zaawansowany od strony możliwości konfiguracyjnych Portal Klienta, to rozwiązanie dedykowane firmom, które potrzebują platformy pozwalającej klientom lub pracownikom…
    Czytaj dalej

    Jira Service Desk zmienia się w Jira Service Management. Nowa nazwa, więcej możliwości

    Rok 2020, a zwłaszcza jego koniec, to czas zmian ogłaszanych przed producenta oprogramowania Jira. Niedawno dowiedzieliśmy się o nowych warunkach związanych z licencjonowaniem…
    Czytaj dalej

    Jira Cloud vs Jira Server

    Czym charakteryzuje się Jira Cloud, a czego nie ma Jira Server? Jakie posiada zalety, na jakie funkcjonalności warto zwrócić uwagę i czy rozliczenie…
    Czytaj dalej

    BigPicture 8.0 – nowa, lepsza wersja dodatku PMO do systemu Jira Software

    Wielkimi krokami zbliża się premiera nowej odsłony dodatku do zarządzania projektami i budowania PMO w Jira, aplikacji BigPicture by SoftwarePlant. Jakie zmiany przyniesie?…
    Czytaj dalej

    Agile. Wszystko co musisz wiedzieć o metodyce zwinnej

    Czym właściwie jest agile? Jak to się wszystko zaczęło? Jakie zasady charakteryzują tę metodykę działania, czym różni się ona od podejścia tradycyjnego i…
    Czytaj dalej

    Jakie programy do pracy zdalnej wybrać?

    Możliwość pracy z domu w czasie zagrożenia koronawirusem nie jest już przywilejem, a koniecznością. Pracownicy Transition Technologies PSC sprawnie przeszli na taki model…
    Czytaj dalej

    Jira Core – narzędzie do skutecznego zarządzania pracą i prowadzenia projektów dla zespołu marketingowego

    Dobry zespół marketingowy składa się z osób, które posiadają różne, uzupełniające się umiejętności; są to: specjaliści od contentu, SEO, kampanii płatnych, graficy, developerzy,…
    Czytaj dalej

    Atlassian Summit 2020 – będziemy tam!

    Po dwuletniej przerwie wracamy na Atlassian Summit jako sponsorzy wydarzenia. Tomasz Pabich, Project Manager, przedstawi w Las Vegas prelekcję „The dos and don’ts…
    Czytaj dalej

    Jira jako system CRM

    Jira marki Atlassian to system znany na całym świecie; kojarzony głównie z rozwiązaniami dla zespołów programistycznych. Narzędzie to może być z powodzeniem wykorzystywane…
    Czytaj dalej

    Elektroniczny obieg dokumentów w systemie Jira

    Elektroniczny Obieg Dokumentów to podstawa digitalizacji procesów biznesowych. Zobacz, w jaki sposób możliwe jest przekazywanie oraz archiwizacja dokumentów w systemie Jira. Poznaj korzyści…
    Czytaj dalej

    Rozliczanie czasu pracy. Timesheets w systemie Jira

    Rozliczanie czasu pracy w Jira? Żaden problem! Jeśli Twoja firma korzysta z oprogramowania marki Atlassian, nie musisz inwestować w nowe rozwiązania – system…
    Czytaj dalej

    Program do rozliczania delegacji – Jira

    Rozliczanie delegacji krajowych i zagranicznych to proces, który firmy chcą przechodzić w możliwie jak najmniej skomplikowany oraz jak najbardziej zautomatyzowany sposób. Zespół TT…
    Czytaj dalej

    Zarządzanie urlopami w Jira. Poznaj możliwości aplikacji Vacation Manager

    Program do zarządzania urlopami, który jest prosty w obsłudze, nie wymaga dużych nakładów finansowych, a do tego pozwala przeprowadzić cały proces bez konieczności…
    Czytaj dalej

    Atlassian Open 2019 – newsy i wrażenia

    Mocny nacisk na rozwiązania chmurowe, aktualizacje oraz nowości a także szerzenie idei bycia „open” – co działo się podczas Atlassian Open 2019 w…
    Czytaj dalej

    DevOps – od trendu do standardu

    Idea DevOps pojawiła się w branży IT już w 2009 roku i od tego czasu systematycznie wkracza do światowych przedsiębiorstw jako sposób na…
    Czytaj dalej

    Jira Data Center – rozwiązanie, które nie zawodzi. Czym jest i dlaczego warto w nie zainwestować?

    Każda organizacja potrzebuje środowiska, w którym może osadzić swoje procesy oraz nimi zarządzać. Idealnym narzędziem jest do tego Jira oraz pozostałe produkty Atlassian.…
    Czytaj dalej

    _Zostańmy w kontakcie

    Skontaktuj się