Od vyjasnění rozsahu k výstupu, který jde použít pro rozhodnutí i realizaci
Spolupráce není postavená na dlouhém předprodeji ani na čistě formálním reportu. Cílem je rychle potvrdit rozsah, pracovat s relevantními podklady a dodat výstup, který má jasný navazující krok.
Typický průběh spolupráce
Konkrétní forma se liší podle služby, ale rámec zůstává stejný: vyjasnit cíl, omezit rozsah na to důležité a dodat výstup, podle kterého lze dál jednat.
První kontakt a cíl
Na začátku potřebuji pochopit prostředí, hlavní problém, rozhodovací roli a očekávaný výstup. To určí, jestli dává smysl bezpečnostní analýza, GAP analýza, náprava konfigurace nebo bezpečnostní posouzení aplikace.
Vymezení rozsahu a pravidel
Potvrdíme rozsah, podklady, způsob přístupu, roli dodavatelů a případná omezení produkčního nebo citlivého prostředí.
Analýza, posouzení nebo technické ověření
Samotná práce se liší podle služby, ale vždy jde o ověření stavu, rizika a priorit, ne o obecný kontrolní seznam bez vztahu k realitě organizace.
Výstup a další krok
Na konci musí být jasné, co je kritické, co naváže a kdo bude s výstupem dál pracovat: vedení, správce, dodavatel nebo vývojový tým.
Co potřebuji od klienta a co ne
Spolupráce se snaží minimalizovat zbytečný přenos informací. Vstupem nejsou „všechny dokumenty“, ale jen podklady, které mají vazbu na cíl služby.
Co pomůže
Stručný popis prostředí, hlavní obavy, roli dodavatelů, existující analýzu, audit nebo incident a to, kdo bude výstup číst.
Co se potvrzuje předem
Rozsah, pravidla práce s přístupy, citlivost prostředí, způsob sdílení podkladů a očekávaný výstup.
Co není cíl
Nesnažím se na začátku sbírat vše, co organizace má. Cílem je rychle určit, co je relevantní a co může zůstat mimo rozsah.
Jak vypadá práce s různými rolemi
Stejný projekt často sleduje jiný cíl pro vedení a jiný pro technický tým. Proto je průběh spolupráce postavený tak, aby šel vysvětlit oběma stranám bez dvojí interpretace.
Vedení a schvalovatel
- Potřebuje znát dopad a prioritu.
Ne technickou hloubku každého nálezu, ale to, co je kritické a jaký má být další krok. - Řeší rozpočet a odpovědnost.
Proto musí být v rozsahu i ve výstupu jasné, co je rychlý krok a co už je větší projekt.
Správce, technické vedení nebo vývoj
- Potřebuje konkrétní nálezy a pořadí oprav.
Výstup musí být dost použitelný pro technickou práci, plán oprav nebo kontrolu dodavatele. - Řeší provozní realitu i termín vydání.
Doporučení mají respektovat omezení prostředí, ne vytvářet teoretický plán bez implementační hodnoty.
Na co spolupráce typicky navazuje
První služba není konec. Jejím cílem je určit směr a další rozhodnutí.
Hardening a náprava
Pokud už je jasné, co je potřeba změnit v konfiguraci, identitách nebo provozním nastavení.
Penetrační test nebo bezpečnostní posouzení aplikace
Pokud je potřeba hlouběji ověřit zneužitelnost aplikace, API nebo vybraného systému.
Kontrola změn nebo ověření oprav
Pokud už změny proběhly a je potřeba potvrdit, že byly provedené správně a mají očekávaný efekt.
Další veřejné podklady
Průběh spolupráce je jedna část důvěryhodnosti webu. Vedle něj dává smysl projít i podobu výstupu a vstupní kontrolní seznam pro první zmapování stavu.
Veřejný podklad
Kontrolní seznam minimální kybernetické bezpečnosti
Rychlá orientační kontrola pro školy, veřejné instituce a menší organizace, které potřebují první orientaci v prioritách a mezerách.
Podoba výstupu
Jak vypadá výstup
Přehled toho, co dostane vedení, správce nebo technický tým a jak se z výstupu stává plán další práce.
Potřebujete potvrdit vhodný rozsah ještě před prvním hovorem?
Pošlete typ organizace, hlavní problém a to, kdo bude výstup číst. Navrhnu službu, průběh spolupráce i očekávaný typ výstupu.