Projektmenedzsment sikertényezők – Információ biztonsági projektek A Project Management Institute (PMI, www.pmi.org) részletesen kidolgozott és folyamatosan fejlesztett metodológiával rendelkezik projektmenedzsment területén, a PMBOK® részletesen kifejti ezt a PMI által javasolt módszertant. Projektmenedzsment és információ biztonsági segítségével összefoglaljuk, melyek szerintünk biztonsági projektet sikeressé tesznek. Habár projektekre is, megpróbáljuk kiemelni azokat az projekteknél előtérbe kerülnek.
1
tapasztalatunk, illetve PMI háttértudásunk a fő kritériumok, amelyek egy információ a legtöbb kritérium alkalmazható más IT aspektusokat, amelyek információ biztonsági
1
FELSŐVEZETŐI TÁMOGATÁS
A felsőmenedzsment támogatása kulcsfontosságú egy projekt életében. Amennyiben a felsőmenedzsment nem látja, vagy nem érti egy projekt fontosságát, akkor egy másik projektet fog előtérbe helyezni, arra allokálja a költségkeretet és erőforrásokat. Az információ biztonság megvalósítása nem olcsó és az információ biztonsági projektek létjogosultságának alátámasztása nem egyszerű feladat. Egy jó megoldás a felsővezetői támogatás megszerzésére az üzleti megtérülés számítás és üzleti alátámasztás. Amennyiben összekötjük az információ biztonságot a vállalat üzleti stratégiájával, céljaival, értékeivel, könnyebben elérjük, hogy támogatást szerezzünk a menedzsmenttől. Nem elrettentés gyanánt, hanem a valós kockázatok érzékeltetéséhez bemutathatunk a vezetőségnek olyan piaci eseményeket, az adott vállalathoz hasonló profilú cégeket, ahol az információ biztonsági befektetés hiánya károkat okozott. A megtérülés számolásnál meg kell néznünk milyen információ biztonsági kockázatok vannak, és ezeket számszerűsítenünk kell. A számszerűsített kockázatot össze lehet vetni a kockázat kezelését célzó információ biztonsági projekt befektetéssel és így látható, hogy megéri-e a befektetés. A menedzsment figyelmét arra is célszerű felhívni, hogy az információ biztonsági incidensek 80%-a vállalaton belülről ered, amely akaratlagos vagy akaratlan visszaélésből adódik. Ennek a kockázatnak elkerülését vagy csökkentését az információ biztonsági tudatosság növeléssel és megfelelő információvédelmi megoldások bevezetésével lehet elérni.
2
2
FELHASZNÁLÓK BEVONÁSA
Ahogy említettük az információ biztonsági incidensek túlnyomó többsége belső okokra vezethető vissza. Általában a vállalat alkalmazottai azt szeretnék, hogy minden információ elérhető legyen minden pillanatban. Az információ biztonsági szakemberek viszont a kockázatok minimalizálása szempontjából úgy gondolják, hogy minél kontrolláltabbnak kell lennie az információ elérésnek, vagyis kis túlzással fogalmazva minél kevesebb információ legyen elérhető egy adott időpontban. Amennyiben a kulcsfelhasználókat időben bevonjuk egy információ biztonsági projektbe egy valós és praktikus helyzetet tudunk elérni, amelyben jó kompromisszum alakul ki az információ elérésének módja és ideje tekintetében. Ezen kívül elérjük azt is, hogy a felhasználók magukénak érezzenek egy adott projektet és később szívesen használják annak eredményeit. Példaként említhető a vállalati információ biztonsági szabályzat. Amennyiben a felhasználók nem vesznek részt annak a kialakításában és/vagy nem értik meg annak lényegét, nem fogják a mindennapi életben használni.
3
3
KOCKÁZATMENEDZSMENT
A projektmenedzsment egyik kulcseleme a kockázat menedzsment. Ez kifejezetten érzékennyé válik egy információ biztonsági projektnél, ahol a kockázatok nem megfelelő kezelése növeli az információ biztonsági kockázatot, amelynek csökkentésére hivatott lenne az adott projekt. A PMI metodológia szerint a kockázatmenedzsment folyamatos tevékenység a projekt kezdeményezésétől a lezárásáig és a projektmenedzser felelőssége, hogy ez a tevékenység valóban fókusz alatt legyen. A PMI pontos módszertant ad a kockázatok kezelésére, amelyet érdemes használni.
4 TAPASZTALT ÉS KÉPZETT PROJEKTMENEDZSER, FELHATALMAZÁS Mivel az információ biztonsági projektek természetüknél fogva erős projektmenedzsment figyelmet érdemelnek, nagyon fontos az allokált projektmenedzser tapasztalata és képzettsége. Egy jó projektmenedzser követi a megfelelő metodológiát, ezáltal az információ biztonsági projektek érzékenységét megfelelően kezelő projekt tervet tud készíteni. Megfelelő tapasztalattal és képesítésekkel meg is tudja valósítani a projekt tervben foglaltakat. 4
Fontos kiemelni a projektmenedzsernek felső vezetők általi felhatalmazását. Ez összefügg az első pontban említett felsővezetői elkötelezettséggel; amennyiben a projektmenedzsernek megvan a projekt kezeléséhez szükséges hatalma és felelőssége nagy akadály hárul el a projekt sikertelensége elől.
5 PONTOSAN DEFINIÁLT PROJEKT CÉLOK ÉS IDŐKERET A projekt célokat pontosan kell már a projekt elején definiálni, a projekt minden érintettjének tisztában kell lennie ezekkel a célokkal. A projekt célok meghatározása után a munkafeladatok is meghatározásra kerülnek. A munkafeladatokat célszerű kisebb egységekre bontani és az adott egységekhez felelősöket rendelni, ezáltal a projekt könnyebben kontroll alatt tartható. Hasonlóan a célokhoz és projekt feladatokhoz, a projekt időkeretének pontos meghatározása követelmény a projekt sikerességéhez. Az időkeretet célszerű mérföldkövek beiktatásával bontani, így jobban nyomon követhető az időkeret betartása.
6 PONTOSAN DEFINIÁLT PROJEKTMENEDZSMENT FOLYAMATOK Amennyiben előre definiált és más projekteknél már bevált folyamatok alapján tervezzük, implementáljuk és vezetjük a projekteket, növeljük azoknak sikerességi valószínűségét. Mivel a PMI évtizedes tapasztalattal rendelkezik a projektmenedzsment folyamatok kidolgozásában és 5
fejlesztésében, célszerű használni ezt a háttértudást ahelyett, hogy saját módszertant próbálnánk kifejleszteni és alkalmazni.
7
STANDARD INFRASTRUKTÚRA
Az információ biztonsági terv kidolgozása során célszerű standardizált hardver és szoftver infrastruktúra elemekkel tervezni. Ez nagyban megkönnyíti ezen elemek összekapcsolását, hiba esetén a megfelelő rendszertámogatás bevonását és a hiba kezelését. Amennyiben a költségek minimalizálásának céljából próbálunk minél olcsóbb elemeket összevadászva kialakítani az IT infrastruktúrát megnő a hibák, leállások, többletmunkát kockázata, amely összességében nagyobb költséghez vezethet, mint a megfelelő minőségű és standardizált elemek használata.
8 FORRÁSOK:
http://www.pmi.org/learning/critical-success-factors-project-management-7568 http://www.sciencedirect.com/science/book/9781597490764
6
