Rich Pictures или формализованный подход к решению слабоструктурированных задач предложил Питер Чекланд (Peter Checkland) в рамках методологии «мягких» систем (Soft System Methodology).

Эту технику бизнес-анализа можно использовать для анализа предметной области и определения границ проекта (продукта/системы).

В настоящей статье мы:

• обобщим общие требования к использованию данной техники и
• разберем один кейс – покажем, как правильно рисовать образные картинки.

В качестве примера мы возьмем образную картинку, нарисованную вице-президентом по защите информации Digital Guardian Эмериком Мишти (Emeric Miszti).

Мишти нарисовал образную картинку, на которой показано, как он может капитализировать возможность, предоставляемую клиентами, которых он встречает каждый день. Digital Guardian работает с большим числом организаций по всему миру и помогает им совершенствовать процессы управления информационной безопасностью. Образная картинка Мишти показывает весь комплекс работ, которые выполняет для клиентов руководитель службы информационной безопасности (Chief Information Security Officers (CISOs) в рамках совершенствования систем безопасности данных.

Что такое образная картинка

Образная картинка — это совокупность зарисовок (сделанных от руки), картинок, фотографий, символов, подписей, которые представляют частную ситуацию или вопрос (систему/проблему/потребность) реального мира с точки зрения человека или группы людей, которые его рисуют. Компоненты изображений — это люди (причастные лица), системы, процессы, интерфейсы, потоки данных, источники информации, объекты инфраструктуры, сопутствующие и препятствующие факторы, эмоции, точки зрения и отношение к ним и т.д.

Образная картинка может отражать взаимодействие и связи компонентов системы (или окружающего мира), их влияние, причину и следствие. Оно может также представлять такие субъективные элементы как отношение (восприятие), точки зрения, предрассудки — все то, что свойственно человеческой натуре.

Используется для исследования и совокупного представления физических, концептуальных и эмоциональных аспектов реальной ситуации (системы/проблемы/потребности) в конкретный момент времени.

Графические компоненты образной картинки:

• название,
• символы,
• ключевые слова,
• наброски,
• иллюстрации (кадры/сцены),
• фотографии,
• стрелки или другие линии, чтобы показать потоки данных или взаимосвязи компонентов.

Правильная образная картинка

Ниже мы приводим подробное описание образной картинки Эмерика Мишти. Ознакомившись с ее описанием, вы сможете нарисовать образную картинку самостоятельно.

В ее центре – руководитель службы информационной безопасности (СИБ) компании, который, по мнению Мишти, находится в сложной сети взаимоотношений и обычно отчитывается перед руководителем информационной службы (ИС).

Безопасность Мишти понимается как часть технологической функции, которая сама является частью описываемой проблемы.

Решение проблем, связанных с системами безопасности, предполагают решение противоречивых задач. С одной стороны, данные должны быть доступны, а с другой – должна соблюдаться их целостность и конфиденциальность. Эффективность систем безопасности обычно оценивается по доступности данных пользователю.

Это означает, что руководитель СИБ отвечает за работу всей компьютерной сети и конкретного сервера.

Кроме того, руководитель СИБ отвечает за надежность и конфиденциальность данных. Когда вы предоставляете компании детали кредитной карты, вы, конечно, хотите, чтобы данные были доступны, объясняет Мишти, иначе трансакция не будет авторизована. Вы также хотите, чтобы передача данных была безопасной и конфиденциальной. Таким образом, в процессе ведения дел руководитель СИБ вовлечен в самые разные взаимоотношения. В компании есть офисные работники и удаленные сотрудники. Также устанавливаются отношения с третьими сторонами. Так, существуют организации, имеющие доступ к данным организации, например, call-центры.

Сотрудники и третьи стороны могут получить доступ к информации двумя способами – когда вносят и когда используют данные. Они могут также унести их, например, на CD-ROM, USB, в телефонах, на смарт-картах, жестких дисках, портативных или мобильных носителях.

Что касается сотрудников любой организации то, как правило, они бывают трех типов:

1. «Хорошие люди», которые понимают, что нужно делать для обеспечения безопасности данных.
2. «Хорошие люди», которые совершают ошибки, например, оставляют свой ноутбук в поезде или отправляют электронное письмо с данными не тому адресату. Кстати, это главная проблема, с которой приходится бороться руководителю СИБ, поскольку она касается большинства пользователей.
3. Сотрудники, которые являются потенциальными мошенниками, они могут мстить и совершать мошеннические действия.

При этом существуют еще и хакеры! Они изображены их в виде знака опасности. Разумеется, сети и данные интересуют хакеров в силу различных причин: денежные мотивы, создание проблем из спортивного интереса или потому, что они «крутые» (Мишти их изобразил в виде чертика), или, как в случае со многими подростками, которые взламывают программу в первый раз, просто потому, что они это могут.

«Злой хакер» заинтересован не только во взломе сети, он атакует, вступая в контакты с сотрудниками и проникая в защищенные системы, используя методы социальной психологии.

Вы можете защитить свою сеть технологически, но если сотрудника уговорили выдать конфиденциальные данные или свои пароли, ни одна технология в мире не способна защитить эти данные.

Слева на картинке изображены разные заинтересованные стороны — правительство, потенциальных клиентов, регулирующие госорганы, аудиторов, СМИ:

• Правительство издает законы для защиты данных.
• Вместе с аудиторами и госорганами оно оказывает большое давление на советы директоров с целью защиты своих данных и соблюдения их конфиденциальности.
• Советы вынуждены реагировать на эти проблемы и, в свою очередь, давят на руководителя СИБ.
• Заказчики и клиенты предоставляют компании огромное количество своих данных, и вы также можете оставлять им свои данные. Это огромная ответственность.

• И, конечно, СМИ ждут момента, когда вы наделаете каких-нибудь ошибок, чтобы сделать об этом репортаж. На рисунке ниже показан телескоп, нацеленный на компанию.
• Кроме того, в компании есть сотрудник, ответственный за взаимодействие с властями, юрист, лицо, отвечающее за борьбу с мошенничеством, служба ЧР и физическая охрана.
• Ответственный за взаимодействие отвечает за то, чтобы компания выполняла требования аудиторов, регулирующих органов и правительства.
• Ответственный за борьбу с мошенничеством следит за сотрудниками, особенно за теми, у которых есть недобрые намерения.
• Служба ЧР занята сотрудниками и вопросами, связанными с ними. Физическая охрана следит за компьютерами и безопасностью технологии.
• Юрист следит за тем, чтобы все это делалось законно.

И все они обращают особое внимание на данные.

Да, в действительности данные являются центром картинки Мишти.

Однако руководитель СИБ традиционно сосредоточен на сети, причем никто на деле не знает, какие данные наиболее важны, где они, или как пользователи их используют.

Следовательно, руководитель СИБ сконцентрирован на технологиях и технологических процессах, поскольку их проще защитить, чем сами данные, о которых ничего не известно.

Проблема заключается в том, что это вызывает массовые сбои во всех секторах.

По данным аудиторской фирмы KPMG, каждый год во всем мире теряется более 250 миллионов отдельных записей клиентов.

Если взять население Земли в 7,3 миллиардов, это составляет 3,4% записей каждого человека, или в год у вас есть 1 шанс из 20, что ваши данные украдут, или они будут утеряны! Этот факт приведен на картинке ниже.

Задача руководитель СИБ, таким образом, заключается в том, чтобы не допустить утечку данных из организации к злому хакеру» или недобросовестному сотруднику, или же просто по чьему-то недосмотру.

Так как если дело закончится публикацией в СМИ – конец репутации, продажам, доверию к компании.