“Bevezettem, nem használjuk” – Hogyan kerüld el a szoftverbevezetés csapdáit?

Beüt a mennykő

Digitalizálj, digitalizálj, digitalizálj. Ezt hallod mindenhonnan, és tudod is, hogy erre szükség van. Az adatok, amik a céged működése kapcsán áramlanak, a legjobb helyen egy vállalatirányítási szoftverben vannak, de a gyártáshoz, ügyfélmenedzsmenthez, vagy akár a szabályozási környezethez való megfeleléshez is szükséged van szoftverekre. Hogy az online marketingről ne is beszéljünk. A két nagy probléma ezzel az, hogy az adatokat őrizni is kell, és az, hogy a szoftverek használatba vétele tanulással, plusz energiával és némi ellenállással járhat a csapat részéről. Éppen ezért ezúttal két eltérő területről kérdeztünk szakembert. A beszélgetőtársaink:

dr. Kása-Richlach Mónika médiajogi, információbiztonsági és adatvédelmi szakjogász és
dr. Kis-Tamás Lóránd szervezetpszichológus

Kezdjük a kályhától: mikor vezessen be új szoftvereket egy vállalkozás?

Lóránd: Nyilván vannak olyan helyzetek, amikor egyértelmű, hogy új szoftvert kell bevezetni, mert korábban vagy nem volt (lásd négyzetrácsos füzetbe történik a könyvelés, crm rendszer hiánya egy gyorsan bővülő ügyfélkör esetén, stb), vagy annyira nem korszerű, hogy verseny hátrányt okoz (például nem kompatibilis egy partner rendszerével, vagy sok plusz munkát igényel az aktuális ügyféligények kiszolgálása).

Mónika: Változatosak a motivációk, így például előfordulhat az elavult rendszerről áttérés egy másikra. A technológia fejlődik, a munkám kezdetén még CD lemezen kaptuk meg a jogtárat, ahol nézelődhettünk a jogszabályok között, ma már természetes, hogy egy felhasználói név és jelszó párosítással internetes felületen elérem az adatbázist, ez nyilván együttjárt egy komoly szoftverfejlesztéssel. Az is szerepelhet az okok között, hogy „kinőttünk” egy-egy nyilvántartást, kinőttük az excel táblát, hatékonyabbá kell tennünk a munkafolyamatainkat és erre megoldást kínál egy szoftver. 

Lóránd: Szervezetfejlesztőként mindig ott motoszkál a kérdés a fejünkben, hogy vajon tényleg az infrastruktúra valamelyik elemének megváltoztatása hozná-e a javulást, vagy inkább a szervezeti kultúrában, az emberek hozzáállásában, készségek és a betanítás hiányában keresendő a hatékonyságvesztés vagy motiválatlanság oka. Az elmúlt 15 évben sok olyan szervezetet láttunk ahol eszköz jellegű beszerzésekkel próbálták javítani a morált, a hatékonyságot, a versenyképességet, de valójában a szervezeti felelősségvállalásra, elköteleződésre, vezetési és együttműködési problémákra kellett rá nézni. Tudniillik 

egy komplex emberi rendszerben az elakadások sokszor nem azonnal, nyilvánvalóan észrevehetőek, hanem mélyebben gyökereznek, ezért könnyű ráfogni valamilyen anyagi vagy eszköz jellegű hiányra,

például kevés a fizetés, elöregedtek a szoftverek, rossz az iroda, stb.

Mik a szempontok, amiket egy szoftver kiválasztásánál mindenképpen vizsgáljon (a pénzügyi szempontokon túl) a cégvezető?

Mónika: Komplex szemléletre és csapatmunkára van szükség. 

Javasolt már a tervezési fázisban bevonni több szakembert, akik segítik a fejlesztést.

Nem csak abban a kérdésben kell dönteni, hogy hova helyezzük ki az adatkezelési tájékoztatást, ha megnyitja valaki a szoftvert. Előre kell látni a gyakorlatban felmerülő valamennyi kérdést, problémát, ezek lehetséges megoldásait. Így például, mit teszek, ha külső támadás éri a rendszert? Mit teszek, ha csak előfizetőknek érhető el a szoftver, hogyan azonosítom őket? Hogyan szűröm ki a kiskorúakat, ha ők nem használhatják a szoftvert? Hogyan vegyem rá a felhasználókat a biztonsági protokollok betartására? Ki válaszolja meg az érintetti kérelmeket, egyáltalán hogyan ismerjük fel, hogy érintetti kérelem érkezett a szoftver működésével kapcsolatban? Ki fér hozzá az adatokhoz, tudom-e szabályozni a jogosultsági szinteket, naplózza-e a rendszer, hogy ki és mit tett? Nem lehetséges minden átgondolandó kérdést felsorolni, pusztán érzékeltetni akartam, hogy egy szoftver adatvédelmi felkészítése során rengeteg a külső szemlélő számára láthatatlan kérdés.

Lóránd: Ez mind támaszkodik arra a kérdésre, hogy valóban a szervezeti folyamatokra és aktuális kihívásokra, valós ügyfél igényekre adjon jó választ az új szoftver, ne pedig csak egy trendi eszköz legyen a piacon, ami megtetszett, vagy nekünk is kell mert az összes verseny társunknak van már. Például gyakran vásárol nagyvállalati, integrált vállalatirányítási szoftvert kicsi cég is, mondjuk egy mikrovállalkozás, pedig ott még egyáltalán nem biztos hogy ez indokolt, de a vezető hallotta, hogy egy komoly szervezetnek már kell vállalatirányítási rendszer. Ilyenkor mindig olyan keresztkérdéseket teszünk fel amelyek validállják a szoftver szükségességét az adott szervezetnél.

Mónika: Rögtön az elején érdemes nagyon gyakorlatiasnak lenni. Kezel-e személyes adatokat a szoftver? Lehet, hogy mindössze a felhasználók e-mail címét és jelszavát rögzítjük a személyes adatok között, de már ebben az esetben is foglalkozni kell az adatvédelmi szabályokkal. Általában azonban messze-messze bővebb a kezelt személyes adatok köre, ez természetesen függ a konkrét szoftver céljától és adottságaitól.

Az adatvédelemmel kéz a kézben jár a megfelelő biztonsági szint kialakítása, mérlegelni kell a működés minden mozzanatában, hogy tudja-e garantálni a cég a fejlesztés során a fizikai, logikai és adminisztratív védelmi intézkedéseket, amelyek elvárhatók tőle. Ha egy szoftver nem felel meg az alapvető adatvédelmi és információbiztonsági elvárásoknak, és ezeket fejlesztéssel pótolni sem tudjuk, érdemes a drasztikus váltáson elgondolkodni. 

Nem tehetjük kiszolgáltatottá a felhasználóinkat, a felhasználók ránk bíznak személyes adatokat, kötelességünk gondoskodni a védelemről.

Lóránd: És persze az is fontos hogy illeszkedjen a szervezeti kultúrához. Például egy gamificationt alkalmazó megoldás nem biztos hogy osztatlan tetszést arat egy félkatonai szervezetnél, míg egy nagyon letisztult, strukturált, csak a lényegre szorítkozó megoldás nem motiválja a fiatal startuppereket. Ilyen esetekben hiába remek a szoftver és még talán az adott szervezetnek szüksége is lenne rá, a felhasználók ellenállásán nem fog átjutni, vagy csak nagyon nagy költséggel.

Mi a jellemző banánhéj a szoftverbevezetésekben? Min csúsznak el a cégek?

Lóránd: A leggyakoribb buktatók a változásmenedzsment ismeret hiányából szoktak adódni. A szervezeti változások egyik alaptétele, hogy

a változási igényt fel kell kelteni a munkatársakban,

sőt jó, hogyha van saját feladatuk és felelősségük is a bevezetésben, például egy dolgozói munkacsoport gyűjti össze az igényeket és mérlegeli a lehetőségeket a döntéshozókkal együtt. Különben rengeteg ellenállás alakul ki, hogy miért kell átállni valamiről amit már megszoktunk. És persze fontos hogy elegendő támogatást kapjanak az új rendszer elsajátításához és meg szokásához például felhasználóbarát és elégséges ideig működő helpdesk, ami készséggel segít azoknak is, akiknek az új szoftver nehezebben elsajátítható.

Nagyon sok változást láttunk elbukni azért, mert nem volt kellő segítség és támogatás a változás hosszútávú megszilárdítására, vagyis arra, hogy az új megoldás szervezeti szokássá váljon és már ne kelljen koncentrálni, vagy erőlködni a használatán.

Mónika: Képzeljük el, hogy készen áll egy fantasztikus szoftver a bevezetésre, gyönyörű design, hibátlan működés, várják a felhasználók, és akkor teszi fel valaki a kérdést, hogy 

az adatvédelemmel esetleg ne foglalkozzunk?

Sokan egy kisebb szívinfarktust élnek át már a kérdéstől is, mert mit jelent ez a gyakorlatban? A nemszeretem feladatok sorát. Ha ezen a ponton jut eszünkbe elővenni az adatvédelmi kérdéseket, egészen biztosak lehetünk benne, hogy csúszik a bevezetés, nem is keveset. Minden apró szeletét át kell tekinteni a szoftvernek, és mérlegelni például hasonló kérdéseket: Erre a személyes adatra valóban szükségünk van? Miért van rá szükségünk? Ki fogja megismerni azokat? Meddig tárolódnak a szoftverben, megfelelően védjük őket? 

Egy adatvédelmi szempontból egyszerű szoftver vizsgálatára kértek fel minket, közvetlenül a bevezetés előtt. Ez néhány hetet vett igénybe, mire minden kattintást végigpróbáltunk és megértettük a működést. Tulajdonképpen csak a felhasználók kapcsolattartási adatait és a naplófájlokat kezelte a szoftver, de a próbák során kiderült, hogy a felhasználó nem képes törölni ezeket, ha már nem kívánja használni a programot és a fejlesztő sem készült fel a törlésre, sőt a biztonsági mentéseken még hosszú-hosszú ideig tárolódtak azok az adatok, amelyeket már nem kezelhetett. Plusz időt jelentett a bevezetés előtt a korrekció.

A bevezetés ütemezésére kevésbé lesz hatással, ha már az első lépésektől együtt gondolkodunk a megfelelő szakértővel. A fejlesztés során kell feltérképeznünk valamennyi kockázatot, nem közvetlenül a bevezetés előtt, vagy a bevezetést követően. Az egyik legnagyobb félelme a felhasználóknak, hogy róluk olyan adatok kerülnek a nyilvánosság elé, amelyeket nem a nyilvánosságnak szántak. Ha szoftverhiba miatt történik ilyen, az kárt okoz a felhasználóknak és a szoftverért felelős vállalkozásnak is. 

Javasolt minden új szoftvert még a bevezetés előtt egy sérülékenység vizsgálatnak alávetni, amelynek az a célja, hogy feltárja a biztonsági réseket. 

Hogyan készülhet fel magára a szoftverbevezetésre a cég?

Lóránd: John Kotter tanácsait hoznám ide, aki 8 pontban összefoglalta az ideális változáskezelést. A 8 lépés az igény felkeltésétől, a bevonáson, személyes felelősségen és támogatáson át, a jutalmazásig és kultúrában való meggyökereztetésig, mind mind része egy sikeres újításnak. Ezeket érdemes részletesen elolvasni a szakirodalomban, és érdemes szervezetfejlesztőt is bevonni a bevezetés előtt.

Mónika: nagyon gyakorlatiasan, előrelátóan kell felkészülni. Mire bevezetik a szoftvert, 

• már készen kell álljon a dokumentációs csomag, 
• maga a szoftver tartalmazza a felhasználók tájékoztatását, 
• már beépítésre került minden fontos elem,
•  már túl van néhány szervezett támadáson a szoftver és már kijavították a hibákat. 
• A munkatársak is ismerik az eljárásrendet, amit akkor kell követni, ha mégis fellépne valamilyen nem várt probléma. 

Meddig tart valójában egy szoftver bevezetése?

Mónika:  A kivezetésig. A feladatok mennyisége és típusa változó, de abban biztosak lehetünk, hogy állandó felügyeletet és ellenőrzést igényel adatvédelmi szempontból. A legtöbb szoftver ma már elérhető a kibertérben, ezzel a ténnyel kéz a kézben jár a folyamatos kockázat, amelyre reagálni kell. 

Ha az előkészületekre szánt időre gondolunk, az nagyban függ a szoftver bonyolultságától, a kezelt személyes adatok mennyiségétől és fajtájától, valamint attól is, mikor kezdtük meg az adatvédelmi felkészítést.

Nem érkezik el az a pont, hogy elkészültünk, bevezettük, pihenhetünk,

legfeljebb csak adott pillanatban kevesebb a feladatunk. Találkoztunk olyan adatvédelmi incidenssel, amely a szoftverfrissítéssel következett be. A frissítés telepítése tette lehetővé a külső támadást. A szoftverfejlesztő észlelést követően azonnal korrigálta a hibát, de rengeteg felhasználói adat szivárgott ki az észlelésig. Az adatvédelem egy folyamat, gyakori változókkal.

Lóránd: A rövid válaszom, hogy addig tart, ameddig automatikus szokássá nem válik a használata, de ezt már korábban írtam. A hosszú válasz sok-sok történet…

Végül: mi a legfontosabb, amit a cégvezető magával vigyen mindebből?

Lóránd: A változásokat szervezeten belül is el kell tudni adni, és az a jó értékesítés, ahol a vevő örömmel vesz, és utána elégedett azzal amit kapott. Ha így tekintünk egy szoftver bevezetésére is, ahol a vevő a felhasználó lesz, akkor már elég jó úton járunk.

Mónika: Tökéletes biztonság nem létezik, mégis mindent el kell követnünk, hogy törekedjünk rá, mert csak így előzhetjük meg, hogy kárt okozzunk a felhasználóinknak és az ügyfeleinknek.