Этот текст родился из разговоров с руководителями, у кого ИТ живет отдельной жизнью. Вроде все есть — сервера, админы, регламенты, — а по факту то кассы встали, то 1С не отвечает, то люди боятся сказать, что что‑то сломали. После каждого инцидента начинаются поиски «крайнего», но толку от этого мало.
Меня зовут Мария Богданова, я веду проекты в ALP ITSM и часто приезжаю в компании именно «на пожар». Где‑то вытащили данные после шифровальщика, где‑то разбирали, почему заявки в ИТ теряются в переписке и мессенджерах. Истории разные, но суть одна и та же. ИТ как будто есть, а доверия к нему нет.
В статье разбираю пару таких историй и показываю, что происходит, когда ставка делается на наказание, а не на процессы. И заодно рассказываю, как нормальный ИТ‑аудит помогает не «повесить всех собак» на одного человека, а понять, где реально проблемы в культуре и в организации работы.
Инфраструктура — это форма, а содержание определяют люди и процессы
Дорогие серверы, продвинутые DLP-системы и многостраничные регламенты не гарантируют стабильности. Мы видели немало компаний, которые вкладывали миллионы в технологии, но продолжали тонуть в инцидентах. Типичный пример: бизнес жалуется на низкую скорость разработки и редкие релизы, ища проблему в квалификации программистов или качестве ТЗ. Аудит же вскрыл иную реальность — «бутылочное горлышко» находилось в управлении. Из-за избыточной централизации принятия решений (зависело от нескольких сотрудников) и хаотичной смены приоритетов (реактивное планирование) команда просто не могла работать эффективно, какими бы мощными ни были их инструменты.
У нас был проект, где масштабные вложения в «железо» не спасали от постоянных сбоев. Аудит показал, что вся ИТ-система держалась на одном администраторе, а процессы и документация отсутствовали как класс. Мы внедрили регламенты, формализовали рутинные операции и распределили зоны ответственности. Это повысило отказоустойчивость и избавило компанию от «рабства» перед незаменимым сотрудником. Главный вывод таких проектов: основные риски бизнеса кроются не в коде, не в оборудовании, а в отношении к процессам и культуре работы с человеческими ошибками. Не надо искать виновных, надо исправлять систему.
Наказание — путь к деградации системы
Рефлекторный поиск виноватых после ИТ-сбоя — типичная ошибка управления. Когда сотрудник понимает, что за ошибку в базе или переход по фишинговой ссылке последует кара, его приоритетом становится самосохранение, а не спасение компании. Попытки «замести следы» или исправить все втайне лишают бизнес важного ресурса — времени. В итоге мелкий инцидент превращается в неуправляемую катастрофу.
Атмосфера страха — это, во-первых, проблема HR, а, во-вторых, риск для безопасности. Никакой мониторинг не заменит честную обратную связь от сотрудника. В рамках ИТ-аудитов мы постоянно наблюдаем одну и ту же картину: на бумаге процессы безупречны, но в реальности о сбоях узнают слишком поздно — когда скрывать проблему становится невозможно и она перерастает в громкое разбирательство.
Один из наших аудитов выявил классический пример того, как страх парализует процессы. Сотрудница, обнаружив ошибку в выгрузке 1С, предпочла промолчать, опасаясь выговора. Из-за сложившейся в отделе «культуры поиска виноватых» проблема вскрылась лишь спустя несколько дней при сверке данных. В итоге — срыв сроков отчетности и затяжной конфликт. При этом цена вопроса при своевременном обращении составляла всего несколько минут технической правки. Это типичный случай, когда карательная система управления бьет по самому бизнесу.
Совместно с руководством и HR-департаментом мы внедрили принципиально иную парадигму: фиксация ошибок перестала сопровождаться санкциями. Теперь в центре внимания не поиск виновных, а анализ системных сбоев. Готовность руководства исследовать несовершенство процессов, а не клеймить «нерадивых» исполнителей — это высший маркер зрелости бизнеса. Сотрудники перестают скрывать инциденты, а скорость устранения проблем вырастает в разы — с недель до суток.
Уровни зрелости компании
В нашей практике ИТ-инфраструктуры большинства компаний можно классифицировать по трем уровням зрелости. Несмотря на внешнее техническое сходство, их различия проявляются именно в моменты кризиса. Реальное состояние процессов и культуры выдает то, как организация реагирует на инцидент.
Уровень 0: «Стихийный». Процессы не формализованы и держатся на личном опыте сотрудников. Знания передаются устно, и это создает зависимость от конкретных людей.
В одной из компаний мы зафиксировали переходное состояние между нулевым и первым уровнями, то есть в ней регламенты существовали только на бумаге. Операционная работа велась в мессенджерах, а контроль доступа был децентрализован. По итогам аудита мы сформировали каркас процессов: внедрили полноценный Service Desk, установили параметры SLA и четко распределили роли. Это помогло бизнесу обрести фундамент для управления через метрики и системные улучшения. То есть появилась возможность перейти на следующий уровень зрелости.
Уровень 1: Формальный. Это стадия «бумажной» безопасности. В шкафах хранятся папки с регламентами и политиками, а каждый новый сотрудник исправно ставит подпись в листе ознакомления. На этом контроль и заканчивается: правила остаются на бумаге, не пересекаясь с реальными бизнес-процессами.
Яркий пример из нашей практики — производственная компания, где информационная безопасность существовала только в отчетах. На деле же учетные записи уволенных сотрудников оставались активными неделями – у них оставался допуск на это время ко всем папкам документации и разработок, права в 1С превратились в «культурные слои» без ревизии, а логисты могли редактировать финансовую отчетность. Отсутствие контроля доступов компенсировалось лишь верой в добросовестность персонала, а это создавало колоссальные риски для бизнеса.
В рамках аудита мы провели полную инвентаризацию учетных записей и выявили все избыточные права доступа. Чтобы перевести безопасность из «бумажной» плоскости в практическую, мы интегрировали ИТ-службу в HR-цикл: теперь уведомление об увольнении сотрудника автоматически запускает процесс блокировки. Также был назначен персонально ответственный за этот участок. Итог: доступы аннулируются в течение суток, а риски утечек и нецелевого использования данных сведены к минимуму.
Уровень 2: Управляемый. На этой стадии инфраструктура обретает прозрачность: внедрен Service Desk, налажено регулярное резервное копирование, а сотрудники проходят курсы по цифровой гигиене. Руководство опирается на конкретные метрики — от скорости обработки заявок до доступности главных сервисов и результатов тестовых фишинговых рассылок.
Но здесь сохраняется барьер в коммуникациях. ИТ-департамент выступает в роли «директора школы», который спускает правила сверху. В ответ бизнес-подразделения часто воспринимают требования безопасности как помеху, мешающую основной деятельности.
Даже наличие внешних атрибутов — канбан-досок, распределенных ролей и функций — не гарантирует управляемости. В одном из кейсов мы столкнулись с парадоксом: процессы формально соблюдались, но при замедлении разработки никто не мог локализовать проблему. Аудит показал, что «бутылочное горлышко» скрывалось в самих коммуникациях: разработчиков подключали слишком поздно, спецификации постоянно переделывались, а принятие решений было централизовано. Это классический признак переходного этапа: каркас системы уже возведен, но прозрачности внутри него нет. Без постоянной поддержки такие процессы быстро деградируют до хаоса.
В одном из кейсов мы столкнулись с классической иллюзией контроля: руководство было убеждено в стабильности ИТ, несмотря на постоянный фон из жалоб и сбоев. Вся ИТ-служба фактически была «черным ящиком», замкнутым на одном системном администраторе, который расставлял приоритеты по своему усмотрению. С помощью аудита мы оцифровали реальный путь заявки и выявили провалы в задачах. Внедрение единого канала обращений и системы учета времени реакции (SLA) вскрыло узкие места. Это вернуло бизнесу рычаги управления и устранило риск отката к хаотичному «ручному» режиму.
Уровень 3: Партнерский. На этой стадии ИТ и информационная безопасность интегрированы в общую бизнес-стратегию. Культура доверия позволяет сотрудникам оперативно сообщать о рисках или собственных промахах без страха санкций. Диалог между ИТ-директором и собственником переходит в плоскость управления капиталом и снижении рисков, а не обсуждения технических характеристик. Регламенты здесь — это не бюрократический балласт, а навигаторы, которые оптимизируют ежедневные операции.
Переход к сервисной модели трансформирует роль персонала: из источника скрытых угроз сотрудники превращаются в первую линию активной защиты. Но даже при высоком уровне технической зрелости бизнес часто спотыкается о дефицит горизонтальных коммуникаций. В одном из проектов мы зафиксировали проблему «вертикальных эскалаций»: это когда любые разногласия по архитектуре или безопасности решались на уровень топ-менеджмента. ИБ-специалисты и ИТ-менеджеры не контактировали напрямую, все проходило через топ-менеджмент. Из-за этого любой спор по требованиям превращался в управленческий инцидент. Отсутствие прямого диалога между архитекторами и ИТ-руководителями перегружало руководство и тормозило принятие решений, которые должны были закрываться на рабочем уровне.
ИТ-аудит — первый шаг к разработке стратегии развития
В одном из проектов запрос руководителя компании формулировался открыто: отсутствие прозрачности не позволяло руководству видеть реальные точки потери ресурсов и уязвимости инфраструктуры. Проведенная диагностика — от управления инцидентами до контроля изменений — подсветила три зоны: избыточную централизацию ответственности, отсутствие метрик качества (SLA) и не системную работу с задачами. Результатом стала дорожная карта трансформации, направленная на создание предсказуемой ИТ-функции. Аудит в данном случае выступил и как инструмент контроля, и как фундамент для перехода к модели бизнес-партнерства.
Как это реализовалось на практике:
Диагностика процессов: оценка прохождения заявок в Service Desk, скорости блокировки учетных записей и регламентов реагирования на инциденты в режиме 24/7. В рамках одного из обследований было выявлено отсутствие единого канала коммуникаций: обращения поступали через электронную почту, мессенджеры и в устной форме. Отсутствие истории и статистики превращало ИТ-поддержку в непрозрачный процесс с непредсказуемыми сроками исполнения – это лишало пользователей понимания статуса своих запросов.
Идентификация «узких мест». И было выявлено, что часто системные сбои обусловлены не техническими ограничениями, а перегрузкой персонала рутинными задачами. Встречались случаи отсутствия выделенного ИТ-руководителя, когда один специалист совмещал администрирование серверов и поддержку пользователей. В таких условиях контроль резервного копирования проводился бессистемно. Это привело к ситуации при выходе оборудования из строя: последние копии данных оказались повреждены, так как их состояние не проверялось на регулярной основе.
Разработка стратегии: от формализации управления доступами и обучения персонала до внедрения сложных архитектурных решений.
Принципы ИТ-культуры
Работая над развитием ИТ-инфраструктуры клиентов, я выделил два принципа, которые отличают зрелую ИТ-культуру от «метода кнута и пряника».
1. Сегментированное обучение вместо «курса для всех»
Типичная ошибка — прогнать всех сотрудников через один и тот же скучный инструктаж по ИБ или работе в 1С. Топ-менеджеру, бухгалтеру и курьеру рассказывают одно и то же. Результат — скука и игнорирование.
В одном проекте мы рекомендовали провести обучение по ИТ‑безопасности с учетом специфики отделов. Маркетингу — про фишинговые ссылки и рекламные интеграции, бухгалтерии — про поддельные письма и доступ к 1С, логистике — про мобильные устройства и работу «в поле». До этого все получали один и тот же PDF — длинный, формальный и фактически нечитабельный.
В ходе аудита стало очевидно, что сотрудники не получают системного обучения, а коммуникация по ИТ‑темам носит реактивный характер. Мы предложили сегментировать обучение по ролям (ИТ, бизнес, линейный персонал), собрать понятную базу знаний и переформатировать коммуникации с пользователями. Дополнительно добавили элементы геймификации для повышения вовлеченности. Вместо давления и контроля появилась внутренняя мотивация и прозрачные правила, а ИТ перестало восприниматься как помеха и стало поддержкой.
В проектах мы рекомендуем разделять обучение в зависимости от того, какой персонал обучаем. Топ-менеджер и линейный персонал не могут одинаково смотреть на вопросы безопасности:
Топ-менеджмент должен работать с рисками, как инциденты влияют на репутацию, стоимость простоев и юридическую ответственность.
ИТ-специалисты должны знать, как реагировать на уязвимости, стандарты конфигураций, принципы контроля базовой гигиены и как ее контролировать.
Линейный персонал необходимо научить, распознавать фишинг, как безопасно работать с кассой, кому звонить при сбое.
2. Двусторонняя коммуникация
ИТ-отдел должен быть открыт к обратной связи. В компаниях с высокой культурой ИТ информация постоянно доводится разными способами — от регулярных дайджестов, с помощью простых инструкций, базы знаний и удобному сервис-деск, который информирует пользователя о ходе решения заявки.
Как работает позитивная мотивация
В качестве примера эффективного повышения цифровой грамотности можно привести внедрение системы материального и нематериального поощрения вместо административного давления. В рамках одного из проектов вместо санкций за просроченные курсы был объявлен корпоративный конкурс. Отдел, показавший лучшие результаты и скорость прохождения обучения по кибербезопасности, получал поощрение в виде небольших премий и совместного неформального мероприятия (пицца-вечеринка).
Это решение изменило восприятие обучения. Из бюрократической необходимости оно превратилось в командную задачу. Сотрудники начали самостоятельно мотивировать коллег к прохождению программы для достижения общего результата. Затраты на проведение акции оказались несопоставимы с потенциальным ущербом от инцидентов, риски которых удалось минимизировать. История подтверждает, что точечные управленческие решения могут быть эффективнее масштабных систем контроля.
Первый шаг для руководителя
Для трансформации ИТ-службы в надежный актив компании рекомендуется сосредоточиться на следующих управленческих решениях:
Пересмотр культуры реагирования на инциденты. Переход от поиска виновных к анализу системных причин сбоя. Нужно сформировать среду, где оперативное и честное сообщение об ошибке поощряется, а не карается. Это будет устранять угрозы на ранних стадиях.
Проведение комплексного ИТ-аудита. Фокус должен быть смещен с инвентаризации оборудования на аудит бизнес-процессов. Необходимо проверить корректность распределения прав доступа, готовность персонала к кибератакам и фактическую (а не документальную) работоспособность систем резервного копирования.
Пример из практики: В одном из проектов задачей ставилось получение объективной картины работы департамента разработки. Целью было не внедрение новых методологий, а выявление зон перегрузки и размытой ответственности. Итогом аудита стала модель текущего состояния, позволившая принимать решения на основе верифицированных данных.Интеграция ИТ в бизнес-планирование. Когда ИТ-директор или привлеченный эксперт (vCIO) участвует в обсуждении стратегических целей. Это помогает заранее идентифицировать технологические риски и синхронизировать развитие инфраструктуры с задачами бизнеса.
Формирование культуры ИТ-безопасности и зрелых процессов — это долгосрочный процесс, направленный на системное снижение рисков. ИТ-аудит в данном контексте выступает инструментом оценки текущего состояния инфраструктуры. Переход от интуитивного управления к принятию решений на основе фактов – это трансформация ИТ из источника неопределенности в предсказуемый актив. В конечном счете, информационная безопасность основывается не на системе ограничений, а на едином взаимодействии, обеспечивающем защиту интересов бизнеса.
ИТ‑аудит в этой логике — не проверка «правильности настроек» и не охота на админов. Это инструмент, который помогает увидеть, как на самом деле связаны между собой люди, процессы и инфраструктура, где решения принимаются «по привычке», а где риски никто не держит в руках. Там, где появляется такая прозрачность, разговор про ИТ перестает быть разговором про «виноватых» и превращается в обсуждение управленческих приоритетов.
Если вы дочитали до этого места и в чем‑то узнали свою компанию, первый шаг уже обозначен. Не обязательно начинать с тяжелого многостраничного отчета. Достаточно короткого аудита ключевых процессов — обработки инцидентов, управления доступами, работы с ошибками, — чтобы честно ответить себе на вопрос: «Какова реальная цена одной человеческой ошибки у нас и готовы ли мы с этим жить дальше?».
Расскажите в комментариях, было ли у вас такое, что инцидент «замяли» на месте, а через полгода он вернулся уже в виде серьезного простоя или конфликта. Что стало переломным моментом, когда вы поняли, что без пересмотра процессов дальше так работать нельзя?
Как найти надежного ИТ-партнера
Как найти надежного ИТ-партнера, который уже живет по этим принципам?
Выбор подрядчика — это не просто сравнение цен. Это выбор союзника, который разделит ответственность за результат. Мы подготовили чек-лист с рекомендациями по выбору ИТ-аутсорсера, чтобы вы могли избежать ошибок на старте.
📌 Забрать рекомендации по выбору подрядчика в нашем Telegram-канале. Без заполнения форм, ПД и других сложностей.
