Úgy esett, hogy nemrég dolgozhattam egy általunk évekkel ezelőtt elkészített informatikai biztonsági irányítási rendszer (röviden nevén IBIR) felülvizsgálatán. A tanácsadó úgy van a projektekkel, mint méhecske a virágokkal, száll egyikről a másikra. Ritkán adatik meg, hogy visszatérhet egy korábbi munkához, velem is a 8 év alatt egy kezemen meg tudom számolni hányszor volt lehetőség ilyen utókövetésre... Most mégis ez történt velem, igaz az IBIR elkészítésében nem vettem részt, de a kollégák itt ülnek mellettem.
Az IBIR felülvizsgálat első lépése a szervezet informatikai vagyonleltárának frissítése. Az informatikai vagyonleltár egy olyan leltár, amiben a szervezet informatikai vagyona van felsorolva. Az az elgondolás, hogy az információ, az informatikai rendszerek értéket képviselnek a szervezetnek, viszont sokszor láthatatlanok, vagy legalábbis egészen addig, amig nem történik baj, ezért érdemes ezt alaposan felmérni és dokumentálni. Ez a dokumentáció az informatikai vagyonleltár.
Eddig ha bárki megkért, hogy egy szóval jellemezzem a vagyonleltár elkészítését, akkor habozás nélkül azt mondtam volna, hogy szívás. Ha kérdően nézve további magyarázatot várt volna, akkor még hozzátettem volna, hogy nagy szívás.
A vagyonleltár elkészítése, legalábbis ahogy mi csináljuk, nagyon sok munka. Nem elsősorban az üzleti területek számára, inkább nekünk utána az információk rendszerezése, leírása, bedolgozása. Ezért amióta kitaláltuk, hogyan is csináljuk ezt, mindig próbáltuk egyszerüsíteni, javítani a hatékonyságunkat, néztük mások hogyan csinálják, azoknak mi az előnyük, hátrányuk, de végül is mindig arra jutottunk, hogy bár ismerjük a korlátait, a piacon és szakirodalomban elérhető többi módszertanhoz képest mégsem tudtuk nyugodt szívvel lecserélni. Ezért folyamatosan mindegyikünkben van egyfajta kettősség: jó lenne továbbfejleszteni, de még nem értjük mi lenne igazán jobb, ezért csak aprókat javítgatunk.
A vagyonleltár felülvizsgálatakor gyakorlatilag egy metakérdésre kell válaszolni: mi változott az előző felülvizsgálat óta. Persze ez sok kevésbé meta és még több konkrét kérdést generál. A kérdés, hogy a mi változott ilyen magas szinten jó generátor-e vagy sem. Elárulom: nem az. Jobb kérdésgenerátorra van szükség!
A felülvizsgálatnál csak most jöttem rá, hogy a legjobb kérdésgenerátor egy részletes vagyonleltár! Azt csináltunk, hogy az adatgazdáknak (hiszen minden informatikai vagyonelemnek is van "tulajdonosa") előállítottunk a vagyonleltárból egy kivonatot, ami hála a sok szívásnak (izé, munkának), elég jó narratívát adott (tükröt tartott) az üzleti terület képviselőjének. Aztán egyszerűen leültünk velük együtt (nem kiküldtük előre, hogy készüljön!), és átbeszéltük. Ő olvasta és beszélgettünk, mi jegyzeteltünk. A vagyonleltár olyan jól sikerült (kösz fiúk!), hogy könnyedén át tudtuk beszélni mi változott az elmúlt időszakban és a különbségekre tudtunk koncentrálni.
Arra is jó volt ez, hogy látszott az első körben sok apróságot nem értettünk meg pontosan, vagy már most másként dokumentálnánk, amit most volt is lehetőség megtenni. A vagyonleltár elkészítésének soha sem gondoltam, hogy a kockázatelemzés a végső értelme, hanem az, hogy jó keretet ad a dolgok szisztematikus végiggondolásához. Ez most is beigazolódott: ahogy vezettük át a változásokat egy csomó újabb kérdés merült fel, amit beírtunk egy TODO excelbe és utána mindegyiknek a végére jártunk. Ez már csak macerás volt de semmi esetre sem szívás.
Szóval a jó vagyonleltár olyan, hogy egy év múlva elővéve és elolvasva, az üzlet magától meg tudja fogalmazni mik változtak az év folyamán. Mindenféle kérdőívezés nélkül is.
Nektek milyen vagyonleltárotok van?
-- Tiborcz József
