🔓 Информационная Безопасность — боль B2B/B2G продакта
Обычно, когда говорят про отличие работы в B2C и B2B/B2G, принято сравнивать разное количество персоналий, участвующих в принятии решения, разные релизные циклы, особенности устноавки и доступа. Но довольно редко кто подымает тему прохождения аудита ИБ.
Проблему ИБ особенно остро ощущают те, кто занимается "вендорскими" продуктами, которые рассчитаны сразу на большой круг заказчиков, а не на одного конкретного.
Самая острая боль заключается в том, что почти каждый заказчик выставляет свои уникальные особые требования. То есть очень сложно подготовить единый универсальный документ, который можно кидать всем заказчикам без разбора.
🖥 Пример из моей практики: На одном из прошлых мест работы, после прохождения мучений с аудитами на 10+ заказчиках, мы с командой сделали универсальный документ, куда вставили абсолютно все особенности всех заказчиков. Сделано это было для инженеров-внедренцев, чтобы они выдергивали нужные под новых заказчиков страницы и сокращали срок работы над аудитом. Однако, буквально следующий пришедший заказчик выставил такие требования, что на 60% вопросов не было ответов в том самом документе.
Поэтому, наверное, совсем от возни с безопасниками избавиться сложно, но можно хотя бы включать в планы работ затраты на общение с ИБ, обновление продукта и документации под конкретного заказчика.
Ну и самое важное — при разработке новых продуктов для B2B/B2G не забывайте закладывать хотя бы заглушки для дальнейшей реализации таких вещей, как: Настраиваемое логирование, Аудит безопасности, Аудит доступа к сущностям системы, Ролевая система доступов с синхронизацией по типу AD/LDAP/OpenID/Kerberos/... Даже если бизнес-заказчик уверяет вас в том, что это не нужно и все будет ок, по итогу окажется ровно наоборот. И хотите вы того или нет, а делать это все придется.
Если вам интересно узнать детальнее про компоненты, на которые обращает внимание ИБ с продуктовой точки зрения — ставьте лайки, и на следующей неделе будет продолжение.
📝 А вы сталкивались с проблемами в общении с ИБ? Напишите дорабатываете ли вы продукты под их требования или договариваетесь?
· 20.11
Правда жизни. С 2023 по 2024 наблюдаем активный спрос на on-premise продукты (в нашем случае это вебинары, ВКС и онлайн-доски) среди LE сегмента. Так вот конечный пользователь доволен, руководитель доволен, а вот безопасник ан нет да дополнит свои требования каким-нибудь незначительным syslog-ом (который через БД может сам вытащить), обернутым в дашборд красивенький.
ответить
коммент удалён
· 20.11
И как решаете это в команде?
Просто эта боль кмк у всех, но никто не знает как ее решить 😄
ответить
ответ удалён