Что не так с B2B продуктами для кибербезопасности

Продукты, связанные с кибербезопасностью, в большинстве своем — коробочные решения. Это значит, что устанавливать и запускать их будут на закрытых контурах компании. Иногда заказчик ещё и “докручивает” решение под себя. И всё это в обстановке строгой секретности, конечно.
Из-за этого разработчикам сложно коммуницировать с конечными пользователями, тестировать фичи и оценивать жизненные показатели продукта.

В этой статье подсвечу проблемы и поищу возможности, чтобы вы знали, чего ожидать при работе с продуктом в сфере кибербезопасности.

Компании, которые заботятся о безопасности настолько, что покупают многомиллионный ИБ-продукт, обычно не доверяют разработчикам внешнего софта лишнюю информацию и доступы. Навешивать на продукт дополнительные сервисы и финтифлюшки — не ок.

Тут самое время приуныть аналитикам. Вам вряд ли позволят прикрутить к продукту инструменты, чтобы собирать данные и следить за активностью юзеров. Даже поля фидбека для обратной связи протащить в продукт может быть сложно, потому что:

а) куда будут уходить эти данные и где храниться?

б) насколько защищен канал передачи?

в) добиться разрешения на доверку определенному стороннему IP сложно, долго и бюрократично

г) получение этого фидбека выльется в дополнительные затраты

Тревожно, в общем!

Но если решитесь — заготовьте ответы на вопросы выше. Придется очень долго защищаться.

Бизнес не готов слишком часто обновлять установленные продукты, обновление требует трудозатрат. Каждый релиз ИБ-продукта тестируют не только QA, но и безопасники.

Теперь загрустят юиксеры. Выкатить одну фичу и получить по ней быстрый фидбек? Нет, такого не будет, выкатываем полноценные новые флоу + исправляем баги.

Информационная безопасность — сфера с узким сегментом респондентов. Набор навыков респондентов требуется разный от задачи к задаче — не всегда получается найти подходящих именно к твоей. Иногда приходится тыкаться вслепую и получать фидбек уже после релиза, а затем выкатывать изменения еще через полгода, с новым обновлением продукта.

Это свет в окне. Для коробочных продуктов практически невозможно собирать количественные метрики, но можно собрать качественные.

Если вам повезло найти подходящих по навыкам респондентов, проводите исследования. Обычно они результативны, тк с критикой в ИБ всё в порядке, никто не побоится вас расстроить)
Коридорки, юзабилити-тестирование на прототипе и глубинное интервью помогут понять, нужно ли вообще внедрять новый функционал и каким его видят юзеры.

Если респондентов нет — нет и метрик. Тогда при разработке нового функционала придётся положиться на свой опыт и здравый смысл

Мем

Работая с ИБ-продуктом, вам придётся считаться со спецификой сферы и иногда наступать на горло best practices. Проще говоря, ваш продукт должен быть максимально продуман с точки зрения безопасности, иначе будете как тот сапожник без сапог.

Так, любой дизайнер интерфейса научен (стартер-пак):

— инвалид форма должна быть подписана подробно и понятно

— вход или регистрацию лучше сделать через гугл аккаунт SSO (с англ. Single Sign-On)

— автозаполнение это круто!

А вот почему об этом придётся забыть:

— Подробная инвалид форма с типом ошибки «У вас неправильный пароль» подскажет хакеру, что ошибка именно в пароле, а не в логине, и бить лучше туда.

— Использование SSO влечёт за собой существенный риск безопасности — хакеру достаточно взломать одну учетную запись, чтобы получить доступ ко всем связанным с ней системам. Гугл/яндекс аккаунты использовать нельзя. Можно использовать корпоративную систему, вход в которую охраняется границами внутренней сети.

— С автозаполнением хакеры могут провернуть прикольный фокус: добавить в форму скрытые поля. Они не будут видны при заполнении формы, но в них автоматически подтянутся данные пользователя, сохранённые в браузере — адреса, телефоны, паспортные данные.Но не пароли, они хранятся в другом месте и просто так не подставятся.

Мы разобрали некоторые сложности, которые ждут вас при работе с ИБ-продуктами. Но это, конечно, не значит, что работать с ними неинтересно. Просто придётся проявить чуть больше изобретательности.

--

--

Cамый большой коллективный блог про дизайн на русском языке

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store