На фоне сложной геополитической ситуации и стремительно меняющейся реальности в условиях пандемии и массового перехода на удалённую работу происходят значительные перемены буквально в каждой сфере нашей жизни.
Деятельность многих организаций тоже потерпела изменения – компании динамично растут, число проектов увеличивается, ужесточаются требования к таким параметрам, как сроки, качество, соблюдение бюджета… Не обойтись без свежего взгляда и нового подхода к ведению бизнеса.
В современных реалиях необходимость гибкого управления проектами в сфере информационной безопасности по праву можно назвать данностью, однако не всегда и не у всех получается эффективно с этим справляться.
В чём же заключается гибкость и какова здесь роль Agile –методологии? О чем вообще идет речь?
На самом деле, Agile – это целая философия, в рамках которой разработаны различные инструменты и подходы, которые и позволяют обеспечить ту самую "гибкость" в разработке и проектном управлении.
Основные постулаты Agile –методологии:
- Люди и взаимодействие важнее процессов и инструментов.
- Работающий продукт важнее исчерпывающей документации.
- Сотрудничество с Заказчиком важнее согласования условий контракта.
- Готовность к изменениям важнее следования первоначальному плану.
Следует отметить, что зачастую люди, работающие по Agile, слишком увлекаются левой частью этих постулатов и забывают о важности правой. И это вполне закономерно, поскольку, «…не отрицая важности того, что справа, всё-таки больше ценится то, что слева». Но о том, что ценится меньше, совсем забывать всё же не стоит.
Особенно важно помнить об этом в сфере информационной безопасности, учитывая ряд особенностей: необходимость защиты информации, соблюдение чётких регламентов ФСТЭК (и других регуляторов), контроль данных и т.д.
В своей работе мы используем наиболее подходящие для нашей сферы принципы и инструменты из Agile:
- Ничто не заменит живого общения. Особенно при обсуждении ключевых вопросов. При этом договоренности обязательно фиксировать письменно.
- В условиях динамичности среды, постоянного изменения угроз и непрерывно меняющегося законодательства необходимо быть готовым к изменениям и внедрять их по мере появления (предварительно проанализировав).
- Важно уметь превращать стратегию ИБ из аксиоматичной в динамичную, отвечающую актуальным рискам и угрозам.
- Важно дробить крупные задачи на более мелкие, с достижимыми и видимыми результатами, при этом назначать ответственных и контролировать результат.
- Проведение постпроектного аудита: получение и обработка обратной связи по окончании проекта помогают избежать ряда ошибок в будущем. Обратная связь важна и от Заказчика, и от проектной команды.
- Для оперативного решения задач членами проектной команды следует использовать канбан-доски.
- Важно поддерживать культуру «решения проблем», подразумевающую высокий уровень вовлечения участников процесса, тимбилдинг и дружественную среду.
Очень важно осознавать, что сфера информационной безопасности не терпит суеты и поспешных решений (грамотное планирование и управление рисками при этом никто не отменяет). К максимальной эффективности можно прийти, только своевременно реагируя и подстраиваясь под изменения среды и конъюнктуры рынка.
Сила в балансе и грамотном применении тех или иных принципов и инструментов.