Гибкое управление проектами в сфере информационной безопасности

На фоне сложной геополитической ситуации и стремительно меняющейся реальности в условиях пандемии и массового перехода на удалённую работу происходят значительные перемены буквально в каждой сфере нашей жизни.

Деятельность многих организаций тоже потерпела изменения – компании динамично растут, число проектов увеличивается, ужесточаются требования к таким параметрам, как сроки, качество, соблюдение бюджета… Не обойтись без свежего взгляда и нового подхода к ведению бизнеса.

В современных реалиях необходимость гибкого управления проектами в сфере информационной безопасности по праву можно назвать данностью, однако не всегда и не у всех получается эффективно с этим справляться.

В чём же заключается гибкость и какова здесь роль Agile –методологии ? О чем вообще идет речь?

На самом деле, Agile – это целая философия, в рамках которой разработаны различные инструменты и подходы, которые и позволяют обеспечить ту самую "гибкость" в разработке и проектном управлении.

Основные постулаты Agile –методологии :

• Люди и взаимодействие важнее процессов и инструментов.
• Работающий продукт важнее исчерпывающей документации.
• Сотрудничество с Заказчиком важнее согласования условий контракта.
• Готовность к изменениям важнее следования первоначальному плану.
  

Следует отметить, что зачастую люди, работающие по Agile , слишком увлекаются левой частью этих постулатов и забывают о важности правой. И это вполне закономерно, поскольку, «…не отрицая важности того, что справа, всё-таки больше ценится то, что слева». Но о том, что ценится меньше, совсем забывать всё же не стоит.

Особенно важно помнить об этом в сфере информационной безопасности, учитывая ряд особенностей: необходимость защиты информации, соблюдение чётких регламентов ФСТЭК (и других регуляторов), контроль данных и т.д.

В своей работе мы используем наиболее подходящие для нашей сферы принципы и инструменты из Agile:

• Ничто не заменит живого общения. Особенно при обсуждении ключевых вопросов. При этом договоренности обязательно фиксировать письменно.
• В условиях динамичности среды, постоянного изменения угроз и непрерывно меняющегося законодательства необходимо быть готовым к изменениям и внедрять их по мере появления (предварительно проанализировав).
• Важно уметь превращать стратегию ИБ из аксиоматичной в динамичную , отвечающую актуальным рискам и угрозам.
• Важно дробить крупные задачи на более мелкие, с достижимыми и видимыми результатами, при этом назначать ответственных и контролировать результат.
• Проведение постпроектного аудита : получение и обработка обратной связи по окончании проекта помогают избежать ряда ошибок в будущем. Обратная связь важна и от Заказчика, и от проектной команды.
• Для оперативного решения задач членами проектной команды следует использовать канбан-доски.
• Важно поддерживать культуру «решения проблем», подразумевающую высокий уровень вовлечения участников процесса, тимбилдинг и дружественную среду.
  

Очень важно осознавать, что сфера информационной безопасности не терпит суеты и поспешных решений (грамотное планирование и управление рисками при этом никто не отменяет). К максимальной эффективности можно прийти, только своевременно реагируя и подстраиваясь под изменения среды и конъюнктуры рынка.

Сила в балансе и грамотном применении тех или иных принципов и инструментов.