la historia de los tres héroes de una manera nueva / Sudo Null IT News

¡Hola a todos! Mi nombre es Andréi Skripkin. Incluso cuando era estudiante, me di cuenta de que quería trabajar en seguridad de la información; mi hermano me metió en ello. Han pasado más de 15 años y el interés por la profesión no hace más que crecer. E incluso cuando parecía que, después de haber trabajado en varios integradores de seguridad de la información y haberme probado como ingeniero, diseñador, arquitecto, líder de equipos de ingenieros y diseñadores, ya lo había visto todo, el mundo de la seguridad de la información arroja algo nuevo y ofrece la oportunidad de seguir estudiando y descubrir algo nuevo. Ahora llevo dos años trabajando en Positive Technologies en el departamento de ingeniería: estoy implementando proyectos basados ​​en productos PT. Y esto, por un lado, es similar a mi experiencia anterior trabajando en integradores y, por otro lado, es una nueva experiencia, nuevos enfoques para la gestión de proyectos y un nuevo nivel de experiencia.

Quizás lo más importante que entendí sobre los proyectos durante mi trabajo es que lo más importante son las personas. Personas que implementan el proyecto. Y el éxito de todo el proyecto depende de cómo estas personas interactúan entre sí. Un buen ingeniero siempre “domesticará” cualquier tecnología y superará cualquier problema con el software, y un buen administrador siempre encontrará un compromiso en situaciones controvertidas.

En este artículo quiero compartir mi experiencia: contarle cómo implementar proyectos de manera productiva y construir relaciones entre los participantes del proyecto. cliente, integrador y proveedor.

Participantes del proyecto

Siempre juega un papel clave en cualquier proyecto. cliente. Y lo más importante para el propio cliente es que necesita este proyecto, para que los responsables del proyecto entiendan por qué lo hacen y qué problemas debe resolver el proyecto. El objetivo del proyecto no es “hacerlo para lucirse”, sino obtener un beneficio real del resultado.

Muy a menudo me encontré con situaciones en las que, después de completar las pruebas de puesta en marcha y aceptación, el sistema se apagaba por completo o no se utilizaba. Y entonces todos se sorprendieron: ¿por qué ocurrió el incidente y, lo más importante, qué hacer ahora? También me encontré con situaciones en las que se compró el software, pero no se llevó a cabo la implementación. Y luego ocurrió un incidente y tuvimos que desconectar toda la infraestructura de TI de Internet y buscar urgentemente a alguien que pudiera implementar el sistema en un día. Como intérprete, siempre me entristece cuando esto sucede.

Pero en la mayoría de los proyectos, vi cómo brillan los ojos del gerente, que decidió trabajar con el sistema DLP, y cómo el servicio de TI, que con su ayuda encontró al minero en la red, respetó el sistema SIEM. Vi la alegría de los especialistas en seguridad de la información que pudieron evitar el incidente.

Utilice sistemas de seguridad. No los pongas en un estante.

Además, en la ejecución del proyecto por parte del cliente siempre interviene un equipo formado por diferentes personas de diferentes departamentos. Estos incluyen gerentes, especialistas en TI y el departamento de seguridad de la información. Y el éxito llegará cuando cada uno de ellos comprenda por qué es necesario el proyecto y cuál es su papel en él. A menudo sucede que los servicios de TI y seguridad de la información no se llevan bien; aquí es importante buscar un compromiso y el beneficio general del proyecto para que cada participante esté interesado en su implementación.

Integrador es un equipo de expertos formado. Debe incluir al director del proyecto, consultores de seguridad de la información, arquitectos, diseñadores e ingenieros.

Toda la parte organizativa depende del director del proyecto: plan, cronogramas, cumplimiento de plazos, resolución de cuestiones administrativas. El director del proyecto debe ser un gestor de tareas para ingenieros y diseñadores; de lo contrario, el trabajo se prolongará y no se realizará muy bien.

Las tareas restantes se distribuyen de la siguiente manera:

• Los consultores de seguridad de la información analizan procesos en la organización del cliente, modelan amenazas a la seguridad de la información y desarrollan medidas de protección organizacional (políticas, regulaciones, estándares, regulaciones de seguridad de la información).

• Los arquitectos o diseñadores desarrollan la documentación de diseño y determinan las medidas técnicas de protección.

• Los ingenieros realizan trabajos de puesta en servicio.

Esta división de roles, en mi experiencia, es la más equilibrada (hay que tener en cuenta que los diseñadores e ingenieros deben tener experiencia trabajando con los productos en los que se basa el sistema de protección).

Los gerentes de proyecto por parte del integrador y el cliente deben ponerse de acuerdo sobre todas las cuestiones organizativas al inicio del proyecto: desarrollar un cronograma y un plan de recursos para determinar cuánto trabajo realizará el integrador y cuál el cliente. Cuando hay un cronograma, el proyecto se vuelve estructurado y manejable. Además, al inicio del proyecto, se deben determinar los métodos de interacción (a través de videoconferencia o con visitas al sitio) entre los actores del lado del integrador y los del lado del cliente. Todo esto ayuda a planificar con antelación los recursos y el tiempo de ejecución del proyecto.

Proveedor – un participante en el proyecto que suministra principalmente una solución de software o hardware-software a partir de la cual se construirá el futuro sistema durante la ejecución del proyecto. Además, el proveedor siempre cuenta con soporte técnico y usted debe utilizarlo. Si un integrador o cliente encuentra un problema en cualquier etapa del proyecto o durante la operación, puede contactar al proveedor y pedir ayuda.

En algunos casos, el proveedor puede ser el ejecutor o coejecutor del proyecto y aportar sus arquitectos, diseñadores e ingenieros. Positive Technologies cuenta con un departamento de ingeniería para este tipo de tareas, donde trabajan arquitectos, diseñadores e ingenieros. Los servicios se prestan en el marco de varios modelos de interacción: esto incluye consultoría, trabajo por contrato y servicios profesionales (bajo un certificado).

Decidir sobre los participantes del proyecto suele ser fácil. En cuanto al proceso de implementación del proyecto en sí, soy partidario de la descomposición: el proyecto se divide en etapas, las etapas en subetapas y las subetapas en tareas. De esta manera queda claro qué abordar y en qué orden: el mamut se come en partes.

Etapas

Etapa 0. Pilotaje

Indiqué esta etapa como el número 0, ya que esta no es una etapa completa del proyecto, es más una preventa. Y en mi opinión, no es el más eficaz. Mucha gente no estará de acuerdo conmigo, y cuando di una charla en el Positive Hack Days Fest, este tema recibió la mayor cantidad de preguntas. Cuando trabajaba para un integrador, prácticamente no tenía pilotos; esto no era rentable para el integrador. Mientras trabajaba en Positive Technologies, participé en una gran cantidad de pilotos y, a menudo, me encontré con una situación en la que un piloto se lleva a cabo “para mostrar”, pero no para vender. Al mismo tiempo, también hay proyectos en los que no se puede evitar el piloto: su implementación puede estar prescrita en el reglamento interno del cliente.

Al realizar un piloto, sus metas y objetivos deben estar claramente definidos: sólo así se puede saber si es necesario. Además, es necesario comprender que una prueba piloto supone un coste de tiempo (y, por tanto, monetario) no sólo para el integrador y el proveedor, sino también para el cliente. Y quizás sería más eficaz realizar una demostración (incluso en un stand), ofrecer formación u organizar una visita de “referencia” a una empresa donde el producto ya se utiliza.

Etapa 1. Desarrollo de especificaciones técnicas.

Esta etapa la realiza en primer lugar el cliente, formulando una solicitud y determinando lo que quiere. Esta es una de las etapas más importantes: además de que el procedimiento de adquisición y posterior aceptación del sistema en funcionamiento se llevará a cabo en base al documento elaborado, una tarea correctamente formulada y requisitos claramente definidos son la mitad del éxito de cualquier proyecto.

Bueno, es deseable que los requisitos sean factibles. Por eso, antes de iniciar un proyecto, es importante estudiar las capacidades de los productos y entender cuál se adapta mejor a usted y qué requisitos especificar. Pero si realmente necesita alguna funcionalidad que no está implementada en el producto, puede intentar solicitarla: en mi práctica, ha habido casos en los que el proveedor modificó el producto o el integrador inventó una solución (“muletas”). ) para implementar una necesidad específica.

En general, los equipos que implementan proyectos suelen ser muy inventivos y en ocasiones hacen cosas brillantes. Como regla general, se trata de scripts, integraciones no estándar de varios productos, modificación de código (si el producto es de código abierto). Pero después de las pruebas, resulta que no hay nadie que acompañe esas “muletas” y nadie está dispuesto a aceptarlas como apoyo. Una solución brillante muere; en el mejor de los casos, termina en el trabajo pendiente de desarrollo del proveedor con la perspectiva de aparecer algún día en un producto.

Cuando se preparan las especificaciones técnicas, se lleva a cabo un procedimiento competitivo y se determina el ganador: el integrador. El integrador se pone manos a la obra y comienza con un examen.

Etapa 2. Examen

En esta etapa participan el cliente y el contratista (puede ser un integrador o un proveedor, si la implementación la realiza el equipo del proveedor). Aquí es importante que el contratista identifique de la forma más completa posible la información que será necesaria en el marco del proyecto y que el cliente la proporcione de la forma más completa y honesta posible.

Para ahorrar tiempo a todos los participantes, siempre trato de hacer la mayoría de las preguntas en los cuestionarios. Primero, se elabora un cuestionario general para tener una idea general de la infraestructura de seguridad de la información y TI en la organización del cliente, luego, a partir de la información recibida, se elaboran cuestionarios aclaratorios para cada una de las áreas. Y si no se pudo obtener alguna información mediante cuestionarios, es necesario pasar a la entrevista. Este esquema nunca ha fallado, pero puede llevar distintos períodos de tiempo, dependiendo de la preparación del cliente para responder preguntas.

Para mí lo más importante en una encuesta es recibir un diagrama de red del cliente. Cuando tienes una imagen ante tus ojos, a menudo las únicas preguntas que quedan son las aclaratorias. Pero a menudo me encontré con el hecho de que el cliente no tenía un diagrama listo para usar o su detalle era insuficiente. En este caso, lo más efectivo es sentarse con un especialista en TI o seguridad de la información a su lado y juntos dibujar un diagrama en una hoja de papel, para luego convertirlo a formato digital y acordarlo con el cliente.

Me detendré en un punto más importante. A menudo sucede que el contratista toma un cuestionario estándar y lo envía al cliente, sin analizar su solicitud y sin personalizarlo. Y luego se sorprende de que el cliente no entiende por qué le piden modelos de router si se está implementando un antivirus. Todos los cuestionarios deben adaptarse a un proyecto concreto y a un cliente concreto. Es necesario respetar el tiempo del cliente, así el cliente proporcionará información más precisa y completa.

Después de la encuesta siempre aparecen nuevos aportes que afectan radicalmente la implementación del proyecto. Y después del examen, por regla general, es necesario elaborar otra especificación técnica, en la que se especifican los requisitos especificados por el cliente en la especificación técnica en la etapa 1.

Etapa 3. Adaptación de especificaciones técnicas

Esta etapa es principalmente trabajo del integrador. A partir de la encuesta, el integrador clasifica los sistemas de información del cliente, identifica las amenazas actuales a la seguridad de la información y especifica los requisitos especificados en las especificaciones técnicas originales.

No he tenido un solo proyecto en el que esta etapa no fuera necesaria. Los estudios y modelos de amenazas siempre hacen ajustes al proyecto.

Etapa 4. Diseño y desarrollo de documentación organizativa y administrativa.

Cuando todos los requisitos están definidos y registrados, es necesario preparar toda la documentación del proyecto. La rapidez y eficiencia con la que se llevará a cabo la implementación depende de qué tan bien esté escrita la documentación del proyecto.

Al hablar de la documentación, me gustaría volver una vez más a la etapa de desarrollo de las especificaciones técnicas (etapa 1). No es necesario incluir en las especificaciones técnicas todo el conjunto de documentos de acuerdo con GOST para el desarrollo de sistemas automatizados o para el desarrollo de sistemas automatizados en un diseño seguro. Al elaborar especificaciones técnicas, es importante comprender qué documentos son realmente necesarios y serán útiles. A veces resulta muy extraño ver en las especificaciones técnicas de un sistema de protección el documento “Lista de señales de entrada y salida”, que de ninguna manera es aplicable al sistema que se está creando.

Los documentos más importantes, en mi opinión, son varios diagramas que reflejan las medidas técnicas de protección: especificación (o lista de productos comprados), nota explicativa, programa y metodología de prueba, así como documentación de trabajo que refleja los parámetros y la ubicación del sistema que se está creando.

Es muy importante tener una documentación del proyecto y mantenerla actualizada, para que cuando cambies de especialista o de equipo de seguridad de la información no resulte que nadie sepa qué se ha implementado, por qué y cómo funciona.

Pues bien, nunca debemos olvidar que la seguridad es un conjunto de medidas de protección técnicas y organizativas. La documentación organizativa y administrativa debe desarrollarse no sólo cuando lo requiera una ley federal específica o una orden FSTEC, sino también en cualquier otro caso. Las regulaciones y órdenes son herramientas efectivas de un especialista en seguridad de la información.

Etapa 5. Suministro de software y hardware

En esta etapa, el contratista suministra software y hardware desarrollado por el proveedor y el cliente los incluye en el balance.

Destaqué la entrega como una etapa separada porque siempre hay que tenerla en cuenta a la hora de planificar el trabajo. En algunos casos, la entrega puede tardar seis meses y la composición de los fondos suministrados debe determinarse lo antes posible, pero sin perjudicar la calidad del proyecto. Normalmente, la especificación de compra se puede preparar temprano en la fase de diseño (Etapa 4).

Una vez que se completa la entrega de software y hardware, puede comenzar la implementación.

Etapa 6. Implementación

Cuando recién comencé a trabajar como diseñador, mi jefe (en el departamento de diseño) en alguna reunión general del departamento de seguridad de la información dijo que los ingenieros de implementación son las personas más importantes del proyecto. Hay errores en las encuestas, hay errores en el diseño, pero no puede haber errores en la implementación. Los ingenieros están siempre a la vanguardia.

No he tenido un solo proyecto en el que no haya tenido que hacer cambios en función de los resultados de la implementación. Y esto es, en realidad, una historia normal, porque en la fase de implementación siempre se descubren dificultades: todas las infraestructuras son diferentes y es imposible tenerlo todo en cuenta.

Los ingenieros deben ser valorados, protegidos y respetados, tanto por parte del cliente como del contratista. El éxito del proyecto depende principalmente de su trabajo coordinado.

La finalización de cualquier implementación es:

1. Pruebas preliminares — comprobar el correcto funcionamiento del sistema en la infraestructura del cliente.

2. Operación de prueba — comprobar el funcionamiento del sistema antes de ponerlo en funcionamiento permanente.

3. Pruebas de aceptación — verificar el cumplimiento de los requisitos de las especificaciones técnicas o de la metodología de prueba (lista de verificación que indica “aprobado” o “no superado el ensayo”); También se puede realizar en el formato de ejercicios cibernéticos (un equipo de hackers rojos viene e intenta destrozarte, este es un método de prueba bastante efectivo).

4. Pruebas de certificación — verificar que el sistema cumpla con los requisitos de los documentos reglamentarios, si así lo prevén las especificaciones técnicas.

Etapa 7. Operación

El cliente nunca se queda solo con el producto: siempre cuenta con el soporte técnico del proveedor. Por lo tanto, aunque la operación ya no es parte del proyecto, la he identificado como una etapa separada en la existencia del sistema.

Un sistema es un organismo vivo, por lo que necesito operar, modernizar constantemente y comprar oportunamente equipos y actualizar software.

y un breve resumen

Para mí lo más importante en cualquier proyecto son las personas que participan en él, así como su capacidad para entenderse, complementarse y trabajar en equipo. A menudo sucede que después de un gran proyecto, personas que no se conocían antes se vuelven buenos amigos y continúan comunicándose fuera del proyecto. Cualquier proyecto enfrenta dificultades técnicas, organizativas y políticas, pero la capacidad de negociar resuelve cualquiera de estos problemas.

Así, las principales etapas del proyecto:

1. Muchas veces el piloto es superfluo.

2. Los requisitos del sistema deben ser factibles.

3. Después del estudio, los requisitos deben adaptarse al sistema del cliente.

4. La documentación del sistema debe mantenerse actualizada.

5. Considere los tiempos de entrega durante la etapa de planificación.

6. No coloque el sistema en un estante, úselo.

7. El sistema debe estar vivo y en constante mejora.

Andrei Skripkin

Arquitecto jefe de proyectos complejos, Positive Technologies