โลกของ UX กับโลกของ Security มันช่างสวนทางกันอย่างมาก เรียกได้ว่าไม่ค่อยจะลงรอยกันมากนัก การหาจุดกึ่งกลางที่พอดีจึงเป็นหน้าที่ของ SA อย่างพวกเราๆ

จากประสบการณ์การทำงานที่ผ่านมาของแอด บอกได้เลยว่าแอดต้องประสบปัญหาความขัดแย้งกันระหว่างทีม marketing(MKT) และทีม Operation(Oper) อยู่บ่อยๆ อ้อ…. ขอขยายความนิดหนึ่ง ความขัดแย้งที่ว่าไม่ได้หมายถึงความขัดแย้งระหว่างบุคคลที่ตบตีแย่งชิงกันแต่อย่างใดแต่เป็นความขัดแย้งของ Requirement ที่ต้องการให้แอพพลิเคชั่นที่พัฒนาออกมาเป็นไปในรูปแบบที่ต่างกัน

ก่อนจะไปถึงแนวทางและการจัดการกับปัญหาเหล่านั้นที่แอดได้เจอะเจอมา พวกเราก็ต้องมาวิเคราะห์หาสาเหตุก่อนว่าทำไม MKTและ Oper จึงมีความต้องการที่แตกต่างกัน เพื่อที่พวกเราจะได้หาแนวทางแก้ปัญหาได้ถูกต้องและตรงจุด


Marketing(MKT) แน่นอนว่านักการตลาดมุ่งเน้นในส่วนของการขาย เน้นทำยอดขายสินค้าและบริการให้ได้มากที่สุด เพราะนั้นหมายถึงเม็ดเงินที่จะเข้ามาหล่อเลี้ยงองค์กรของพวกเขา แต่ก็มีงานบางส่วนที่ MKT ไม่ได้มุ่งเน้นการขายโดยตรงอย่างเช่นงานส่งเสริมภาพลักษณ์ขององค์กร เป็นต้น

ดังนั้นความต้องการของ MKT ที่มีต่อแอพพลิเคชั่น ก็จะออกแนว hard sale เน้นในส่วนของ UX ลูกค้าต้องเข้าถึงง่าย ซื้อง่ายจ่ายสะดวก MKT ของบริษัทแอดมักจะพูดเสมอว่า

อยากได้แบบคลิกครั้งเดียวจบ


Operation (Oper) คือหน่วยงานที่ต้องคอย Support แอพพลิเคชั่นของเราให้สามารถบริการลูกค้าได้อย่างมีประสิทธิภาพ โดยเริ่มตั้งแต่การ deploy, การ monitor ในส่วนของ network รวมถึง CPU, Memory ที่เหมาะสม, และอื่นๆอีกมากมาย เพื่อให้ลูกค้าใช้งานแอพพลิเคชั่นได้อย่างราบรื่น แต่หน้าที่หนึ่ง ที่ทาง Oper ให้ความสำคัญเป็นอย่างมากคือ ความปลอดภัยของระบบ ยิ่งถ้าเป็นองค์กรใหญ่ๆ ที่มีระบบ infrastructure ที่ซับซ้อนยิ่งต้องคำนึงถึงเรื่องนี้เป็นหลัก เพราะถ้ามีช่องโหว่แล้วอาจจะส่งผลกระทบต่อระบบอื่นๆได้ แอดมองว่า Oper เหมือนเป็นพ่อบ้านที่ต้องคอยมาเก็บกวาดทำความสะอาดหลังจากที่ SA อย่างเราๆได้มาทำเลอะเอาไว้นั้นเอง

log มีไหม? ปลอดภัยหรือป่าว? ผลเทสอยู่ไหน? load-test เป็นไงบ้าง บลาๆๆๆๆๆๆ


จากที่ได้ลองวิเคราะห์ความแตกต่างกันแล้ว เราก็มาเริ่มเข้าสู่การหาทางออกกันเลย Let’s go!…

มีอยู่ 3 สิ่งที่แอดมักจะนำมาใช้ช่วยในการแก้ปัญหานี้ นั้นคือ

  1. B(business condition): เงื่อนไขทางธุรกิจที่ต้องมีในแอพพลิเคชั่น
  2. T(time): ระยะเวลาในการพัฒนาแอพพลิเคชั่น
  3. S(Security): ความปลอดภัยของระบบ

Ideal project ของแอดต้องมีทั้ง 3 อย่างคบถ้วน นั้นคือ T(มีระยะเวลาเพียงพอในการทำโปรเจค), B(แอพพลิเคชั่นที่ทำเป็นไปตามความต้องการของ MKT ตรงตามเงื่อนไขข้อกำหนดที่ตกลงกันไว้), S(ไม่มีช่องโหว่ของระบบ)

แต่ในโลกของความเป็นจริงไม่มีอะไรสมบูรณ์แบบ เราจึงต้องรับมือกับมันให้ได้ โดยแอดได้ใช้วิธีง่ายๆในการเอาตัวรอดมาได้ ดังนี้

B Project : ต้องแจ้งให้ทุกคนทราบและต้องยอมรับความเสี่ยงพร้อมกัน

สำหรับ B Project เป็น project ที่เร่งด่วน(No T)และมักจะมีความสำคัญมากๆ อยู่เสมอๆ และมักมีช่องโหว่มาก(No S)เช่นกัน

อาจจะเป็นงานที่ต้องแข่งกับเวลา สั่งงานวันนี้จะเอาเมื่อวาน What!!!!!

ST Project : ต้องต่อรองกับทาง MKT ให้ยอมเปลี่ยนแปลงเงื่อนไขบางอย่าง แต่ต้องไม่ทำให้ requirement หลักเปลี่ยนไป

สำหรับ ST Project เป็น project ที่มีเวลาในการพัฒนาเพียงพอ แต่จำเป็นต้องให้ความสำคัญกับทาง security เป็นหลัก ยกตัวอย่างเคสที่แอดเจอมาเช่น

ทาง MKT ต้องการให้ user เข้าถึงข้อมูลได้เลยเพียงแค่คลิกลิงก์ที่ได้รับจาก email แต่ทาง Oper เห็นว่าข้อมูลที่ลูกค้าจะเข้าถึงน้ันเป็นข้อมูลสำคัญ หากมีการเผยแพร่ออกไปแล้วจะมีผลกระทบกับลูกค้า จึงเสนอให้มีการ login อีกครั้งหลังจากคลิกลิงก์ที่ได้รับจาก email จะเห็นว่า requriement หลักยังคงเหมือนเดิมคือลูกค้าเข้าดูข้อมูลได้จากการคลิกลิงก์ที่ได้รับจาก email แต่ต้องเพิ่มขั้นตอนในการ login เพิ่มขึ้นมาเป็นต้น

BT Project : ต้องต่อรองกับทาง Oper และจัดเตรียมหลักฐานและแนวทางในการปฏิบัติเมื่อเกิดปัญหาขึ้น

สำหรับ BT Project เป็น project ที่มีเวลาในการพัฒนาเพียงพอ แต่ให้ความสำคัญกับทาง Business เป็นหลัก โดยช่องโหว่ที่เกิดขึ้นมีผลกระทบกับ user ส่วนน้อยหรือโอกาสเกิดน้อยมาก ยกตัวอย่างเคสที่แอดเจอมาเช่น

MKT ต้องการให้แอพพลิเคชั่นที่ใช้ภายในองค์กร ใช้งานได้ง่ายๆ มีหน้า login แต่ไม่ต้องมี CAPTCHA ดังนั้นสิ่งที่เราต้องเตรียมคือ forecast(ค่าประมาณ, ตัวเลขประมาณการ) ของ user ที่จะมาเข้าใช้งาน และเอกสาร log รวมถึงวิธีการดู log หากเกิดเคส user login fail ที่มากผิดปกติที่มีโอกาสเสี่ยงว่าจะเป็นการ hack ระบบ


ทั้งนี้ทั้งนั้นยังมีอีกหลายตัวแปรที่เราต้องใช้ในการพิจารณา ความเหมาะสมระหว่าง UX & Security ไม่ว่าจะเป็นเรื่องของ budget, กฎหมาย รวมถึง dat aprivacy policy อีกด้วย สุดท้ายอยากจะฝากทุกคนไว้ว่า

จงทำตามที่ CEO อยากได้ ไม่ว่าจะมีเงื่อนไขใดๆก็ตาม

สวัสดีครับ

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade