The compliance games

Apr 23, 2021 00:25

Представьте себе компанию, где работает дофига "миллениалов", которые постоянно требуют себе новые игрушки (различные программы), но при этом не хотят отвечать за их функционирование, патчинг и тд
SaaS они тоже не всегда хотят, потому что такие программы, особенно с хостингом в Штатах, сложно протащить через согласование в оккупированной "бумерами" службы ИБ в ЕСовской штаб-квартире.

То же самое "бумерское" ИБ непременно требует, чтобы у каждой игрушки был владелец. Если в ходе аудита выявляются программы или сервисы без владельцев, то директору компании выдают порцию пиздюлей и отбирают бюджет на смузи.

Как же геймифицировать достижение комплаенса?

Ну, например, определив ЦА для каждой игрушки, устроить голосование: в течение 2-4 недель каждый сотрудник, входящий в ЦА, может выразить желание получить игрушку в баллах от "1" (в гробу я её видел) до "5" (хачувотпрямщаз).
При этом сотрудникам должна быть предоставлена как можно более полная информация об игрушке и её уже используемых в компании аналогах, если таковые имеются.
По окончании голосования отбирается группа сотрудников, поставившая "5" баллов. Если таковых нет, то группа поставивших "4" балла. Если никто не поставил выше "3", или количество проголосовавших менее некоего % от ЦА, то считается, что новая игрушка никому не нужна, и запрос можно игнорировать.

Если "5" баллов поставил ровно 1 человек, то он назначается владельцем системы, без возможности отказаться. Аналогично, если "4" поставил ровно 1 человек, а "5" не поставил никто.
Если же "5" поставили несколько человек, то владелец выбирается их них случайным образом.
При этом, первый выбранный "счастливчик" имеет право передать свою ответственность другому пользователю, поставившему "5", если он приведёт уважительное обоснование. Уважительность обоснования оценивается непосредственным руководством сотрудника.
Пользователь, которому передали ответственность за систему, не имеет права отказаться или передать её кому-либо (за исключением случая перевода или увольнения).
Опционально:несоблюдение обязанностей владельца системы является основанием для внесения замечания в "личное дело".
В случае увольнения сотрудника, производится новая случайная выборка из числа оставшихся проголосовавших.

Ожидаемый итог:
1. у каждой внедренной системы есть владелец (комплаенс!)
2. количество запросов на внедрение новых систем снижается, люди стараются пользоваться тем, что уже внедрено

ЗЫ если на производстве внедрить не удастся, можно подумать о board game ;)

random_thoughts, humor, security

Previous post Next post
Up