Урок 1Ініціатива: Управління ідентифікацією, доступом та привілеями — цілі, стейкхолдери, виконувані контроли (SSO, MFA, найменші привілеї, PAM), KPI (застарілі привілейовані акаунти, покриття MFA)Цей розділ визначає ініціативу ідентифікації, доступу та привілеїв, уточнюючи цілі, ключових стейкхолдерів та виконувані контроли, встановлюючи практичні KPI для моніторингу ризиків доступу, зловживання привілеями та покриття аутентифікації з часом.
Defining initiative scope and business alignmentStakeholder roles across IT, HR, and business unitsSSO and MFA rollout strategy and governanceLeast privilege, RBAC, and PAM control designKPIs for stale accounts and MFA coverageУрок 2Ініціатива: Безпека хмари та управління конфігураціями — цілі, власники, базові контроли (CSPM, сканування IaC, жорсткість сховищ), KPI (кількість неправильних конфігурацій, час до виправлення)Цей розділ визначає ініціативу безпеки хмари та управління конфігураціями, уточнюючи власність, базові контроли та інструменти. Пояснює використання CSPM, сканування IaC та стандартів жорсткості з KPI, що відстежують неправильні конфігурації та швидкість виправлення.
Cloud security ownership and accountability modelBaseline policies for multi-cloud environmentsCSPM deployment and alert tuningIaC scanning in build and deployment stagesKPIs for misconfigs and remediation timeУрок 3Ініціатива: Безпечна розробка програмного забезпечення та DevSecOps — цілі, стейкхолдери, точки інтеграції CI/CD (SAST, DAST, SCA), KPI (вразливості на реліз, середній час виправлення)Цей розділ деталізує ініціативу безпечної розробки програмного забезпечення та DevSecOps, узгоджуючи цілі з швидкістю доставки, визначаючи стейкхолдерів, вбудовуючи безпеку в CI/CD та вибираючи KPI, що відстежують тенденції вразливостей, час виправлення та якість безпеки пайплайнів.
Objectives balancing speed and securityRACI for engineering, security, and productSecurity gates in CI/CD pipelinesSAST, DAST, and SCA integration strategyKPIs for defects, MTTR, and release riskУрок 4Ініціатива: Корпоративне управління ризиками — цілі, стейкхолдери, дизайн реєстру ризиків, критерії прийняття та KPI (відстежувані топ-ризики, рівні залишкових ризиків)Цей розділ формує ініціативу корпоративного управління ризиками, пов’язуючи безпеку з бізнес-ризиками. Охоплює цілі, стейкхолдерів, дизайн реєстру ризиків, скоринг, критерії прийняття та KPI, що відстежують топ-ризики, тенденції та залишкові рівні експозиції.
Aligning cyber risk with enterprise risk appetiteRisk register structure and taxonomyQualitative and quantitative risk scoringRisk acceptance, transfer, and mitigationKPIs for top risks and residual exposureУрок 5Ініціатива: Комплаєнс та готовність до аудиту (ISO 27001, SOC 2, GDPR) — цілі, стейкхолдери, зіставлення контролів, KPI (знахідки аудиту, зрілість контролів)Цей розділ визначає ініціативу комплаєнсу та готовності до аудиту (ISO 27001, SOC 2, GDPR) — цілі, стейкхолдери, зіставлення контролів, KPI (знахідки аудиту, зрілість контролів), узгоджуючи цілі з бізнес-зобов’язаннями. Охоплює зіставлення контролів, управління доказами, ролі стейкхолдерів та KPI, що відстежують знахідки, зрілість та прогрес виправлення.
Regulatory and customer requirement mappingControl framework selection and scopingEvidence collection and documentationInternal audits and readiness assessmentsKPIs for findings and control maturityУрок 6Ініціатива: Безпека, культура та підтримка — цілі, стейкхолдери, елементи програми, KPI (відсоток сприйнятливих до фішингу, завершення тренінгів, покриття чемпіонів безпеки)Цей розділ окреслює ініціативу безпеки, культури та підтримки, визначаючи цілі, аудиторію та власність. Охоплює елементи програми, чемпіонів, підказки поведінки та KPI, такі як рівень сприйнятливості до фішингу, завершення тренінгів та залучення.
Program goals and target behaviorsStakeholders in HR, comms, and leadershipTraining formats and content strategySecurity champions and local advocatesKPIs for phishing, training, and cultureУрок 7Ініціатива: Управління ризиками третіх сторін та ланцюга постачань — цілі, стейкхолдери, частота оцінок, KPI (рейтинги ризиків третіх сторін, контрактні SLA виправлення)Цей розділ деталізує ініціативу ризиків третіх сторін та ланцюга постачань, визначаючи цілі, власників та частоту оцінок. Пояснює due diligence, постійний моніторинг, контракти та KPI для рейтингів ризиків вендорів та SLA виправлення.
Vendor inventory and criticality tiersPre-contract due diligence and screeningOngoing assessments and monitoringSecurity clauses and remediation SLAsKPIs for vendor risk and closure timeУрок 8Ініціатива: Реагування на інциденти та кризове управління — цілі, стейкхолдери, плейбуки, частота tabletop, KPI (MTTR, час виявлення, оцінки вартості інцидентів)Цей розділ визначає ініціативу реагування на інциденти та кризового управління, уточнюючи цілі, стейкхолдерів та управління. Охоплює дизайн плейбуків, частоту tabletop, комунікації та KPI, такі як MTTR, час виявлення та оцінки вартості інцидентів.
IR objectives and executive sponsorshipRoles, RACI, and escalation pathsPlaybook development and maintenanceTabletop exercises and lessons learnedKPIs for MTTR, detection, and impact
