Как Kaiten помогает белым хакерам управлять проектами: опыт первого в России кооператива по информационной безопасности

от автора

Меня зовут Алексей Поликарпов, я тимлид координаторов проектов в производственном кооперативе РАД КОП

Мы — первый в России производственный кооператив по информационной безопасности. Наша команда состоит из квалифицированных экспертов в области методологии и комплаенса (это область защиты персональных данных, критической информационной инфраструктуры; проверка соответствия требованиям к системам менеджмента ИБ; разработка нормативной документации; оценка соответствия и аудиты), наступательной безопасности (анализ защищенности, тестирование на проникновение, безопасная разработка и безопасность приложений), а также инженерно-технической защиты.  

Наша организация использует передовые подходы к управлению проектами и бизнесом. С момента создания мы развиваемся на базе методологии социократия 3.0, а с юридической точки зрения являемся производственным кооперативом.

Производственный кооператив — это форма организации бизнеса, когда люди объединяются для совместной работы. Фирма находится в коллективной собственности сотрудников-пайщиков, а прибыль разделяется не по размеру уставного капитала, а по трудовому вкладу.

Помимо бизнес-целей, результативности, качества продуктов и экономической эффективности, мы ставим перед собой задачу развивать среду, максимально комфортную для творческих и инициативных людей.

Я расскажу, как Kaiten помогает нам гибко работать с клиентами и над проектами. В таск-трекере мы настроили CRM и воронку продаж, обеспечили контроль выполнения задач на всех уровнях, минимизировали микроменеджмент и директивное управление.

Как образовался производственный кооператив 

Пять лет назад специалисты по информационной безопасности во главе с нашим председателем Гусейновым Рустамом организовали сообщество. Они работали в найме в других компаниях, но объединялись под совместные проекты на фрилансе. Сообщество росло, проектов становилось больше, и пришла идея создать свою организацию, в которой будут комфортные условия для работы и взаимодействия для всех участников. Так в июле 2022 года появился производственный кооператив, который уже два года функционирует как полноценная юридическая структура.

Сейчас в портфеле РАД КОП более 50 услуг по ключевым направлениям информационной безопасности «Комплаенс и методология» и «Техника и инженерия». Мы работаем с клиентами из разных областей бизнеса, среди которых наиболее известные Т-Банк и Точка Банк.

Больше информации про производственный кооператив РАД КОП можно узнать из лекции Рустама Гусейнова.

Организационная структура 

Наш кооператив построен на принципах самоуправления и социократии 3.0 с горизонтальной организационной структурой. У нас нет традиционных начальников, а вместо классических отделов и должностей — круги и роли.

У нас открытые зарплаты и финансовая модель организации внутри кооператива, что позволяет поддерживать прозрачность и доверие участников друг к другу. Это обеспечивает качество предоставляемых нами услуг и позволяет достигать отличных финансовых показателей.

Информационная модель кооператива

Информационная модель кооператива

Что такое самоуправление и социократия 3.0 в РАД КОП

Социократия — это метод, который помогает организациям принимать сбалансированные и обоснованные решения, улучшающие работу всех ее структур. Вот наши ключевые принципы:

  1. Круги и совет кооператива. Организация структурирована в автономные круги, каждый из которых отвечает за определенное направление деятельности. Они функционируют независимо, но координируются через представителей в совете кооператива.

  2. Координаторы проектов. Универсальные менеджеры, которые умеют и продавать, и управлять проектами. Осуществляют связку всех кругов за счет присутствия ответственного координатора в каждом из них. Координаторы отвечают за множество задач и осуществляют операционное управление внутри кооператива.

  3. Нелинейное мышление — это один из принципов социократии 3.0, который позволяет рассматривать проблемы и задачи всех участников кооператива под разными углами, избегая прямолинейных решений. В самоуправлении важно думать гибко, учитывать множество факторов и предлагать разнообразные пути решения задач. 

  4. Искусное участие — еще один ключевой принцип. Ключевой вопрос каждого участника кооператива в работе и сотрудничестве: «Является ли мое поведение в данный момент наилучшим вкладом, который я могу внести для результативности этого сотрудничества?» Искусное участие побуждает каждого члена кооператива активно учитывать соглашения и обеспечивать их реализацию, повышать уровень осведомленности и понимания, развивать необходимые навыки и поддерживать других.

  5. Принятие решений через консент. Консент — это групповой процесс принятия решений, позволяющий участникам высказывать возражения и дорабатывать предложения. В отличие от традиционного консенсуса, консент не требует абсолютного согласия всех участников. Соглашения принимаются, если они считаются достаточно хорошими и безопасными для реализации, до следующего пересмотра.

Как устроено горизонтальное управление 

Наша организация состоит из ролей и кругов. Круги делятся на сервисные и производящие.

Сервисные круги представляют собой административные подразделения, которые обеспечивают операционную функциональность. К ним относятся:

  • координаторы проектов, которые совмещают в себе функции менеджеров по продажам, руководителей проектов, секретарей, фасилитаторов и другие. Два координатора на одном проекте разделяют роли между собой: один становится секретарем и ведет протоколы встреч, а другой — руководителем проекта;

  • классические роли подразделений: юристов, бухгалтеров, нормоконтроля, делопроизводство и HR. 

Примеры таких кругов: круг координаторов проектов, круг внутренних процессов, круг юридической поддержки, круг системного администрирования и др.

Производящие круги включают специалистов по информационной безопасности, таких как аудиторы, консультанты, аналитики и пентестеры. Они обеспечивают создание конечных продуктов, представляющих ценность для наших клиентов, через выполнение проектов. На данный момент у нас три производящих круга:

  • комплаенса и методологии. В нем консультанты по информационной безопасности и аудиторы, которые занимаются подготовкой, проверкой и оценкой соответствия по различным нормативно правовым актам ИБ;

  • хакеров, пентестеров и инженеров ИБ (Offensive security). Здесь находятся специалисты, которые занимаются проведением различных тестирований на проникновение и инженерными работами, помогают повысить уровень защищенности информационных систем наших заказчиков;

  • безопасности приложений. В нем находятся аналитики ИБ и специалисты ApplicationSecurity/DevSecOps. Они занимаются безопасностью разработки различных приложений (веб/десктоп/мобильных), а также проводят анализ защищенности, включая исследования исходного кода на наличие уязвимостей.

Во главе кооператива стоит избранный пайщиками председатель, а в каждом круге — координатор проектов и тимлид, выбранный участниками соответствующих кругов и согласованный председателем. Стратегическое направление и ключевые решения в развитии кооператива принимает «Совет кооператива», состоящий из избранных представителей различных кругов.

Для эффективного взаимодействия в такой структуре и управления задачами, продажами и проектами без излишнего микроменеджмента необходим инструмент — таск-менеджер, который объединяет работу всех кругов и делает процессы прозрачными.

Почему мы выбрали Kaiten среди других сервисов

До февраля 2022 года мы использовали иностранный таск-менеджер Nozbe, но из-за ухода компании из России решили перейти на отечественный сервис. Основные требования к новой системе были такими:

  • облачное решение,

  • наличие Канбан-досок, 

  • функциональность системы учета и контроля задач,

  • возможность синхронизировать наши активности на всех фазах жизни лида. 

Мы рассматривали российские аналоги Trello и Jira и наткнулись на Kaiten. После тестового месяца работы в сервисе мы поняли, что его функциональность и стоимость нас устраивает, поэтому остановились на нем. 

С ростом кооператива и увеличением количества пресейлов и активных проектов, требования к системе возросли. Плюс в первый год работы в сервисе случались сбои, но на текущий момент его работа стабильна. Kaiten полностью удовлетворяет наши потребности благодаря своими обширным возможностям по гибкой настройке функций, большому количеству модулей, простоте и лаконичности.

Систематизировали информацию и разграничили доступы

В Кайтен у нас настроено 23 рабочих пространства, внутри которых организованы ключевые процессы кооператива. Их можно разделить на четыре типа: 

  1. Общие пространства кругов. Они хранят всю необходимую информацию: задачи и ключевые процессы для всех участников кооператива.

  2. Пространства продаж. Включают клиентскую базу и остальной процесс работы с заказчиками.

  3. Пространства управления проектами. Используются для работы над текущими внутренними и внешними проектами.

  4. Service desk. Внутреннее пространство с административными функциями и внешнее — для клиентов на аутсорсинге ИБ.

Рабочие пространства в Kaiten

Рабочие пространства в Kaiten

Нам было важно настроить гибкую систему доступа к информации из-за соглашений о неразглашении (NDA). Это удалось реализовать с помощью функции дублирования досок из одного пространства в другое и настроенным группам пользователей в Kaiten. Например, на пространстве «Сейл/Пресейл» собраны доски с воронками продаж для всех кругов, но в конкретные круги дублируется только релевантная доска с лидами, с которыми они работают. Таким образом координаторы проектов получают доступ ко всей информации по клиентам, лидам и проектам, а специалисты из производственных кругов видят только данные, затрагивающие их круг.

Работаем с клиентами: от заявки до конечного результата в таск-трекере

В кооператив обращается множество клиентов с разными задачами по ИБ. Один и тот же заказчик может прийти с несколькими запросами в разное время. Например, сначала клиент может обратиться за комплексным тестированием на проникновение, а через время — за проведением оценки соответствия по требованиям нормативно-правовых актов регуляторов, таких как ФСТЭК России или Банка России. 

У этих проектов разный жизненный цикл и исполнители, поэтому нам важно видеть полную картину по работе с заказчиком в одном месте. 

Мы решили упорядочить работу с информацией о клиенте и создать отдельное учетное пространство с доской-списком и родительскими карточками всех наших заказчиков, как потенциальных, так и тех, с кем мы когда-либо взаимодействовали — оно называется «Клиентская база».

На доске «Клиентская база» 1 карточка — 1 клиент

На доске «Клиентская база» 1 карточка — 1 клиент

На ней находятся головные карточки с ключевой информацией по клиентам, необходимой для взаимодействия. Внутри каждой карточки созданы пользовательские поля-справочники с юридическими, контактными данными и установлены ответственные за заказчика.

Пример заполненной карточки клиента

Пример заполненной карточки клиента

Когда клиент к нам обращается с запросом, координатор проектов, ответственный за продажи, проверяет наличие юридического лица заказчика в клиентской базе. Если нужно, создает новую головную карточку, а после этого формирует карточку лида, которая имеет дочернюю связь с карточкой из клиентской базы в пространстве «Сейл/Пресейл». В нем размещено три доски по направлениям деятельности: 

  • «Комплаенс и методология», 

  • «Хакеры и пентесты», 

  • «Безопасность приложений».

В зависимости от того, с каким направлением потребности обращается клиент, на соответствующую доску попадает его карточка. Лидов может быть несколько, но каждая будет размещена на доске соответствующего направления. Карточка может иметь разных ответственных и может быть связана как с одним юрлицом, так и с несколькими.

Дальше координатор проектов ведет коммуникацию с заказчиком и контролирует карточку-лид по этапам воронки продаж на соответствующей доске направления проекта и принадлежности к кругу, передвигая ее по колонкам. Для каждого этапа установлен свой срок и SLA.

Чтобы быстро находить информацию по предстоящему проекту, менеджер заполняет паспорт лида по шаблону внутри карточки, а в комментариях ведет бэклог продажи. Удобно, что можно посмотреть всю историю работы с лидом в одном месте.

Шаблон для заполнения паспорта лида

Шаблон для заполнения паспорта лида

При потере интереса или отказе карточка блокируется с комментарием и попадает на доску «Отказы клиентов». Связь с юрлицом в главной карточке на доске «Клиентская база» позволяет анализировать количество отказов и их причины. То есть мы можем снять отчет и посмотреть, сколько у нас было запросов, которые не ушли дальше в работу и почему. Эту информацию мы анализируем, чтобы понимать, что можем изменить, чтобы становиться лучше и повышать конверсию. 

Пространство «Сейл/Пресейл» с блокировками

Пространство «Сейл/Пресейл» с блокировками

Планируем нагрузку и распределяем проекты в Kaiten

Когда договор заключен, мы начинаем работу над проектом. Для организации этого процесса у нас есть отдельное пространство «Управление проектами». Его структура и разделение по доскам аналогично пространству «Сейл/Пресейл».

Доска управления проектами

Доска управления проектами

В каждой карточке проекта можно отследить заказчика и всю информацию по работе с ним через систему взаимосвязей родительских и дочерних карточек.

Принципиальная схема взаимосвязи карточек

Принципиальная схема взаимосвязи карточек

Чтобы планировать сроки проекта и загруженность специалистов, мы пользуемся модулем Гант и Ресурсное планирование. Еще на моменте, пока идут переговоры по задаче, ресурс исполнителей бронируется под будущий проект. Так мы можем планировать нагрузку на команду и рассчитывать сроки проекта.

Так выглядит график распределения ресурсов

Так выглядит график распределения ресурсов

Коммуникация с бэк-офисом и заказчиками через Service desk

Для внутренней работы с юристам, бухгалтерией, координаторами, системными администраторами и нормоконтролем мы настроили взаимодействие через модуль Сервис деск. Это удобно, потому что:

  • заявки собраны в одном месте. У каждой функции бэк-офиса своя доска с задачами и процессом работы над ними;

  • можно отправить заявку несколькими способами: задачей в пространстве Kaiten, через бота в Telegram, по email или в веб-интерфейсе Service Desk;

  • заказчик заявки может отслеживать выполнение: он получит оповещение, когда его задачу возьмут в работу и когда она будет сделана;

  • для большинства типовых заявок сделаны шаблоны, которые ускоряют время формирования заявки и SLA по ее отработке.

Общий вид портала Service Desk, где можно оставить заявку

Общий вид портала Service Desk, где можно оставить заявку
Доска с заявками для системных администраторов

Доска с заявками для системных администраторов

Мы пользуемся автоматизациями для заявок — задачи сразу распределяются на ответственных сотрудников. Они получают уведомления через бота в Kaiten и попадают в нужные чаты Telegram. 

Для техподдержки внешних заказчиков, которым мы предоставляем различные формы аутсорсинга ИБ, тоже настроили работу через Service desk. При возникновении каких-либо вопросов клиент может отправить заявку через бота, email или веб-интерфейс SD Kaiten. Когда специалисты возьмут задачу в работу, заказчик получит оповещение о статусе, что обеспечивает уверенность, что заявка не потеряется и будет выполнена.
Заявкам присваивается метка с направлением задачи, и у клиента всегда есть возможность запросить отчеты по скорости реакции нашей команды и количеству завершенных задач за определенный период.

Пример доски для обработки заявок клиента

Пример доски для обработки заявок клиента

Но некоторым заказчикам комфортнее наблюдать за процессом работы самостоятельно, поэтому мы выдаем им доступ в Kaiten напрямую. Они ставят задачи непосредственно в своих пространствах на досках и пользуются таск-менеджером в личных целях. 

Чтобы клиенты могли находиться внутри наших пространств Kaiten, отслеживать свои запросы и при этом не раскрыть конфиденциальные данные других клиентов, у нас настроены разграничения доступов. Заказчик видит только свое персональное пространство и соответствующие задачи.

Kaiten — важная часть оперативной системы управления 

Кайтен помогает прозрачно выстраивать работу над задачами разных кругов и ролей внутри нашего кооператива. 

Все рабочие процессы (административная ветвь, продажи, управление проектами, взаимодействие с клиентами) собраны в одном месте, и это очень упрощает нам жизнь. Мы видим, какие заявки к нам поступают, как идут процессы продаж, и следим за текущими проектами в работе. Можем прогнозировать нагрузку на специалистов и рассчитывать сроки на выполнение. 

А также мы используем систему как информационный портал для инструкций, FAQ и фиксации договоренностей. 

В текущих масштабах наша деятельность невозможна без Kaiten.


ссылка на оригинал статьи https://habr.com/ru/articles/866062/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *