Przegląd Architektury Bezpieczeństwa

Przegląd architektury bezpieczeństwa cofa się od indywidualnych podatności i pyta, czy sam projekt jest defensywny. To praca, którą wykonuję, gdy organizacja chce zrozumieć swoją postawę bezpieczeństwa jako system — nie jako listę błędów — i zwykle tu kryją się zmiany o największej dźwigni.

Przeglądy zazwyczaj łączą analizę dokumentów, rozmowy z osobami, które faktycznie zarządzają infrastrukturą, oraz bezpośrednią inspekcję kont w chmurze, projektów sieci, systemów tożsamości i pipeline'ów CI/CD. Pracuję zgodnie z frameworkami tam, gdzie mają zastosowanie — NIST CSF, ISO 27001, CIS Controls, specyficzne dla chmury wytyczne well-architected — ale wynik jest zakorzeniony w Twojej działalności, nie w generycznej liście kontrolnej. Ryzyko ma znaczenie tylko w kontekście.

Obszary, w które zazwyczaj zagłębiam się: zarządzanie tożsamością i dostępem (tu faktycznie zaczyna się większość włamań do chmury), segmentacja sieci, zarządzanie sekretami, pokrycie logowania i detekcji, ryzyko stron trzecich i łańcucha dostaw oraz luka między pisaną polityką a tym, co jest faktycznie wdrożone. Wskażę miejsca, gdzie wydajesz pieniądze na kontrole, które nie przesuwają wskaźnika, i gdzie małe zmiany architektoniczne pochłonęłyby całą klasę ataków, zanim staną się incydentami.

Dla organizacji potrzebujących stałego strategicznego wsparcia zamiast jednorazowego zaangażowania, ta praca naturalnie wpisuje się w układ vCISO — raportowanie na poziomie zarządu, planowanie roadmapy, przeglądy dostawców i uczestnictwo w decyzjach architektonicznych, które mają znaczenie, zanim zostaną wdrożone. Niektórzy klienci utrzymują to przez kilka miesięcy wokół konkretnego przejścia; inni działają z tym długoterminowo. Oba modele sprawdzają się w praktyce.