Слайд 11. Управление изменениями: модель ADKAR (Осознание, Желание, Знание, Способность, Закрепление)

Блок 4. Люди и коммуникации Управление изменениями: модель ADKAR (Осознание, Желание, Знание, Способность, Закрепление) Слайд 11 / 14

Reinforcement — закрепление

Метрики использования EDR в KPI (Key Performance Indicator / ключевой показатель эффективности) SOC, ежеквартальные настольные учения (tabletop) с EDR

Без: через 6 месяцев откатились к старым процессам, EDR стал полочным ПО (shelfware)

Ability — способность

Учения по обработке EDR-инцидентов проведены, операционный регламент (runbook) отработан

Без: знают теорию, но при первом реальном инциденте растеряны

Knowledge — знание

Проведено обучение SOC-команды и пользователей по работе с оповещениями (алертами)

Без: EDR работает, но никто не знает, что делать с алертами

Desire — желание

Демонстрация на реальных кейсах атак, которые EDR блокирует

Без: пассивное саботирование, отключение агента под предлогом «тормозит»

Awareness — осведомленность

Каждый сотрудник получил email от CEO с обоснованием EDR и связи с защитой клиентских данных

Без: «Зачем нам этот EDR? У нас всё работает, не трогайте»

МЕТРИКИ ПРИНЯТИЯ (ADOPTION METRICS): С OCM (Organizational Change Management / управление организационными изменениями) vs БЕЗ OCM

90%

90 дн

75%

60 дн

50%

30 дн

20%

Запуск (Launch)

25%

30%

35%

20%

■ С OCM■ Без OCM

ПРАВИЛО OCM

На каждые 100 руб. лицензий — минимум 20 руб. на OCM (обучение, коммуникация, культурная работа).

Без OCM: один и тот же продукт, одна лицензия. Через 6 мес: работающая защита vs дорогое полочное ПО (shelfware).

Деньги на софт видны в бюджете. Деньги на OCM — обычно нет. Это ошибка. Без OCM инвестиция не окупится. Один и тот же продукт, одна и та же лицензия. Разница только в работе с людьми.