Советы по определению приоритета проекта кибербезопасности
Если вы профессионал в области кибербезопасности, вы почти наверняка в какой-то момент чувствовали себя ошеломленным огромным количеством проблем безопасности, которые вы должны были решить в течение одного и того же ограниченного периода времени. Без обдуманного, продуманного подхода к приоритетности проекта кибербезопасности вы рискуете проигнорировать критические риски и вообще ничего не добиться. Вы также создадите много ненужной работы для себя и остальной части команды кибербезопасности.
Все это не сулит ничего хорошего для способности вашей организации противостоять или преодолевать кибератаки. Для более быстрой, качественной и надежной киберзащиты важно установить приоритет проекта кибербезопасности. Вот как это сделать.
1. Понять цели стратегического уровня организации
Приоритет проекта кибербезопасности должен основываться на всеобъемлющих стратегических целях организации. Потратьте время, чтобы понять видение и стратегическое направление. К счастью, это документы, которые не часто меняются, поэтому, в основном, вы делаете это в первый раз, и это займет много времени.
Углубитесь в детали того, чем занимается организация. Стратегические цели будут определять портфели, программы и проекты. Они формируют схему, которая не только определяет желаемый пункт назначения в области кибербезопасности, но и указывает на пути, подтверждающие, что вы движетесь в правильном направлении.
Как только вы хорошо разберетесь со стратегическими целями, поговорите с руководством, чтобы получить его мнение о любых проектах, которым они хотели бы придать наивысший приоритет.
2. Определите причину каждого проекта
Проекты кибербезопасности могут быть обусловлены различными факторами. Хотя все они в конечном итоге направлены на снижение рисков кибербезопасности, проекты не обязательно преследуют одну и ту же цель безопасности.
Это обновление системы безопасности? Является ли это обучением и информационной кампанией по кибербезопасности? Это оценка риска кибербезопасности критически важных поставщиков? Предназначено ли это для оптимизации затрат на кибербезопасность? Соответствует ли он новым законам и правилам? Это стратегии и планы аварийного восстановления?
Цель проекта должна определять, насколько высоко он должен стоять в списке приоритетов вашего проекта кибербезопасности. Например, соблюдение новых правил должно быть высокоприоритетным проектом, поскольку это может иметь последствия для самой способности организации работать.
3. Анализируйте ценность
Не всегда легко напрямую связать процессы кибербезопасности с прибылью бизнеса. Однако вы можете оценить ценность каждого проекта, особенно его влияние на клиентов, сотрудников и других ключевых заинтересованных лиц.
Упростит ли проект жизнь сотрудников или клиентов? Будет ли это улучшать рабочие процессы и автоматизировать процессы? Сделает ли это повседневную офисную жизнь менее обременительной для сотрудников? Решит ли это окончательно повторяющуюся проблему?
Чем большую ценность приносит проект, тем более высокий приоритет ему следует отдать.
4. Оцените срочность
Вы должны оценить срочность каждого проекта кибербезопасности. Хороший способ определить срочность — оценить, предназначен ли проект для поддержания бизнеса в нужном русле или его можно отложить на более позднее время.
Обратите внимание, что срочность не обязательно указывает на важность, а скорее на чувствительность ко времени. Например, проекты кибербезопасности, связанные с резервным копированием данных и аварийным восстановлением, могут иметь большую срочность, даже если они не являются самыми важными.
Актуальность проекта не остается неизменной в течение всего года. Срочные изменения — это зависит от множества факторов, таких как развитие рынка, нормативные требования и возникающие бизнес-риски.
5. Определите факторы, влияющие на успех проекта
Каждый проект будет иметь определенные факторы, которые будут определять, будет ли он успешным. К этим факторам относятся доступные ресурсы, бюджетные средства, окупаемость инвестиций (ROI), зависимости, ограничения и сроки. Бюджеты организации ограничены — вы не можете взяться за все проекты.
Некоторые проекты могут зависеть от результатов других текущих или будущих проектов. Также могут существовать факторы, не зависящие от организации, которые могут помешать успеху проекта. Такие проекты с низкой вероятностью успеха следует отложить на потом, когда обстоятельства будут более благоприятными.
6. Разработайте матрицу приоритетов проектов кибербезопасности.
После сбора соответствующей информации о стратегических целях, задачах проекта и вероятности успеха проекта создайте матрицу приоритетов. Это должно идентифицировать и оценивать проекты кибербезопасности по этим критериям.
Используйте взвешенную шкалу оценок для каждого критерия, например, присваивайте баллы от 1 до 5 в зависимости от оценки каждого проекта. Придумайте общий рейтинг для каждого проекта, который затем станет основой для оценки и определения приоритетов проектов.
7. Оцените свои возможности
Приоритизация проектов кибербезопасности не означает, что теперь вы можете выполнять все высокоприоритетные проекты. Проекты — это, по определению, разовые мероприятия, которые заканчиваются, когда цель достигнута. У них часто есть два или более члена команды, у каждого из которых есть свои собственные повседневные обязанности, не связанные с проектом. Таким образом, у вас есть ограниченные возможности для проектов.
Определите, какова ваша текущая пропускная способность, и установите, сколько проектов вы можете запустить в этом контексте. На этом этапе вы можете использовать время, необходимое для завершения проекта, как фактор. Например, вы можете сначала уделить внимание более мелким и быстрым проектам, а более крупные и длительные оставить на потом. Обратное также может работать.
8. Обзор руководства
Ранжирование проекта, вытекающее из матрицы приоритетов, не обязательно означает конец процесса принятия решений по проекту. Прежде чем приступить к проектам, вы должны в последний раз встретиться с руководством и поделиться своими выводами. У них есть возможность высказать свое мнение о том, согласны ли они с рейтингом. Это гарантирует, что все находятся на одной странице.
Вы можете получить свежие идеи, которые вполне могут изменить рейтинг некоторых проектов. После того, как вы поделились этим с ними, теперь у вас есть зеленый свет для начала проектов.
9. Оставайтесь гибкими
Определение приоритета проекта кибербезопасности по своей природе является непрерывным процессом. Возможно, в конце 2019 года основным приоритетом вашей организации в области кибербезопасности была оценка рисков критически важных поставщиков. Тем не менее к концу первого квартала 2020 года последствия пандемии COVID-19, возможно, выдвинули удаленную работу на первый план в плане кибербезопасности.
Все может измениться в любой момент. Вы не можете позволить себе жесткое соответствие списку приоритетов вашего проекта. Будьте готовы внести поправки в список в середине потока в соответствии с меняющимися реалиями операционной среды. Вы должны прогнуться, если не хотите, чтобы обстоятельства сломили вас.
Установление приоритета проекта кибербезопасности является разумным с точки зрения бизнеса
Приоритизация проектов в области кибербезопасности — непростая задача. Если вам удастся эффективно расставить приоритеты, у вас будет больше шансов продвинуть свою организацию вперед, помочь с управлением временем, упростить вопросы бюджетирования и защитить свое предприятие от киберугроз. Чтобы ваши сотрудники могли решать наиболее важные задачи кибербезопасности в любой момент, применяйте приведенные здесь советы по расстановке приоритетов.