ЧТО МЫ НАУЧИЛИСЬ ДЕЛАТЬ — ИТОГ ЛЕКЦИИ 9
1
Различать проекты (конечны, CAPEX (Capital Expenditure / капитальные затраты)) и процессы (непрерывны, OPEX (Operational Expenditure / операционные затраты))
2
Выбирать методологию (Waterfall / Agile / Hybrid — каскадная / гибкая / гибридная) под тип проекта
3
Запускать проект через Charter (10 разделов) и WBS (100% Rule)
4
Считать TCO (Total Cost of Ownership / совокупная стоимость владения), а не только цену лицензии (айсберг затрат 40/60)
5
Управлять рисками (5×5 матрица), стейкхолдерами (Власть/Интерес — Power/Interest) и изменениями (ADKAR)
6
Контролировать прогресс через SPI (Schedule Performance Index / индекс выполнения расписания) / CPI (Cost Performance Index / индекс выполнения стоимости) и закрывать проект через извлечённые уроки (Lessons Learned)
Теперь вы умеете контролировать любой ИБ-проект, который CISO (Chief Information Security Officer / руководитель ИБ) принесёт на согласование
Мы научились управлять проектом. Но как выбирать, какие проекты вообще нужны компании? Когда нужен IDS (Intrusion Detection System / система обнаружения вторжений), а когда EDR (Endpoint Detection and Response / обнаружение и реагирование на конечных точках)? Когда облачный backup (резервное копирование), а когда локальный (on-prem) с воздушным зазором (air-gap)? Защита — это не набор отдельных инструментов. Защита — это архитектура, в которой каждый инструмент стоит на своём месте, дополняет другие, а не дублирует их.
Лекция 10: Архитектурное планирование и защита ресурсов
Учёт киберрисков на этапе проектирования (Secure by Design / защита на этапе проектирования)
Как выбирать средства защиты: от IDS до автоматизации резервного копирования и восстановления (Backup and Restore automation)
Принципы построения защитной архитектуры компании
Групповая работа: оценка полезности решений в архитектуре стартапа и корпорации
Проектное управление отвечает на вопрос КАК. Архитектура отвечает на вопрос ЧТО и ГДЕ. Без архитектурного видения каждый ИБ-проект — изолированная победа, не складывающаяся в общую защиту.
Подготовка к Лекции 10
- Составьте список из 10-15 средств защиты, которые есть сегодня в вашей компании (антивирус, межсетевой экран (firewall), VPN (Virtual Private Network / виртуальная частная сеть), MFA (Multi-Factor Authentication / многофакторная аутентификация), EDR (Endpoint Detection and Response / обнаружение и реагирование на конечных точках), SIEM (Security Information and Event Management / управление информацией о безопасности и событиями), DLP (Data Loss Prevention / предотвращение утечки данных), IDS (Intrusion Detection System / система обнаружения вторжений), резервное копирование (backup) и т.д.)
- Подумайте, в чём дублирование — есть ли инструменты, которые делают одно и то же
- Подумайте, в чём дыры — какие области защиты не покрыты ничем
- Если вы из небольшой компании — какой минимально достаточный набор у вас должен быть; если из корпорации — как контролировать сложность портфеля из 30-50 инструментов
До встречи на Лекции 10. На сегодня вы научились управлять отдельным ИБ-проектом. На следующем занятии посмотрим, как собирать проекты в архитектуру, чтобы компания получала не набор инструментов, а работающую защиту.