🔓 Информационная Безопасность — боль B2B/B2G продакта

Обычно, когда говорят про отличие работы в B2C и B2B/B2G, принято сравнивать разное количество персоналий, участвующих в принятии решения, разные релизные циклы, особенности устноавки и доступа. Но довольно редко кто подымает тему прохождения аудита ИБ.

Проблему ИБ особенно остро ощущают те, кто занимается "вендорскими" продуктами, которые рассчитаны сразу на большой круг заказчиков, а не на одного конкретного.

Самая острая боль заключается в том, что почти каждый заказчик выставляет свои уникальные особые требования. То есть очень сложно подготовить единый универсальный документ, который можно кидать всем заказчикам без разбора.

🖥 Пример из моей практики: На одном из прошлых мест работы, после прохождения мучений с аудитами на 10+ заказчиках, мы с командой сделали универсальный документ, куда вставили абсолютно все особенности всех заказчиков. Сделано это было для инженеров-внедренцев, чтобы они выдергивали нужные под новых заказчиков страницы и сокращали срок работы над аудитом. Однако, буквально следующий пришедший заказчик выставил такие требования, что на 60% вопросов не было ответов в том самом документе.

Поэтому, наверное, совсем от возни с безопасниками избавиться сложно, но можно хотя бы включать в планы работ затраты на общение с ИБ, обновление продукта и документации под конкретного заказчика.

Ну и самое важное — при разработке новых продуктов для B2B/B2G не забывайте закладывать хотя бы заглушки для дальнейшей реализации таких вещей, как: Настраиваемое логирование, Аудит безопасности, Аудит доступа к сущностям системы, Ролевая система доступов с синхронизацией по типу AD/LDAP/OpenID/Kerberos/... Даже если бизнес-заказчик уверяет вас в том, что это не нужно и все будет ок, по итогу окажется ровно наоборот. И хотите вы того или нет, а делать это все придется.

Если вам интересно узнать детальнее про компоненты, на которые обращает внимание ИБ с продуктовой точки зрения — ставьте лайки, и на следующей неделе будет продолжение.

📝 А вы сталкивались с проблемами в общении с ИБ? Напишите дорабатываете ли вы продукты под их требования или договариваетесь?

#иб #немногопродакт
🔓 Информационная Безопасность — боль B2B/B2G продакта | Сетка — новая социальная сеть от hh.ru
repost

393

input message

напишите коммент

· 20.11

Правда жизни. С 2023 по 2024 наблюдаем активный спрос на on-premise продукты (в нашем случае это вебинары, ВКС и онлайн-доски) среди LE сегмента. Так вот конечный пользователь доволен, руководитель доволен, а вот безопасник ан нет да дополнит свои требования каким-нибудь незначительным syslog-ом (который через БД может сам вытащить), обернутым в дашборд красивенький.

ответить

20.11

И как решаете это в команде?

Просто эта боль кмк у всех, но никто не знает как ее решить 😄

ответить

еще контент автора

еще контент автора

войдите, чтобы увидеть

и подписаться на интересных профи

в приложении больше возможностей

пока в веб-версии есть не всё — мы вовсю работаем над ней

сетка — cоциальная сеть для нетворкинга от hh.ru

пересекайтесь с теми, кто повлияет на ваш профессиональный путь